---

Hejsa

På mit arbejde har vi købt en MPLS forbindelse mellem et hosting skab og et
af vores egne lokalisationer. Ud over dette har vi også købt en Internet
forbindelse til hosting skabet. Begge forbindelser i skabet termineres i
hver sin ethernet port, hvor den private meget pædagorisk er markeret rødt og
internetforbindelsen grøn.

Da jeg er ude for at teste connectivity'en og båndbredden, går det op
for mig at MPLS routere og Internet routeren har samme MAC adresse, og
jeg i virkeligheden blot er patchet op i den samme switch's routningsmodul,
med portene adskildt af et VLAN.

Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?



Af marketingsmatrialet kan jeg læse påstande som, "trafikken passere
aldrig public internet", "vi har tænkt sikkerhed fra starten", "da <ISPen>
benytter MPLS, vil trafikken aldrig blivet blandet med andres data".

Jeg er kun glad for vi i vores design har betragtet MPLS linien som en
usikker linie, og derfor ikke har noget problem i ovenstående.

Mvh.
Christian E. Lysel

---

In article <slrnbguh3g.8u5.chel@weebo.dmz.spindelnet.dk>, Christian E. Lysel wrote:
>
> Da jeg er ude for at teste connectivity'en og båndbredden, går det op
> for mig at MPLS routere og Internet routeren har samme MAC adresse, og
> jeg i virkeligheden blot er patchet op i den samme switch's routningsmodul,
> med portene adskildt af et VLAN.
>
> Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?

Tilsyneladende. Men hvad er problemet? De forskellige routing-tabeller
ligger i forskellige VRFer i routeren.

> Af marketingsmatrialet kan jeg læse påstande som, "trafikken passere
> aldrig public internet", "vi har tænkt sikkerhed fra starten", "da <ISPen>
> benytter MPLS, vil trafikken aldrig blivet blandet med andres data".

Det stemmer også.

--
Andreas Plesner Jacobsen | What's all this brouhaha?

---

> >
> > Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?

MPLS er kun sikker, hvis du samtidigt kører med VPN

---

In article <3f0fb871$0$5164$edfadb0f@dread11.news.tele.dk>, bf wrote:
>> >
>> > Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?
>
> MPLS er kun sikker, hvis du samtidigt kører med VPN

Og den sætning giver ikke mening. MPLS kan bruges til at levere VPN.

--
Andreas Plesner Jacobsen | I am the wandering glitch -- catch me if you can.

---

> > MPLS er kun sikker, hvis du samtidigt kører med VPN
>
> Og den sætning giver ikke mening. MPLS kan bruges til at levere VPN.

ja - du har ret, - " KAN" men meget få bruger VPN muligheden

---

On Sat, 12 Jul 2003 09:54:40 +0200, bf wrote:

> ja - du har ret, - " KAN" men meget få bruger VPN muligheden

Andreas pointe er formodentligt, at VPN ikke behøver betyde IPSec.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

In article <slrnbgvcni.49a.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
> In article <slrnbguh3g.8u5.chel@weebo.dmz.spindelnet.dk>, Christian E. Lysel wrote:
>> Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?
>
> Tilsyneladende. Men hvad er problemet? De forskellige routing-tabeller
> ligger i forskellige VRFer i routeren.

Mit problem ligger at Internettet er forbundet til den samme switch
som mit private netværk er forbundet til, men jeg forventer at de to
segmenter er fysisk adskilt.

Det er meget fint at routningstabellerne ligger i forskellige VRF'er, det
ændre ikke ved at det er den samme switch og segmenterne er logisk adskilt.





Jeg observere en del mærkelig ting, bla. blev min broadcast ping,
svaret med 2 echo reply fra den samme adresse, men med forskellige sekvensnumre.
Det virkede som jeg fik svar på min icmp request og en anden icmp request der ikke
var sendt af min host.

På arp laget svare routningsmodulet på adresser der ikke er en del af denne løsning.

STP (eller noget der ligner) og CDP trafik bliver sendt ud på begge mine segmenter
af switchen og dennes routningsmodul.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>Det er meget fint at routningstabellerne ligger i forskellige VRF'er, det
>ændre ikke ved at det er den samme switch og segmenterne er logisk adskilt.

Det samme gør sig gældende i alle routerne, der håndterer dine
VRFer undervejs. De er endda under fremmede ISPers kontrol i
større MPLS-netværk. Burde det ikke bekymre dig en del mere end
en lokal enhed, du selv har mulighed for at styre?

