gtp防火墙漫游安全

1、漫游安全IPX 威胁和安全风险移动宽带的核心网元受到黑客的威胁电信网元自身漏洞任何人机工程系统都可能存在错误和漏洞，可以被用于恶意行为。电信运营商的安全保证运营商需要采取相应的安全保护机制，实施漏洞管理和安全检测措施基于全IP网络的漫游服务IP的自身安全漏洞对移动业务产生了严重的影响对业务的影响巨大针对漫游接口发起的攻击可导致大范围的上网业务中断，通话短线，大量的垃圾信息，可导致运营商的收入流失和品牌严重受损.不可信的网络连接IPX 是由骨干供应商通过多种不同网络服务的对等互联而组成.安全合作模型信任链中任何一环的短板都有可能带来安全威胁。需要互联的双方都采取安全措施才能保证端到端的安全.漫游

2、接口的主要攻击对象 信令 (S6a, S6b, S9 - Diameter) 传输信令(S8 - GTP-C) 用户数据(S8 - GTP-U) DNS (S8 - Network Services)利用下列方式发起攻击GTP 生成原始流量形成DoS (brute force) 假冒NE 使用户流量转向或攻击对端的NE 通过修改头部，命令，负载来伪造恶意的GTP-C 或GTP-U 信息IPX 攻击对象影响的安全领域 资源和业务的可用性 用户和流量的认证和授权 数据传输的完整性和机密性GTP 恶意数据包可用于 实施 DoS (exploits of GTP vulnerabilities) 非授

3、权访问互联网或企业网络 劫持GTP 会话 实现数据注入或篡改用户数据 篡夺最终用户身份 劫持电信网元 欺诈 在42000个漫游节点中 15个运营商的5,500 节点可以从互联网访问!漫游网络漏洞示例KPNs GRX 示例声称的英国国家通信总局黑比利时电信的BICSKPN的CISO团队发现了全球范围内的GRX漏洞S8 /Gp 防火墙保护漫游基础设施和服务internetSGiSGiMMEPDN-GWS-GWV-PCRFHSSS-GWH-PCRFHSSMMEPDN-GWOCSIPXHome networkVisited networkS8S1-US1-MMES1-US1-MMELaptopMobi

4、leLaptopMobileeNodeBeNodeBGp FW运营商价值 端到端分离 GTP 过滤+记录 GTP 拒绝服务防护 Gp/Gn DNS 保护 拓扑隐藏S8/Gp 防火墙漫游基础设施& 业务保护IPX 互联 问题解决方案主要功能基于IMSI预补丁和APN的GTP策略过滤 验证GTP信息与3GPP标准的一致性GTP 信息元素剔除（标准的和客制化的IE）以实施漫游交互运营支持GTP v2 support 能检测GTP内的GTPGTP-C比率限制GTP-U监测（Check Point支持但Juniper也在开发之中透明和路由模式部署通过GTP漏洞从对等网络发起攻击保护核心网遭受从信任的漫游

5、伙伴传输的流氓数据管理漫游伙伴之间的交互运营和协议分歧漫游行为需通过监测和调节GTP流量进行控制能识别GTP协议的防火墙监测GTP-C和GTP-U信息限制传输率已阻止洪水攻击状态检测确保GTP信息遵循预期状态模式-信道设定/变更/删除状态能够查询GTP信息内容GTP 识别防火墙Nokia Networks reserves the right to change product roadmap content and schedules. Not Commercially Binding BG SGSN BG SGSN GGSN GGSN SGSN Gi Gp GiPLMN A PLMN B - Intra- and Inter-PLMN Backbone Networks防火墙的GTP安全功能可以归为以下4种类型策略过滤定义具体的APN或者APN集群匹配(允许通配符)定义IMSI预补丁(mcc-mnc)GTP信息长度过滤消息内容检查验证GTP信息符合3GPP标准隐含验证（不能配置）和明文验证（可配置）选项速率限制全球限制GTP-C信息，每个GSN或每个GSN集群阻止洪水攻击并保护GSN资源GTP 状态检测确保GTP-C信息遵循预期的状态模