Springe zum Hauptinhalt

2009-07: Wie vertraulich sind MPLS-VPN?

Vie­le as­so­zie­ren mit VPN „ver­trau­lich“. Die Ein­stel­lung stammt oft noch aus den Zei­ten als das ein­zi­ge „V­P­N“ ein Fra­me­-­Re­lay- oder Stand­lei­tungs­-­Netz wa­r, das über das öf­fent­li­che Te­le­fon­netz lie­f. Heu­te ver­kau­fen Car­ri­er MPLS­-­Net­ze  (Mul­ti Pro­to­col La­bel Swit­ching) als als eben­so pri­vat. Das sind sie je­doch nur in Gren­zen!

Zum ei­nem wer­den die Da­ten in ei­nem MPLS­-­Netz un­ver­schlüs­selt über­tra­gen, zum an­de­ren läßt sich ein MPLS­-­Netz leich­ter ma­ni­pu­lie­ren als ge­dacht. Aus der Kom­bi­na­ti­on er­gibt sich: Wer al­so auf die Ver­trau­lich­keit sei­nes MPLS­-V­PN ver­traut, muss um­den­ken.

Be­reits 2006 ha­ben die Se­cu­ri­ty­-­Ex­per­ten En­no Rey und Pe­ter Fiers ge­zeig­t, dass man MPLS­-­Netz ma­ni­pu­lie­ren kann. Auf der letz­ten Black­Hat Eu­ro­pe leg­ten Da­ni­el Men­de und En­no Rey nach und ver­öf­fent­lich­ten ein paar Tool­s, die die­se An­grif­fe sehr ein­fach ma­chen. Hat ein An­grei­fer Zu­gang zum MPLS­-­Co­re, kann er per BGP (Bor­der Gate­way Pro­to­col) die in­ter­es­san­ten Da­ten zu sich selbst um­lei­ten - wenn er will mit ei­nem sim­plen Tool in ein an­ders MPLS­-V­PN ver­schie­ben. Ein Tool zum Knacken der BGP-M­D5­-­Hashes wird auch gleich mit­ge­lie­fer­t.

Trau­en Sie ei­gent­lich Ih­rem MPLS­-­Pro­vi­der? Dann hof­fe ich, Sie ha­ben gu­te Ver­trä­ge mit ihm. Er  soll­ten bei­spiels­wei­se mit ei­ner sehr ho­hen Sum­me haf­ten, wenn Da­ten aus sei­nem MPLS­-­Netz ab­han­den kom­men oder ma­ni­pu­liert wer­den. Das heiss­t, wenn Sie ei­ne Ma­ni­pu­la­ti­on oder einen Da­ten­ver­lust über­haupt be­mer­ken. Denn, was schät­zen Sie, wie gut Ih­re Chan­cen da­zu ste­hen? 10 Pro­zent? 1 Pro­zent? Ich tip­pe auf na­he­zu Null Pro­zent.

MPLS international – nur verschlüsselt

Wenn Ihr Un­ter­neh­men in­ter­na­ti­o­nal tä­tig ist, dann ist dop­pel­te Vor­sicht ge­bo­ten. Die Aus­sa­ge Ih­res Pro­vi­der­s, dass ei­ne Ver­schlüs­se­lung im MPLS­-­Netz nun wirk­lich nicht nö­tig sei, schen­ken Sie bit­te vor­sichts­hal­ber kei­nen Glau­ben. Aus­län­di­sche Ge­heim­diens­te ha­ben oft den Auf­trag, die Wirt­schaft des ei­ge­nen Lan­des zu för­dern. Das heißt im Klar­tex­t: Die Mit­be­wer­ber zu be­hin­dern und Da­ten ab­zu­grei­fen. Aber das ist für Sie si­cher nichts Neu­es.

Auf al­le Fäl­le tun Sie gut dar­an, Ih­re Lei­tun­gen ins (fer­ne) Aus­land zu ver­schlüs­seln. Auch bei ei­ner MPLS­-­Ver­bin­dung und auch wenn Ihr Vor­stand oder Ge­schäfts­füh­rer hier un­be­dingt spa­ren will. Sei­en Sie hart­nä­ckig, ver­su­chen Sie Ih­re Chefs zu über­zeu­gen.

Noch et­was: Fra­gen Sie mal pri­vat bei Ih­rer Bank nach, ob dort MPLS ein­ge­setzt wird. Vie­le Geld­in­sti­tu­te ver­wen­den zwar MPLS, doch nur we­ni­ge ver­schlüs­seln. Oft wird ein Netz kur­zer­hand als „ver­trau­ens­wür­dig“ ein­ge­zu­stuft, wenn ei­ne ver­trag­li­che Bin­dung mit dem Netz­be­trei­ber exis­tier­t. Na ja...

Dis­kus­si­ons­be­da­r­f? Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de