Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

GPRS の概要

GPRS の概要

一般的なパケット無線サービス(GPRS)ネットワークは、ローミング パートナー、企業顧客、GPRS ローミング 交換(GRX)プロバイダ、パブリック インターネットなど、複数の外部ネットワークに接続します。GPRSネットワーク事業者は、外部ネットワークとのアクセスを提供および制御しながら、ネットワークを保護するという課題に直面しています。ジュニパーネットワークスは、GPRS ネットワーク事業者を悩ませている多くのセキュリティ問題に対するソリューションを提供しています。

GPRS アーキテクチャでは、オペレータのネットワークに対するセキュリティ脅威の根本的な原因は、GPRS トンネリング プロトコル(GTP)に固有のセキュリティの欠如にあります。GTP は、GPRS サポート ノード(GSN)間で使用されるプロトコルです。GTPは、個々のUE(ユーザーエンドポイント)と、4Gのサービスゲートウェイ(S-GW)とPDNゲートウェイ(P-GW)の間にGTPトンネルを確立するために使用されます。GTP トンネルは、2 つのホストがデータを交換する GSN 間のチャネルです。SGSN(S-GW)は、ユーザーエンドポイントからパケットを受信し、GTPヘッダー内でカプセル化してから、GTPトンネルを介してGGSNに転送します。GGSN はパケットを受信すると、パケットをカプセル化解除して外部ホストに転送します。

GTP は認証、データ整合性、機密保護を提供しないため、異なる GPRS ネットワーク間の通信は安全ではありません。ローミング パートナー間の接続に IP セキュリティ(IPsec)を実装し、トラフィック レート制限を設定し、ステートフル インスペクションを使用することで、GTP のセキュリティ リスクの大部分を排除できます。Junos OS の GTP ファイアウォール機能は、携帯電話会社のネットワークにおける主なセキュリティ問題に対処します。

ジュニパーネットワークスのセキュリティ デバイスは、次のタイプの GPRS インターフェイスに対する広範な攻撃を緩和します。

  • Gn — Gn インターフェイスは、同じ PLMN(パブリック ランド モバイル ネットワーク)内の SGSN(S-GW)と GGSN 間の接続です。

    S5 - S5インターフェイスは、4GネットワークのPLMN内のS-GWとP-GW間の接続です。

  • Gp — Gp インターフェイスは 2 つの PLMN 間の接続です。

    S8 - S8インターフェイスは、4Gネットワークのホームと訪問したPLM間のベアラープレーン接続です。

  • Gi — Gi インターフェイスは、GGSN と PLMN に接続されたインターネットまたは宛先ネットワーク間の接続です。

    SGi - SGiインターフェイスは、P-GWと、4GネットワークのPLMNに接続されたインターネットまたは宛先ネットワーク間の接続です。

Junos OS と GPRS 技術では、用語 interface の意味は異なります。Junos OSでは、トラフィックがゾーンを出入りすることを可能にするセキュリティゾーンへの入り口となるインターフェイスがあります。GPRS では、インターフェイスは、GPRS インフラストラクチャの 2 つのコンポーネント(たとえば、SGSN(S-GW)と GGSN(P-GW)間の接続または参照ポイントです。

Junos OS リリース 18.4R1 以降、GPRS トンネリング プロトコル(GTP)トラフィック セキュリティ インスペクションは、既存の IPv4 サポートと共に IPv6 アドレスでサポートされています。この拡張機能により、3G の SGSN(サービング GPRS サポート ノード)と、3G のサービス ゲートウェイ(S-GW)と 3G のゲートウェイ GPRS サポート ノード(GGSN)、または 4G の PDN ゲートウェイ(P-GW)との間で、個々のユーザー エンドポイント(UE)に対して、IPv4 および IPv6 アドレスのいずれかを使用する GTP トンネルが確立されます。IPv6のサポートにより、GTPアプリケーション層ゲートウェイ(ALG)は、ポリシー設定に従ってIPv6 GTPセッションを検査または無視します。IPv4 上のすべての ALG 機能は、IPv6 でサポートされています。ポリシー設定に基づいて、GTP シグナリングまたは IPv6 経由で送信されたデータ メッセージを検査できます。

