Тел.: +38 044 495 75 00
Факс: +38 044 495 75 07

Защита GPRS-сетей мобильных операторов связи

GPRS – это архитектура сети передачи данных, специально разработанная для интеграции с GSM-сетями, которая предоставляет мобильным пользователям доступ к сервисам пакетной передачи данных. В свою очередь, для передачи пакетных данных по радиоканалам GSM/UMTS операторы используют протокол GTP (GPRS Tunneling Protocol). GTP позволяет преобразовать радиосигналы от мобильных станций в пакеты данных и затем передать их по незашифрованным туннелям через магистраль оператора.
   

Используя технологию GPRS, мобильные операторы получили возможность предоставлять сервисы доступа к интернету и построения корпоративных VPN, в дополнение к существующему сервису передачи голоса.
   

В общем случае основными элементами GPRS-сети являются:


1.    BSS (Base Station) – принимает и распознает радиосигнал (голос или данные) и транслирует GPRS-данные на SGSN (в случае передачи данных).
2.    SGSN (Serving GPRS Support Node) – узел обслуживания абонентов; обеспечивает подключение нового абонента в сети и передачу данных к GGSN.
3.    GGSN (Gateway GPRS Support Node) – узел маршрутизации GPRS, принимает и передает данные из внешних сетей (Интернет, сети абонентов, партнеров), а также, выдает IP-адреса абонентам и тарифицирует их услуги (во взаимодействии с системой биллинга).
4.    BG (Border Gateway) – пограничный шлюз, который используется для связи с PLMN других операторов.
GGSN и SGSN внутри сети одного оператора (local PLMN) взаимодействуют через протокол GTP. Для упрощения эту связь называют интерфейс Gn. Подключение между сетями (PLMN) разных операторов формируют интерфейс Gp, а выход во внешние сети (клиентов, Интернет) – интерфейс Gi. И наконец, интерфейс Ga – служит для подключения GPRS-сети к внутренней биллинговой системе.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Таким образом, GPRS-сеть имеет связи с большим количеством внешних сетей (интернет, роуминг-партнеры, корпоративные клиенты, провайдеры GRX (GPRS Roaming Exchange), и т.д.). Такое соседство и партнерские отношения ставят перед мобильными операторами повышенные требования по обеспечению безопасности передаваемых данных. Так как связь с партнерами и доступ в интернет осуществляется по протоколу IP, а внутри GPRS-магистрали данные инкапсулируются в небезопасные туннели GTP, то границу GPRS-сети необходимо надежно защищать.


Основную угрозу представляют направления Gi и Gp, так как используя протокол IP, любой пользователь может посылать произвольные пакеты в GPRS-сеть. Поскольку операторы не ограничивают типы пользовательского трафика, пользователи мобильных терминалов находятся полностью открытыми для всех недугов интернета (вирусы, черви, трояны, DOS и т.д.). Соответственно, не защищены и пользовательские данные, которые отправляются во внешние сети. Также большинство атак могут быть направлены на саму GPRS-инфраструктуру (Gn), вызывая отказ либо некорректную работу оборудования.


Типы атак на потенциально опасных GPRS-интерфейсах:

1.    Gp-интерфейс: паразитный трафик роуминг-партнера, DNS флуд, GTP флуд, произвольное удаление PDP- контекстов пользователей, некорректная BGP-информация, подмена DNS-ответов, подмена запросов Create/Update PDP Context, overbilling attacks.
2.    Gi-интерфейс: DoS-атаки, флуд с IP-адресов мобильных станций, попадание в корпоративную сеть другого клиента.
3.    Gn-интерфейс: подмена GGSN/SGSN, подмена запроса удаления PDP-контекстов пользователей, атаки мобильных пользователей друг против друга.

