【IT168 评论】现在,随着移动网络运营商(MNO)不断地增加其用户群,并且努力成为互联网服务供应商(ISP)而不是基本语音和数据服务的供应商,他们面临3大挑战:
· 以最高的性能和可用性来保持网络运行。
· 提供丰富的、积极的用户体验。
· 保护其移动网络、客户数据和设备不受当前和新兴的安全威胁。
如果移动网络运营商希望维护客户的忠诚和信任,并保持其增长以及品牌的信誉,就必须成功地解决以上挑战。但是现在移动设备功能和性能的不断提高,用户渴望更丰富更快的网络服务,这些为3G和4G网络带来了一系列新的安全风险。
智能手机和移动应用使用的急剧增长使网络信令超量,影响了网络性能,实际上它已经成为了一种非恶意性的DDos攻击行为。越来越多的移动设备和应用也带来了新的应用层漏洞。此外,4G LTE网络向以IP为中心的架构转移,意味着现在网络更易受到来自公共网络和无线接入网络(RAN)的IP安全攻击,这也为移动网络运营商带来了从未有过的安全挑战,需要用新的方法来保护网络。
新一代4G LTE架构的安全隐患
全新的4G LTE 网络架构同样面临新的安全挑战。它并不像2G和3G服务那样使用TDM和ATM回程,LTE使用基于IP的回程。随着越来越多的基于IP的通信进入移动基础设施,它也变得更易受到来自互联网的攻击。LTE网络的全IP架构带来了更多的安全风险。攻击者可以访问未加密的用户流量或网络控制信令。
随着公共接入微蜂窝基站部署的增加,3G和4G网络面临更多的安全风险,这些公共接入微蜂窝基站的部署主要为了增加购物中心、公用办公室等其他公共场所的本地容量。这些安置在公共区域的小型设备面向公众,不能像传统基站那样采用物理保护方法,这使攻击者很容易从这些点突破来攻击网络。
LTE网络架构和分组核心还面临其他安全挑战,包括SCTP与Diameter传输和应用协议的封锁,以及移动网络上来自不同网元的分布式拒绝服务攻击(DDoS)。数据信令网关、移动包核心(Mobile Packet Core) 和无线接入网络基础设施都有潜在的漏洞。
保证Gi/Sgi接口安全——保护分组核心免受互联网攻击
像我们之前所看到的,据估计到2014年,智能手机的销售量将接近所有已售设备的50%,平均每个设备的数据使用量将翻3倍。在运营商由私有向公共IP地址转换时,智能手机使用的快速增长和日益复杂的应用意味着移动运营商需要一个扩展的、稳健的方法来处理日益增多的用户IP地址,跟踪公共IP地址后的单个设备。
网络现在逐渐向IPv6过渡,需要处理从IPv4到IPv6地址的迁移,这使得问题变得更加复杂。这将要求移动运营商在一段时间内支持以上两种地址方案。因此,移动运营商需要一个弹性的Gi/SGi电信级NAT(CGN)解决方案。
在Gi/Sgi接口上使用CGN解决方案可以在公共互联网上隐藏核心服务和设备的IP地址,这有助于保证其安全,避免成为使用DoS技术的恶意目标。它还可以保护设备或移动台的IP地址不被劫持,否则将导致“超额计费”攻击。
保护LTE Gi/SGi接口的安全要求
保护Gi接口安全的CGN解决方案应为状态NAT防火墙解决方案,并针对互联网、语音和基于会话的应用和协议进行优化。只有状态防火墙可以减少在CGN解决方案中增加IP地址共享的风险,并降低客户和运营商受到超额计费攻击的风险。
在理想情况下,NAT防火墙应作为一个单一的、可扩展的网关,由一个单一的IP地址管理,并支持通过单一控制台进行安全和策略管理。最好是基于机柜的解决方案,堆叠了多个网关模块,因为这样更易于管理、更简单,而且可更高效地实现流量平衡和管理。
该解决方案应该支持IPv4 CGN,通过静态和动态地址和端口映射,包括端口块分配,实现NAPT和NAT44(4)。它还应该支持拥有v4v6双栈DS-Lite、6over4隧道6PE/6rd、4over6隧道、4rd/MAP-T、NAT64、NAT46和NAT66等功能的IPv6 CGN,实现无缝地址转换和迁移。
NAT的性能和吞吐量同样关键:随着网络流量和用户设备数量成倍增加,NAT防火墙需要支持和服务数千万计的并发连接和数千兆真实世界移动流量吞吐量。
