---

Lavede i dag en traceroute over en MPLS til en anden
destination, og så undervejs 4 offentlige TDC routere, som kan
pinges og alt muligt andet udefra.

Jeg formoder at dette betyder, at MPLS i dag blandes med almindeligt
Internet trafik.

Kan man injecte pakker til MPLS netværk over nettet ? Eller skal
man overtage en af disse hersens routere for at gøre det ?
Hvor meget sikkerhed er de reelt i MPLS i dag i forhold til
en alm. Internetforbindelse ?

---

On 2004-02-19, Povl H. Pedersen <nospam@home.terminal.dk> wrote:

> Kan man injecte pakker til MPLS netværk over nettet ?

Nej, TDC modtager kun pakker med labels fra deres egne routere.

> Eller skal man overtage en af disse hersens routere for at gøre det ?

Yep.

> Hvor meget sikkerhed er de reelt i MPLS i dag i forhold til
> en alm. Internetforbindelse ?

MPLS-VPNer er logisk adskilt fra andet trafik (og andre VPNer) med en
label, så det rigtige svar er vel cirka "meget".

--
Andreas Plesner Jacobsen | <Knghtbrd> aggh!
| <Knghtbrd> MAKE IT STOP!
| <Knghtbrd> MAKE IT STOP!!

---

On 2004-02-19, Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> On 2004-02-19, Povl H. Pedersen <nospam@home.terminal.dk> wrote:
>
>> Kan man injecte pakker til MPLS netværk over nettet ?
>
> Nej, TDC modtager kun pakker med labels fra deres egne routere.

Ja, men for at jeg kan nå disse her routere, så kommer jeg
jo via andre routere der er TDCs.

>> Eller skal man overtage en af disse hersens routere for at gøre det ?
>
> Yep.

Men det faktum at de er på Internet i stedet for at være
på et parallelt netværk øger sandsynligheden for det.

>> Hvor meget sikkerhed er de reelt i MPLS i dag i forhold til
>> en alm. Internetforbindelse ?
>
> MPLS-VPNer er logisk adskilt fra andet trafik (og andre VPNer) med en
> label, så det rigtige svar er vel cirka "meget".

Kan jeg ikke melde min MPLS router ind i et andet MPLS net ?
Og dermed komme over på en anden virksomheds netværk ?
Det er vel afhængigt af, om der er lavet anti-spoofing regler
på centralen.

Jeg ville ikke føle mig tryg ved at have en dual-mode
(MPLS + Inet) router stående,

---

On Thu, 19 Feb 2004 23:03:14 +0000 (UTC), "Povl H. Pedersen"
<nospam@home.terminal.dk> wrote:

> Ja, men for at jeg kan nå disse her routere, så kommer jeg
> jo via andre routere der er TDCs.

At du kan nå routerne, betyder jo ikke, at du kan nå den trafik
de forwarder. Trafik, der sendes over leased lines, ATM eller
frame-relay sendes også på 'delt' udstyr.

>> MPLS-VPNer er logisk adskilt fra andet trafik (og andre VPNer)
>> med en label, så det rigtige svar er vel cirka "meget".

> Kan jeg ikke melde min MPLS router ind i et andet MPLS net ?
> Og dermed komme over på en anden virksomheds netværk ?

På din CE-router kan du sådan set gøre lige hvad du vil, uden det
ændrer noget som helst (andet end at det ikke virker mere). Så
nej, du kan ikke bare melde din CE-router ind i et andet VRF.

> Det er vel afhængigt af, om der er lavet anti-spoofing regler
> på centralen.

Det fungerer ikke med IP-baseret anti-spoofing.

> Jeg ville ikke føle mig tryg ved at have en dual-mode
> (MPLS + Inet) router stående,

Hvis du har en CE-router med to VRF'er, så gøres det ikke ved, at
den selv kører MPLS, hvis det er, hvad du mener. Din adgang er
kun til CE, ikke PE.


