Introducción a GPRS
Descripción general de GPRS
Las redes generales de servicios de radio de paquetes (GPRS) se conectan a varias redes externas, incluidas las de socios de itinerancia, clientes corporativos, proveedores de intercambio de roaming GPRS (GRX) e Internet pública. Los operadores de red GPRS enfrentan el desafío de proteger su red y, a la vez, proporcionar y controlar el acceso hacia y desde estas redes externas. Juniper Networks ofrece soluciones a muchos de los problemas de seguridad que plagan a los operadores de red GPRS.
En la arquitectura GPRS, la causa fundamental de las amenazas de seguridad a la red de un operador es la falta inherente de seguridad en el protocolo de tunelización GPRS (GTP). GTP es el protocolo que se utiliza entre los nodos de soporte GPRS (GSN). El GTP se utiliza para establecer un túnel GTP para puntos de conexión de usuario individuales (UEs) y entre una puerta de enlace de servicio (S-GW) y una puerta de enlace PDN (P-GW) en 4G. Un túnel GTP es un canal entre GSN mediante el cual dos hosts intercambian datos. El SGSN (S-GW) recibe paquetes de los puntos de conexión del usuario y los encapsula dentro de un encabezado GTP antes de reenviarlos al GGSN a través del túnel GTP. Cuando el GGSN recibe los paquetes, los desencapsula y los reenvía al host externo.
La comunicación entre diferentes redes GPRS no es segura porque GTP no proporciona autenticación, integridad de datos ni protección de confidencialidad. Implementar la seguridad IP (IPsec) para conexiones entre socios itinerantes, establecer límites de velocidad de tráfico y usar inspección de estado puede eliminar la mayoría de los riesgos de seguridad del GTP. Las funciones de firewall GTP de Junos OS abordan problemas clave de seguridad en las redes de los operadores móviles.
Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en los siguientes tipos de interfaces GPRS:
Gn: la interfaz Gn es la conexión entre una SGSN (S-GW) y una GGSN dentro de la misma red móvil de tierra pública (PLMN).
S5: la interfaz S5 es la conexión entre un S-GW y un P-GW dentro del PLMN en redes 4G.
Gp: la interfaz gp es la conexión entre dos PLMN.
S8 -La interfaz S8 es la conexión de plano portadora entre el hogar y las PLMN visitadas en redes 4G.
Gi: la interfaz Gi es la conexión entre una GGSN y las redes de Internet o de destino conectadas a una PLMN.
SGi: la interfaz SGi es la conexión entre un P-GW y las redes de Internet o destino conectadas a una PLMN en redes 4G.
El término interface tiene diferentes significados en Junos OS y en la tecnología GPRS. En Junos OS, una interfaz es una puerta a una zona de seguridad que permite que el tráfico entre y salga de la zona. En GPRS, una interfaz es una conexión, o un punto de referencia, entre dos componentes de una infraestructura GPRS, por ejemplo, una SGSN (S-GW) y una GGSN (P-GW).
A partir de Junos OS versión 18.4R1, la inspección de seguridad del tráfico del protocolo de tunelización GPRS (GTP) se admite en direcciones IPv6 junto con la compatibilidad con IPv4 existente. Con esta mejora, se establece un túnel GTP que usa direcciones IPv4 e IPv6 para puntos de conexión de usuario individuales (EU) entre un nodo de soporte de GPRS de servicio (SGSN) en 3G o una puerta de enlace de servicio (S-GW) y un nodo de soporte de GPRS de puerta de enlace (GGSN) en 3G o una puerta de enlace PDN (P-GW) en 4G. Con la compatibilidad con IPv6, la puerta de enlace de capa de aplicación (ALG) de GTP inspecciona o ignora las sesiones DE GTP IPv6 según las configuraciones de la política. Todas las funciones de ALG en IPv4 son compatibles con IPv6. Puede inspeccionar la señalización GTP o los mensajes de datos transmitidos a través de IPv6 según las configuraciones de política.
Este tema contiene las siguientes secciones:
Interfaces gp y gn
Implemente un dispositivo de seguridad en la interfaz Gn para proteger los activos de red principales, como la SGSN (S-GW) y la GGSN (P-GW). Para proteger los túneles GTP en la interfaz Gn, coloque el dispositivo de seguridad entre SGSN (S-GW) y GGSN (P-GW) dentro de una PLMN común.
Cuando se implementa un dispositivo de seguridad en la interfaz gp, se protege una PLMN de otra PLMN. Para proteger túneles GTP en la interfaz gp, coloque las SGSN (S-GW) y las GGSN (P-GW) de un PLMN detrás del dispositivo de seguridad para que todo el tráfico, entrante y saliente, pase por el firewall.
