Daniel et John ont tous deux donné de très bonnes réponses à votre question; Je vais simplement ajouter quelques éléments pratiques qui me viennent à l'esprit lorsque je lis la question.
Gardez à l'esprit que beaucoup de discussions sur la sécurité des VPN MPLS proviennent de la confiance normalement accordée aux VPN Frame Relay et ATM .
Le MPLS est-il sécurisé?
En fin de compte, la question de la sécurité se résume à une question non posée, à savoir: «À qui faites-vous confiance avec vos données stratégiques?»
- Si la réponse est "personne", vous devez superposer vos données via un VPN crypté
- Si vous faites confiance à votre fournisseur VPN MPLS , il n'est pas nécessaire de crypter vos données
Pourquoi ne pas exécuter un VPN sur MPLS aussi?
Dans la plupart des cas, MPLS est un VPN, mais c'est un VPN non chiffré. Je suppose que vous voulez dire un VPN crypté, tel que PPTP , IPSec ou VPN SSL lorsque vous mentionnez "VPN". Cependant, si vous avez besoin d'un chiffrement fort , de l'intégrité des données ou d'une authentification à l'intérieur du VPN, rfc4381 MPLS VPN Security, la section 5.2 recommande de chiffrer à l'intérieur du VPN MPLS .
Cependant, les VPN chiffrés ne sont pas sans problèmes eux-mêmes; ils souffrent généralement de:
- Dépenses supplémentaires pour l'infrastructure
- Limites de débit / évolutivité (en raison de la complexité du chiffrement matériel)
- Dépenses supplémentaires pour le personnel / la formation
- Augmentation du temps moyen de réparation lors du débogage de problèmes via le VPN chiffré
- Augmentation des frais généraux de gestion (c'est-à-dire maintien de l'ICP )
- Difficultés techniques, telles que TCP MSS inférieur , et souvent des problèmes avec PMTUD
- Liens moins efficaces, car vous avez la surcharge d'encapsulation du VPN crypté (qui est déjà à l'intérieur de la surcharge du VPN MPLS )
Personne ne peut-il laisser tomber le trafic?
Oui, l'ecoute électronique est tout à fait possible, que vous pensiez pouvoir faire confiance à votre fournisseur. Je citerai de rfc4381 MPLS VPN Security, Section 7 :
En ce qui concerne les attaques à l'intérieur du cœur MPLS, toutes les classes VPN [non chiffrées] (BGP / MPLS, FR, ATM) ont le même problème: si un attaquant peut installer un renifleur, il peut lire les informations dans tous les VPN, et si l'attaquant a accès aux principaux appareils, il peut exécuter un grand nombre d'attaques, de l'usurpation de paquets à l'introduction de nouveaux routeurs homologues. Il existe un certain nombre de mesures de précaution décrites ci-dessus qu'un fournisseur de services peut utiliser pour renforcer la sécurité du cœur, mais la sécurité de l'architecture VPN IP BGP / MPLS dépend de la sécurité du fournisseur de services. Si le fournisseur de services n'est pas digne de confiance, le seul moyen de sécuriser complètement un VPN contre les attaques de "l'intérieur" du service VPN est d'exécuter IPsec sur le dessus, à partir des appareils CE ou au-delà.
Je mentionnerai un dernier point, qui n'est qu'une question pratique. On pourrait dire qu'il est inutile d'utiliser un VPN MPLS , si vous allez utiliser un VPN crypté sur un service Internet de base; Je ne serais pas d'accord avec cette notion. Les avantages d'un VPN chiffré via MPLS VPN fonctionnent avec un seul fournisseur:
- Pendant que vous résolvez des problèmes (de bout en bout)
- Pour garantir la qualité de service
- Pour fournir des services