Introducción al GPRS
Descripción general del GPRS
Las redes del Servicio general de radio de paquetes (GPRS) se conectan a varias redes externas, incluidas las de socios en itinerancia, clientes corporativos, proveedores de intercambio de roaming GPRS (GRX) y la Internet pública. Los operadores de red gpRS se enfrentan al desafío de proteger su red y, al mismo tiempo, proporcionar y controlar el acceso hacia y desde estas redes externas. Juniper Networks ofrece soluciones a muchos de los problemas de seguridad que plagan a los operadores de red GPRS.
En la arquitectura GPRS, la causa fundamental de las amenazas a la seguridad en la red de un operador es la falta inherente de seguridad en el protocolo de tunelización GPRS (GTP). GTP es el protocolo utilizado entre los nodos de soporte GPRS (GSN). El GTP se utiliza para establecer un túnel GTP para puntos de conexión (UE) de usuario individual y entre una puerta de enlace de servicio (S-GW) y una puerta de enlace PDN (P-GW) en 4G. Un túnel GTP es un canal entre GSN mediante el cual dos hosts intercambian datos. El SGSN (S-GW) recibe paquetes de los puntos de conexión del usuario y los encapsula dentro de un encabezado GTP antes de reenviarlos a la GGSN a través del túnel GTP. Cuando la GGSN recibe los paquetes, los desencapsula y los reenvía al host externo.
La comunicación entre diferentes redes GPRS no es segura, ya que GTP no proporciona autenticación, integridad de datos ni protección de confidencialidad. La implementación de seguridad IP (IPsec) para las conexiones entre socios de itinerancia, la fijación de límites de velocidad de tráfico y el uso de la inspección de estado pueden eliminar la mayoría de los riesgos de seguridad de los GTP. Las funciones de firewall GTP de Junos OS abordan problemas de seguridad clave en las redes de los operadores móviles.
Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en los siguientes tipos de interfaces GPRS:
Gn: la interfaz Gn es la conexión entre un SGSN (S-GW) y un GGSN dentro de la misma red móvil terrestre pública (PLMN).
S5: la interfaz S5 es la conexión entre un S-GW y un P-GW dentro de la PLMN en redes 4G.
Gp: la interfaz gp es la conexión entre dos PLMN.
S8- La interfaz S8 es la conexión de plano al portador entre plmn domésticas y visitadas en redes 4G.
Gi: la interfaz Gi es la conexión entre una GGSN y las redes de Internet o de destino conectadas a una PLMN.
SGi: la interfaz SGi es la conexión entre un P-GW y las redes de Internet o de destino conectadas a una PLMN en redes 4G.
El término interface tiene diferentes significados en Junos OS y en tecnología GPRS. En Junos OS, una interfaz es una puerta de entrada a una zona de seguridad que permite que el tráfico entre y salga de la zona. En GPRS, una interfaz es una conexión o un punto de referencia entre dos componentes de una infraestructura GPRS, por ejemplo, un SGSN (S-GW) y un GGSN (P-GW).
A partir de Junos OS versión 18.4R1, la inspección de seguridad de tráfico del protocolo de tunelización GPRS (GTP) se admite en direcciones IPv6 junto con la compatibilidad IPv4 existente. Con esta mejora, se establece un túnel GTP que usa direcciones IPv4 e IPv6 para puntos de conexión (UE) de usuario individual entre un nodo de soporte GPRS de servicio (SGSN) en 3G o una puerta de enlace de servicio (S-GW) y un nodo de soporte GPRS de puerta de enlace (GGSN) en 3G o una puerta de enlace PDN (P-GW) en 4G. Con la compatibilidad con IPv6, la Puerta de enlace de capa de aplicación (ALG) de GTP de GTP inspecciona o ignora las sesiones de IPv6 GTP de acuerdo con las configuraciones de política. Todas las funciones ALG en IPv4 se admiten en IPv6. Puede inspeccionar mensajes de datos o señales de GTP transmitidos a través de IPv6 según las configuraciones de política.
Este tema contiene las siguientes secciones:
Interfaces Gp y Gn
Puede implementar un dispositivo de seguridad en la interfaz Gn para proteger los activos de red principales, como SGSN (S-GW) y GGSN (P-GW). Para proteger los túneles GTP en la interfaz Gn, coloque el dispositivo de seguridad entre SGSN (S-GW) y GGSN (P-GW) dentro de una PLMN común.
Cuando implementa un dispositivo de seguridad en la interfaz Gp, protege una PLMN de otra PLMN. Para proteger los túneles GTP en la interfaz gp, coloca las SGSN (S-GW) y las GGSN (P-GW) de una PLMN detrás del dispositivo de seguridad para que todo el tráfico, entrante y saliente, pase por el firewall.