Mvh.
   Klaus.

---

In article <beovgo$cqp$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Det samme gør sig gældende i alle routerne, der håndterer dine
> VRFer undervejs. De er endda under fremmede ISPers kontrol i
> større MPLS-netværk. Burde det ikke bekymre dig en del mere end

Jo, derfor havde vi på forhånd også betragtet segmentet som et
usikkert segment, og taget vores forbehold.

> en lokal enhed, du selv har mulighed for at styre?

Det er ikke en lokal enhed jeg selv styre.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>> Det samme gør sig gældende i alle routerne, der håndterer dine
>> VRFer undervejs. De er endda under fremmede ISPers kontrol i
>> større MPLS-netværk. Burde det ikke bekymre dig en del mere end

>Jo, derfor havde vi på forhånd også betragtet segmentet som et
>usikkert segment, og taget vores forbehold.

Du betragter det VRF, du bruger til private data, som usikkert?
*Boggle*

Mvh.
   Klaus.

---

In article <ber86t$1ot$2@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Du betragter det VRF, du bruger til private data, som usikkert?
> *Boggle*

Hvem siger vi bruger det til private data?

---

In article <slrnbh0259.9as.chel@weebo.dmz.spindelnet.dk>, Christian E. Lysel wrote:
>>> Er dette virkelig den sikkerhed en ISP tilbyder sine MPLS kunder idag?
>>
>> Tilsyneladende. Men hvad er problemet? De forskellige routing-tabeller
>> ligger i forskellige VRFer i routeren.
>
> Mit problem ligger at Internettet er forbundet til den samme switch
> som mit private netværk er forbundet til, men jeg forventer at de to
> segmenter er fysisk adskilt.

Så dit problem er at du har købt et produkt (et MPLS VPN) du ikke har
forstået?
Internettet er blot "et VPN" lige som alle de andre kunders VPNer er
til stede i de routere du passerer undervejs.
Bekymrer det dig ikke at de andre VPNer deler samme fysiske
infrastruktur som dig når det nu bekymrer dig at Internet gør?

> Det er meget fint at routningstabellerne ligger i forskellige VRF'er, det
> ændre ikke ved at det er den samme switch og segmenterne er logisk adskilt.

Nej, det er hele pointen med et MPLS VPN, hvis du vil have fysisk
adskilte net må du selv i gang med at grave.

> På arp laget svare routningsmodulet på adresser der ikke er en del af
> denne løsning.

Det lyder til gengæld mystisk - kan du uddybe?

> STP (eller noget der ligner) og CDP trafik bliver sendt ud på begge
> mine segmenter af switchen og dennes routningsmodul.

CDP ville jeg nok ikke sende ud, hvis det var mig, men jeg kan ikke se
det store problem i at gøre det.

--
Andreas Plesner Jacobsen | "Cogito ergo I'm right and you're wrong."
| -- Blair Houghton

---

In article <slrnbh02kp.49a.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>> Mit problem ligger at Internettet er forbundet til den samme switch
>> som mit private netværk er forbundet til, men jeg forventer at de to
>> segmenter er fysisk adskilt.
>
> Så dit problem er at du har købt et produkt (et MPLS VPN) du ikke har
> forstået?

Nej, jeg regnede med nedestående, og fik det reelt bekræftet da løsningen
blev leveret.

Dog havde jeg ikke regnet med at adskildelsen også blev implementeret
vha. VLAN.

Nu ville jeg blot hører om det er normalt at adskille segmenterne
i VLAN's, hvilket åbenbart er tilfældet.

> Internettet er blot "et VPN" lige som alle de andre kunders VPNer er
> til stede i de routere du passerer undervejs.
> Bekymrer det dig ikke at de andre VPNer deler samme fysiske
> infrastruktur som dig når det nu bekymrer dig at Internet gør?

Jo, specielt efter alle de fejl, jeg har set ISP'er lave i de sidste 7-8 år

>> På arp laget svare routningsmodulet på adresser der ikke er en del af
>> denne løsning.
>
> Det lyder til gengæld mystisk - kan du uddybe?

Hvis jeg laver en arp who-has på en tilfældig IP adresse, svarer
routningsmodulet i switchen at den har IP adressen.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>Dog havde jeg ikke regnet med at adskildelsen også blev implementeret
>vha. VLAN.