Sikkerheden i MPLS er Ret God(TM). Om MPLS er Sikkert Nok(TM) er
derimod en anden snak, men det samme gør sig jo gældende for alle
teknologier. (Der er organisationer, der kører crypto på alle
WAN-forbindelser, og altså inklusiv leased lines og sort fiber).

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:

> (Der er organisationer, der kører crypto på alle
> WAN-forbindelser, og altså inklusiv leased lines og sort fiber).
                                   ^^^^^^^^^^
Det findes ikke! Har jeg hørt...

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

On 20 Feb 2004 01:43:33 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>> (Der er organisationer, der kører crypto på alle
>> WAN-forbindelser, og altså inklusiv leased lines og sort fiber).

>                                    ^^^^^^^^^^
> Det findes ikke! Har jeg hørt...

Når du laver den slags markeringer, skal du nok bruge en
non-proportinal font...

Jeg er i øvrigt ikke sikker på, om dit svar (kun) var for sjov, så
for en god ordens skyld:

"Sort fiber" er en almindelig anvendt betegnelse for en punkt-til-
punkt fiberforbindelse, der er 'lige igennem', altså hvor
udbyderen ikke har udstyr, der sætter lys på -- Deraf navnet, der
på udenlandsk er 'dark fiber' -- eller sætter andre begrænsninger
på, hvad forbindelsen kan bruges til.

-A
PS: FUT

---

Asbjorn Hojmark wrote:

>>> (Der er organisationer, der kører crypto på alle
>>> WAN-forbindelser, og altså inklusiv leased lines og sort fiber).
>
>>
>> ^^^^^^^^^^
>> Det findes ikke! Har jeg hørt...
>
> Når du laver den slags markeringer, skal du nok bruge en
> non-proportinal font...

Undskyld, hva? Okay, de var skiftet 1 tegn for langt til venstre, men
bortset fra det, så ser det altså ud til at være din reader der har
ombrudt forkert. Jeg bruger Courier New til næsten alting, inklusive
news.

På den anden side, er det ene skift til venstre jeg kan konstatere lidt
bekymrende, måske XNews ikke konverterer tabs til spaces korrekt.

> Jeg er i øvrigt ikke sikker på, om dit svar (kun) var for sjov, så
> for en god ordens skyld:

Det var det. Men entymologien kendte jeg ikke, så det var nu alligevel
interessant, tak for det.


(Jeg vælger lige at ignorere din FUT, da mit indlæg vil være lige så
offtopic i netværksgruppen)

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

On 2004-02-21, Niels Callesøe <pfy@nntp.dk> wrote:
>
>>> ^^^^^^^^^^
>>
>> Når du laver den slags markeringer, skal du nok bruge en
>> non-proportinal font...
>
> Undskyld, hva? Okay, de var skiftet 1 tegn for langt til venstre, men

Nej, den var langt ude til højre her (på en 80x25 xterm)

(og jeg kan ikke finde ud af, hvor jeg skal sætte FUT, så lad være med
at svare :)

--
Andreas Plesner Jacobsen | This is a good time to punt work.

---

On 2004-02-19, Povl H. Pedersen <nospam@home.terminal.dk> wrote:

>> MPLS-VPNer er logisk adskilt fra andet trafik (og andre VPNer) med en
>> label, så det rigtige svar er vel cirka "meget".
>
> Kan jeg ikke melde min MPLS router ind i et andet MPLS net ?

Nej, labeltildelingen sker på basis af interface.

> Det er vel afhængigt af, om der er lavet anti-spoofing regler
> på centralen.

Nej, da den router du er koblet op til bestemmer, hvilke labels dine
pakker får klasket på (ikke din CPE, den på centralen) ud fra det
interface du kommer ind på, har du ikke en chance for at spoofe andre
steder end inden for dit eget VPN.

> Jeg ville ikke føle mig tryg ved at have en dual-mode
> (MPLS + Inet) router stående,

Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
været i brug i mange mange år.

--
Andreas Plesner Jacobsen | Today is National Existential Ennui Awareness Day.