La Figura 1 muestra la colocación de los firewalls serie SRX de Juniper Networks utilizados para proteger PLMN en las interfaces Gp y Gn.
Gp y Gn
Interfaz GI
Cuando implementa un dispositivo de seguridad en la interfaz Gi, puede controlar simultáneamente el tráfico de varias redes, proteger una PLMN contra Internet y redes externas, y proteger a los usuarios móviles de Internet y otras redes. Junos OS ofrece una gran cantidad de enrutadores virtuales, lo que le permite usar un enrutador virtual por red de cliente y, por lo tanto, permitir la separación del tráfico para cada red de cliente.
El dispositivo de seguridad puede reenviar paquetes de forma segura a Internet o a redes de destino mediante el protocolo de tunelización de capa 2 (L2TP) para túneles de red privada virtual (VPN) IPsec.
Los firewalls serie SRX no admiten L2TP completo.
La Figura 2 muestra la implementación de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi.
GI
Modos operativos
Junos OS admite dos modos operativos de interfaz con GTP: modo transparente y modo de ruta. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red, puede ejecutarlo en modo de ruta. Esto requiere un cierto rediseño de la red. Alternativamente, puede implementar el dispositivo de seguridad en su red existente en modo transparente sin tener que reconfigurar toda la red. En modo transparente, el dispositivo de seguridad funciona como un conmutador o puente de capa 2, y las direcciones IP de las interfaces se establecen en 0.0.0.0, lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente para los usuarios.
Junos OS admite TDR en interfaces y políticas que no tienen habilitada la inspección de GTP.
Actualmente, en Junos OS, el modo de ruta admite clústeres de chasis activo/pasivo y activo/activo. El modo transparente solo admite activo/pasivo.
Actualización de software en servicio de GTP
GTP admite una actualización unificada de software en servicio (ISSU) entre dos firewalls serie SRX que ejecutan dos versiones diferentes de Junos OS. Issu unificado se realiza en un clúster de chasis, lo que permite una actualización de software entre dos versiones diferentes de Junos OS sin interrupciones en el plano de control y con una interrupción mínima del tráfico.
En los dispositivos SRX5400, SRX5600 y SRX5800, ISSU se admite desde la versión 12.1X45 de Junos OS hasta la versión 12.1X46 de Junos OS y desde la versión 12.1X46 de Junos OS hasta la versión 12.3X48-D10 de Junos OS. ISSU no se admite desde Junos OS versión 12.1X45 hasta Junos OS versión 12.3X48-D10.
Descripción de la compatibilidad de GTP para la arquitectura de punto central
El equipo de usuario (por ejemplo, un teléfono celular) se conecta a un nodo de soporte GPRS de servicio (SGSN) o S-GW (puerta de enlace de servicio) para el servicio de datos del Servicio general de radio de paquetes (GPRS). El SGSN (S-GW) se conecta a un nodo de soporte GPRS de puerta de enlace para acceder a Internet. El equipo de usuario solicita a la SGSN que cree uno o varios túneles de protocolo de tunelización GPRS (GTP) a la GGSN o P-GW (puerta de enlace PDN) para el acceso a Internet. En situaciones en las que el equipo de usuario se traslada a una nueva ubicación, el equipo de usuario tiene que conectarlo a otro SGSN. El nuevo SGSN notifica a la GGSN que actualice la nueva información SGSN en el túnel original.
La puerta de enlace de capa de aplicación GTP (ALG) mantiene el estado de los túneles y permite los paquetes de solicitud de actualización de túneles solo para los túneles existentes. Cuando el equipo de usuario se traslada a una nueva ubicación y se conecta a otro SGSN, la nueva información de SGSN debe actualizarse en el túnel original. Dado que pocos mensajes GTP-C son bidireccionales y los mensajes se pueden enviar mediante el SGSN o el GGSN, no se garantiza la distribución correcta de la sesión. Es decir, GTP ALG deja de crear una sesión si el primer paquete se origina en una dirección desconocida. En este caso, se pierden el primer paquete y los demás paquetes pendientes.
Para evitar que se caigan paquetes GTP-C, se crea una nueva sesión de flujo y se permite que el tráfico GTP-C pase incluso si la dirección GGSN o SGSN no está determinada. Más tarde, la IP GGSN se determina mediante la SPU correcta para crear la sesión de flujo; de lo contrario, la sesión se migra a la SPU designada.