NAT防火墙应该智能化,并能够识别超额计费攻击发起的“悬挂”数据会话。当发起方退出会话的时候,防火墙应当能够侦测到,并终止该会话。如果该解决方案能够通过身份感知把RADIUS计费记录与设备的IP相连接,这也是非常有用的,并使电信公司在有关当局提出请求时能够提供用户的特定信息。它还应该提供带有其它安全功能的深度包检测,包括IPS、防病毒、URL过滤、应用程序控制和防僵尸网络。这些提供的保护措施可以保护移动网络基础设施不受攻击,并防止网络被用来发动DoS攻击。检测数据包的能力是采用同样的安全解决方案向用户提供托管安全服务的基础。
保证S1接口安全——确保LTE回程流量的安全
我们之前已经看到了LTE架构变得越来越扁平并以IP为中心,这种架构如何给移动网络带来新的安全隐患,特别是在网络的回程单元上。LTE网络安全需要考虑的另一个要素是蜂窝站点的增加。据分析师Heavy Reading预计,截止到2015年底,全球蜂窝基站的数量将从2011年的270万增长到400万。它们中的许多都将成为新的小型基站,以应对低成本和增加单位用户带宽的双重要求。这意味着更多的蜂窝基站将放置在容易受到非法篡改的公共区域里。
由于LTE回程网络中没有无线网络控制器(RNC),受到侵害的eNodeB 基站会被利用来访问和攻击移动管理实体(MME),从而影响整个核心服务。不像3G,一个单一的eNodeB 可以连接多个位于不同分组核心网的移动管理实体——这意味着攻击者可以通过一个受到攻击的基站到达位于不同核心网络的移动管理实体。
IPSec是3GPP向移动网络运营商建议的标准,这些移动网络运营商认为其在eNodeBs和分组核心网间的LTE回程网络在物理上不安全。然而,应该让网络运营商相信,其IPSec部署具备高扩展性和高可用性。LTE流量和宽带需求的预期增长需要真正的运营商级吞吐能力,并符合最新的3GPP安全标准。
保护LTE S1 接口的安全要求
安全网关应支持LTE蜂窝基站和分组核心之间的身份验证,防止通过eNodeB非法接入分组核心网。因此,与第三方PKI解决方案的互操作性变得至关重要。这也实现了eNodeB的控制平面和数据平面的证书验证。
安全网关还应支持ESP和IKEv2,提供数据流量保密性、AES、SHA-1或TripleDES加密算法的完整性。这样保护控制平面和用户流量免受窃听和数据篡改攻击。网关也应该通过MME为S1-MME控制平面提供SCTP深度包检测,MME可以防止应用虚假流量注入等攻击。安全解决方案也应该是完全可扩展的,并提供运营商级的IPSEC吞吐量和性能,以减少网络延迟。
保证Gp/S8接口安全——确保分组核心网免受漫游威胁
运营商必须允许他们的移动用户在漫游时访问互联网,这意味着移动运营商必须将其网络进行互连。这是通过使用Gp/S8接口接入GPRS漫游交换(GRX)网络来完成的,它作为漫游用户的连接枢纽,这样每个服务供应商之间不需部署专用链路。
当与LTE网络连接时,移动设备应该可以漫游LTE和3G网络。在LTE过渡期间,运营商将继续维护其3G网络,并允许数据流量从LTE分组核心到3G分组核心间的漫游,反之亦然。
因此,移动网络运营商的分组核心网元必须在其他运营商和非信任网络间的漫游互连时保证安全。由于目前Gp/S8接口用于网络间的漫游流量,最常见的安全威胁类型是针对服务的可用性的,使用DoS技术进行带宽饱和、数据泛滥、欺骗或缓存中毒等攻击。如果移动台能够劫持一个合法移动台的IP地址,并开始非法数据下载,Gp/S8接口也易受超额计费攻击。
保护Gp/GRX接口的安全要求
关键问题是如何保护GRX网络在不同的移动运营商网络间不受DoS或DDoS攻击。当黑客可以从另一个IP网络域向GRX网络域恶意插入IP数据包时,DoS攻击就会发生。
安全网关应该能够对应用于GP接口的三个协议进行深度状态包检测:
· GTP用于提供移动数据服务。监控GTP流量有助于利用运营商身份策略来执行漫游协议,并保护其不受DDoS和超额计费攻击。
