gtp防火墻漫游安全_第1頁
gtp防火墻漫游安全_第2頁
gtp防火墻漫游安全_第3頁
gtp防火墻漫游安全_第4頁
gtp防火墻漫游安全_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、漫游安全IPX 威脅和安全風險移動寬帶的核心網(wǎng)元受到黑客的威脅電信網(wǎng)元自身漏洞任何人機工程系統(tǒng)都可能存在錯誤和漏洞,可以被用于惡意行為。電信運營商的安全保證運營商需要采取相應的安全保護機制,實施漏洞管理和安全檢測措施基于全IP網(wǎng)絡的漫游服務IP的自身安全漏洞對移動業(yè)務產(chǎn)生了嚴重的影響對業(yè)務的影響巨大針對漫游接口發(fā)起的攻擊可導致大范圍的上網(wǎng)業(yè)務中斷,通話短線,大量的垃圾信息,可導致運營商的收入流失和品牌嚴重受損.不可信的網(wǎng)絡連接IPX 是由骨干供應商通過多種不同網(wǎng)絡服務的對等互聯(lián)而組成.安全合作模型信任鏈中任何一環(huán)的短板都有可能帶來安全威脅。需要互聯(lián)的雙方都采取安全措施才能保證端到端的安全.漫游

2、接口的主要攻擊對象 信令 (S6a, S6b, S9 - Diameter) 傳輸信令(S8 - GTP-C) 用戶數(shù)據(jù)(S8 - GTP-U) DNS (S8 - Network Services)利用下列方式發(fā)起攻擊GTP 生成原始流量形成DoS (brute force) 假冒NE 使用戶流量轉(zhuǎn)向或攻擊對端的NE 通過修改頭部,命令,負載來偽造惡意的GTP-C 或GTP-U 信息IPX 攻擊對象影響的安全領域 資源和業(yè)務的可用性 用戶和流量的認證和授權 數(shù)據(jù)傳輸?shù)耐暾院蜋C密性GTP 惡意數(shù)據(jù)包可用于 實施 DoS (exploits of GTP vulnerabilities) 非授

3、權訪問互聯(lián)網(wǎng)或企業(yè)網(wǎng)絡 劫持GTP 會話 實現(xiàn)數(shù)據(jù)注入或篡改用戶數(shù)據(jù) 篡奪最終用戶身份 劫持電信網(wǎng)元 欺詐 在42000個漫游節(jié)點中 15個運營商的5,500 節(jié)點可以從互聯(lián)網(wǎng)訪問!漫游網(wǎng)絡漏洞示例KPNs GRX 示例聲稱的英國國家通信總局黑比利時電信的BICSKPN的CISO團隊發(fā)現(xiàn)了全球范圍內(nèi)的GRX漏洞S8 /Gp 防火墻保護漫游基礎設施和服務internetSGiSGiMMEPDN-GWS-GWV-PCRFHSSS-GWH-PCRFHSSMMEPDN-GWOCSIPXHome networkVisited networkS8S1-US1-MMES1-US1-MMELaptopMobi

4、leLaptopMobileeNodeBeNodeBGp FW運營商價值 端到端分離 GTP 過濾+記錄 GTP 拒絕服務防護 Gp/Gn DNS 保護 拓撲隱藏S8/Gp 防火墻漫游基礎設施& 業(yè)務保護IPX 互聯(lián) 問題解決方案主要功能基于IMSI預補丁和APN的GTP策略過濾 驗證GTP信息與3GPP標準的一致性GTP 信息元素剔除(標準的和客制化的IE)以實施漫游交互運營支持GTP v2 support 能檢測GTP內(nèi)的GTPGTP-C比率限制GTP-U監(jiān)測(Check Point支持但Juniper也在開發(fā)之中透明和路由模式部署通過GTP漏洞從對等網(wǎng)絡發(fā)起攻擊保護核心網(wǎng)遭受從信任的漫游

5、伙伴傳輸?shù)牧髅?shù)據(jù)管理漫游伙伴之間的交互運營和協(xié)議分歧漫游行為需通過監(jiān)測和調(diào)節(jié)GTP流量進行控制能識別GTP協(xié)議的防火墻監(jiān)測GTP-C和GTP-U信息限制傳輸率已阻止洪水攻擊狀態(tài)檢測確保GTP信息遵循預期狀態(tài)模式-信道設定/變更/刪除狀態(tài)能夠查詢GTP信息內(nèi)容GTP 識別防火墻Nokia Networks reserves the right to change product roadmap content and schedules. Not Commercially Binding BG SGSN BG SGSN GGSN GGSN SGSN Gi Gp GiPLMN A PLMN B - Intra- and Inter-PLMN Backbone Networks防火墻的GTP安全功能可以歸為以下4種類型策略過濾定義具體的APN或者APN集群匹配(允許通配符)定義IMSI預補丁(mcc-mnc)GTP信息長度過濾消息內(nèi)容檢查驗證GTP信息符合3GPP標準隱含驗證(不能配置)和明文驗證(可配置)選項速率限制全球限制GTP-C信息,每個GSN或每個GSN集群阻止洪水攻擊并保護GSN資源GTP 狀態(tài)檢測確保GTP-C信息遵循預期的狀態(tài)模

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論