En la Figura 1 se muestra la colocación de los dispositivos de la serie SRX de Juniper Networks que se utilizan para proteger las PLMN en las interfaces Gp y Gn.
gp y gn
Interfaz Gi
Cuando implementa un dispositivo de seguridad en la interfaz Gi, puede controlar simultáneamente el tráfico de varias redes, proteger una PLMN contra Internet y las redes externas, y proteger a los usuarios móviles de Internet y otras redes. Junos OS ofrece una gran cantidad de enrutadores virtuales, lo que le permite utilizar un enrutador virtual por red de cliente y, por lo tanto, permitir la separación del tráfico para cada red de cliente.
El dispositivo de seguridad puede reenviar paquetes de forma segura a Internet o a las redes de destino mediante el protocolo de tunelización de capa 2 (L2TP) para túneles de red privada virtual (VPN) IPsec.
Los dispositivos serie SRX no admiten L2TP completo.
La Figura 2 ilustra la implementación de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi.
Gi
Modos operativos
Junos OS admite dos modos operativos de interfaz con GTP: modo transparente y modo de ruta. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red, puede ejecutarlo en modo de ruta. Esto requiere una cierta cantidad de rediseño de red. Como alternativa, puede implementar el dispositivo de seguridad en la red existente en modo transparente sin tener que reconfigurar toda la red. En modo transparente, el dispositivo de seguridad funciona como un conmutador o puente de capa 2, y las direcciones IP de las interfaces se establecen en 0.0.0.0, lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente para los usuarios.
Junos OS admite TDR en interfaces y políticas que no tienen habilitada la inspección de GTP.
Actualmente en Junos OS, el modo de ruta admite clústeres de chasis activo/pasivo y activo/activo. El modo transparente solo admite activa/pasiva.
Actualización de software en servicio de GTP
GTP admite una actualización unificada de software en servicio (ISSU) entre dos dispositivos serie SRX que ejecutan dos versiones diferentes de Junos OS. El ISSU unificado se realiza en un clúster de chasis, lo que permite una actualización de software entre dos versiones diferentes de Junos OS sin interrupciones en el plano de control y con una interrupción mínima del tráfico.
En los dispositivos SRX5400, SRX5600 y SRX5800, ISSU se admite desde Junos OS versión 12.1X45 hasta Junos OS versión 12.1X46 y desde Junos OS versión 12.1X46 hasta Junos OS versión 12.3X48-D10. No se admite ISSU de Junos OS versión 12.1X45 a Junos OS versión 12.3X48-D10.
Descripción del soporte de GTP para la arquitectura de punto central
El equipo del usuario (por ejemplo, un teléfono celular) se conecta a un nodo de soporte gprs de servicio (SGSN) o S-GW (puerta de enlace de servicio) para el servicio de datos del Servicio general de radio de paquetes (GPRS). El SGSN (S-GW) se conecta a un nodo de soporte GPRS de puerta de enlace para acceder a Internet. El equipo de usuario solicita al SGSN que cree uno o varios túneles de protocolo de tunelización GPRS (GTP) a la GGSN o P-GW (puerta de enlace PDN) para el acceso a Internet. En situaciones en las que el equipo de usuario se traslada a una nueva ubicación, el equipo de usuario tiene que conectarse a otra SGSN. El nuevo SGSN notifica al GGSN que actualice la nueva información de SGSN en el túnel original.
La puerta de enlace de capa de aplicación (ALG) de GTP mantiene el estado de los túneles y permite paquetes de solicitud de actualización de túnel solo para los túneles existentes. Cuando el equipo del usuario se mueve a una nueva ubicación y se conecta a otra SGSN, la nueva información de SGSN se debe actualizar en el túnel original. Dado que algunos mensajes GTP-C son bidireccionales, y los mensajes se pueden enviar por el SGSN o el GGSN, no se garantiza la distribución correcta de la sesión. Es decir, el ALG de GTP deja de crear una sesión si el primer paquete se origina en una dirección desconocida. En este caso, se pierden el primer paquete y los otros paquetes pendientes.
Para evitar que se caigan los paquetes GTP-C, se crea una nueva sesión de flujo y se permite que pase el tráfico GTP-C incluso si no se determina la dirección GGSN o SGSN. Posteriormente, la IP de GGSN se determina mediante la SPU correcta para crear la sesión de flujo; de lo contrario, la sesión se migra a la SPU designada.
