Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Introdução ao GPRS

Visão geral do GPRS

As redes de Serviço Geral de Rádio de Pacotes (GPRS) se conectam a várias redes externas, incluindo as de parceiros de roaming, clientes corporativos, provedores de roaming de GPRS (GRX) e internet pública. As operadoras de rede GPRS enfrentam o desafio de proteger sua rede ao mesmo tempo em que fornecem e controlam o acesso de e para essas redes externas. A Juniper Networks oferece soluções para muitos dos problemas de segurança que assolam as operadoras de rede GPRS.

Na arquitetura GPRS, a causa fundamental das ameaças de segurança à rede de uma operadora é a falta de segurança inerente ao protocolo de tunelamento GPRS (GTP). GTP é o protocolo usado entre nós de suporte para GPRS (GSNs). O GTP é usado para estabelecer um túnel GTP para endpoints de usuários individuais (UEs) e entre um gateway de serviço (S-GW) e um gateway PDN (P-GW) em 4G. Um túnel GTP é um canal entre GSNs através dos quais dois hosts trocam dados. O SGSN (S-GW) recebe pacotes dos endpoints do usuário e os encapsula em um cabeçalho GTP antes de encaminhá-los para o GGSN através do túnel GTP. Quando o GGSN recebe os pacotes, ele os descapsula e os encaminha para o host externo.

A comunicação entre diferentes redes GPRS não é segura porque o GTP não fornece nenhuma autenticação, integridade de dados ou proteção de confidencialidade. Implementar a segurança de IP (IPsec) para conexões entre parceiros de roaming, definir limites de taxa de tráfego e usar uma inspeção stateful pode eliminar a maioria dos riscos de segurança do GTP. Os recursos de firewall GTP no Junos OS resolvem os principais problemas de segurança nas redes das operadoras móveis.

Os dispositivos de segurança da Juniper Networks mitigam uma grande variedade de ataques nos seguintes tipos de interfaces GPRS:

  • Gn — A interface Gn é a conexão entre um SGSN (S-GW) e um GGSN dentro da mesma rede móvel de terra pública (PLMN).

    S5 - A interface S5 é a conexão entre um S-GW e P-GW dentro do PLMN em redes 4G.

  • Gp — A interface do GP é a conexão entre duas PLMNs.

    A interface S8-S8 é a conexão de plano de portador entre casa e PLMNs visitadas em redes 4G.

  • Gi — A interface Gi é a conexão entre um GGSN e as redes de Internet ou destino conectadas a um PLMN.

    SGi - A interface SGi é a conexão entre um P-GW e a Internet ou redes de destino conectadas a uma PLMN em redes 4G.

O termo interface tem significados diferentes no Junos OS e na tecnologia GPRS. No Junos OS, uma interface é uma porta para uma zona de segurança que permite que o tráfego entre e saia da zona. No GPRS, uma interface é uma conexão, ou um ponto de referência, entre dois componentes de uma infraestrutura GPRS, por exemplo, um SGSN (S-GW) e um GGSN (P-GW).

A partir do Junos OS Release 18.4R1, a inspeção de segurança de tráfego do protocolo de tunelamento GPRS (GTP) é suportada em endereços IPv6, juntamente com o suporte IPv4 existente. Com esse aprimoramento, um túnel GTP usando endereços IPv4 e IPv6 está estabelecido para endpoints de usuário (UEs) individuais entre um nó de suporte para GPRS (SGSN) em 3G ou um gateway de serviço (S-GW) e um nó de suporte para GPRS (GGSN) em 3G ou um gateway PDN (P-GW) no 4G. Com suporte para IPv6, o GATEWAY de camada de aplicativos GTP (ALG) inspeciona ou ignora as sessões IPv6 GTP de acordo com as configurações da política. Todas as funções alg no IPv4 são suportadas no IPv6. Você pode inspecionar a sinalização GTP ou as mensagens de dados transmitidas pelo IPv6 com base nas configurações da política.

Este tópico contém as seguintes seções:

Interfaces gp e gn

Você implementa um dispositivo de segurança na interface Gn para proteger ativos de rede de núcleo, como o SGSN (S-GW) e o GGSN (P-GW). Para proteger túneis GTP na interface Gn, você coloca o dispositivo de segurança entre SGSNs (S-GW) e GGSNs (P-GW) em um PLMN comum.

Quando você implementa um dispositivo de segurança na interface gp, você protege um PLMN de outro PLMN. Para proteger túneis GTP na interface gp, você coloca as SGSNs (S-GW) e GGSNs (P-GW) de um PLMN atrás do dispositivo de segurança para que todo o tráfego, de entrada e saída, passe pelo firewall.

A Figura 1 ilustra a colocação de dispositivos da Série SRX da Juniper Networks usados para proteger PLMNs nas interfaces Gp e Gn.

Figura 1: Interfaces Gp and Gn Interfaces Gp e Gn

Gi Interface

Ao implementar um dispositivo de segurança na interface Gi, você pode controlar simultaneamente o tráfego para várias redes, proteger uma PLMN contra a Internet e redes externas e proteger os usuários móveis da Internet e de outras redes. O Junos OS oferece um grande número de roteadores virtuais, possibilitando que você use um roteador virtual por rede do cliente e, assim, permita a separação do tráfego para cada rede do cliente.

