附录：GPRS网络安全要求.doc

GPRS核心网网络安全要求目录一.GPRS逻辑体系结构2二.中国移动GPRS运营网络结构321 中国移动GPRS运营网络组网现状322 GPRS核心网网络特点423 GPRS核心网网络结构示意图4三.GPRS核心网安全分析531 针对IP协议的普通安全威胁532 针对实际组网结构的安全威胁633 针对GPRS协议的安全威胁7四.GPRS核心网安全评估741 针对IP协议的普通安全威胁742 针对组网结构的安全威胁743 GPRS核心网威胁分析总结8五.GPRS核心网结构安全优化951 改造核心网网络结构，区分局域网，界定安全域952 核心网地址改造10六.GPRS核心网安全策略1061 核心网实施域安全策略1062 核心网防火墙安全策略1263 核心网GGSNSGSN安全策略1364 核心网设备安全加固13七.GPRS核心网业务安全策略1471 严格控制来自手机的业务，杜绝核心网后门14拟稿人：邬学农广东移动网管维护中心2004年9月本文档主要从网络结构角度对GPRS核心网网络的安全问题进行分析和要求。一. GPRS逻辑体系结构GPRS通过与GSM共享无线网络基础设施，向用户提供移动数据接入业务。在实际运行中，除了需要与GSM协调无线资源的使用、优化无线网络和改善网络总体服务质量外，安全问题也是GPRS网络同时需要考虑的因素。图1 GPRS网络结构图1是GPRS网络结构示意图。一方面GPRS骨干网以IP技术为基础进行构筑，通过IP网络承载信令信息；另一方面GPRS提供的是面向移动用户的IP接入服务，与IP公众网、企业网互联。因此开放的网络体系势必潜在许多不安全因素，GPRS网络的安全问题可以直接影响业务的服务质量，甚至是网络的正常运行。意识GPRS网络安全问题后，应该根据具体的网络组网结构和业务方案，进一步研究当前网络的安全状况，改造网络结构，制定严密、有效、可靠和实操化的安全原则、安全策略以及相应的管理流程，保证GPRS网络的正常安全运行。本文档着重分析和要求GPRS核心网的安全问题。二. 中国移动GPRS运营网络结构21 中国移动GPRS运营网络组网情况GPRS骨干网组网方式一般以核心网汇聚、疏通本地业务流量，以互联网实现核心网的广域连接。目前中国移动的GPRS骨干网组网如下：1) 在主要城市建立了GGSN/SGSN核心网2) 省间GPRS核心网之间通过CMNET骨干网实现互联（非IP专网方式）。3) 部分省的省内GPRS核心网之间通过CMNET骨干网实现互通（非IP专网方式）。4) 以边界网关、通过GPRS国际漫游互联商采用类似IP专网方式实现与国外运营商GPRS骨干网的连通。5) 边界网关BG与省核心网之间通过CMNET骨干网实现互通（非IP专网方式）。22 GPRS核心网网络特点1. 实际网络主要设备提供的接口 1) SGSN提供的接口：GnGp共用接口、Gom接口2) GGSN提供的接口：GnGp共用接口、Gi接口、Gom接口3) 防火墙：信任接口、非信任接口4) DNS、NTP服务器的网络接口，一般归属为Gn接口5) 部分设备没有单独网管接口，与业务接口共用，例如DNS、NTP、防火墙等2. 核心网对外接口 1) 与CMNET骨干网的Gi接口2) 核心网之间的Gn接口，包括GTP、DNS、NTP业务3) 与其他PLMN的Gp接口，包括GTP、DNS业务4) 与企业网的接口，通过专线或VPN方式实现连接5) 与计费中心的接口6) 与网管系统的接口7) 移动用户接入服务的“手机接口 ”，特指Gi接口中由内向外发起的业务。虽然不是实际上的物理接口，但此接口位于防火墙的内部，区别属于核心网设备的业务。3. 部分核心网只有一个到internet的出口相对GPRS骨干网组网，核心网相当于CMNET骨干网的一个接入点，部分核心网设计时不同接口共用一个到internet的出口。