Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Introduction au GPRS

Présentation du GPRS

Les réseaux GPRS (General Packet Radio Service) se connectent à plusieurs réseaux externes, notamment ceux des partenaires d’itinérance, des clients d’entreprise, des fournisseurs d’itinérance GPRS (GRX) et de l’Internet public. Les opérateurs réseau GPRS doivent protéger leur réseau tout en assurant et en contrôlant les accès à ces réseaux externes. Juniper Networks apporte des solutions à un grand nombre de problèmes de sécurité qui affligent les opérateurs réseau GPRS.

Dans l’architecture GPRS, la cause fondamentale des menaces de sécurité qui pèsent sur le réseau d’un opérateur est le manque de sécurité inhérent au protocole GTP (GPRS Tunneling Protocol). GTP est le protocole utilisé entre les nœuds de prise en charge GPRS (GSN). GtP permet d’établir un tunnel GTP pour les points d’extrémité utilisateur individuels (UE) et entre une passerelle de services (S-GW) et une passerelle PDN (P-GW) en 4G. Un tunnel GTP est un canal entre GSN à travers lequel deux hôtes échangent des données. Le SGSN (S-GW) reçoit les paquets des points de terminaison utilisateur et les encapsule dans un en-tête GTP avant de les transférer vers le GGSN via le tunnel GTP. Lorsque le GGSN reçoit les paquets, il les décapsule et les transfère à l’hôte externe.

La communication entre les différents réseaux GPRS n’est pas sécurisée, car GTP ne fournit aucune protection en matière d’authentification, d’intégrité des données ou de confidentialité. L’implémentation de la sécurité IP (IPsec) pour les connexions entre partenaires d’itinérance, la définition de limites de débit de trafic et l’inspection dynamique peuvent éliminer la majorité des risques de sécurité du GTP. Les fonctionnalités de pare-feu GTP de Junos OS répondent aux principaux problèmes de sécurité sur les réseaux des opérateurs mobiles.

Les équipements de sécurité Juniper Networks atténuent un large éventail d’attaques contre les types d’interfaces GPRS suivants :

  • Gn : l’interface Gn est la connexion entre un SGSN (S-GW) et un GGSN au sein du même réseau mobile terrestre public (PLMN).

    S5 - L’interface S5 est la connexion entre un S-GW et un P-GW au sein du PLMN dans les réseaux 4G.

  • Gp : l’interface Gp correspond à la connexion entre deux PLMN.

    S8 - L’interface S8 est la connexion au plan porteur entre la maison et les PLMN visités dans les réseaux 4G.

  • Gi : l’interface Gi correspond à la connexion entre un GGSN et Internet, ou aux réseaux de destination connectés à un PLMN.

    SGi : l’interface SGi correspond à la connexion entre un P-GW et Internet, ou aux réseaux de destination connectés à un PLMN dans les réseaux 4G.

Le terme interface a différentes significations dans Junos OS et dans la technologie GPRS. Dans Junos OS, une interface est une porte d’entrée vers une zone de sécurité qui permet au trafic d’entrer et de quitter la zone. Dans le GPRS, une interface est une connexion ou un point de référence entre deux composants d’une infrastructure GPRS, par exemple un SGSN (S-GW) et un GGSN (P-GW).

À partir de Junos OS version 18.4R1, l’inspection de la sécurité du trafic du protocole GTP (GPRS tunneling protocol) est prise en charge sur les adresses IPv6 et la prise en charge IPv4 existante. Grâce à cette amélioration, un tunnel GTP utilisant des adresses IPv4 et IPv6 est établi pour les points d’extrémité individuels des utilisateurs (UE) entre un nœud SGSN (Serving GPRS Support Node) en 3G ou une passerelle de services (S-GW) et un nœud de support GPRS (GGSN) de passerelle en 3G ou une passerelle PDN (P-GW) en 4G. Grâce à la prise en charge d’IPv6, la passerelle de couche applicative (ALG) GTP inspecte ou ignore les sessions GTP IPv6 en fonction des configurations de stratégie. Toutes les fonctions ALG sur IPv4 sont prises en charge sur IPv6. Vous pouvez inspecter la signalisation GTP ou les messages de données transmis sur IPv6 en fonction des configurations de stratégie.

