ダニエルとジョンはあなたの質問にとても良い答えをしました。質問を読んだときに頭に浮かぶ実用的なものをいくつか追加します。
MPLS VPNのセキュリティに関する多くの議論は、通常フレームリレーおよびATM VPNに与えられる信頼によって行われることに留意してください。
MPLSは安全ですか?
最終的に、セキュリティの問題は、「ビジネスに不可欠なデータを信頼するのは誰ですか」という疑問のない質問になります。
- 答えが「nobody」の場合、暗号化されたVPNを介してデータをオーバーレイする必要があります
- MPLS VPNプロバイダーを信頼する場合、データを暗号化する必要はありません
VPN over MPLSも実行しないのはなぜですか?
最も一般的な使用法では、MPLS は VPNですが、暗号化されていないVPNです。「VPN」という場合、PPTP、IPSec、SSL VPNなどの暗号化されたVPNを意味すると思います。ただし、VPN、rfc4381 MPLS VPNセキュリティ内で強力な暗号化、データ整合性、または認証が必要な場合は、セクション5.2でMPLS VPN内の暗号化をお勧めします。
ただし、暗号化されたVPN自体に問題がないわけではありません。彼らは一般的に苦しんでいます:
- インフラストラクチャの追加費用
- スループット/スケーラビリティの制限(HW暗号化の複雑さによる)
- 人員/トレーニングの追加費用
- 暗号化されたVPNを使用して問題をデバッグする際の平均修復時間の増加
- 管理オーバーヘッドの増加(PKIの維持)
- 低いTCP MSSなどの技術的な問題、および多くの場合PMTUDの問題
- 効率の低いリンク、あなたは(からのオーバーヘッドの内側にすでにある暗号化されたVPNのカプセル化のオーバーヘッドがあるのでMPLS VPNを)
誰もトラフィックを傍受できませんか?
はい、プロバイダーを信頼できるかどうかにかかわらず、盗聴は可能です。rfc4381 MPLS VPNセキュリティ、セクション7から引用します。
MPLSコア内からの攻撃に関する限り、すべての[暗号化されていない] VPNクラス(BGP / MPLS、FR、ATM)には同じ問題があります。攻撃者がスニファをインストールできる場合、すべてのVPN攻撃者はコアデバイスにアクセスできるため、パケットスプーフィングから新しいピアルーターの導入まで、多数の攻撃を実行できます。サービスプロバイダーがコアのセキュリティを強化するために使用できる上記の予防措置がいくつかありますが、BGP / MPLS IP VPNアーキテクチャのセキュリティはサービスプロバイダーのセキュリティに依存します。サービスプロバイダーが信頼されていない場合、VPNサービスの「内部」からの攻撃に対してVPNを完全に保護する唯一の方法は、IPsecをCEデバイスまたはその先で実行することです。
最後のポイントに言及しますが、これは実際的な質問です。基本的なインターネットサービスで暗号化されたVPNを使用する場合、MPLS VPNを使用しても意味がないと言う人もいるかもしれません。私はその概念に同意しません。MPLS VPNによる暗号化されたVPNの利点は、1つのプロバイダーで機能しています。
- 問題のトラブルシューティング中(エンドツーエンド)
- サービスの品質を保証するため
- サービスをプロビジョニングするには