因此Gn/Gp接口和Gi接口业务在防火墙内侧（信任口侧）就已经共路由传送，造成潜在的漏洞。23 GPRS核心网网络结构示意图图2是一个典型的GPRS核心网网络，同时示意了主要的接口。图2. GPRS核心网网络结构示意图三. GPRS核心网安全分析31 针对IP协议的普通安全威胁这是指一般IP网络上所具有的针对IP协议的攻击。1) Gi接口一般CMNET骨干网会发生Address Spoof、Port Scan、IP Sweep、UDP Flood、TearDrop、ICMP Flood以及各种病毒等攻击2) Gn/Gp接口同上3) 企业网接口企业网接口业务的性质等同Gi接口，但由于通过专线或VPN方式互联，可以绕过防火墙。4) 计费中心接口此接口主要是病毒攻击，以及以计费为跳板的攻击5) Gom接口此接口主要是病毒攻击，以网管为跳板的攻击以及未授权访问。6) 手机接口 此接口主要是病毒攻击，手机之间攻击等。32 针对实际组网结构的安全威胁如前所述，由于GPRS核心网实际组网结构和产品实现特点，存在一定的安全薄弱环节而潜在遭受攻击。1. 手机接口、企业网接口的核心网后门威胁一般认为防火墙的信任接口侧为内部安全区域。来自手机的手机接口业务属于不信任性质，但可以不经过防火墙而直接访问内部区域，相当于在内部安全区域向公众开了后门。其次是手机接口的异常流量可能阻塞核心网路由节点的相关端口，造成服务质量下将甚至是服务中断。再次是手机接口的异常流量和操作可能耗尽防火墙的有关资源，例如SESSION资源、PAT转换资源，造成GPRS业务的性能下降甚至阻塞。另外“移动VPN企业接入”应用业务，可以透过防火墙的安全策略进入核心网，为企业内部主机攻击核心网提供了途径，也可以认为相当于核心网的又一个后门。2. Gn、Gi接口设备地址混用由于初期网络对Gn、Gi接口设备地址缺乏有效规划设计，Gn、Gi接口设备地址互相混用，造成核心网防火墙等除安全策略无法有效发挥作用，使得Gi接口设备充当Gn接口设备，成功通过防火墙安全策略而非法访问其它核心网，甚至能够利用核心网设备漏洞而取得控制权。3. 高安全域中来自低安全域的威胁实际网络将非信任的Gi接口业务与信任区域的Gn/Gp接口业务在FW的信任口就共路由传送而混杂在一起，因此信任程度不同的业务隔离不完全，从而: Gi接口业务（异常）流量影响到Gn、Gp接口业务,不能保证GTP的业务质量,严重情况下的堵塞造成类似DoS的攻击； 为手机非法访问和攻击Gn/Gp接口提供了途径； 进而，因特网主机可以通过手机跳板发起对核心网的攻击； 增加了防火墙和交换机上安全策略的复杂性； 交换机上的ACL（访问控制列表）过分消耗了其处理能力。4. Gn/Gp接口潜在威胁GPRS骨干网构筑在公众互联网上，以其互连的Gn/Gp接口业务的信任程度实际并不高，而且目前设置的核心网防火墙只能针对源地址、端口进行安全策略控制，很容易遭受来自互联网针对GTP协议的洪水攻击、模拟信令攻击等，也包括来自对方（PLMN）核心网的非法访问。5. Gp接口信任程度的潜在非控性威胁来自其他运营商的Gp接口业务，由于不同运营商管理程度的原因，不能保证Gp业务信任程度的一致性和稳定性，存在潜在攻击和非法访问（或被作为跳板）的可能性。6. ACL隔离策略不完整威胁通过交换机VLAN实现的局域网，虽然达不到物理上的隔离，但通过交换机的ACL，可以达到逻辑上Gi、Gn、Gom接口之间的隔离目的。但是ACL的复杂性容易造成策略设置不完整而造成非法访问的漏洞。33 针对GPRS协议的安全威胁1. 