|
|
  |
Главная страница / Архитектура отрасли Защита GPRS-инфраструктурыНачиная предоставление IP-сервисов, сотовый оператор сталкивается с массой новых угроз информационной безопасности. Высокий профессионализм злоумышленников в сочетании с быстрым распространением новых технологий требует от оператора принятия дополнительных мер по обеспечению безопасности. Одной из наиболее критичных, с точки зрения безопасности в сети GPRS, является точка доступа роуминговых абонентов, иными словами – шлюз в сети партнеров. Так как в сети GRPS используется IP-протокол, практически любой из абонентов сетей роуминговых партнеров может посылать пакеты в нашу сеть. Поэтому вход в магистральную сеть оператора должен быть надежно защищен межсетевым экраном (МСЭ), учитывающим специфику протокола GTP. В модели доверительных отношений протокола GTP существует множество потенциальных угроз безопасности. К таким угрозам относятся атаки переполнения сети (отказ в обслуживании), подмена IP-адресов (спуфинг), вмешательство в чужую сессию (туннель) и некорректные попытки установки соединений. Проблемы безопасности в GTP Парадигма IP-сессий в GTP Принцип организации GTP-туннелей отличается от других IP-протоколов. Эти различия скрываются на нескольких уровнях работы: одна IP-сессия может содержать в себе несколько туннелей; один туннель может быть «размазан» по нескольким IP-сессиям; туннели могут «перескакивать» между IP-сессиями в процессе перенаправления или передачи от одной базовой станции к другой. Такой принцип работы делает практически бесполезным применение классических IP-Firewall для фильтрации GTP-трафика. SGSN (Serving GPRS Support Node) Handover Коммутаторы SGSN могут передавать существующие GTP-туннели на другие базовые станции с помощью процедур Routing Area Update. Эта функция GPRS подвергает шлюзы GGSN (Gateway GPRS Support Node) серьезным опасностям, так как передача туннеля другому коммутатору проводится безо всякой аутентификации. Переполнение сети Аналогично атакам типа SYN-flooding по протоколу TCP, в сетях GPRS могут быть осуществлены атаки типа GTP Signaling Flood, которые занимают значительный объем полезной полосы пропускания каналов, процессорные и другие ресурсы шлюза GGSN, что приводит к резкому ухудшению качества обслуживания пользователей GRPS-сети. Ошибки в конфигурации сети Ошибки администратора могут привести к появлению серьезных уязвимостей в GPRS-системе оператора. Наиболее часто встречающиеся ошибки – неправильная настройка маршрутизации, ошибки APN, сбои DNS-серверов, а также различные ошибки базы данных. Это происходит из-за того, что IP – открытый протокол, который применяется во многих магистральных и локальных сетях. Большинство операторов используют одни и те же каналы для различных типов трафика, особенно при роуминге. Отсутствие полной картины при стандартной IP-отчетности Стандартная IP-отчетность не содержит в себе инистраторам сетей GPRS и 3G для отслеживания работы пользователей и фиксирования всех нарушений политики безопасности. К таким GTP-специфичным параметрам относятся IMSI, MS-ISDN, APN и другие информационные поля протоколов 3G. Основные функциональные особенности оптимального решения (специализированного МСЭ) для обеспечения безопасности внутреннего и роумингового трафика с учетом специфики GTP: • полное соответствие стандартам 3GPP GPRS; • проверка целостности пакетов в протоколе GTP, а также внутренней морфологии; • подробный анализ и управление туннелями; • управление роуминговыми ограничениями, политиками перенаправления и переключения соединений на базовых станциях; • анализ информационных элементов GTP; • генерация отчетов и предупреждений с указанием всей GTP-специфичной информации; • недопущение перегрузок сети вредоносными пакетами; • обеспечение оператору возможности создавать политику безопасности, учитывающую специфику GTP. Для защиты критичных элементов GPRS-инфраструктуры целесообразно устанавливать специализированные межсетевые экраны на Gp-интерфейсе между домашней PLMN (Public Land Mobile Network) и сетью GRX (GPRS Roaming eXchange) на Gn-интерфейсе между узлами SGSN и GGSN в домашней PLMN. В сочетании со стандартным межсетевым экраном на интерфейсе Gi такое решение обеспечивает наивысший уровень защиты. Особенности внедрения систем безопасности GPRS-инфраструктуры Ключевым аспектом успешного развертывания системы информационной безопасности GPRS-инфраструктуры является корректное проведение процедуры предварительного тестирования внедряемого решения. В состав типовой тестовой зоны входят: • шлюз Check Point Firewall-1 GX, на котором установлено программное обеспечение станции управления и инспекционного модуля; • рабочая станция с эмулятором одного из коммутаторов SGSN; • рабочая станция с графическим интерфейсом управления Firewall-1 GX (GUI) и эмулятором второго коммутатора SGSN – для тестирования процедуры handover; • рабочая станция с эмулятором шлюза во внешние сети GGSN. Такой набор программного и аппаратного обеспечения позволит воссоздать работу типичной GPRS-сети и испытать