Introduction au GPRS
Présentation du GPRS
Les réseaux GPRS (General Packet Radio Service) se connectent à plusieurs réseaux externes, y compris ceux des partenaires d’itinérance, des clients d’entreprise, des fournisseurs GPRS Roaming Exchange (GRX) et de l’Internet public. Les opérateurs réseau GPRS sont confrontés au défi de protéger leur réseau tout en fournissant et en contrôlant l’accès vers et depuis ces réseaux externes. Juniper Networks fournit des solutions à de nombreux problèmes de sécurité qui affligent les opérateurs réseau GPRS.
Dans l’architecture GPRS, la cause fondamentale des menaces de sécurité pour le réseau d’un opérateur est le manque de sécurité inhérent au protocole de tunnelisation GPRS (GTP). GTP est le protocole utilisé entre les nœuds de support GPRS (GSN). Le GTP est utilisé pour établir un tunnel GTP pour les points de terminaison d’utilisateurs individuels (UE) et entre une passerelle de services (S-GW) et une passerelle PDN (P-GW) en 4G. Un tunnel GTP est un canal entre les réseaux GSN par lequel deux hôtes échangent des données. Le SGSN (S-GW ) reçoit les paquets des points de terminaison de l’utilisateur et les encapsule dans un en-tête GTP avant de les transférer vers le GGSN via le tunnel GTP. Lorsque le GGSN reçoit les paquets, il les décape et les transfère à l’hôte externe.
La communication entre les différents réseaux GPRS n’est pas sécurisée car GTP ne fournit aucune authentification, intégrité des données ou protection de la confidentialité. L’implémentation de la sécurité IP (IPsec) pour les connexions entre les partenaires d’itinérance, la définition de limites de débit de trafic et l’utilisation d’une inspection à états peuvent éliminer la majorité des risques de sécurité du GTP. Les fonctionnalités de pare-feu GTP de Junos OS répondent aux problèmes de sécurité clés des réseaux des opérateurs mobiles.
Les équipements de sécurité Juniper Networks atténuent une grande variété d’attaques sur les types d’interfaces GPRS suivants :
Gn : l’interface Gn est la connexion entre un SGSN (S-GW) et un GGSN au sein d’un même réseau mobile terrestre public (PLMN).
S5 - L’interface S5 est la connexion entre un S-GW et un P-GW dans le PLMN dans les réseaux 4G.
Gp : l’interface Gp est la connexion entre deux PLMN.
S8 - L’interface S8 est le plan de connexion entre les PLMN domestiques et visités dans les réseaux 4G.
Gi : l’interface Gi est la connexion entre un GGSN et les réseaux Internet ou de destination connectés à un PLMN.
SGi - L’interface SGi est la connexion entre un P-GW et les réseaux Internet ou de destination connectés à un PLMN dans les réseaux 4G.
Le terme interface a différentes significations dans Junos OS et dans la technologie GPRS. Dans Junos OS, une interface est une porte d’entrée vers une zone de sécurité qui permet au trafic d’entrer et de sortir de la zone. Dans GPRS, une interface est une connexion, ou un point de référence, entre deux composants d’une infrastructure GPRS, par exemple, un SGSN (S-GW) et un GGSN (P-GW).
À partir de la version 18.4R1 de Junos OS, l’inspection de sécurité du trafic GTP (GPRS Tunneling Protocol) est prise en charge sur les adresses IPv6 ainsi que sur la prise en charge IPv4 existante. Grâce à cette amélioration, un tunnel GTP utilisant soit des adresses IPv4 et IPv6 est établi pour les points de terminaison individuels des utilisateurs (UE) entre un nœud de support GPRS de service (SGSN) en 3G ou une passerelle de services (S-GW) et un nœud de support GPRS (GGSN) en 3G ou une passerelle PDN (P-GW) en 4G. Avec la prise en charge IPv6, la passerelle de couche application (ALG) GTP inspecte ou ignore les sessions GTP IPv6 en fonction des configurations de stratégie. Toutes les fonctions ALG sur IPv4 sont prises en charge sur IPv6. Vous pouvez inspecter la signalisation GTP ou les messages de données transmis sur IPv6 en fonction des configurations de stratégie.
Cette rubrique contient les sections suivantes :
- Interfaces Gp et Gn
- Gi Interface
- Modes opérationnels
- Mise à niveau logicielle en cours d’utilisation GTP
Interfaces Gp et Gn
Vous implémentez un équipement de sécurité sur l’interface Gn pour protéger les ressources réseau centrales telles que SGSN (S-GW) et GGSN (P-GW). Pour sécuriser les tunnels GTP sur l’interface Gn, vous placez l’équipement de sécurité entre SGSN (S-GW) et GGSN (P-GW) dans un PLMN commun.
Lorsque vous implémentez un équipement de sécurité sur l’interface Gp, vous protégez un PLMN contre un autre PLMN. Pour sécuriser les tunnels GTP sur l’interface Gp, vous placez les SGSN (S-GW) et les GGSN (P-GW) d’un PLMN derrière l’équipement de sécurité afin que tout le trafic, entrant et sortant, passe par le pare-feu.
