Redes MPLS: segurança ou insegurança?
Existem algumas considerações de segurança que devem ser levadas em consideração quando falamos na adoção da tecnologia MPLS (Multi Protocol Label Switching). Apesar da tecnologia MPLS permitir a criação de circuitos virtuais para cada cliente, o backbone do provedor será o mesmo para todos os clientes, ou seja, os dados de todos os clientes estarão passando fisicamente pelo mesmo meio.
Assim, como nos casos da terceirização de hospedagem de serviços/servidores, a empresa contratante do serviço deverá confiar não só na qualidade do serviço contrato, mas também nas práticas de segurança adotada pela empresa prestadora do serviço.
Apesar da tecnologia MPLS criar circuitos virtuais fechados para cada empresa, os dados que trafegam entre uma matriz e uma filial, por exemplo, não são alterados. Em outras palavras, a tecnologia MPLS não vai criptografar os dados em nenhum momento da comunicação.
Falhas de segurança encontradas na tecnologia MPLS
As falhas de segurança encontradas na tecnologia MPLS são as seguintes:
1- Se a configuração dos roteadores não for feita corretamente, seja por parte do cliente ou do provedor, a disponibilidade da rede MPLS e a confidencialidade dos dados que nela trafegam estarão comprometidas através da realização de ataques de DoS e Label Spoofing.
2- A tecnologia MPLS não utiliza qualquer tipo de criptografia para os dados que trafegam na rede MPLS, ou seja, se os dados que a empresa contratante planeja passar pela rede MPLS exigem determinado nível de confidencialidade, a tecnologia MPLS não é a opção mais recomendada.
Considerações finais
Todo sistema de segurança de uma empresa varia de acordo com o tipo de ativo que será protegido, de quais ameaças ele será protegido e qual será esse nível de proteção. Essas métricas só podem ser definidas pela empresa contratante. Por exemplo, se as informações que irão trafegar pela rede MPLS são confidenciais e estão ligadas diretamente ao negócio da empresa, é recomendável que se utilize o protocolo IPSec em conjunto com a tecnologia MPLS, caso os dados não possuam nenhuma criptografia nativa, como o SSL por exemplo.
Um ponto que muitas vezes não é analisado diz respeito à infra-estrutura da empresa que prestará o serviço. Não estamos falando somente de infra-estrutura de atendimento, disponibilidade etc. É necessário analisar as práticas de segurança da informação que empresa adotou. Alguns pontos que devem ser analisados: a empresa possui um SGSI? A configuração dos equipamentos direcionados ao serviço contratado segue as recomendações do fabricante e/ou alguma RFC? A empresa já fez alguma análise de risco deste serviço? Com que freqüência o sistema de segurança é testado?
Se utilizada corretamente, a tecnologia MPLS, em alguns casos até combinada com outras tecnologias como o IPSec, pode atender todas as necessidades de comunicação da empresa sem comprometer a confidencialidade e a integridade das informações que nela trafegam. Mas para que isso ocorra, os dois itens listados acima devem ser atendidos.
Existe uma RFC que fala exclusivamente sobre a segurança na tecnologia MPLS. Ela pode ser acessada em http://www.ietf.org/rfc/rfc4381.txt.