Cette rubrique contient les sections suivantes :

Interfaces Gp et Gn

Vous implémentez un dispositif de sécurité sur l’interface Gn pour protéger les ressources réseau centrales telles que SGSN (S-GW) et GGSN (P-GW). Pour sécuriser les tunnels GTP sur l’interface Gn, vous placez l’équipement de sécurité entre les SGSN (S-GW) et les GGSN (P-GW) dans un PLMN commun.

Lorsque vous implémentez un dispositif de sécurité sur l’interface Gp, vous protégez un PLMN d’un autre PLMN. Pour sécuriser les tunnels GTP sur l’interface Gp, vous placez les SGSN (S-GW) et GGSN (P-GW) d’un PLMN derrière l’équipement de sécurité afin que tout le trafic, entrant et sortant, passe par le pare-feu.

La Figure 1 illustre la position des équipements SRX Series de Juniper Networks utilisés pour protéger les PLMN sur les interfaces Gp et Gn.

Figure 1 : Interfaces Gp and Gn Interfaces Gp et Gn

Gi Interface

Lorsque vous implémentez un équipement de sécurité sur l’interface Gi, vous pouvez simultanément contrôler le trafic de plusieurs réseaux, protéger un PLMN contre Internet et les réseaux externes, et protéger les utilisateurs mobiles d’Internet et d’autres réseaux. Junos OS offre un grand nombre de routeurs virtuels, ce qui vous permet d’utiliser un routeur virtuel par réseau client et de séparer ainsi le trafic de chaque réseau client.

L’équipement de sécurité peut transférer en toute sécurité des paquets vers Internet ou les réseaux de destination à l’aide du protocole L2TP (Layer 2 Tunneling Protocol) pour les tunnels VPN (virtual private network) IPsec.

Les équipements SRX Series ne prennent pas en charge l’intégralité de L2TP.

La figure 2 illustre l’implémentation d’un dispositif de sécurité pour protéger un PLMN sur l’interface Gi.

Figure 2 : Interface Gi Interface Gi

Modes opérationnels

Junos OS prend en charge deux modes opérationnels d’interface avec GTP : le mode transparent et le mode de routage. Si vous souhaitez que l’équipement de sécurité participe à l’infrastructure de routage de votre réseau, vous pouvez l’exécuter en mode routage. Cela nécessite une certaine refonte du réseau. Vous pouvez également implémenter l’équipement de sécurité dans votre réseau existant en mode transparent sans avoir à reconfigurer l’ensemble du réseau. En mode transparent, le dispositif de sécurité fonctionne comme un commutateur ou un pont de couche 2, et les adresses IP des interfaces sont définies à 0.0.0.0, ce qui rend la présence de l’équipement de sécurité invisible ou transparente pour les utilisateurs.

Junos OS prend en charge la traduction d’adresses réseau (NAT) sur les interfaces et les stratégies qui n’ont pas activé l’inspection GTP.

Actuellement sous Junos OS, le mode de routage prend en charge le cluster de châssis actif/passif et actif/actif. Le mode transparent prend uniquement en charge les fonctions actives/passives.

Mise à niveau logicielle GTP en cours d’service

GTP prend en charge la mise à niveau logicielle unifiée en cours d’exécution (ISSU) entre deux équipements SRX Series exécutant deux versions de Junos OS différentes. Unified ISSU est exécuté sur un cluster de châssis, ce qui permet une mise à niveau logicielle entre deux versions de Junos OS différentes, sans perturbation du plan de contrôle et avec un minimum de perturbation du trafic.

Sur les équipements SRX5400, SRX5600 et SRX5800, ISSU est pris en charge depuis Junos OS version 12.1X45 à Junos OS version 12.1X46 et depuis Junos OS version 12.1X46 jusqu’à Junos OS Version 12.3X48-D10. ISSU n’est pas pris en charge depuis Junos OS version 12.1X45 à Junos OS version 12.3X48-D10.

