T1回線を介した通信を保護するためにVPNが必要ですか？

Question

オフィスとデータセンターの間を走る専用のT1回線があります。両端にはパブリックIPアドレスがあります。

両端には、SonicWallファイアウォールに接続するAdTranT1ルーターがあります。

SonicWallsはサイト間VPNを実行し、ネットワーク変換を処理するため、オフィスネットワーク（10.0.100.x）上のコンピューターはラック（10.0.103.x）内のサーバーにアクセスできます。

質問：SonicWallsに静的ルートを追加して、各ネットワークがVPNなしで相互にアクセスできるようにすることはできますか？セキュリティ上の問題がありますか（他の誰かが適切な静的ルートを追加し、オフィスまたはデータセンターのいずれかにアクセスできるなど）？それを行う別の/より良い方法はありますか？

私がこれを見ている理由は、T1がすでにかなり小さなパイプであり、VPNオーバーヘッドがあると、接続が遅くなるためです本当に。

-

明確化（これまでの回答に感謝）：

私にとってのつまずきは、T1がパブリックIPアドレスを持っていることです。「10.0.103.0のゲートウェイは200.XYZにあります」というルートをオフィスに設定した場合、インターネット上で誰かがまた同じルートを設定して- また 10.0.103.0ネットワークにアクセスできますか？

VPNでは、外部からの侵入を防ぐ認証プロトコルがあるため、それが不可能であることを私は知っています。

あるいは、「T1回線を介して2つのリモートネットワーク間をルーティングする正しい方法は何ですか？」という質問だと思います。

問題のT1には、私のオフィスに物理エンドポイントがあり、データセンターのどこかに別の物理エンドポイントがありますが、ここでもIPアドレスはパブリックです。

電話会社やデータセンターの人々が私のパスワードを盗聴していることを心配していません（もしそうなら、それは確かに悪いことですが、その状況は私の妄想のしきい値を超えています:)。

Tom · Accepted Answer

Ciscoルータのモデルと、最新のIOSに対応しているかどうかによって異なります。シスコの管理者を雇ってルーターを正しく設定すれば、Sonicwallを一斉に排除することができます。

必要なのは、強化されたACLと正しく構成されたルーティングだけです。

ただし、VPNトラフィックによって接続がそれほど遅くなることはないはずです。ドロップされたトラフィックのテストを開始し、攻撃されているかどうかを確認します。

MK. · Answer

「必要」とはどういう意味ですか？おそらくかなり安全ですが、100％安全ではありません。それらの間に物理的な専用の銅線がありますか？そうは思わないでください。おそらく2つのT1だけが、専用の帯域幅でプロバイダーのネットワークを経由します。したがって、プロバイダーのネットワーク上の誰かがあなたのデータを傍受する可能性があります。したがって、これが本当に敏感な場合、答えはノーです。

The Unix Janitor · Answer

あなたはあなたの電話会社を信頼しますか？

あなたはあなた自身のネットワークを信頼しますか？

暗号化には待ち時間がかかりますか？

データの機密性はどれくらいですか？

T1ラインにはどのようなデータが流れていますか？なぜ？

何を、誰から保護しようとしていますか？

暗号化の使用を開始した場合、問題が発生した場合のトラブルシューティングはできますか？

Luis Ventura · Answer

インターネット経由でデータを送信すると、誰かがデータを傍受するリスクがあります。あなたが本当に尋ねるべきことは会社がそれがデータの機密であると考えるかどうか？です。

そうでない場合は、VPNを削除します。削除しても、大きなブーストは期待しないでください。

あなたの会社がケーブルまたはDSL回線を買う余裕があるかどうかも確認できます。それは負荷を減らすのに役立ちます。幸運を！。

eric · Answer

サウンド、シンプルなルーター/ファイアウォールには、VPNアクセラレータハードウェアが組み込まれている必要があります。

正直に言うと、ソニックファイアウォールは私を少し心配させます。

ciscoASAまたはより高品質のファイアウォールユニットを検討したことがありますか。

それが改善の余地があると思います。

ユニットの内部動作は、VPNスループットの問題を引き起こしているものです。

エリック。