A partir de junos OS versión 18.4R1, el túnel GTP-C se mejora para admitir la distribución de sesión basada en túneles para acelerar el proceso de configuración del túnel y equilibrar la carga de las sesiones entre las SPU. La sesión basada en túnel garantiza que los mensajes de túnel GTP-C lleguen al túnel de control y terminen la inspección de estado. Si la distribución GTP-C está habilitada, los túneles GTP-C y las sesiones de túnel GTP-C se distribuyen por el identificador de punto de conexión de túnel (TEID) de SGSN del túnel. Utilice el set security forwarding-process application-services enable-gtpu-distribution comando para habilitar la distribución de sesión basada en túneles en la que el tráfico de GTP-C de diferentes túneles se extiende a través de diferentes SPU. Este comando es obligatorio. Si falta de la configuración, el ALG GTP dejará de funcionar y no inspeccionará los paquetes GTP.
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la arquitectura de punto central se mejora. Las mejoras son las siguientes:
Evite los problemas de caída de paquetes GTP-C durante el traspaso de SGSN.
Admite la limitación de velocidad de mensajes GTP-C para proteger el GGSN de la inundación de mensajes GTP-C.
Distribuya el tráfico de GTP-C y GTP-U manejado por un par GGSN y SGSN en todas las SPU mediante la conmutación a la distribución de sesión basada en túneles en la que el tráfico GTP-C y GTP-U de diferentes túneles se extiende por diferentes SPU. Utilice el comando para habilitar la
enable-gtpu-distributiondistribución de sesión de GTP-C o GTP-U.
Administración de túneles GTP
El GTP se utiliza para establecer un túnel GTP para puntos de conexión de usuario individuales (UEs) y entre un nodo de soporte de GPRS de servicio (SGSN) y un nodo de soporte de GPRS de puerta de enlace (GGSN). Un túnel GTP es un canal entre GSN mediante el cual dos hosts intercambian datos. El SGSN recibe paquetes de los puntos de conexión del usuario (UEs) y los encapsula dentro de un encabezado GTP antes de reenviarlos al GGSN a través del túnel GTP. Cuando el GGSN recibe los paquetes, los desencapsula y los reenvía al host externo.
Objeto de túnel: los puntos de conexión del cliente contienen información para GSN descendente (SGSN), los puntos de conexión del servidor contienen información para GSN ascendente (GGSN). Cada punto de conexión de túnel reserva los campos uno para la dirección IPv4 y otro para la dirección IPv6. El punto de conexión de túnel guarda las direcciones aprendidas en la creación o actualización de mensajes del túnel.
Entrada de redirección: las entradas de redirección (también llamadas túneles de redirección) se instalan para ayudar a encontrar la SPU de ancla. Los puntos de conexión de redireccionamiento se crean mediante la creación de túneles GTP normales. Una entrada de redireccionamiento se asigna a un punto de conexión de túnel y copia las direcciones IP, el valor TEID y el ID de SPU de ancla del túnel. Con la compatibilidad de túnel IPv6, la entrada de redirección se expande como un objeto de túnel.
Gsn
El nodo de soporte de GPRS de puerta de enlace (GGSN) o P-GW (puerta de enlace PDN) convierte el tráfico de datos entrante procedente de los usuarios móviles a través del nodo de soporte de GPRS de puerta de enlace de servicio (SGSN) y lo reenvía a la red pertinente y viceversa. El GGSN y el SGSN forman juntos los nodos de soporte GPRS (GSN).
Objeto GSN: el ALG GTP mantiene una tabla GSN. Cada nodo GSN en una tabla GSN registrará una dirección IP GSN, (IPv4 o IPv6), un contador de reinicio GSN y un contador de limitación de velocidad basado en GSN, etc. Si un nodo GSN tiene dirección IPv4 e IPv6, el ALG GTP generará dos entradas GSN, una para la dirección IPv4 y la otra para la dirección IPv6 y las dos entradas GSN en el mismo nodo GSN cuenta los mensajes de señalización de límite de velocidad de forma independiente y envejece por separado.
Reinicio de GSN: si se reinicia una GSN, el contador de reinicio cambia y los túneles relacionados se eliminarán. Por ejemplo, si un nodo GSN está habilitado con dos direcciones IP en túneles. luego, el reinicio de GSN se encuentra solo por una dirección IP (IPv4 o IPv6). Los túneles con ambas direcciones IP se eliminan y viceversa.
Administración de objetos de ruta
Un objeto de ruta contiene dos direcciones GSN y admite direcciones IPv4 e IPv6. Un objeto de ruta registra la información entre las direcciones GSN, como el contador de mensajes, la última vez, etc. Para una GSN que tenga dirección IPv4 e IPv6, las dos direcciones tienen sus rutas separadas. Cada ruta realiza su propia limitación de velocidad y envejece por separado.