Comprendre la prise en charge de GTP pour l’architecture centrale des points

L’équipement utilisateur (par exemple, un téléphone cellulaire) est attaché à un nœud d’assistance GPRS en service (SGSN) ou à un S-GW (Serving Gateway) pour le service de données GPRS (General Packet Radio Service). Le SGSN (S-GW) se connecte à un nœud de prise en charge GPRS de passerelle pour accéder à Internet. L’équipement utilisateur demande au SGSN de créer un ou plusieurs tunnels GTP (GPRS tunneling protocol) vers le GGSN ou P-GW (passerelle PDN) pour l’accès Internet. Dans les situations où l’équipement utilisateur se déplace vers un nouveau site, l’équipement utilisateur doit être attaché à un autre SGSN. Le nouveau SGSN informe le GGSN de mettre à jour les nouvelles informations SGSN dans le tunnel d’origine.

La passerelle de couche applicative (ALG) GTP maintient l’état des tunnels et autorise les paquets de requête de mise à jour du tunnel uniquement pour les tunnels existants. Lorsque l’équipement utilisateur se déplace vers un nouveau site et se fixe à un autre SGSN, les nouvelles informations SGSN doivent être mises à jour dans le tunnel d’origine. Étant donné que peu de messages GTP-C sont bidirectionnels et que les messages peuvent être envoyés par SGSN ou GGSN, il n’est pas garanti que la distribution des sessions soit correcte. Autrement dit, le GTP ALG cesse de créer une session si le premier paquet vient d’une direction inconnue. Dans ce cas, le premier paquet et les autres paquets en attente sont abandonnés.

Pour éviter la perte de paquets GTP-C, une nouvelle session de flux est créée et le trafic GTP-C est autorisé à passer même si la direction GGSN ou SGSN n’est pas déterminée. Plus tard, l’IP GGSN est déterminée à l’aide du SPU correct pour créer la session de flux ; sinon, la session est migrée vers le SPU désigné.

À partir de Junos OS version 18.4R1, le tunnel GTP-C est amélioré pour prendre en charge la distribution de sessions basée sur un tunnel afin d’accélérer le processus de configuration du tunnel et d’équilibrer la charge des sessions entre les SPU. La session en tunnel garantit que les messages du tunnel GTP-C atteignent le tunnel de contrôle et terminent l’inspection dynamique. Si la distribution GTP-C est activée, les tunnels GTP-C et les sessions de tunnel GTP-C sont distribués par l’identificateur de point de terminaison du tunnel SGSN (TEID) du tunnel. Utilisez la set security forwarding-process application-services enable-gtpu-distribution commande pour activer la distribution de session basée sur des tunnels, où le trafic GTP-C de différents tunnels est réparti entre les différentes SPU. Cette commande est obligatoire. S'il est manquant dans la configuration, l'ALG GTP cesse de fonctionner et n'inspecte pas les paquets GTP.

Depuis Junos OS version 15.1X49-D40 et Junos OS version 17.3R1, l’architecture centrale des points est améliorée. Les améliorations sont les suivantes :

  • Évitez les problèmes de perte de paquets GTP-C pendant la remise sgsn.

  • Prend en charge la limitation de débit des messages GTP-C pour protéger le GGSN contre l’inondation des messages GTP-C.

  • Distribuez le trafic GTP-C et GTP-U géré par une paire GGSN et SGSN sur tous les SPU en passant à une distribution de session basée sur un tunnel dans laquelle le trafic GTP-C et GTP-U de différents tunnels est réparti entre différents SPU. Utilisez la commande pour activer la enable-gtpu-distribution distribution de session GTP-C ou GTP-U.

Gestion des tunnels GTP

GtP permet d’établir un tunnel GTP pour les points d’extrémité utilisateur individuels et entre un nœud d’assistance GPRS (SGSN) et un nœud d’assistance GPRS de passerelle (GGSN). Un tunnel GTP est un canal entre GSN à travers lequel deux hôtes échangent des données. Le SGSN reçoit les paquets des points de terminaison utilisateur (UE) et les encapsule dans un en-tête GTP avant de les transférer vers le GGSN via le tunnel GTP. Lorsque le GGSN reçoit les paquets, il les décapsule et les transfère à l’hôte externe.