>Nu ville jeg blot hører om det er normalt at adskille segmenterne
>i VLAN's, hvilket åbenbart er tilfældet.

Jeg kan ikke se problemet. VLANs er logisk adskilt fra hinanden
ligesom VRFs er det. Hvis du er bekymret for, om de enkelte VLANs
er adskilt, bør du være rædselsslagen for, om VRFerne er det. Det
vil gøre MPLS rimeligt ubrugeligt for dig.

>> Bekymrer det dig ikke at de andre VPNer deler samme fysiske
>> infrastruktur som dig når det nu bekymrer dig at Internet gør?

>Jo, specielt efter alle de fejl, jeg har set ISP'er lave i de sidste 7-8 år

MPLS forudsætter, at man stoler 880% på sin(e) leverandør(er) af
netværket. Hvis man har den mindste tvivl, må man definere, at
hele netværket er usikkert.

>> Det lyder til gengæld mystisk - kan du uddybe?

>Hvis jeg laver en arp who-has på en tilfældig IP adresse, svarer
>routningsmodulet i switchen at den har IP adressen.

Switchen kører vel med proxy ARP?

Mvh.
   Klaus.

---

In article <berau3$2g4$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Jeg kan ikke se problemet. VLANs er logisk adskilt fra hinanden
> ligesom VRFs er det. Hvis du er bekymret for, om de enkelte VLANs
> er adskilt, bør du være rædselsslagen for, om VRFerne er det. Det
> vil gøre MPLS rimeligt ubrugeligt for dig.

Nej, vi betragter det blot som en Internet forbindelse, dvs. netværket
er usikkert.

>>Jo, specielt efter alle de fejl, jeg har set ISP'er lave i de sidste 7-8 år
> MPLS forudsætter, at man stoler 880% på sin(e) leverandør(er) af

Hvilket ikke er tilfældet med mine ISP erfaringer:

o oplysning af password til routere, via telefon uden nogen
form for validering af hvem jeg er.

o ændring af routnings/firewall-regler i routere, via telefon
uden nogen form for validering af hvem jeg er.

o router med producent default passwords.

o kunde routere med ISP'ens default password, der kan genbruges
hos andre kunder.

o router uden passwords.

o ændring af DNS oplysninger, via telefon uden nogen
form for validering af hvem jeg er.

> netværket. Hvis man har den mindste tvivl, må man definere, at
> hele netværket er usikkert.

Hvilket også er tilfældet.

>>Hvis jeg laver en arp who-has på en tilfældig IP adresse, svarer
>>routningsmodulet i switchen at den har IP adressen.
> Switchen kører vel med proxy ARP?

For hele Internet?


Wow.. en ISP der på ethernet laget kan tilbyde Internet som én node,
hvad skal man også med routning :)

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>Hvilket ikke er tilfældet med mine ISP erfaringer:

> o oplysning af password til routere, via telefon uden nogen
> form for validering af hvem jeg er.

(og andre skræmmende sager)

Måske man skulle skifte leverandør?

>> Switchen kører vel med proxy ARP?

>For hele Internet?

Nej, ARP har intet at gøre på Internettet. Prøv lige at læse om
proxy-arp og hvad den egentlig hjælper dig med.

Mvh.
   Klaus.

---

In article <berc8v$2ut$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> (og andre skræmmende sager)
>
> Måske man skulle skifte leverandør?

Vi snakker ikke om én leverandør, men top 5 i danmark.
I nogle af de værste sager er der blevet byttet rundt på
kunders udstyr, eller udstyr der er knyttet en MPLS som
kunden aldrig har bedt om.

>>> Switchen kører vel med proxy ARP?
>>For hele Internet?
> Nej, ARP har intet at gøre på Internettet. Prøv lige at læse om
> proxy-arp og hvad den egentlig hjælper dig med.

Du læser ikke hvad jeg skriver og taler ned til mig.

Routningsmodulet, svarer på alle "arp who-has" spørgsmål på ethernet-
segmentet. Også selvom der bliver spurgt på en IP adresse der ikke er
knyttet os eller ISP'en, dvs. en hvilken som helst tilfældig IP adresse,
dvs. hele Internet.

