2009-07: Wie vertraulich sind MPLS-VPN?
Viele assozieren mit VPN „vertraulich“. Die Einstellung stammt oft noch aus den Zeiten als das einzige „VPN“ ein Frame-Relay- oder Standleitungs-Netz war, das über das öffentliche Telefonnetz lief. Heute verkaufen Carrier MPLS-Netze (Multi Protocol Label Switching) als als ebenso privat. Das sind sie jedoch nur in Grenzen!
Zum einem werden die Daten in einem MPLS-Netz unverschlüsselt übertragen, zum anderen läßt sich ein MPLS-Netz leichter manipulieren als gedacht. Aus der Kombination ergibt sich: Wer also auf die Vertraulichkeit seines MPLS-VPN vertraut, muss umdenken.
Bereits 2006 haben die Security-Experten Enno Rey und Peter Fiers gezeigt, dass man MPLS-Netz manipulieren kann. Auf der letzten BlackHat Europe legten Daniel Mende und Enno Rey nach und veröffentlichten ein paar Tools, die diese Angriffe sehr einfach machen. Hat ein Angreifer Zugang zum MPLS-Core, kann er per BGP (Border Gateway Protocol) die interessanten Daten zu sich selbst umleiten - wenn er will mit einem simplen Tool in ein anders MPLS-VPN verschieben. Ein Tool zum Knacken der BGP-MD5-Hashes wird auch gleich mitgeliefert.
Trauen Sie eigentlich Ihrem MPLS-Provider? Dann hoffe ich, Sie haben gute Verträge mit ihm. Er sollten beispielsweise mit einer sehr hohen Summe haften, wenn Daten aus seinem MPLS-Netz abhanden kommen oder manipuliert werden. Das heisst, wenn Sie eine Manipulation oder einen Datenverlust überhaupt bemerken. Denn, was schätzen Sie, wie gut Ihre Chancen dazu stehen? 10 Prozent? 1 Prozent? Ich tippe auf nahezu Null Prozent.
MPLS international – nur verschlüsselt
Wenn Ihr Unternehmen international tätig ist, dann ist doppelte Vorsicht geboten. Die Aussage Ihres Providers, dass eine Verschlüsselung im MPLS-Netz nun wirklich nicht nötig sei, schenken Sie bitte vorsichtshalber keinen Glauben. Ausländische Geheimdienste haben oft den Auftrag, die Wirtschaft des eigenen Landes zu fördern. Das heißt im Klartext: Die Mitbewerber zu behindern und Daten abzugreifen. Aber das ist für Sie sicher nichts Neues.
Auf alle Fälle tun Sie gut daran, Ihre Leitungen ins (ferne) Ausland zu verschlüsseln. Auch bei einer MPLS-Verbindung und auch wenn Ihr Vorstand oder Geschäftsführer hier unbedingt sparen will. Seien Sie hartnäckig, versuchen Sie Ihre Chefs zu überzeugen.
Noch etwas: Fragen Sie mal privat bei Ihrer Bank nach, ob dort MPLS eingesetzt wird. Viele Geldinstitute verwenden zwar MPLS, doch nur wenige verschlüsseln. Oft wird ein Netz kurzerhand als „vertrauenswürdig“ eingezustuft, wenn eine vertragliche Bindung mit dem Netzbetreiber existiert. Na ja...
Diskussionsbedarf? Mailen Sie einfach an kolumne@goebel-consult.de.
Weitere Links
Folien zum Vortrag „All your Packets“: http://www.ernw.de/content/e7/e181/e1309/download1357/ERNW_BlackHatEurope09_all_your_packets_ger.pdf
Sourcecode der Tools http://www.ernw.de/download/bh09_all_your_packets_tools.tar.bz2
Im Organisationshandbuch Netzwerksicherheit beim Weka Verlag habe ich noch mehr über verschiedenen VPN-Typen geschrieben.