Objet du tunnel : les points de terminaison client contiennent des informations sur le GSN en aval (SGSN), les points de terminaison serveur contiennent des informations pour GSN en amont (GGSN). Chaque point de terminaison du tunnel se réserve les champs un pour l’adresse IPv4 et un pour l’adresse IPv6. Le point de terminaison du tunnel enregistre les adresses apprises dans les messages de création ou de mise à jour du tunnel.

Entrée de redirection : des entrées de redirection (également appelées tunnels de redirection) sont installées pour aider à trouver le SPU d’ancrage. Les points de terminaison redirigés sont créés par le biais de tunnels GTP normaux. Une entrée de redirection est mappée à un point de terminaison du tunnel et copie les adresses IP, la valeur TEID et l’ID SPU d’ancrage à partir du tunnel. Avec la prise en charge du tunnel IPv6, l’entrée de redirection est étendue comme un objet tunnel.

GSN

Le nœud de prise en charge GPRS (GGSN) ou P-GW (PASSERELLE PDN) de la passerelle convertit le trafic de données entrant provenant des utilisateurs mobiles par le biais du nœud d’assistance GPRS (SGSN) de la passerelle de services, puis le transfère au réseau approprié, et vice versa. Le GGSN et le SGSN forment ensemble les nœuds de prise en charge GPRS (GSN).

Objet GSN : L’ALG GTP gère une table GSN. Chaque nœud GSN d’une table GSN enregistre une adresse IP GSN (IPv4 ou IPv6), un compteur de redémarrage GSN et un compteur de limitation de débit basé sur GSN, etc. Si un nœud GSN a à la fois une adresse IPv4 et une adresse IPv6, l’ALG GTP génère deux entrées GSN, l’une pour l’adresse IPv4 et l’autre pour l’adresse IPv6, et les deux entrées GSN dans le même nœud GSN comptent les messages de signalisation de limitation de débit de manière indépendante, et vieillissent séparément.

Redémarrage GSN : si un redémarrage GSN est nécessaire, le compteur de redémarrage change et les tunnels associés sont supprimés. Par exemple, si un nœud GSN est activé avec deux adresses IP dans des tunnels. puis le redémarrage GSN n’est trouvé qu’à l’aide d’une seule adresse IP (IPv4 ou IPv6). Les tunnels avec les deux adresses IP sont supprimés, et vice versa.

Gestion des objets de chemin

Un objet de chemin contient deux adresses GSN et prend en charge à la fois les adresses IPv4 et IPv6. Un objet de chemin enregistre les informations entre les adresses GSN, telles que le compteur de messages, la dernière fois, etc. Pour un GSN avec une adresse IPv4 et IPv6, les deux adresses ont des chemins séparés. Chaque chemin applique ses propres limites de débit et vieillit séparément.

Tableau Historique des versions
Libération
Description
18.4R1
À partir de Junos OS version 18.4R1, l’inspection de la sécurité du trafic du protocole GTP (GPRS tunneling protocol) est prise en charge sur les adresses IPv6 et la prise en charge IPv4 existante. Grâce à cette amélioration, un tunnel GTP utilisant des adresses IPv4 et IPv6 est établi pour les points d’extrémité individuels des utilisateurs (UE) entre un nœud SGSN (Serving GPRS Support Node) en 3G ou une passerelle de services (S-GW) et un nœud de support GPRS (GGSN) de passerelle en 3G ou une passerelle PDN (P-GW) en 4G. Grâce à la prise en charge d’IPv6, la passerelle de couche applicative (ALG) GTP inspecte ou ignore les sessions GTP IPv6 en fonction des configurations de stratégie. Toutes les fonctions ALG sur IPv4 sont prises en charge sur IPv6. Vous pouvez inspecter la signalisation GTP ou les messages de données transmis sur IPv6 en fonction des configurations de stratégie.
15,1X49-D40
Depuis Junos OS version 15.1X49-D40 et Junos OS version 17.3R1, l’architecture centrale des points est améliorée.