Hvilket svarer til at de proxy-arp'er for hele Internet.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>Routningsmodulet, svarer på alle "arp who-has" spørgsmål på ethernet-
>segmentet. Også selvom der bliver spurgt på en IP adresse der ikke er
>knyttet os eller ISP'en, dvs. en hvilken som helst tilfældig IP adresse,
>dvs. hele Internet.

Hvad er problemet i det? ARP er et værktøj til broadcast-baserede
netværk. Det er Internettet ikke, men hvis switchen kan hjælpe
med routing ved hjælp af proxy-arp, så er det da helt fjong. Det
virker dog som udgangspunkt kun den ene vej.

En anden fordel er i øvrigt, at fejlkonfigurerede maskiner (det
er under normale omstændigheder den eneste mulige årsag til ARP
requests til adresser udenom det lokale subnet) besvares. Det
giver færre broadcasts på hele lokalnettet, hvilket er en genial
feature i sig selv.

Mvh.
   Klaus.

---

In article <bere3i$3bv$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>
>>Routningsmodulet, svarer på alle "arp who-has" spørgsmål på ethernet-
>>segmentet. Også selvom der bliver spurgt på en IP adresse der ikke er
>>knyttet os eller ISP'en, dvs. en hvilken som helst tilfældig IP adresse,
>>dvs. hele Internet.
>
> Hvad er problemet i det? ARP er et værktøj til broadcast-baserede

Jeg får et svar af routningsmodulet som ikke passer, routeren har ikke
denne IP-adresse.

At sætte proxy-arp op i en router til ovenstående, man jeg kun tolke som
en fejlopsætning.

> netværk. Det er Internettet ikke, men hvis switchen kan hjælpe
> med routing ved hjælp af proxy-arp, så er det da helt fjong. Det
> virker dog som udgangspunkt kun den ene vej.

> En anden fordel er i øvrigt, at fejlkonfigurerede maskiner (det
> er under normale omstændigheder den eneste mulige årsag til ARP
> requests til adresser udenom det lokale subnet) besvares. Det

Jeg kan ikke se fordelen i at tillade fejlopsætning af netværksudstyr.

> giver færre broadcasts på hele lokalnettet, hvilket er en genial
> feature i sig selv.

Vi snakker om en fejl situation, jeg kan ikke se det geniale i at
håndtere dette.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>> Hvad er problemet i det? ARP er et værktøj til broadcast-baserede

>Jeg får et svar af routningsmodulet som ikke passer, routeren har ikke
>denne IP-adresse.

Well, switchen svarer, fordi den specifikt er blevet bedt om det
("no ip proxy-arp" skal man smide ind i den, så vidt jeg husker,
hvis den ikke skal gøre ovenstående). Så i forhold til opsætningen
opfører switchen sig altså korrekt.

>At sætte proxy-arp op i en router til ovenstående, man jeg kun tolke som
>en fejlopsætning.

Det er vel bare at snakke med leverandøren og få det ændret?

>> En anden fordel er i øvrigt, at fejlkonfigurerede maskiner (det
>> er under normale omstændigheder den eneste mulige årsag til ARP
>> requests til adresser udenom det lokale subnet) besvares. Det

>Jeg kan ikke se fordelen i at tillade fejlopsætning af netværksudstyr.

Fordelen på travle netværk er, at netværkets performance bliver
bedre. Det er så i øvrigt ikke netværksudstyr men klienter, der
typisk er problemet i denne sammenhæng.

Mvh.
   Klaus.

---

In newsgroup dk.edb.sikkerhed wrote, Christian E. Lysel, this, the 11
Jul 2003 22:24:21 GMT:

Hello Christian E. Lysel,

>Jeg er kun glad for vi i vores design har betragtet MPLS linien som en
>usikker linie, og derfor ikke har noget problem i ovenstående.

Dette er en klassisk problematik, og på mange måder meget at gøre med
*følelsen i maven*.

Tør jeg eller min virksomhed sende mit data i 'klar tekst' over en
dataforbindelse, som med det rigtige udstyr kan sniffes?

Nogle siger ja og andre nej. Men tænk over hvad F/R blev brugt til før i
tiden? Store virksomheder har i mange år sendt deres fortrolige data
over F/R og vist jeg ved [TM], er der ikke sket noget ved det.

Jeg er ikke tilhænger at sende fortroligt data i *klar tekst*, men det
har måske ikke den store betydning for andre virksomheder, som fint kan
leve med det.

--
Med venlig hilsen
Kristian Krautwald