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnc3bjjh.qtm.apj@slartibartfast.nerd.dk...
> On 2004-02-19, Povl H. Pedersen <nospam@home.terminal.dk> wrote:
>
> >> MPLS-VPNer er logisk adskilt fra andet trafik (og andre VPNer) med en
> >> label, så det rigtige svar er vel cirka "meget".
> >
> > Kan jeg ikke melde min MPLS router ind i et andet MPLS net ?
>
> Nej, labeltildelingen sker på basis af interface.
>
> > Det er vel afhængigt af, om der er lavet anti-spoofing regler
> > på centralen.
>
> Nej, da den router du er koblet op til bestemmer, hvilke labels dine
> pakker får klasket på (ikke din CPE, den på centralen) ud fra det
> interface du kommer ind på, har du ikke en chance for at spoofe andre
> steder end inden for dit eget VPN.
>
> > Jeg ville ikke føle mig tryg ved at have en dual-mode
> > (MPLS + Inet) router stående,
>
> Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
> været i brug i mange mange år.

Og vil du så påstå, at de teknikere der konfigurer ikke laver fejl og
"kommer til" at koble forkerte kunder på forkerte MPLS-skyer ind imellem ?

Jeg er 100% enig med Christian Lysel i, at MPLS sikkerhedsmæssigt bedst
betragtes som det var et åbent net eller noget der ligner.

Mvh
Henrik Rask Mortensen

--
Dette indlæg er et udtryk for min personlige holdning og er
ikke nødvendigvis holdningen hos det firma jeg arbejder for.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
IT-Sikkerhed er 20% teknik og 80% procedurer og planlægning.

---

On 2004-02-20, Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
>
>> Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
>> været i brug i mange mange år.
>
> Og vil du så påstå, at de teknikere der konfigurer ikke laver fejl og
> "kommer til" at koble forkerte kunder på forkerte MPLS-skyer ind imellem ?

Selvfølgelig ikke, men hvis du tager dit kig i din egen signatur kan man
jo starte der.
Derudover er det en utroligt smal angrebsvektor at beslutte sig for at
udnytte at en tekniker lige præcis skulle koble din VPN-forbindelse på
det netværk du ønsker at angribe.

> Jeg er 100% enig med Christian Lysel i, at MPLS sikkerhedsmæssigt bedst
> betragtes som det var et åbent net eller noget der ligner.

Er det ikke dyrt at trække sit helt eget fysiske net?

--
Andreas Plesner Jacobsen | "Little else matters than to write good code."
| -- Karl Lehenbauer

---

On Fri, 20 Feb 2004 18:25:24 +0100, "Henrik Rask Mortensen"
<henrikrask@mail.dk> wrote:

> Og vil du så påstå, at de teknikere der konfigurer ikke laver fejl og
> "kommer til" at koble forkerte kunder på forkerte MPLS-skyer ind imellem ?

Selvfølgelig laver teknikere fejl.

Men de samme teknikere kan også lave fejl, når de patcher en
baseband eller sort fiber-forbindelse igennem, switcher en E1 (2
Mbps) leased line igennem, sætter en ATM eller frame relay VC op
etc.

> Jeg er 100% enig med Christian Lysel i, at MPLS sikkerhedsmæssigt bedst
> betragtes som det var et åbent net eller noget der ligner.

Jeg vil sige som Andreas: "Det er fordi du ikke forstår
teknologien".

