GPRS の概要
GPRS の概要
一般的なパケット無線サービス(GPRS)ネットワークは、ローミング パートナー、企業顧客、GPRS ローミング エクスチェンジ(GRX)プロバイダ、パブリック インターネットなど、複数の外部ネットワークに接続します。GPRS ネットワーク事業者は、外部ネットワークとの間のアクセスを提供および制御しながら、ネットワークを保護するという課題に直面しています。ジュニパーネットワークスは、GPRSネットワーク事業者を悩ませているセキュリティ問題の多くを解決します。
GPRSアーキテクチャでは、オペレータのネットワークに対するセキュリティ脅威の根本的な原因は、GPRSトンネリングプロトコル(GTP)に固有のセキュリティの欠如です。GTP は、GPRS サポート ノード(GSN)間で使用されるプロトコルです。GTP は、個々のユーザー エンドポイント(UE)、および 4G のサービス ゲートウェイ(S-GW)と PDN ゲートウェイ(P-GW)の間に GTP トンネルを確立するために使用されます。GTP トンネルは、2 つのホストがデータを交換する GSN 間のチャネルです。SGSN(S-GW)は、ユーザー エンドポイントからパケットを受信し、GTP ヘッダー内にカプセル化してから、GTP トンネルを介して GGSN に転送します。GGSN はパケットを受信すると、パケットをカプセル化解除して外部ホストに転送します。
GTP は認証、データ整合性、機密性保護を提供しないため、異なる GPRS ネットワーク間の通信は安全ではありません。ローミング パートナー間の接続に IP セキュリティ(IPsec)を実装し、トラフィック レートの制限を設定し、ステートフル インスペクションを使用することで、GTP のセキュリティ リスクの大部分を排除できます。Junos OS の GTP ファイアウォール機能は、携帯電話会社のネットワークにおける重要なセキュリティ問題に対処します。
ジュニパーネットワークスのセキュリティ デバイスは、次のタイプの GPRS インターフェイスに対する多種多様な攻撃を緩和します。
Gn —Gn インターフェイスは、同じ PLMN(パブリック ランド モバイル ネットワーク)内の SGSN(S-GW)と GGSN 間の接続です。
S5 - S5インターフェイスは、4GネットワークにおけるPLMN内のS-GWとP-GW間の接続です。
Gp — Gp インターフェイスは、2 つの PLMN 間の接続です。
S8 -S8 インターフェイスは、4G ネットワークのホームと訪問した PLMN 間のベアラー プレーン接続です。
Gi — Gi インターフェイスは、GGSN と PLMN に接続されたインターネットまたは宛先ネットワークとの間の接続です。
SGi - SGi インターフェイスは、P-GW と、4G ネットワークの PLMN に接続されたインターネットまたは宛先ネットワーク間の接続です。
この用語 interface は、Junos OS と GPRS テクノロジで異なる意味を持ちます。Junos OS では、インターフェイスは、トラフィックがゾーンに出入りできるセキュリティ ゾーンへの出入り口です。GPRS では、インターフェイスは GPRS インフラストラクチャの 2 つのコンポーネント(たとえば、SGSN(S-GW)と GGSN(P-GW)の間の接続またはリファレンス ポイントです。
Junos OS リリース 18.4R1 以降、GPRS トンネリング プロトコル(GTP)トラフィック セキュリティ インスペクションは、既存の IPv4 サポートとともに IPv6 アドレスでサポートされています。この機能強化により、3G のサービス GPRS サポート ノード(SGSN)と、3G のサービス ゲートウェイ(S-GW)と 3G のゲートウェイ GPRS サポート ノード(GGSN)または 4G の PDN ゲートウェイ(P-GW)間の個々のユーザー エンドポイント(UE)に対して、IPv4 および IPv6 アドレスのいずれかを使用する GTP トンネルが確立されます。IPv6 のサポートにより、GTP アプリケーション レイヤー ゲートウェイ(ALG)は、ポリシー設定に従って IPv6 GTP セッションを検査または無視します。IPv4 上のすべての ALG 機能は IPv6 でサポートされています。ポリシー設定に基づいて、GTP シグナリングまたは IPv6 経由で送信されるデータ メッセージを検査できます。
このトピックでは、以下のセクションについて説明します。
Gp および Gn インターフェイス
Gn インターフェイスにセキュリティ デバイスを実装し、SGSN(S-GW)や GGSN(P-GW)などのコア ネットワーク アセットを保護します。Gn インターフェイス上の GTP トンネルを保護するには、共通 PLMN 内で S-GW(SGSN)と GGSN(P-GW)の間にセキュリティ デバイスを配置します。
Gp インターフェイスにセキュリティ デバイスを実装する場合、PLMN を別の PLMN から保護します。Gp インターフェイス上の GTP トンネルを保護するには、PLMN の S-GW(S-GW)および GGSN(P-GW)をセキュリティ デバイスの背後に配置し、送受信するすべてのトラフィックがファイアウォールを通過するようにします。
図 1 は、Gp および Gn インターフェイス上の PLMN の保護に使用されるジュニパーネットワークス SRX シリーズ デバイスの配置を示しています。