利用GTP的安全威胁首先通过GnGp接口发起GTP Flood攻击，其次由于GTP协议对通信双方没有规定鉴权过程，可以模拟GTP信令进行欺骗，例如Spoofed GTP PDP Context Delete、Spoofed Create PDP Context Request、Spoofed Update PDP Context Request等。还有GTP协议自身没有加密功能，因此GTP数据包可以被截获而造成用户数据泄漏。目前核心网使用的防火墙基本是普通防火墙，没有使用针对GTP特殊应用安全的功能，存在较大的隐患。2. 利用DNS、NTP的安全威胁同样也可以通过GnGp接口发起DNS Flood攻击，DNS Cache Poisoning 也是需要考虑的安全威胁。四. GPRS核心网安全分析41 针对IP协议的普通安全威胁核心网组网需要有效防止攻击等的IP网络一般安全威胁。42 针对组网结构的安全威胁1. 对防火墙PAT转换端口资源的耗尽通过手机（APN=CMNET）发起的IP地址欺骗，可以对防火墙上作PAT转换的端口资源进行耗尽攻击,使得其他手机激活APN=CMNET却不能访问因特网。43 GPRS核心网威胁分析总结威胁分析总结如下：威胁源编号威胁源名称威胁对象威胁方式威胁描述私密性完整性鉴权授权DoSGPRS-T1专网APN的企业网用户核心网通过VPN非法访问核心网通过VPN进行普通方式因特网攻击可能性较大，危害性大GPRS-T2Gi接口业务；ACL隔离策略的不完整Gom域；Gn/Gp域Gom、Gn/Gp信息Gom、Gn/Gp信息Gi接口(含手机)对Gom、Gn/Gp的非法访问Gi接口(含手机)对Gom、Gn/Gp的DoS攻击可能性大，危害性很大GPRS-T3来自因特网的Gn/Gp接口业务；ACL隔离策略的不完整Gom域；Gn/Gp域Gom信息Gom信息Gn/Gp对网管网段的非法访问，对DNS的非法访问或DNS协议欺骗对DNS的漏洞攻击可能性很小，危害性很大GPRS-T4手机核心网APN非法使用，PDP激活控制不到位对核心网设备的非法访问、主机漏洞的利用对核心网设备的攻击对带宽、PAT等资源的过分消耗可能性大，危害性极大GPRS-T5来自因特网的普通攻击，来自因特网的GTP攻击核心网；GTP攻击威胁Gn/Gp域GTP信令和业务、DNS信息GTP信令和业务没有加密GTP没有鉴权过程模拟GTP信令GTP flood、DNS flood、模拟GTP信令攻击；GTP漏洞攻击潜在可能性大，危害性很大图3. 核心网威胁分析示意图五. GPRS核心网结构安全要求51 改造核心网网络结构，区分局域网，界定安全域依据核心网网络结构建立不同局域网，并进行安全域范围界定，确定不同安全域的信任程度：局域网安全域SGSNGGSNDNSNTP防火墙信任程度Gom接口局域网Gom接口域有有有有有最高Gn/Gp接口局域网Gn/Gp接口域有有有有有次高Gi接口局域网Gi接口域无有无无有不信任依据GPRS核心网网络结构示意，核心网网络的分区以及安全域划分为：1. GPRS核心网网络结构依据业务性质一般分成4个区域（局域网）1) Gn、Gp、部分Gom接口局域网，承载GTP、DNS、NTP业务，涉及SGSN、GGSN和/或防火墙；2) Gi接口局域网，承载网关功能提供的IP业务，涉及GGSN和/或防火墙；3) Gom接口局域网，承载网管业务，涉及核心网所有设备；4) FW的信任口局域网（option）。2. 依据4个局域网分成4个安全域1) Gom接口域，信任程度最高，涉及到网管功能，对安全性要求最严格；2) Gn、Gp接口域，信任程度次高，涉及GTP信令业务的正常传送以及GTP封装信息的保密，对安全性要求严格；3) Gi接口域，来自手机和INTERNET的业务，对运营商而言应该属于不信任范围；4) FW的信任口域（option）。这里的Gom接口域是仅指针对GPRS核心网设备的专业网管。