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:1mad309l31qpla4gvgo51q2gc6t7vp4qi4@news.sunsite.dk...
> On Fri, 20 Feb 2004 18:25:24 +0100, "Henrik Rask Mortensen"
> <henrikrask@mail.dk> wrote:
>
> > Og vil du så påstå, at de teknikere der konfigurer ikke laver fejl og
> > "kommer til" at koble forkerte kunder på forkerte MPLS-skyer ind imellem
?
>
> Selvfølgelig laver teknikere fejl.
>
> Men de samme teknikere kan også lave fejl, når de patcher en
> baseband eller sort fiber-forbindelse igennem, switcher en E1 (2
> Mbps) leased line igennem, sætter en ATM eller frame relay VC op
> etc.
>
> > Jeg er 100% enig med Christian Lysel i, at MPLS sikkerhedsmæssigt bedst
> > betragtes som det var et åbent net eller noget der ligner.
>
> Jeg vil sige som Andreas: "Det er fordi du ikke forstår
> teknologien".
>
Tjaeh - det er jeg ikke helt uenig i

Men jeg HAR rent faktisk været ude for et eksempel, hvor en tekniker fra en
en leverandør kontaktede en kunde og sagde at nu var
XXXX konfigureret med i deres MPLS sky. For en ordens skyld skal jeg så
nævne at XXXX ikke burde have været med i skyen !

Og hvad med Accesnettet - altså forbindelsen fra en kunde og til nærmeste
opsamlingsrouter - hvor sikker er den - kan der sniffes på
den (greybox sniffing) ? osv.

Det er da muligt, at MPLS er sikkert nok for nogen og det er helt sikkert,
at der er nogen der ikke kan bruge det, fordi det ikke er
sikkert nok til dem.

Mvh
Henrik Rask Mortensen
Dette indlæg er et udtryk for min personlige holdning og er
ikke nødvendigvis holdningen hos det firma jeg arbejder for.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
IT-Sikkerhed er 20% teknik og 80% procedurer og planlægning

---

On Sat, 21 Feb 2004 08:49:10 +0100, "Henrik Rask Mortensen"
<henrikrask@mail.dk> wrote:

> Og hvad med Accesnettet - altså forbindelsen fra en kunde og
> til nærmeste opsamlingsrouter - hvor sikker er den - kan der
> sniffes på den (greybox sniffing) ? osv.

Der er MPLS hverken mere eller mindre sikkert end en leased line,
en ATM eller en frame relay-forbindelse.

> Det er da muligt, at MPLS er sikkert nok for nogen og det er
> helt sikkert, at der er nogen der ikke kan bruge det, fordi
> det ikke er sikkert nok til dem.

Det skrev jeg også. Det er sammenligningen med et 'helt åbent
net' eller en 'Internet-forbindelse', jeg opponerer imod, for den
er helt hen i skoven.

-A
--
http://www.hojmark.org/

---

In article <1mad309l31qpla4gvgo51q2gc6t7vp4qi4@news.sunsite.dk>, Asbjorn Hojmark wrote:
>> Jeg er 100% enig med Christian Lysel i, at MPLS sikkerhedsmæssigt bedst
>> betragtes som det var et åbent net eller noget der ligner.
>
> Jeg vil sige som Andreas: "Det er fordi du ikke forstår
> teknologien".

Enig, det er også derfor jeg selv forstrækker at lave min
egen VPN infrastruktur over min ISPs MPLS. Det hjælper så
heller på sagen at jeg generelt ikke stoler på en ISPs
sikkerhed.

Endvidere lader det til min ISP også heller ikke
forstår teknologien, for deres svar på hvorfor teknologien
er sikker nok, ligner ikke Jeres svar. Deres svar
gik i retning at de skal lave fejlen dobbelt for at
den effektivt kan udnyttes.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-02-20, Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>> Jeg ville ikke føle mig tryg ved at have en dual-mode
>> (MPLS + Inet) router stående,
>
> Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
> været i brug i mange mange år.

Men hvis routeren "hackes", så har den onde jo mulighed for at tilgå
MPLS trafikken fra det offentlige Internet.

>

---

Den Sat, 21 Feb 2004 09:42:19 +0000 (UTC) skrev Povl H. Pedersen:
>On 2004-02-20, Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>>> Jeg ville ikke føle mig tryg ved at have en dual-mode
>>> (MPLS + Inet) router stående,
>>
>> Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
>> været i brug i mange mange år.
>
>Men hvis routeren "hackes", så har den onde jo mulighed for at tilgå
>MPLS trafikken fra det offentlige Internet.