このトピックには、以下のセクションが含まれています。

Gp および Gn インターフェイス

Gn インターフェイスにセキュリティ デバイスを実装し、SGSN(S-GW)や GGSN(P-GW)などのコア ネットワーク アセットを保護します。Gn インターフェイス上の GTP トンネルを保護するために、共通 PLMN 内で SGSN(S-GW)と GGSN(P-GW)の間にセキュリティ デバイスを配置します。

セキュリティ デバイスを Gp インタフェースに実装する場合、他の PLMN から PLMN を保護します。Gp インターフェイス上の GTP トンネルを保護するために、PLMN の SGSN(S-GW)および GGSN(P-GW)をセキュリティ デバイスの背後に配置し、送受信するすべてのトラフィックがファイアウォールを通過するようにします。

図 1 は、Gp および Gn インターフェイス上の PLMN の保護に使用されるジュニパーネットワークス SRX シリーズ デバイスの配置を示しています。

図 1: Gp および Gn インターフェイス Gp and Gn Interfaces

Giインターフェイス

Giインターフェイスにセキュリティデバイスを実装すると、複数のネットワークのトラフィックを同時に制御し、PLMNをインターネットと外部ネットワークから保護し、モバイルユーザーをインターネットやその他のネットワークから保護することができます。Junos OS は多数の仮想ルーターを提供するため、顧客ネットワークごとに 1 つの仮想ルーターを使用できるため、顧客ネットワークごとにトラフィックを分離できます。

セキュリティ デバイスは、IPsec VPN(仮想プライベート ネットワーク)トンネル用のレイヤー 2 トンネリング プロトコル(L2TP)を使用して、パケットをインターネットまたは宛先ネットワークに安全に転送できます。

SRXシリーズデバイスは、完全なL2TPをサポートしていません。

図 2 は、Gi インターフェイス上の PLMN を保護するためのセキュリティ デバイスの実装を示しています。

図 2:Gi インターフェイス Gi Interface

動作モード

Junos OS は、GTP による 2 つのインターフェイス動作モード(透過モードとルート モード)をサポートしています。セキュリティ デバイスをネットワークのルーティング インフラストラクチャに参加させたい場合は、ルート モードで実行できます。これには、一定のネットワークの再設計が必要です。または、透過モードで既存のネットワークにセキュリティ デバイスを実装しても、ネットワーク全体を再設定する必要はありません。透過モードでは、セキュリティ デバイスはレイヤー 2 スイッチまたはブリッジとして機能し、インターフェイスの IP アドレスは 0.0.0.0 に設定され、セキュリティ デバイスの存在はユーザーには見えません。または 透過的になります。

Junos OSは、GTPインスペクションが有効になっていないインターフェイスとポリシーでNATをサポートしています。

現在Junos OSでは、ルートモードはアクティブ/パッシブ、アクティブ/アクティブ のシャーシクラスターをサポートしています。透過モードは、アクティブ/パッシブのみをサポートします。

GTP インサービス ソフトウェア アップグレード

GTP は、2 つの異なる Junos OS リリースを実行する 2 台の SRX シリーズ デバイス間で、ISSU(統合型インサービス ソフトウェア アップグレード)をサポートしています。統合型 ISSU はシャーシ クラスタ上で実行されるため、制御プレーンを中断せずに、トラフィックの中断を最小限に抑えながら、2 つの異なる Junos OS リリース間のソフトウェア アップグレードが可能になります。

SRX5400、SRX5600、SRX5800 のデバイスでは、ISSU は Junos OS リリース 12.1X45 から Junos OS リリース 12.1X46 まで、Junos OS リリース 12.1X46 から Junos OS リリース 12.3X48-D10 までサポートされています。ISSU は、Junos OS リリース 12.1X45 から Junos OS リリース 12.3X48-D10 までサポートされていません。

