Suchen

Standortvernetzung Daten im MPLS-Netz zusätzlich absichern

| Autor / Redakteur: Ronald Bals / Stephan Augsten

Multi-Protocol Label Switching, kurz MPLS, ist ein verbreitetes Verfahren zur Vernetzung mehrerer Standorte. Dank MPLS können über ein IP-basiertes Netzwerk zeitkritische Daten sowie Video und Sprache mit hoher Qualität transportiert werden. Unternehmen sollten bei der Sicherheit aber zusätzlich Hand anlegen.

Firmen zum Thema

Die Grundstruktur eines MPLS-Netzes bietet bereits hohe Sicherheit, die sich aber noch ausbauen lässt.
Die Grundstruktur eines MPLS-Netzes bietet bereits hohe Sicherheit, die sich aber noch ausbauen lässt.
(Bild: Savecall)

Sowohl Unternehmen als auch Behörden entscheiden sich bei der Wahl der Standortvernetzung oft für ein MPLS-Netzwerk. Neben der hohen Dienstgüte (Quality of Service, QoS) besteht ein weiterer Vorteil darin, dass das komplette Management dem Telekommunikationsanbieter obliegt.

MPLS-Netze werden darüber hinaus auch hohen Anforderungen an Informationssicherheit und Datenschutz gerecht. Im MPLS werden Daten über die geschlossene Infrastruktur des gewählten Providers geleitet und befinden sich nicht wie im Falle von IP-Sec VPNs im öffentlichen Internet.

Die Daten werden auf genau vordefinierten Routen innerhalb des Netzes des Anbieters geführt. Die Knotenpunkte und der Traffic des Netzwerks sind für die Außenwelt unsichtbar und abgeschlossen. Die Grundstruktur eines MPLS-Netzes bietet also bereits hohe Sicherheitsstandards. Dennoch können weitere Maßnahmen ergriffen werden.

Maßnahmen zur zusätzlichen Sicherung von MPLS-Netzen

1. Netzüberwachungssysteme

Ein Einsatz von Netzüberwachungssystemen als Bestandteil eines Netzmanagementsystems (NMS) ist sowohl im Unternehmen als auch auf Seiten des Carriers wichtig. Diese überwachen die Integrität des MPLS VPNs.

Die Informationen sollten dabei nicht vom kundenseitigen (Customer Edge, CE) Router direkt ins Unternehmen gelangen (z. B. über SNMP oder NetFlow), sondern über ein Portal bereitgestellt werden. Es empfiehlt sich der Einsatz sicherer Protokolle, Telnet ist ein No-Go! Verschlüsselte Alternativen (SSH) sind wichtig.

2. Internet-Übergang als eigenes MPLS-VPN

Der Carrier kann im MPLS Core für das Unternehmen einen zentralen Übergang ins Internet bereitstellen. Das gesamte Netz hat so weniger Angriffspunkte, da nur ein Single Point of Entry zum öffentlichen Internet existiert.

Die Internet-Routen sollten über dedizierte VRF-Instanzen auf den anbieterseitigen (Provider Edge, PE) Routen für das Unternehmen vorgehalten werden. Die PE-Router werden dann ausschließlich mit Internet-CE-Routern verbunden. Eventuelle weitere CE sollten nicht direkt mit dem Internet-PE verbunden werden.

(ID:43289018)