· SCTP用于移动网络的IP传输层。监控SCTP有助于防止黑客利用损坏的数据包进行DoS攻击,也可预防未授权的网络接入。
· Diameter是用于授权、用户认证、计费和服务质量(QoS)的信令协议。监控Diameter流量可以保护用户数据不被服务供应商间不可信的、公共IP传输网络拦截。
LTE网络广泛使用后SCTP和Diameter流量出现快速增长,因此侦测这种流量的能力对早期预见并防止可能的恶意攻击至关重要,这些攻击包括来自分组核心的使用未授权GTP或Diameter命令的数据曝光攻击。与针对Gi和S1接口的安全解决方案一样,性能、可扩展性和吞吐量都非常重要,因为控制平面和数据平面的流量将继续加速增长。
移动网络的下一代安全措施
必须保证移动数据连接在任何时间、任何地点都安全可用。移动运营商也必须保护其移动网络、客户数据和设备不受当前和新兴的安全威胁影响。当移动运营商向漫游合作伙伴、公共互联网和其他不受信任的外部网络开放其网络分组核心时,安全风险也呈指数增长。为了保护其整个基础设施,网络运营商必须保证互联网Gi连接、S1 LTE无线接入和GP漫游连接等所有LTE接口的安全。
使用一个集成了每个接口状态监测的安全平台,再加上IPS、VPN隧道、安全NAT、防病毒、防僵尸网络、Web安全等高级安全应用,网络运营商可以使用一套整体解决方案保证其整个运营基础设施的端到端安全。
他们也可以利用统一的策略来保证其安全性,并监控和报告所有运营商接口。通过一个统一的网络基础设施和安全策略视图,网络管理员可得到事件的清晰画面,并且得知当前的安全状态。这大大降低了网络风险,保护了用户数据,降低了总拥有成本(TCO),提高了运营效率和收益。
Check Point下一代运营商级解决方案
Check Point是电信安全领域公认的领导者,并在全球完成了成百上千的部署。Check Point以屡获嘉奖的、成熟的技术为基础,为全球财富100强企业和电信公司提供技术支持。Check Point电信安全解决方案可保证所有LTE接口安全、保护移动分组核心、保证漫游连接性并支持一系列用户增值安全服务。这使移动运营商和运营商最大化其基础设施投资,实现全面的保护、可扩展性,并有机会享受托管安全服务产品。Check Point专用61000和21600运营商安全平台可为3G和4GLTE网络提供安全保护。其优势如下:
保证运营商整个基础设施的安全
Check Point解决方案通过一个单一的、集成的平台保护所有LTE接口的安全:
· 保证数以千计的无线基站(eNodeBs)间的通信安全
· 使用最具扩展性的运营商级NAT防火墙保证互联网的连接性
· 根据合作伙伴业务协议保证漫游的连接性
· 利用统一的策略控制基础设施的安全,检测和报告所有运营商接口
· 巩固网关并使用虚拟系统保证多个网络的安全,实现无缝扩展以满足需求,并简化管理。
最强的3G和4G安全功能
Check Point提供了唯一的解决方案以侦测并确保所有LTE协议的安全,包括GTP、SCTP和Diameter。Check Point是业内唯一能够提供可侦测Diameter流量的解决方案的供应商,其电信解决方案能够支持和提供以用户为中心的增值安全服务,其中包括IPS、防病毒、Web安全和防僵尸网络。
全世界最快的LTE级安全功能
Check Point专用61000和21600运营商安全平台为各种规模的运营商提供了一个最具性价比的可扩展解决方案。它们是世界上最快的安全平台,2U类型的21600运营商设备拥有30Gbps的实际流量吞吐量,61000运营商设备更是实现了高达56Gbps的吞吐量:可确保最小的延迟,并提供满足未来移动流量需求的容量。
61000运营商安全解决方案最高支持7000万的并发连接,提供可扩展性以满足全球主要移动运营商和电信公司的需求。
Check Point电信解决方案的特性与优势包括:
· 保证LTE Gi接口的安全
· 保证LTE S1接口的安全
· 保证LTE Gp接口的安全
· 可为用户提供增值安全服务