La figure 1 illustre l’emplacement des équipements SRX Series de Juniper Networks utilisés pour protéger les PLMN sur les interfaces Gp et Gn.
Gp et Gn
Gi Interface
Lorsque vous implémentez un équipement de sécurité sur l’interface Gi, vous pouvez simultanément contrôler le trafic de plusieurs réseaux, protéger un PLMN contre Internet et les réseaux externes, et protéger les utilisateurs mobiles d’Internet et d’autres réseaux. Junos OS fournit un grand nombre de routeurs virtuels, ce qui vous permet d’utiliser un routeur virtuel par réseau client et ainsi permettre la séparation du trafic pour chaque réseau client.
L’équipement de sécurité peut transférer des paquets vers Internet ou les réseaux de destination en toute sécurité à l’aide du protocole L2TP (Layer 2 Tunneling Protocol) pour les tunnels VPN (Virtual Private Network) IPsec.
Les équipements SRX Series ne prennent pas en charge l’intégralité du protocole L2TP.
La figure 2 illustre l’implémentation d’un équipement de sécurité pour protéger un PLMN sur l’interface Gi.
Gi
Modes opérationnels
Junos OS prend en charge deux modes opérationnels d’interface avec GTP : le mode transparent et le mode route. Si vous souhaitez que l’équipement de sécurité participe à l’infrastructure de routage de votre réseau, vous pouvez l’exécuter en mode routage. Cela nécessite une certaine refonte du réseau. Vous pouvez également implémenter l’équipement de sécurité dans votre réseau existant en mode transparent sans avoir à reconfigurer l’ensemble du réseau. En mode transparent, l’équipement de sécurité fonctionne comme un commutateur ou un pont de couche 2, et les adresses IP des interfaces sont définies à 0.0.0.0, ce qui rend la présence de l’équipement de sécurité invisible, ou transparente, pour les utilisateurs.
Junos OS prend en charge le NAT sur les interfaces et les stratégies qui n’ont pas d’inspection GTP activée.
Actuellement sous Junos OS, le mode routage prend en charge le cluster de châssis actif/passif et actif/actif. Le mode transparent prend uniquement en charge les modes actifs/passifs.
Mise à niveau logicielle en cours d’utilisation GTP
GTP prend en charge la mise à niveau logicielle en service unifiée (ISSU) entre deux équipements SRX Series exécutant deux versions Différentes de Junos OS. Unified ISSU est effectué sur un cluster de châssis, ce qui permet une mise à niveau logicielle entre deux versions différentes de Junos OS sans perturbation sur le plan de contrôle et avec un minimum de perturbation du trafic.
Sur les équipements SRX5400, SRX5600 et SRX5800, ISSU est pris en charge de Junos OS version 12.1X45 à Junos OS version 12.1X46 et de Junos OS version 12.1X46 à Junos OS version 12.3X48-D10. ISSU n’est pas prise en charge de Junos OS version 12.1X45 à Junos OS version 12.3X48-D10.
Comprendre la prise en charge de GTP pour l’architecture Central Point
L’équipement utilisateur (par exemple, un téléphone cellulaire) se fixe à un nœud d’assistance GPRS de service (SGSN) ou S-GW (passerelle de service radio par paquets général) (GPRS) de données. Le SGSN (S-GW) se connecte à un nœud de prise en charge gpRS de passerelle pour accéder à Internet. L’équipement utilisateur demande au SGSN de créer un ou plusieurs tunnels GPRS tunneling Protocol (GTP) vers le GGSN ou P-GW (passerelle PDN) pour l’accès à Internet. Dans les situations où l’équipement utilisateur se déplace vers un nouvel emplacement, l’équipement utilisateur doit être attaché à un autre SGSN. Le nouveau SGSN informe le GGSN de mettre à jour les nouvelles informations SGSN dans le tunnel d’origine.
La passerelle de couche application GTP (ALG) conserve l’état des tunnels et permet de mettre à jour les paquets de demande de tunnel uniquement pour les tunnels existants. Lorsque l’équipement utilisateur se déplace vers un nouvel emplacement et s’attache à un autre SGSN, les nouvelles informations SGSN doivent être mises à jour dans le tunnel d’origine. Étant donné que peu de messages GTP-C sont bidirectionnels et que les messages peuvent être envoyés par le SGSN ou le GGSN, la bonne distribution des sessions n’est pas garantie. Autrement dit, l’ALG GTP cesse de créer une session si le premier paquet provient d’une direction inconnue. Dans ce cas, le premier paquet et les autres paquets en attente sont supprimés.
Pour éviter la perte de paquets GTP-C, une nouvelle session de flux est créée et le trafic GTP-C est autorisé à passer même si la direction GGSN ou SGSN n’est pas déterminée. Plus tard, l’IP GGSN est déterminée à l’aide du SPU approprié pour créer la session de flux ; dans le cas contraire, la session est migrée vers le SPU désigné.