中央ポイント アーキテクチャの GTP サポートについて

ユーザー機器(携帯電話など)は、汎用パケット無線サービス(GPRS)データ サービス用のサービング GPRS サポート ノード(SGSN)または S-GW(サービング ゲートウェイ)に接続します。SGSN(S-GW)は、ゲートウェイ GPRS サポート ノードに接続してインターネットにアクセスします。ユーザー機器は、GGSN または P-GW(PDN ゲートウェイ)への 1 つまたは複数の GPRS トンネリング プロトコル(GTP)トンネルを作成してインターネットアクセスを要求します。ユーザー機器が新しい場所に移動する状況では、ユーザー機器は別の SGSN に接続する必要があります。新しい SGSN は GGSN に、元のトンネル内の新しい SGSN 情報を更新するよう通知します。

GTPアプリケーション層ゲートウェイ(ALG)は、トンネルのステータスを維持し、既存のトンネルに対してのみトンネル更新要求パケットを許可します。ユーザー機器が新しい場所に移動し、別の SGSN に接続する場合、新しい SGSN 情報を元のトンネルで更新する必要があります。双方向の GTP-C メッセージはほとんどなく、SGSN または GGSN のいずれかによってメッセージを送信できるため、正しいセッション配信が保証されません。つまり、最初のパケットが未知の方向から発信された場合、GTP ALG はセッションの作成を停止します。この場合、最初のパケットと他の保留中のパケットは破棄されます。

GTP-C パケットのドロップを防止するために、新しいフロー セッションが作成され、GGSN または SGSN 方向が決定されていない場合でも、GTP-C トラフィックの通過が許可されます。その後、GGSN IP は正しい SPU を使用してフロー セッションを作成して決定されます。それ以外の場合、セッションは指定されたSPUに移行されます。

Junos OS Release 18.4R1以降、GTP-Cトンネルは、トンネルベースのセッション配信をサポートするように拡張され、トンネル設定プロセスを高速化し、SPU間のセッションを負荷分散します。トンネルベースセッションは、GTP-Cトンネルメッセージが制御トンネルに到達し、ステートフルインスペクションを終了することを保証します。GTP-C ディストリビューションが有効になっている場合、GTP-C トンネルと GTP-C トンネル セッションは、トンネルの SGSN トンネル エンドポイント識別子(TEID)によって分散されます。コマンドを set security forwarding-process application-services enable-gtpu-distribution 使用して、異なるトンネルのGTP-Cトラフィックが異なるSPUに分散するトンネルベースのセッション配信を有効にします。このコマンドは必須です。設定に欠落している場合、GTP ALG は動作を停止し、GTP パケットを検査しません。

Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、中央ポイント アーキテクチャが強化されました。機能強化は次のとおりです。

  • SGSN ハンドオーバ中に GTP-C パケット ドロップの問題を防止します。

  • GTP-C メッセージのフラッディングから GGSN を保護するために、GTP-C メッセージのレート制限をサポートします。

  • GGSN と SGSN のペアで処理された GTP-C および GTP-U トラフィックをトンネルベースのセッション配信に切り替えて、異なるトンネルの GTP-C および GTP-U トラフィックを異なる SPU に分散させ、配信します。コマンドを enable-gtpu-distribution 使用して、GTP-C または GTP-U セッション配信を有効にします。

GTP トンネル管理

GTP は、個々のユーザー エンドポイント(UE)と、サービング GPRS サポート ノード(SGSN)とゲートウェイ GPRS サポート ノード(GGSN)との間に GTP トンネルを確立するために使用されます。GTP トンネルは、2 つのホストがデータを交換する GSN 間のチャネルです。SGSN はユーザー エンドポイント(UE)からパケットを受信し、GTP ヘッダー内でカプセル化した後、GTP トンネルを介して GGSN に転送します。GGSN はパケットを受信すると、パケットをカプセル化解除して外部ホストに転送します。