O dispositivo de segurança pode encaminhar pacotes com segurança para a Internet ou redes de destino usando o Protocolo de Tunelamento de Camada 2 (L2TP) para túneis de rede virtual privada (VPN) IPsec.

Os dispositivos da Série SRX não oferecem suporte total a L2TP.

A Figura 2 ilustra a implementação de um dispositivo de segurança para proteger um PLMN na interface Gi.

Figura 2: Interface Gi Interface Gi

Modos operacionais

O Junos OS oferece suporte a dois modos operacionais de interface com GTP: modo transparente e modo de rota. Se você quiser que o dispositivo de segurança participe da infraestrutura de roteamento de sua rede, você pode executá-lo no modo de rota. Isso requer uma certa quantidade de redesenhadas. Como alternativa, você pode implementar o dispositivo de segurança em sua rede existente em modo transparente sem precisar reconfigurar toda a rede. No modo transparente, o dispositivo de segurança funciona como um switch ou ponte de Camada 2, e os endereços IP das interfaces são definidos em 0.0.0.0.0, tornando a presença do dispositivo de segurança invisível, ou transparente, para os usuários.

O Junos OS oferece suporte a NAT em interfaces e políticas que não têm a inspeção GTP habilitada.

Atualmente no Junos OS, o modo de rota oferece suporte a cluster ativo/passivo e de chassi ativo/ativo. O modo transparente oferece suporte apenas ativo/passivo.

Atualização de software gtp em serviço

O GTP oferece suporte a upgrade unificado de software em serviço (ISSU) entre dois dispositivos da Série SRX que executam duas versões diferentes do Junos OS. O ISSU unificado é realizado em um cluster de chassi, permitindo uma atualização de software entre duas versões diferentes do Junos OS sem interrupções no plano de controle e com o mínimo de interrupção do tráfego.

Nos dispositivos SRX5400, SRX5600 e SRX5800, o ISSU tem suporte do Junos OS Release 12.1X45 até o Junos OS Release 12.1X46 e do Junos OS Release 12.1X46 até Junos OS Release 12.3X48-D10. A ISSU não tem suporte do Junos OS Release 12.1X45 até o Junos OS Release 12.3X48-D10.

Entender o suporte do GTP para a arquitetura de pontos centrais

O equipamento do usuário (por exemplo, um celular) é conectado a um nó de suporte gprs (SGSN) ou S-GW (gateway de serviço) para serviços de dados de serviço de rádio de pacotes gerais (GPRS). O SGSN (S-GW) se conecta a um nó de suporte para GPRS de gateway para acessar a Internet. O equipamento do usuário solicita à SGSN que crie um ou vários túneis de protocolo de tunelamento GPRS (GTP) para o GGSN ou P-GW (Gateway PDN) para acesso à Internet. Em situações em que o equipamento do usuário se move para um novo local, o equipamento do usuário precisa ser conectado a outro SGSN. O novo SGSN notifica o GGSN para atualizar as novas informações de SGSN no túnel original.

O gateway de camada de aplicativos GTP (ALG) mantém o status dos túneis e permite a atualização de pacotes de solicitação de túnel apenas para os túneis existentes. Quando o equipamento do usuário se move para um novo local e se conecta a outro SGSN, as novas informações de SGSN devem ser atualizadas no túnel original. Como poucas mensagens GTP-C são bidirecionais, e as mensagens podem ser enviadas pelo SGSN ou pelo GGSN, a distribuição correta de sessão não é garantida. Ou seja, o GTP ALG deixa de criar uma sessão se o primeiro pacote se originar de uma direção desconhecida. Nesse caso, o primeiro pacote e os outros pacotes pendentes são descartados.

Para evitar que os pacotes GTP-C sejam descartados, uma nova sessão de fluxo é criada e o tráfego GTP-C pode ser aprovado mesmo se a direção GGSN ou SGSN não for determinada. Mais tarde, o IP GGSN é determinado usando a SPU correta para criar a sessão de fluxo; caso contrário, a sessão é migrada para a SPU designada.

A partir do Junos OS Release 18.4R1, o túnel GTP-C é aprimorado para oferecer suporte à distribuição de sessão baseada em túnel para acelerar o processo de configuração do túnel e equilibrar as sessões entre as SPUs. A sessão baseada em túnel garante que as mensagens do túnel GTP-C atinjam o túnel de controle e terminem a inspeção stateful. Se a distribuição GTP-C estiver habilitada, os túneis GTP-C e as sessões de túnel GTP-C serão distribuídos pelo identificador de endpoint do túnel SGSN (TEID) do túnel. Use o set security forwarding-process application-services enable-gtpu-distribution comando para habilitar a distribuição de sessão baseada em túnel onde o tráfego GTP-C de diferentes túneis está espalhado por diferentes SPUs. Este comando é obrigatório. Se ele estiver ausente da configuração, o GTP ALG deixará de funcionar e não inspecionará os pacotes GTP.

