Unternehmen die ihre Standorte mit MPLS Strecken untereinander verbinden haben oft ein falsches Bild von der Sicherheit dieser Verbindungen. Das Marketing und der Vertrieb der Telcos bezeichnen MPLS Verbindungen als VPN und genau hier liegt der Fehler in Sachen Sicherheit.
Multi Protocol Label Switching (MPLS) ist nichts anderes als eine Durchleitung von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern. Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, wie es sonst bei einer Internet-Verbindung notwendig ist, sind MPLS Verbindungen theoretisch hochwertiger. Der andere Grund, warum Unternehmen diese Verbindungen nutzen, ist der Managed Service durch den Anbieter. So wird das eigene IT Team entlastet und es gibt keinen Wartungsaufwand bei den Systemen, denn das übernimmt der Betreiber. Es gibt also gute Gründe, die für eine MPLS Verbindung sprechen.
Technisch gesehen, ist eine MPLS Verbindungen das Durchleiten von Daten über den Backbone und somit über die Core-Systeme des Anbieters. Die Endpunkte sind Übergaberouter die durch den Anbieter bereitgestellt werden. Die Technik ist ausgereift, schon lange etabliert und funktioniert wie gewünscht. Der Kunde bekommt ein virtuelles privates Netz (VPN) mit seinen IP Adressbereichen. Jedoch beruht die Sicherheit dieser Verbindungen auf dem Argument der Anbieter, dass kein andere Zugriff auf ihre Backbone- und Core-Systeme hat. Dass das so sein sollte dürfte als selbstverständlich gelten. Trotzdem gibt es ein Problem, welches häufig nicht bedacht wird. Diese Verbindung ist zwar ein VPN aber ohne Verschlüsselung! Die Daten werden unverschlüsselt übertragen, was sich bei internationalen Verbindungen über die Netze entsprechender Kooperationspartner sich als sicherheitstechnisch kritisch erweisen kann. Dies gilt es in jedem Fall bei Einsatz von MPLS Verbindungen zu beachten.
In diesem Artikel geht es nicht darum irgendeinem der Anbieter etwas zu unterstellen oder gar zu behaupten, dass sie die Verbindungen und somit die Daten ihrer Kunden missbrauchen. Es geht aber darum, dass VPN nicht gleich dem VPN ist, was gemeinhin als privates verschlüsseltes Netzwerk zwischen zwei Standorten angenommen wird. Davon ist ein MPLS weit entfernt und es muss jedem klar sein, dass seine Daten ohne jegliche Verschlüsselung übertragen werden. Die Übertragung findet zwar über die Systeme des Anbieters statt, aber trotzdem verlassen sie unverschlüsselt das Unternehmensnetzwerk. Dies sollte man immer bedenken, wenn Daten über diese Verbindungen übermittelt werden.
Sicherlich kommt es auch hier wieder darauf an, welche Daten und vor allem wie diese Daten übertragen werden. Vor allem ist es auch wichtig, an welchen Punkt im Netzwerk ein MPLS terminiert. Ein MPLS ist nüchtern betrachtet keine Verbindung die einfach so als vertrauenswürdig eingestuft werden darf. Daher sollte eine MPLS Verbindung immer über die Firewall geführt werden, um wenigsten durch entsprechende Policy‘s die Kommunikation nur auf die benötigten Systeme einzuschränken oder sie anderweitig zu prüfen. Sensible Daten sollten auch über MPLS Verbindungen immer verschlüsselt übertragen werden.
Die Bewertung der Sicherheit einer MPLS Verbindung muss auf jeden Fall in die Sicherheitsbewertung externen Verbindungen mit aufgenommen werden. Es sei jedem selbst überlassen zu bewerten wie Sicher die Core-Infrastruktur des Anbieters ist und wie wahrscheinlich es ist, dass hier Dritte zugriff erlangen können. Aktuell scheint es realistischer zu sein, dass ein Angriff über die MPLS Komponenten des Kunden erfolgt. Denn es teilen sich nun mal mehrere Kunden die Systeme des Anbieters. Ebenfalls scheint es realistischer zu sein, dass statt eines Zugriff durch Dritte auf die Core Systeme, eher ein Konfigurationsfehler eines Administrators beim Provider dazu führt, dass unbefugte Zugriff auf Verbindungen oder Inhalte erlangen können.
Eine grundsätzliche Neubewertung von MPLS Verbindungen muss auch insbesondere auf dem Hintergrund von Prism bzw. dem NSA Abhöhrskandal erfolgen. Wobei aber aktuell das Problem besteht, wirkliche Fakten von Sensationsmeldungen zu trennen. Zumindest muss davon ausgegangen werden, dass bei internationalen MPLS Verbindungen die Übertragung in unverschlüsselter Form gründlich zu überdenken ist.
Bei Fragen zur Absicherung von MPLS Verbindungen stehen wir gerne zur Verfügung.