À partir de la version 18.4R1 de Junos OS, le tunnel GTP-C est amélioré pour prendre en charge la distribution des sessions basée sur les tunnels afin d’accélérer le processus de configuration du tunnel et d’équilibrer la charge entre les SPU. La session basée sur un tunnel garantit que les messages du tunnel GTP-C atteignent le tunnel de contrôle et terminent l’inspection dynamique. Si la distribution GTP-C est activée, les tunnels GTP-C et les sessions de tunnel GTP-C sont distribués par l’identifiant TEID (Tunnel Endpoint Identifier) du tunnel. Utilisez la set security forwarding-process application-services enable-gtpu-distribution commande pour activer la distribution des sessions basée sur des tunnels où le trafic GTP-C de différents tunnels est réparti sur différents SPU. Cette commande est obligatoire. S’il est absent de la configuration, l’ALG GTP cessera de fonctionner et n’inspectera pas les paquets GTP.
À partir des versions 15.1X49-D40 et 17.3R1 de Junos OS, l’architecture centralisée est améliorée. Les améliorations sont les suivantes :
Évitez les problèmes de perte de paquets GTP-C lors du passage de contrôle SGSN.
Prenez en charge la limitation de la vitesse des messages GTP-C pour protéger le GGSN contre l’inondation des messages GTP-C.
Distribuez le trafic GTP-C et GTP-U géré par une paire GGSN et SGSN sur tous les SPU en passant à une distribution de sessions basée sur des tunnels dans laquelle le trafic GTP-C et GTP-U de différents tunnels est réparti sur différents SPU. Utilisez la commande pour activer la
enable-gtpu-distributiondistribution des sessions GTP-C ou GTP-U.
Gestion des tunnels GTP
GtP est utilisé pour établir un tunnel GTP pour les points de terminaison d’utilisateurs individuels et entre un nœud de support GPRS de service (SGSN) et un nœud de support GPRS de passerelle (GGSN). Un tunnel GTP est un canal entre les réseaux GSN par lequel deux hôtes échangent des données. Le SGSN reçoit les paquets des points de terminaison utilisateur (UE) et les encapsule dans un en-tête GTP avant de les transférer vers le GGSN via le tunnel GTP. Lorsque le GGSN reçoit les paquets, il les décape et les transfère à l’hôte externe.
Objet tunnel : les points de terminaison client contiennent des informations pour le GSN en aval (SGSN), les points de terminaison serveur contiennent des informations pour le GSN en amont (GGSN). Chaque terminal de tunnel réserve les champs un pour l’adresse IPv4 et un pour l’adresse IPv6. Le point de terminaison du tunnel enregistre les adresses apprises dans les messages de création ou de mise à jour du tunnel.
Entrée de redirection : les entrées de redirection (également appelées tunnels de redirection) sont installées pour aider à trouver le SPU d’ancrage. Les points de terminaison de redirection sont créés par la création de tunnels GTP normaux. Une entrée de redirection est mappée à un point de terminaison de tunnel et elle copie l’adresse IP, la valeur TEID et l’ID SPU d’ancrage du tunnel. Avec la prise en charge du tunnel IPv6, l’entrée de redirection est étendue comme un objet tunnel.
GSN
Le nœud de support GPRS (GGSN) ou P-GW (passerelle PDN) convertit le trafic de données entrant provenant des utilisateurs mobiles via le nœud de support GPRS (SGSN) de la passerelle de services et le transfère au réseau concerné, et inversement. Le GGSN et le SGSN forment ensemble les nœuds de support GPRS (GSN).
Objet GSN : l’ALG GTP gère une table GSN. Chaque nœud GSN d’une table GSN enregistrera une adresse IP GSN (IPv4 ou IPv6), un compteur de redémarrage GSN et un compteur de limitation de débit basé sur GSN, etc. Si un nœud GSN possède à la fois une adresse IPv4 et une adresse IPv6, l’ALG GTP génère deux entrées GSN, l’une pour l’adresse IPv4 et l’autre pour l’adresse IPv6, et les deux entrées GSN du même nœud GSN comptent les messages de signalisation de débit-limite de débit indépendamment et sont vieillissantes séparément.
Redémarrage de GSN : si un GSN redémarre, le compteur de redémarrage change et les tunnels associés sont supprimés. Par exemple, si un nœud GSN est activé avec deux adresses IP sur des tunnels. le redémarrage du GSN est alors détecté par une seule adresse IP (IPv4 ou IPv6). Les tunnels avec les deux adresses IP sont supprimés, et vice versa.
Gestion des objets de chemin
Un objet path contient deux adresses GSN et prend en charge les adresses IPv4 et IPv6. Un objet de chemin enregistre les informations entre les adresses GSN telles que le compteur de messages, la dernière fois, etc. Pour un GSN ayant à la fois une adresse IPv4 et IPv6, les deux adresses ont leurs chemins séparés. Chaque chemin effectue sa propre limitation de débit et vieillit séparément.