メインコンテンツまでスキップ

13. Security Considerations (セキュリティに関する考慮事項)

13. Security Considerations (セキュリティに関する考慮事項)

13.1. Data Plane (データプレーン)

「データプレーン」でのセキュリティとは、次の可能性に対する保護を意味します:

  • VPN 内からのパケットが VPN 外のサイトに転送されるが、VPN のポリシーと一致しない方法で転送される。

  • VPN 外からのパケットが VPN 内のサイトに入るが、VPN のポリシーと一致しない方法で入る。

次の条件が満たされている場合:

  1. バックボーンルータは、信頼できるシステムにのみ接続されていることがわかっている場合、または、IP ヘッダまたはスタックの下位のラベルが検査される前にそのようなパケットがバックボーンを離れることがわかっている場合を除き、特定のデータリンクを介してラベル付きパケットを受け入れない、および

  2. ラベル付き VPN-IPv4 ルートは、信頼できない、または信頼性の低いルーティングピアからは受け入れられない、

  3. コントロールプレーンに対する攻撃が成功していない、

このアーキテクチャは、フレームリレーまたは ATM バックボーンが VPN に対して提供するのとほぼ同じデータプレーンセキュリティを提供します。SP の制御下にある機器が正しく構成されていれば、許可されていない限り、データが VPN に出入りすることはありません。

上記の条件 1 は、より正確に述べることができます。特定のネイバーから受信したラベル付きパケットは、次の 2 つの条件のいずれかが満たされない限り、破棄する必要があります:

  • パケットのトップラベルに、受信システムがそのネイバーに配布したラベル値がある、または

  • パケットのトップラベルに、受信システムがそのネイバー以外のシステムに配布したラベル値がある (つまり、ラベルが配布されたシステムから受信システムへのパスがそのネイバー経由である可能性があることがわかっている場合)。

上記の条件 2 は、プロバイダ間 VPN の場合 (セクション 10 を参照) に最も重要です。セクション 10 のスキーム (b) に従って構築されたプロバイダ間 VPN の場合、条件 2 をチェックするのは簡単です (セクション 10 のスキーム (c) を使用する場合のセキュリティの問題は、さらなる研究が必要です)。

MPLS を使用すると、MPLS 外部ラベルの代わりに何らかの形式の IP トンネリングを使用しようとするよりも、データプレーンのセキュリティを提供することがはるかに簡単になることは注目に値します。境界ルータに、上記の最初の条件が適用されない限り、ラベル付きパケットの受け入れを拒否させるのは非常に簡単です。パケットが PE ルータを宛先とする IP トンネルパケットである場合に、ルータに IP パケットの受け入れを拒否させるように構成するのははるかに困難です。もちろん、不可能ではありませんが、管理上およびパフォーマンス上の影響があります。

MPLS-in-IP および MPLS-in-GRE トンネルは [MPLS-in-IP-GRE] で指定されています。このようなトンネルを使用して VPN パケットを伝送する場合、そのドキュメントのセクション 8 で説明されているセキュリティに関する考慮事項を完全に理解する必要があります。そのドキュメントで説明されているように VPN パケットのトンネリングを許可する BGP/MPLS IP VPN 実装は、そこで説明されている方法で使用するために、IPsec の実装を含まなければなりません (MUST)。トンネルが IPsec で保護されていない場合、そのドキュメントのセクション 8.2 で説明されている境界ルータでの IP アドレスフィルタリング手法が、特定の出口 PE でトンネルから出るパケットが実際に正しいトンネルヘッドノードによってトンネルに入れられた (つまり、パケットにスプーフィングされた送信元アドレスがない) ことを保証する唯一の手段です。境界ルータは通常、送信元アドレスのみをフィルタリングするため、出口 PE が受信したトンネルパケットの IP 送信元アドレスを検査し、有効なトンネルヘッドアドレスである IP アドレスのリストと比較できる場合を除き、パケットフィルタリングは効果がない可能性があります。IPsec なしで MPLS-in-IP および/または MPLS-in-GRE トンネルの使用を許可する実装は、出口 PE がこのようにして受信したトンネルパケットの IP 送信元アドレスを検証できるようにしなければなりません (MUST)

複数の CE ルータが LAN インターフェースを介して PE ルータに接続している場合、適切なセキュリティを確保するために、次の条件のいずれかを満たす必要があります:

  1. LAN 上のすべての CE ルータが同じ VPN に属している、または

  2. 信頼できる安全な LAN スイッチが LAN を複数の VLAN に分割し、各 VLAN に単一の VPN のシステムのみが含まれるようにする。この場合、スイッチはパケットを PE ルータに転送する前に、適切な VLAN タグをパケットに添付します。

このアーキテクチャは暗号化プライバシーを提供しません。フレームリレーや ATM VPN も同様です。これらすべてのアーキテクチャは、必要に応じて CE-CE ベースの暗号化の使用と互換性があります。

PE-PE ベースの暗号化の使用については、さらなる研究が必要です。

13.2. Control Plane (コントロールプレーン)

前のセクションのデータプレーンセキュリティは、コントロールプレーンのセキュリティに依存します。セキュリティを確保するために、信頼できないピアと BGP または LDP 接続を確立しないでください。これらのプロトコルは両方とも、TCP/IP MD5 認証オプション [TCP-MD5] を使用する必要があります。SP ネットワーク内のルーティングプロトコルも、同様の方法で保護する必要があります。

13.3. Security of P and PE Devices (P および PE デバイスのセキュリティ)

これらのデバイスの物理的セキュリティが侵害された場合、データプレーンのセキュリティも侵害される可能性があります。

パブリックインターネットからの IP トラフィックを使用して、これらのデバイスの構成を変更したり、サービス拒否 (Denial of Service) 攻撃を仕掛けたりできないようにするために、通常の手順を実行する必要があります。

最終更新