52 核心网地址改造不同安全域所使用的公网地址进行重新规划，达到有效分开，不得互相重叠或交叉使用。Gi接口使用的地址包括手机私网地址池的PAT公网地址、手机公网地址池、GRE隧道本端地址、RADIUS客户端地址等。Gn接口包括GTP地址池地址，DNS、NTP地址等。对Gi、Gn接口所使用的公网地址进行改造，在公布的本地核心网Gn接口地址段中不允许有任何地址被Gi接口使用,尤其是手机私网地址池的PAT公网地址、手机公网地址池不允许为Gn接口地址段地址。地址的有效隔离为设置安全策略打下基础。六. GPRS核心网安全策略61 核心网实施域安全策略实施安全策略的目标是： 隔离Gi域对Gn/Gp域访问,尤其严格限制手机对核心网内部的非法访问和攻击，Gi业务只在限定的路由上流动； 防止手机接口业务（异常）流量影响Gn、Gp接口业务；对病毒等端口进行过滤； 尽量限制Gn/Gp接口域对Gom域的访问。核心网网络结构实施域安全策略有两种方案：1）独立接口方式独立接口方式的前体条件是防火墙有2个信任接口（或者2个独立防火墙），相当于有2个（逻辑）防火墙，分别提供给GnGp接口域和Gi接口域使用。这样可以将GnGp接口域和Gi接口域在核心网内部进行有效的隔离。核心网的防火墙以及内部路由节点采用以下的安全域策略：GomYOptionNGn/GpOptionYNGiNNYGomGn/GpGiGiNGom表示Gi接口不允许对Gom接口进行访问。Gn/GpOptionGomGn/Gp接口域对Gom域的访问，根据不同厂家设备的具体设计,可能存在Gom域与Gn/Gp域的互相访问需要,原则是将Gn/Gp域对Gom域的访问减少到最少。图3独立接口方式GPRS核心网网络结构示意2）共用接口方式防火墙在只有1个信任接口下，需要增加一个信任接口局域网（域），GnGp接口域和Gi接口域的网外流量在信任接口域中汇聚，GnGp接口域和Gi接口域共用一个防火墙。这样需要在核心网的内部路由节点上采取严格措施将GnGp接口域和Gi接口域进行有效隔离。核心网的防火墙以及内部路由节点采用以下的安全域策略：GomYOptionNOptionGn/GpOptionYNYGiNNYYFw信任接口AttentionAttentionYYGomGn/GpGiFw信任接口Fw信任接口AttentionAttentionGomGn/Gp表示Fw信任接口中只有Gom业务允许访问Gom域、Fw信任接口中只有Gn/Gp业务允许访问Gn/Gp域。图4共用接口方式GPRS核心网网络结构示意其中独立接口方式是推荐方案,不仅隔离效果好,而且可以简化核心网结构,简化内部路由节点上的访问策略,降低处理消耗.62 核心网防火墙安全策略1) Gn业务对Gn业务,只允许CMCC的Gn网段地址的GTP(UDP3386、TCP3386、UDP2152、UDP2123)、DNS、NTP（Option）访问本地核心网的Gn网段。NTP（Option）只有在本地核心网设立NTP服务器的情况下才放通。2) Gp业务对Gp业务,只允许漫游运营商Gn网段地址的GTP(UDP3386、TCP3386、UDP2152、UDP2123)、DNS（Option）访问本地核心网的Gn网段。DNS（Option）只有在本地核心网设立国家级DNS服务器的情况下才放通。3) Gi业务对Gi的GRE业务地址,只允许GRE对端地址的GRE端口访问本地核心网的GRE地址；对Gi的Radius业务地址,只允许Radius服务器的Radius端口访问本地核心网的Radius客户端地址；对Gi的手机地址池地址，只允许任意地址任意端口访问本地手机地址池地址；4) 非信任接口开启防火墙的普通因特网防攻击安全功能。4) GTP攻击有条件的话配置GPRS专用防火墙，其用针对GTP应用安全功能，阻止针对GTP的攻击。63 核心网GGSNSG