функциональность межсетевого экрана Firewall-1 GX. В процессе тестирования может быть испытана следующая функциональность: • проверка корректности пакетов с точки зрения протокола (Packet Sanity); • проверка работоспособности установленной политики безопасности (Security Enforcement Test); • проверка работы системы отчетности и сигнализации (Logs and Alerts); • проверка дополнительных возможностей политики безопасности (Advanced Security Enforcement); • проверка работы с процедурой передачи абонента между базовыми станциями – handover (Handovers); • проверка работоспособности механизма ограничения сигнализационных потоков (Rate Limiting); • проверка работоспособности механизма учета количества пеSequence Number Validation). На следующем этапе тестирования можно задействовать программные и аппаратные средства реальной GPRS-сети оператора. По результатам тестирования производится разработка проектной документации, за которой следует период опытной эксплуатации и перевод системы в промышленный режим. Общая продолжительность проекта по внедрению системы безопасности GPRS-инфраструктуры, как правило, составляет от 4 до 8 месяцев. По материалам корпорации ЮНИ СПЕЦИАЛИЗИРОВАННЫЙ МЕЖСЕТЕВОЙ ЭКРАН В качестве примера специализированного межсетевого экрана можно привести продукт Firewall-1 GX, разработанный компанией Check Point Software Technologies. Firewall-1 GX производит детальную инспекцию всех пакетов GTP и, в отличие от других систем, может осуществлять следующие ограничения: 1) выбор типа PDU (Protocol Data Unit) – продукт обладает возможностями настроек разрешенных и запрещенных типов пакетов GTP PDU; 2) контроль целостности туннеля – модуль Firewall-1 GX отслеживает все события, происходящие с туннелем, – создание, удаление или обновление туннеля – и осуществляет детальную фильтрацию трафика, так как имеет полный контроль над статусом туннеля; 3) контроль целостности запросов и ответов – все ответы сопоставляются с запросами на базе времени, типов запросов и номеров последовательностей; 4) контроль номеров последовательностей – специальный механизм T-PDU контролирует номера последовательностей пакетов и может осуществлять настройку их разброса (девиации); 5) предотвращение вмешательства злоумышленника в туннель – с помощью описания роуминговых областей и политик можно установить ограничения на разрешенные передачи и перенаправления туннелей; 6) контроль целостности и морфологии пакетов – все информационные элементы (IE) сканируются на корректность с учетом версии протокола и состояния флагов заголовка GTP-пакета; 7) блокирование анонимного доступа – в зависимости от политики безопасности оператора анонимные соединения могут быть разрешены или запрещены; 8) контроль использования статических IP-адресов – в зависимости от политики безопасности оператора использование туннелей со статическими IP-адресами пользователей может быть разрешено или блокировано; 9) контроль количества открываемых соединений – специальный механизм Anti-Flood ограничивает поток сигнализационных сообщений для каждого GGSN во избежание его перегрузки, а также блокирует атаки типа Signaling Flood, одновременно уведомляя администратора безопасности. Отчетность и сигнализация в Firewall-1 GX Отчетность с учетом GTP-специфики Процедура создания и работы туннеля регистрируется отдельно от обычных IP-сессий и содержит все необходимые PDP-параметры (Packet Data Protocol): • IMSI; • MS-ISDN; • IP-адрес GSN; • APN; • режим выбора; • IP-адрес пользователя. Все действия, связанные с обновлением или удалением тун инспекции GTP-трафика генерирует различные виды предупреждений и сигналов тревоги по всем случаям нарушения политики безопасности или корректной работы протокола. МНЕНИЕ СПЕЦИАЛИСТА Сергей РАУДСЕПП, старший менеджер по маркетингу мобильной продукции компании Huawei Technologies: Проблема, затронутая в статье, несомненно, актуальна. Известно, что стойкость любой системы безопасности определяется лишь временем ее преодоления, и задача разработчика системы состоит в том, чтобы сделать это время заведомо нивелирующим выгоду от преодоления (например, вследствие устаревания добытой информации). Как показывает практика эксплуатации сетей GPRS, операторы с этой задачей справляются весьма успешно, и заметного ущерба действия злоумышленников их бизнесу пока не нанесли. Наряду с изложенным в статье решением, которое обладает рядом очевидных достоинств и дает дополнительные гарантии безопасности, существует и другой подход. Он заключается в том, что функционал, в том числе и предложенный в статье, интегрируется в узлы GPRS. К преимуществам такого решения можно отнести: • соответствие международным стандартам, подтвержденное сертификатом Минсвязи; • полная совместимость с используемым оборудованием GPRS; • экономическая выгода; • более высокая надежность сети, обусловленная отсутствием «чужих» элементов на интерфейсах; • централизованное администрирование и управление. Оба решения могут использоваться оператором в зависимости от конкретной ситуации. Главная страница / Архитектура отрасли |