Gi インターフェイス
Gi インターフェイスにセキュリティ デバイスを実装すると、複数のネットワークのトラフィックを同時に制御し、PLMN をインターネットおよび外部ネットワークから保護し、モバイル ユーザーをインターネットやその他のネットワークから保護できます。Junos OS には多数の仮想ルーターが用意されているため、顧客のネットワークごとに 1 つの仮想ルーターを使用できるため、顧客ネットワークごとにトラフィックを分離できます。
セキュリティ デバイスは、IPsec VPN(仮想プライベート ネットワーク)トンネル用の L2TP(レイヤー 2 トンネリング プロトコル)を使用して、パケットをインターネットまたは宛先ネットワークに安全に転送できます。
SRX シリーズ デバイスは、完全な L2TP をサポートしていません。
図 2 は、Gi インターフェイス上の PLMN を保護するためのセキュリティ デバイスの実装を示しています。
動作モード
Junos OS は、GTP を使用した 2 つのインターフェイス動作モード(透過モードとルート モード)をサポートしています。セキュリティ デバイスをネットワークのルーティング インフラストラクチャに参加させたい場合は、ルート モードで実行できます。そのためには、一定のネットワークを再設計する必要があります。または、ネットワーク全体を再設定することなく、透過モードで既存のネットワークにセキュリティ デバイスを実装することもできます。透過モードでは、セキュリティ デバイスはレイヤー 2 スイッチまたはブリッジとして機能し、インターフェイスの IP アドレスは 0.0.0.0 に設定され、セキュリティ デバイスの存在がユーザーに対して見えない、または 透過的になります。
Junos OS は、GTP インスペクションが有効になっていないインターフェイスとポリシーで NAT をサポートしています。
現在 Junos OS では、ルート モードはアクティブ/パッシブ、アクティブ/アクティブ のシャーシ クラスタをサポートしています。透過モードはアクティブ/パッシブのみをサポートします。
GTP インサービス ソフトウェア アップグレード
GTP は、2 つの異なる Junos OS リリースを実行する 2 台の SRX シリーズ デバイス間の統合型 ISSU(インサービス ソフトウェア アップグレード)をサポートしています。統合型 ISSU はシャーシ クラスタ上で実行され、制御プレーンを中断せず、トラフィックの中断を最小限に抑えながら、2 つの異なる Junos OS リリース間でソフトウェア アップグレードを可能にします。
SRX5400、SRX5600、SRX5800 デバイスでは、ISSU は Junos OS リリース 12.1X45 から Junos OS リリース 12.1X46、Junos OS リリース 12.1X46 から Junos OS リリース 12.3X48-D10 までサポートされています。ISSU は、Junos OS リリース 12.1X45 から Junos OS リリース 12.3X48-D10 までサポートされていません。
セントラル ポイント アーキテクチャの GTP サポートについて
ユーザー機器(携帯電話など)は、一般パケット無線サービス(GPRS)データ サービス用のサービング GPRS サポート ノード(SGSN)または S-GW(サービング ゲートウェイ)に接続します。SGSN(S-GW)は、ゲートウェイ GPRS サポート ノードに接続してインターネットにアクセスします。ユーザー機器は、GGSN または PDN ゲートウェイ(PDN ゲートウェイ)への 1 つまたは複数の GPRS トンネリング プロトコル(GTP)トンネルを作成するよう SGSN に要求します。ユーザー機器が新しい場所に移動する場合、ユーザー機器は別の SGSN に接続する必要があります。新しい SGSN は、元のトンネルの新しい SGSN 情報を更新するよう GGSN に通知します。
GTP アプリケーション レイヤー ゲートウェイ(ALG)は、トンネルのステータスを維持し、既存のトンネルに対してのみトンネル更新要求パケットを許可します。ユーザー機器が新しい場所に移動し、別の SGSN に接続する場合、新しい SGSN 情報は元のトンネルで更新する必要があります。双方向の GTP-C メッセージはほとんどなく、メッセージは SGSN または GGSN のいずれかによって送信できるため、正しいセッション配信が保証されるわけではありません。つまり、最初のパケットが未知の方向から発信された場合、GTP ALGはセッションの作成を停止します。この場合、最初のパケットと他の保留中のパケットは破棄されます。
GTP-C パケットのドロップを防ぐために、新しいフロー セッションが作成され、GGSN または SGSN の方向が決定されていなくても、GTP-C トラフィックの通過が許可されます。その後、GGSN IP は正しい SPU を使用してフロー セッションを作成して決定されます。それ以外の場合、セッションは指定されたSPUに移行されます。