トンネル オブジェクト:クライアント エンドポイントには、ダウンストリームの GSN(SGSN)の情報が含まれており、サーバー エンドポイントにはアップストリームの GSN(GGSN)の情報が保持されます。各トンネル エンドポイントは、IPv4 アドレス用に 1 つ、IPv6 アドレス用に 1 つのフィールドを予約します。トンネルエンドポイントは、トンネルの作成または更新メッセージで学習したアドレスを保存します。

リダイレクトエントリー:リダイレクトエントリー(リダイレクトトンネルとも呼ばれます)がインストールされ、アンカーSPUを見つけるのに役立ちます。リダイレクト エンドポイントは、通常の GTP トンネルを作成することで作成されます。リダイレクトエントリーは、1つのトンネルエンドポイントにマッピングされ、IPアドレス(es)、TEID値、アンカーSPU IDをトンネルからコピーします。IPv6トンネルのサポートにより、リダイレクトエントリーはトンネルオブジェクトのように拡張されます。

GSN

ゲートウェイ GPRS サポート ノード(GGSN)または P-GW(PDN ゲートウェイ)は、モバイル ユーザーから受信するデータ トラフィックをサービス ゲートウェイ GPRS サポート ノード(SGSN)を介して変換し、関連ネットワークに転送します。その逆も同様です。GGSN と SGSN は共に GPRS サポート ノード(GSN)を形成します。

GSN オブジェクト:GTP ALG は GSN テーブルを維持します。GSN テーブルの各 GSN ノードには、1 つの GSN IP アドレス(IPv4 または IPv6)、GSN リスタート カウンター、GSN ベースのレート制限カウンターなどが記録されます。GSN ノードに IPv4 と IPv6 の両方のアドレスがある場合、GTP ALG は 2 つの GSN エントリーを生成します。1 つは IPv4 アドレス用、もう 1 つは IPv6 アドレス用、もう 2 つは同じ GSN ノード内の 2 つの GSN エントリーで、レート制限シグナリング メッセージは個別にカウントされ、個別にエージアウトされます。

GSN 再起動:GSN が再起動すると、リスタート カウンターが変更され、関連するトンネルが削除されます。例えば、GSN ノードがトンネルで 2 つの IP アドレスで有効になっている場合です。その後、GSN の再始動は 1 つの IP アドレス(IPv4 または IPv6)だけで検出されます。両方の IP アドレスを持つトンネルは削除され、その逆も削除されます。

パス オブジェクト管理

パスオブジェクトには2つのGSNアドレスが含まれており、IPv4とIPv6の両方のアドレスをサポートしています。パス・オブジェクトは、メッセージ・カウンター、最後の時刻など、GSN アドレス間の情報を記録します。IPv4 と IPv6 の両方のアドレスを持つ GSN の場合、2 つのアドレスは別々のパスを持ちます。各パスは独自のレート制限を実行し、別々にエーズアウトします。

関連ドキュメント

リリース履歴テーブル
リリース
説明
18.4R1
Junos OS リリース 18.4R1 以降、GPRS トンネリング プロトコル(GTP)トラフィック セキュリティ インスペクションは、既存の IPv4 サポートと共に IPv6 アドレスでサポートされています。この拡張機能により、3G の SGSN(サービング GPRS サポート ノード)と、3G のサービス ゲートウェイ(S-GW)と 3G のゲートウェイ GPRS サポート ノード(GGSN)、または 4G の PDN ゲートウェイ(P-GW)との間で、個々のユーザー エンドポイント(UE)に対して、IPv4 および IPv6 アドレスのいずれかを使用する GTP トンネルが確立されます。IPv6のサポートにより、GTPアプリケーション層ゲートウェイ(ALG)は、ポリシー設定に従ってIPv6 GTPセッションを検査または無視します。IPv4 上のすべての ALG 機能は、IPv6 でサポートされています。ポリシー設定に基づいて、GTP シグナリングまたは IPv6 経由で送信されたデータ メッセージを検査できます。
15.1X49-D40
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、中央ポイント アーキテクチャが強化されました。