다니엘과 요한은 당신의 질문에 대해 아주 좋은 대답을했습니다. 질문을 읽을 때 떠오르는 실용적인 것들을 추가하겠습니다.
MPLS VPN 의 보안에 대한 많은 논의는 일반적으로 프레임 릴레이 및 ATM VPN에 제공되는 신뢰를 통해 이루어집니다 .
MPLS는 안전합니까?
궁극적으로 보안 문제는 하나의 의심되지 않은 질문으로 이어집니다. "비즈니스 핵심 데이터를 누구를 신뢰합니까?"
- 대답이 "아무도"인 경우 암호화 된 VPN을 통해 데이터를 오버레이해야합니다.
- MPLS VPN 제공자 를 신뢰하는 경우 데이터를 암호화 할 필요가 없습니다.
MPLS를 통한 VPN도 실행하지 않겠습니까?
가장 일반적인 용도로 MPLS 는 VPN이지만 암호화되지 않은 VPN입니다. "VPN"을 언급 할 때 PPTP , IPSec 또는 SSL VPN 과 같은 암호화 된 VPN을 의미한다고 가정합니다 . 그러나 VPN 내부의 강력한 암호화 , 데이터 무결성 또는 인증 이 필요한 경우 rfc4381 MPLS VPN 보안, 5.2 절 에서는 MPLS VPN 내부의 암호화를 권장 합니다 .
그러나 암호화 된 VPN 자체에는 문제가 없습니다. 그들은 일반적으로 :
- 인프라에 대한 추가 비용
- 처리량 / 확장 성 제한 (HW 암호화의 복잡성으로 인해)
- 인원 / 훈련에 대한 추가 비용
- 암호화 된 VPN을 통해 문제를 디버깅 할 때 평균 복구 시간 증가
- 관리 오버 헤드 증가 (예 : PKI 유지 )
- 낮은 TCP MSS 와 같은 기술적 인 어려움 및 종종 PMTUD의 문제
- 덜 효율적인 링크, 당신은 (로부터 오버 헤드 내부에 이미 암호화 된 VPN의 캡슐화 오버 헤드가 있기 때문에 MPLS VPN을 )
아무도 교통 체증을 막을 수 없습니까?
그렇습니다. 제공자를 신뢰할 수 있다고 생각하는지 여부에 관계없이 evesdropping은 가능합니다. rfc4381 MPLS VPN 보안, 섹션 7 에서 인용 하겠습니다 .
MPLS 코어 내에서의 공격과 관련하여 모든 [암호화되지 않은] VPN 클래스 (BGP / MPLS, FR, ATM)에는 동일한 문제가 있습니다. 공격자가 스니퍼를 설치할 수 있으면 모든 VPN에서 정보를 읽을 수 있습니다. 공격자는 핵심 장치에 액세스 할 수 있으며 패킷 스푸핑에서 새로운 피어 라우터 도입에 이르기까지 수많은 공격을 실행할 수 있습니다. 서비스 제공자가 코어의 보안을 강화하기 위해 사용할 수있는 여러 가지 예방 조치가 있지만 BGP / MPLS IP VPN 아키텍처의 보안은 서비스 제공자의 보안에 따라 다릅니다. 서비스 제공 업체를 신뢰할 수없는 경우 VPN 서비스의 "내부"공격으로부터 VPN을 완전히 보호하는 유일한 방법은 IPsec을 CE 장치 이상에서 실행하는 것입니다.
나는 실제적인 질문 인 마지막 요점을 언급 할 것이다. 기본 인터넷 서비스를 통해 암호화 된 VPN을 사용하려는 경우 MPLS VPN 을 사용할 필요가 없다고 주장 할 수 있습니다 . 나는 그 개념에 동의하지 않습니다. MPLS VPN을 통한 암호화 된 VPN의 장점은 한 공급자와 협력하고 있습니다.
- 문제를 해결하는 동안 (끝까지)
- 서비스 품질 보장
- 서비스를 제공하려면