Começando no Junos OS Versão 15.1X49-D40 e Junos OS Versão 17.3R1, a arquitetura do ponto central é aprimorada. As melhorias são as seguintes:

  • Evite problemas de queda de pacotes GTP-C durante a entrega do SGSN.

  • Suporte à limitação da taxa de mensagem GTP-C para proteger a GGSN contra inundações de mensagens GTP-C.

  • Distribua o tráfego GTP-C e GTP-U tratado por um par GGSN e SGSN em todas as SPUs comutação para distribuição de sessão baseada em túnel na qual o tráfego GTP-C e GTP-U de diferentes túneis é espalhado por diferentes SPUs. Use o enable-gtpu-distribution comando para habilitar a distribuição de sessão GTP-C ou GTP-U.

Gerenciamento de túneis GTP

O GTP é usado para estabelecer um túnel GTP para endpoints de usuário (UEs) individuais e entre um nó de suporte para GPRS (SGSN) e um nó de suporte para GPRS (GGSN) de gateway. Um túnel GTP é um canal entre GSNs através dos quais dois hosts trocam dados. O SGSN recebe pacotes dos endpoints (UEs) do usuário e os encapsula dentro de um cabeçalho GTP antes de encaminhá-los para o GGSN através do túnel GTP. Quando o GGSN recebe os pacotes, ele os descapsula e os encaminha para o host externo.

Objeto de túnel: os endpoints do cliente contêm informações para GSN a jusante (SGSN), os endpoints do Servidor contêm informações para GSN upstream (GGSN). Cada endpoint de túnel reserva os campos um para endereço IPv4 e outro para endereço IPv6. O endpoint do túnel salva os endereços aprendidos na criação ou atualização de mensagens do túnel.

Entrada de redirecionamento: as entradas de redirecionamento (também chamadas de túneis de redirecionamento) são instaladas para ajudar a encontrar a SPU âncora. Os endpoints de redirecionamento são criados por meio da criação de túneis GTP normais. Uma entrada de redirecionamento é mapeada para um endpoint de túnel e copia endereço IP(es), valor TEID e o ID de SPU âncora do túnel. Com o suporte de túnel IPv6, a entrada de redirecionamento é expandida como um objeto de túnel.

GSN

O nó de suporte para GPRS de gateway (GGSN) ou P-GW (Gateway PDN) converte o tráfego de dados recebido vindo dos usuários móveis através do nó de suporte para GPRS (SGSN) do gateway de serviço e o encaminha para a rede relevante, e vice-versa. O GGSN e o SGSN juntos formam os nós de suporte para GPRS (GSN).

Objeto GSN: o GTP ALG mantém uma tabela GSN. Cada nó GSN em uma tabela GSN registrará um endereço IP GSN, (IPv4 ou IPv6), contador de reinicialização GSN e contador de limitação de taxa baseado em GSN, etc. Se um nó GSN tiver endereço IPv4 e IPv6, o GTP ALG gerará duas entradas GSN, uma para endereço IPv4 e outra para endereço IPv6 e as duas entradas GSN no mesmo nó GSN conta as mensagens de sinalização de limite de taxa de forma independente e envelhece separadamente.

Reinicialização de GSN: se um GSN for reiniciado, o contador de reinicialização muda e os túneis relacionados serão excluídos. Por exemplo, se um nó GSN for habilitado com dois endereços IP em túneis. em seguida, a reinicialização do GSN é encontrada por apenas um endereço IP (IPv4 ou IPv6). Os túneis com ambos os endereços IP são removidos e vice-versa.

Gerenciamento de objetos de caminho

Um objeto de caminho contém dois endereços GSN e oferece suporte a endereços IPv4 e IPv6. Um objeto de caminho registra as informações entre os endereços GSN, como contador de mensagens, da última vez e assim por diante. Para uma GSN que tenha endereço IPv4 e IPv6, os dois endereços têm seus caminhos separados. Cada caminho executa sua própria limitação de taxa e envelhece separadamente.

Documentação relacionada

Tabela de histórico de lançamento
Lançamento
Descrição
18.4R1
A partir do Junos OS Release 18.4R1, a inspeção de segurança de tráfego do protocolo de tunelamento GPRS (GTP) é suportada em endereços IPv6, juntamente com o suporte IPv4 existente. Com esse aprimoramento, um túnel GTP usando endereços IPv4 e IPv6 está estabelecido para endpoints de usuário (UEs) individuais entre um nó de suporte para GPRS (SGSN) em 3G ou um gateway de serviço (S-GW) e um nó de suporte para GPRS (GGSN) em 3G ou um gateway PDN (P-GW) no 4G. Com suporte para IPv6, o GATEWAY de camada de aplicativos GTP (ALG) inspeciona ou ignora as sessões IPv6 GTP de acordo com as configurações da política. Todas as funções alg no IPv4 são suportadas no IPv6. Você pode inspecionar a sinalização GTP ou as mensagens de dados transmitidas pelo IPv6 com base nas configurações da política.
15,1X49-D40
Começando no Junos OS Versão 15.1X49-D40 e Junos OS Versão 17.3R1, a arquitetura do ponto central é aprimorada.