Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Confidentialité sur MPLS

Bonjour,

Un de mes clients cherche à mettre en place de la confidentialité sur un réseau fournit par un opérateur.

Je cherche une solution pour cela.

J'ai pensé à activer de l'IPSec over VPN IP, mais on perd tous les avantages liés au MPLS.

Est-ce que quelqu'un sait s'il existe des solutions "opérateur"? Je sais pas, une solution pour assurer la confidentialité des données directement dans le MPLS.............???

Merci pour votre aide,
Jenco
Bonjour,

Si ton opérateur t'offre la possibilité de prendre la main sur son routeur, (ce dont je doute parce que dans ce cas là il n'est plus en mesure de garantir la stabilité de la conf et le niveau de service) tu peux essayer de "mixer des encapsulations sur les routeurs, mais :
- Tu vas perdre en performance,
- Il te faudra faire valider ta conf par ton opérateur,
- Tu vas te rajouter des entêtes sur des entêtes (bonjour les gros transferts) et les problèmes de MTU (j'ai donné)
J'aurais tendance, dans ton cas, à utiliser des plates formes dédiées :
- Tu n'es pas dépendant de l'opérateur, tu ne lui doit rien,
- Tu ne sécurise que ce que tu veux donc tu maitrise plus finement tes performances entre postes sécurisés et postes qui "dépotent"
- Tu installes sur certains poste un client IPSEC qui va "taper" ton serveur/concentrateur ipsec sur le site central...
Ce type de solution est souvent intégré dans les FireWall "pizza box"
Voili voilou.

Hervé
Lu Herve,

En fait, avec Jenco, on se place en tant qu'opérateur. On peux biensur activer IPSEC dans les CPE, cependant on perdra le mode ANY to ANY.

Sauf si on termine les tunnels dans leurs PE d'extrémité, mais alors tout est sécurisé sauf l'inter PE.

As tu une solution ou idée ?

_SebF
_SebF - Sébastien FONTAINE
Bonjour Hervé, bonjour Seb, bonjour tout le monde,

Après en avoir discuté directement avec Cisco, voici ce qu'il en est ressorti (je sais, c'est un peu en vrac...):

- le seul moyen de confidentialiser qqc sur MPLS est l'utilisation de l'IPSec.

- habituellement, les clients demandent du hub and spoke lorsqu'il est nécessaire de confidentialiser, ce qui est cohérent avec l'utilisation de l'IPSec. Il existe cependant apparamment une méthode pour faire du "simili any-to-any" en installant un serveur spécifique sur le hub, afin qu'il crée dynamiquement des tunnels entre éléments spoke. J'ai pas creusé là dessus

- il est possible de traiter les paquets cryptés en QoS en utilisant la commande Cisco "qos-preclassified": ceci permet au routeur de crypter les données après les avoir placées dans les queues, et non pas le contraire. Le champ DSCP se retrouve lui aussi recopié au niveau de l'entete du paquet IPSec.

- attention, dans ce cas (QoS + IPSec), il faut faire attention au "anti replay". En effet, la QoS va réorganiser les paquets, ils peuvent donc arriver dans un ordre très différent de ce qu'il se passe normalement. La fonctionnalité "anti replay" de l'IPSec défini une fenetre au niveau des séquences. Les paquets qui sont réorganisés par les queues de QoS peuvent donc être détruits. Un rapport entre les débits des différentes classes supérieur à 70/30 engendre un risque important de perte de paquet.

Je sais pas si j'ai été très clair, mais ça donne quelques pistes de recherche à ceux qui veulent aller plus loin sur MPLS + confidentalité.


Jenco