Задачу защиты Gn и Gp интерфейсов усложняет особенность коммуникаций, которые ведутся там по средством протокола GTP. Принцип работы GTP кардинально отличается от других IP-протоколов: GTP-туннель может быть распределен по нескольким IP-сессиям, и наоборот – одна IP-сессия может содержать несколько GTP-туннелей. Такой принцип работы делает практически бесполезным применение классических IP-Firewall для фильтрации GTP-трафика. Исходя из того, что весть IP-трафик на интерфейсах Gn и Gp инкапсулирован в GTP, на данных интерфейсах необходим GTP Firewall для проверки корректности функционирования GTP.

Множество атак функционирует на более высоких уровнях представления данных (L5-7), чем те, с которыми работает фаервол (L2-4). Поэтому, как второй эшелон защиты от атак уровня приложений, требуется система предотвращения вторжений. Анализируя легитимный трафик, прошедший через Firewall на Layer 2-4 данная система проведет высокоуровневый анализ и сможет обнаружить и предотвратить атаки, скрывающиеся в трафике приложений. Применительно к GPRS-сети, такой подход выстраивания системы защиты особенно эффективен в точке подключения к сети интернет (интерфейс Gi).

РЕШЕНИЕ

Компания "Space IT" предлагает использовать эффективное решение для операторов связи, которое способно обеспечивать безопасность трафика в любой точке GPRS-сети. Речь идет о линейке высокопроизводительных шлюзов безопасности Juniper High-End SRX с поддержкой GTP. Устройства Juniper HE SRX – это универсальная модульная платформа, объединяющая функционал разнородных устройств (firewall, маршрутизатор, коммутатор, UTM, IDP) в одном шасси. Все устройства работают под управлением надежной платформы JunOS, успешно зарекомендовавшей себя в сегменте магистральных решений. Модульная архитектура SRX позволяет гибко масштабировать производительность для выполнения требуемого функционала. Поддержка протокола GTP делает их незаменимым решением вопросов безопасности для мобильных GPRS-операторов связи, которое легко интегрируется с технологией GPRS Tunneling Protocol.


Внедрение Juniper HE SRX в на наиболее опасных участках GPRS-сети, а именно, на интерфейсах Gn и Gp, обеспечит проверку корректности работы протокола GTP и контроль информационных потоков между PLMN. А наличие встроенной системы предотвращения вторжений (Juniper IDP) позволяет High-End SRX обеспечивать фильтрацию трафика и высокоинтеллектуальную защиту от атак одновременно. Данная особенность оптимально подходит для защиты Gi интерфейса GPRS-сети, который обеспечивает взаимодействие с небезопасным Интернет.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 
При внедрении SRX важно учитывать место в топологии GPRS-сети:

Интерфейс Gp
В данной точке важно выделить сервисы, необходимые для взаимодействия с роуминг-партнерами напрямую или через GRX. В общем случае для подключения роуминг-абонента, необходимо обеспечить связь локального SGSN и GGSN его оператора. Для установления такого подключения используется GTP. Кроме этого, между PLMN различных операторов должны функционировать сетевые протоколы BGP и DNS (преобразование имен APN). Основные угрозы на Gp интерфейсе связаны с функционированием GTP. Для уменьшения данных рисков рекомендовано принимать следующие меры:

 

  • фильтрация входящих/исходящих пакетов: предотвращает обмен данными с неизвесными роуминг-операторами (при подключении к GRX) и возможность спуфинг-атак от имени локальной PLMN
  • stateful-фильтрация GTP-пакетов: фильтрация GTP-сессий с неизвестными PLMN для предотвращения атак и разгрузки локальных GSN
  • ограничение полосы GTP: предотвращение DoS-атак, выделение достаточной полосы для работы GTP, BGP, DNS
  • установление IPSec-туннелей с роуминг-партнерами: обеспечение аутентификации и конфиденциальности передаваемых данных
  • предотвращение overbilling-атак: уведомление Gi Firewall об “зависших” сессиях для предотвращения переплаты абонента


Интерфейс Gn
Угрозы могут исходить как изнутри сети оператора, так и быть направленными на оборудование сети. В зависимости от интенсивности атаки возможен вариант временного вывода из строя оборудования сети. Это в свою очередь выливается в простои, потерю сервиса, прибыли и недовольство абонентов. Для устранения данных рисков рекомендуется использовать политики разграничения доступа и фильтрацию пакетов на основе состояния GTP-сессий. Например, в случае атаки с применением подмены адреса GGSN, запрос GTP PDP Context Delete будет отброшен если перед этим не было GTP PDP Context Create сообщения.