Junos OSリリース18.4R1以降、GTP-Cトンネルはトンネルベースのセッション分散をサポートするように拡張されており、トンネル設定プロセスを高速化し、SPU間のセッションのロードバランシングを高速化します。トンネルベースのセッションでは、GTP-C トンネル メッセージが制御トンネルに到達し、ステートフル インスペクションが終了することを保証します。GTP-C ディストリビューションが有効になっている場合、GTP-C トンネルと GTP-C トンネル セッションは、トンネルの SGSN トンネル エンドポイント識別子(TEID)によって分散されます。このコマンドを set security forwarding-process application-services enable-gtpu-distribution
使用して、異なるトンネルの GTP-C トラフィックが異なる SPU に分散するトンネルベースのセッション分散を有効にします。このコマンドは必須です。構成が欠落している場合、GTP ALG は動作を停止し、GTP パケットを検査しません。
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、中央ポイント アーキテクチャが強化されています。機能強化は次のとおりです。
SGSN ハンドオーバー中の GTP-C パケット ドロップの問題を防止します。
GTP-C メッセージのフラッディングから GGSN を保護するために、GTP-C メッセージレート制限をサポートします。
トンネルベースのセッション分散に切り替えることで、GGSN と SGSN のペアによって処理される GTP-C および GTP-U トラフィックを、異なるトンネルの GTP-C および GTP-U トラフィックが異なる SPU に分散するように切り替えます。コマンドを
enable-gtpu-distribution
使用して、GTP-C または GTP-U セッション配布を有効にします。
GTP トンネル管理
GTP を使用して、個々のユーザー エンドポイント(UE)、およびサービス提供 GPRS サポート ノード(SGSN)とゲートウェイ GPRS サポート ノード(GGSN)の間に GTP トンネルを確立します。GTP トンネルは、2 つのホストがデータを交換する GSN 間のチャネルです。SGSN は、ユーザー エンドポイント(UE)からパケットを受信し、GTP ヘッダー内にカプセル化してから、GTP トンネルを介して GGSN に転送します。GGSN はパケットを受信すると、パケットをカプセル化解除して外部ホストに転送します。
トンネル オブジェクト:クライアント エンドポイントにはダウンストリーム GSN(SGSN)の情報が含まれています。サーバー エンドポイントはアップストリーム GSN(GGSN)の情報を保持します。各トンネル エンドポイントは、IPv4 アドレス用と IPv6 アドレス用に 1 つのフィールドを予約します。トンネル エンドポイントは、トンネルの作成または更新メッセージで学習したアドレスを保存します。
リダイレクト エントリ:アンカー SPU を見つけるのに役立つリダイレクト エントリー(リダイレクト トンネルとも呼ばれます)がインストールされます。リダイレクト エンドポイントは、通常の GTP トンネルの作成によって作成されます。リダイレクト エントリーは 1 つのトンネル エンドポイントにマッピングされ、トンネルから IP アドレス、TEID 値、アンカー SPU ID をコピーします。IPv6トンネルのサポートにより、リダイレクトエントリはトンネルオブジェクトのように拡張されます。
GSN
ゲートウェイ GPRS サポート ノード(GGSN)または P-GW(PDN ゲートウェイ)は、モバイル ユーザーから受信したデータ トラフィックをサービス ゲートウェイ GPRS サポート ノード(SGSN)を介して変換し、関連するネットワークに転送します。その逆も同様です。GGSN と SGSN は、共に GPRS サポート ノード(GSN)を形成します。
GSN オブジェクト: GTP ALG は GSN テーブルを保持します。GSN テーブルの各 GSN ノードには、1 つの GSN IP アドレス(IPv4 または IPv6)、GSN リスタート カウンター、GSN ベースのレート制限カウンターなどが記録されます。GSN ノードに IPv4 と IPv6 の両方のアドレスがある場合、GTP ALG は 2 つの GSN エントリー(1 つは IPv4 アドレス用、もう 1 つは IPv6 アドレス用、もう 1 つは同じ GSN ノード内の 2 つの GSN エントリー)を生成し、レート制限シグナリング メッセージを個別にカウントし、個別にエージアウトします。
GSN の再起動:GSN が再起動すると、再起動カウンターが変更され、関連するトンネルが削除されます。たとえば、GSN ノードがトンネル上で 2 つの IP アドレスで有効になっている場合です。GSN の再起動は、1 つの IP アドレス(IPv4 または IPv6)だけで検出されます。両方の IP アドレスを持つトンネルは削除され、その逆も同様です。
パス オブジェクト管理
パス オブジェクトには 2 つの GSN アドレスがあり、IPv4 アドレスと IPv6 アドレスの両方をサポートします。パス・オブジェクトは、メッセージ・カウンター、最後の時刻など、GSN アドレス間の情報を記録します。IPv4 アドレスと IPv6 アドレスの両方を持つ GSN の場合、2 つのアドレスは、それぞれ別々のパスを持ちます。各パスは独自のレート制限を実行し、個別にエーズアウトします。