Det er sandsynligvis nemmere at "hacke" telefonskabet nede på hjørnet.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2004-02-21, Povl H. Pedersen <nospam@home.terminal.dk> wrote:

>>> Jeg ville ikke føle mig tryg ved at have en dual-mode
>>> (MPLS + Inet) router stående,
>>
>> Det er fordi du ikke forstår teknologien. Logisk adskillelse af net har
>> været i brug i mange mange år.
>
> Men hvis routeren "hackes", så har den onde jo mulighed for at tilgå
> MPLS trafikken fra det offentlige Internet.

"Hvis ATM-switchen hackes"
"Hvis ADMen hackes"
"Hvis IPsec routeren hackes"
"Hvis slutbrugerens PC hackes"

--
Andreas Plesner Jacobsen | A witty saying proves nothing.
|    -- Voltaire

---

In article <slrnc3edms.qtm.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>> Men hvis routeren "hackes", så har den onde jo mulighed for at tilgå
>> MPLS trafikken fra det offentlige Internet.
>
> "Hvis ATM-switchen hackes"
> "Hvis ADMen hackes"
> "Hvis IPsec routeren hackes"
> "Hvis slutbrugerens PC hackes"

Hvordan sikre jeg mig som kunde hos en ISP at
"Hvis routeren hackes" ikke sker?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-02-21, Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
>>
>> "Hvis ATM-switchen hackes"
>> "Hvis ADMen hackes"
>> "Hvis IPsec routeren hackes"
>> "Hvis slutbrugerens PC hackes"
>
> Hvordan sikre jeg mig som kunde hos en ISP at
> "Hvis routeren hackes" ikke sker?

Her adskiller en ISP sig ikke fra dine andre leverandører. Hvordan
sikrer jeg mig som kunde at min konsulent har sat min IPsec-router
ordentligt op?

--
Andreas Plesner Jacobsen | I saw what you did and I know who you are.

---

In article <slrnc3ejcb.qtm.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
> Her adskiller en ISP sig ikke fra dine andre leverandører. Hvordan
> sikrer jeg mig som kunde at min konsulent har sat min IPsec-router
> ordentligt op?

Jo, jeg kan kikke på IPsec-routeren, men jeg
kan ikke kikke på min ISPs udstyr.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <slrnc3a5qa.am9.nospam@via-epia.home.terminal.dk>, Povl H. Pedersen wrote:
> Lavede i dag en traceroute over en MPLS til en anden
> destination, og så undervejs 4 offentlige TDC routere, som kan
> pinges og alt muligt andet udefra.

Velkommen i klubben.

Prøv evt. at læse denne tråd,
http://groups.google.dk/groups?selm=slrnbguh3g.8u5.chel%40weebo.dmz.spindelnet.dk

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Thu, 19 Feb 2004 20:05:01 +0000 (UTC), "Povl H. Pedersen"
<nospam@home.terminal.dk> wrote:

> Lavede i dag en traceroute over en MPLS til en anden
> destination, og så undervejs 4 offentlige TDC routere, som kan
> pinges og alt muligt andet udefra.
>
> Jeg formoder at dette betyder, at MPLS i dag blandes med almindeligt
> Internet trafik.

Nej, man kan egentlig ikke sige, at det "blandes". Det er
rigtigt, at det er det samme udstyr, der flytte de forskellige
'typer' pakker, men de holdes adskilt med labels.

> Hvor meget sikkerhed er de reelt i MPLS i dag i forhold til
> en alm. Internetforbindelse ?

Meget mere end en Internet-forbindelse, men mindre end nogle
andre typer af forbindelser.

Sikkerhedsniveauet er sammenligneligt med det man fx får med en
ATM (eller frame relay) VC, hvor ens 'private' celler (pakker)
også transporteres over en delt infrastruktur.

-A
PS: Netværksteknik kan vi diskutere i dk.edb.netvaerk.stort. Så
FUT selv i givet fald.
--
http://www.hojmark.org/