Интерфейс Gi
Представляет особую опасность, хоть и не требует декапсуляции и контроля GTP. Основные механизмы защиты включают:

  • разделение логических туннелей для подключения корпоративных клиентов и внедрение IPSec в случае использования каналов Интернет
  • приоритезация трафика корпоративных пользователей и IPSec для недопущения возможности отказа каналов абонентов
  • инспектирование пакетов с учетом состояния сессий – использование политик разрешающих только инициирование подключений со стороны мобильных станций
  • фильтрация входящих/исходящих пакетов – предотвращает возможность пересылки данных от IP-адресов мобильной станции, полученных для выхода в Интернет, на другую мобильную станцию
  • предотвращение overbilling-атак


Также общим подходом при реализации механизмов безопасности в GPRS-сетях является использование частных IP-адресов для внутренних элементов инфраструктуры сети.

Функционал Juniper HE SRX для безопасности GTP включает:
1.    GTP packet sanity check (проверка заголовка каждого пакета GTP/UDP на соответствие стандарту)
2.    GTP stateful inspection (проверка GTP пакетов на соответствие текущему состоянию GTP-туннеля в контексте передачи предыдущих пакетов; при получении пакета не принадлежащего текущему состоянию GTP обмена, устройство отбрасывает пакет)
3.    GGSN redirection (функция перенаправления запроса GTP PDP Context Create; в запросе указываются IP-адреса других GGSN, после чего GTP-U и GTP-C сообщения посылаются указанным IP)
4.    Policy-based GTP inspection (ограничения доступа между различными PLMN на основе определения политик безопасности путем ассоциации PLMN с зонами безопасности)
5.    GTP message length filtering (фильтрация GTP-пакетов, не соответствующих минимальной или максимальной длине GTP-сообщения)
6.    GTP message type screening (фильтрация GTP-пакетов определенного типа)
7.    GTP IMSI prefix and APN filtering (фильтрация GTP-пакетов от неизвестных PLMN на основе идентификатора сети абонента (IMSI) и пути доступа абонента (APN))
8.    Removal of IEs of GTP R6 (функция удаления специфических атрибутов 3GPP заголовка пакета GTP при последующей передаче в сети 2GPP)
9.    GSN rate limiting (снижение нагрузки на GSN с помощью ограничения скорости обработки GTP-C пакетов)
10.    GTP sequence number validation (функция проверки порядковых номеров сообщений G-PDU во время PDP-активации контекста)
11.    Cleanup of hanging GTP tunnel (автоматическое удаление “висящих” GTP-туннелей)
12.    GTP traffic logging (функция протоколирования GTP-пакетов на основе статуса (forwarded, prohibited,rate-limited, state-invalid,tunnel-limited))
13.    GTP tunnel failover for high availability (функция поддержки активных GTP-сессий в режиме отказоустойчивости) 
 
 Платформа Пропускная способность Количество GTP–туннелей
SRX-3400 10 Gbps 250,000
SRX-3600 20 Gbps  500,000
SRX-5600 60 Gbps 1,000,000
SRX-5800 120 Gbps 2,000,000
 


ПРЕИМУЩЕСТВА

1.    Решения от мирового лидера в сегменте Enterprise Firewalls.
2.    Модульная архитектура.
3.    Возможность гибкого масштабирования.
4.    Функционал полноценного маршрутизатора, фаервола, системы предотвращения вторжений и UTM (антивирус, антиспам, веб-фильтр, контент-фильтр).
5.    Полная поддержка GTP и механизмов обеспечения его безопасности.
6.    Отсутствие необходимости в дополнительных модулях и лицензиях.