A partir de la versión 18.4R1 de Junos OS, el túnel GTP-C se mejora para admitir la distribución de sesión basada en túneles, con el fin de acelerar el proceso de configuración del túnel y equilibrar la carga de las sesiones entre las SPU. La sesión basada en túneles garantiza que los mensajes del túnel GTP-C lleguen al túnel de control y finalicen la inspección de estado. Si la distribución GTP-C está habilitada, los túneles GTP-C y las sesiones de túnel GTP-C se distribuyen mediante el identificador de punto de conexión de túnel SGSN (TEID) del túnel. Utilice el set security forwarding-process application-services enable-gtpu-distribution comando para habilitar la distribución de sesión basada en túneles en la que el tráfico GTP-C de diferentes túneles se extiende entre diferentes SPU. Este comando es obligatorio. Si falta en la configuración, GTP ALG dejará de funcionar y no inspeccionará los paquetes GTP.
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la arquitectura del punto central se mejora. Las mejoras son las siguientes:
Evite problemas de caída de paquetes GTP-C durante la entrega de SGSN.
Admita la limitación de velocidad de mensajes GTP-C para proteger la GGSN de la inundación de mensajes GTP-C.
Distribuya el tráfico DE GTP-C y GTP-U gestionado por un par GGSN y SGSN en todas las SPU mediante la conmutación a una distribución de sesión basada en túneles en la que el tráfico GTP-C y GTP-U de diferentes túneles se extiende entre diferentes SPU. Utilice el
enable-gtpu-distributioncomando para habilitar la distribución de sesión GTP-C o GTP-U.
Administración de túneles GTP
El GTP se utiliza para establecer un túnel GTP para puntos de conexión (UE) de usuario individual y entre un nodo de soporte GPRS de servicio (SGSN) y un nodo de soporte GPRS de puerta de enlace (GGSN). Un túnel GTP es un canal entre GSN mediante el cual dos hosts intercambian datos. El SGSN recibe paquetes de los puntos de conexión de usuario (UE) y los encapsula dentro de un encabezado GTP antes de reenviarlos a la GGSN a través del túnel GTP. Cuando la GGSN recibe los paquetes, los desencapsula y los reenvía al host externo.
Objeto de túnel: los puntos de conexión del cliente contienen información de GSN descendente (SGSN), los puntos de conexión del servidor contienen información de GSN ascendente (GGSN). Cada punto de conexión de túnel reserva los campos uno para la dirección IPv4 y otro para la dirección IPv6. El punto de conexión de túnel guarda las direcciones aprendidas en los mensajes de creación o actualización del túnel.
Entrada de redirección: las entradas de redirección (también llamados túneles de redirección) se instalan para ayudar a encontrar la SPU de anclaje. Los puntos de conexión de redirección se crean mediante la creación de túneles GTP normales. Una entrada de redirección se asigna a un punto de conexión de túnel y copia las direcciones IP, el valor de TEID y el ID de SPU de anclaje del túnel. Con la compatibilidad con túnel IPv6, la entrada de redirección se expande como un objeto de túnel.
GSN
El nodo de soporte GPRS (GGSN) o P-GW (puerta de enlace PDN) convierte el tráfico de datos entrante procedente de los usuarios móviles a través del nodo de soporte GPRS (SGSN) de puerta de enlace de servicio y lo reenvía a la red correspondiente y viceversa. El GGSN y el SGSN juntos forman los nodos de soporte gpRS (GSN).
Objeto GSN: El GTP ALG mantiene una tabla GSN. Cada nodo GSN de una tabla GSN registrará una dirección IP GSN (IPv4 o IPv6), un contador de reinicio de GSN y un contador de limitación de velocidad basado en GSN, entre otros. Si un nodo GSN tiene ambas direcciones IPv4 e IPv6, el GTP ALG generará dos entradas GSN, una para la dirección IPv4 y la otra para la dirección IPv6, y las dos entradas GSN en el mismo nodo GSN cuentan los mensajes de señalización de límite de velocidad de forma independiente y se extienden por separado.
Reinicio de GSN: Si un GSN se reinicia, el contador de reinicio cambia y los túneles relacionados se eliminarán. Por ejemplo, si un nodo GSN está habilitado con dos direcciones IP en túneles. luego, el reinicio de GSN se encuentra por solo una dirección IP (IPv4 o IPv6). Se eliminan los túneles con ambas direcciones IP y viceversa.
Administración de objetos de ruta
Un objeto de ruta contiene dos direcciones GSN y admite direcciones IPv4 e IPv6. Un objeto de ruta registra la información entre las direcciones GSN, como el contador de mensajes, la última vez, etc. Para un GSN que tenga dirección IPv4 e IPv6, las dos direcciones tienen sus rutas separadas. Cada ruta realiza su propia limitación de velocidad y envejece por separado.