51学通信技术论坛

 找回密码
 立即注册
搜索
查看: 4850|回复: 0
打印 上一主题 下一主题

爱立信GGSN网元安全分析和风险防范 [复制链接]

Rank: 9Rank: 9

懒

跳转到指定楼层
楼主
发表于 2011-10-30 15:35:23 |只看该作者 |倒序浏览
一键分享 一键分享
本帖最后由 爱卫生 于 2011-10-30 15:37 编辑

   本文转载自期刊《电信工程技术与标准化》2008年第8期。已上传至gprshome@163.com网易网盘。
全文如下:

爱立信GGSN网元安全分析和风险

                                        作者:  邬学农  王海雷  陈伟栋
                                (中国移动通信集团广东有限公司  广州 510100)
摘 要 本文对爱立信J20 GGSN网元的组网安全进行详细分析,提出了相应风险防范策略措施,为核心网组网安全优化工作提供指导和参照。
关键词 GPRS  爱立信  J20  GGSN  安全

    1  背景
    2007年网维中心研究课题《GPRS网络&3G-PS域安全防护体系研究》,以网络系统整体为对象,对安全防护进行了系统化的研究。研究中提及:广东公司在2.5G GPRS网络运营过程中,积累了相当一部分安全方面经验,认为当前GPRS网络存在以下5个主要威胁源T1~T5。针对威胁源类别和特点,提出了核心网安全域划分的安全保护措施,3G核心网PS核心网、GPRS核心网安全域划分为Gn域、Gp域、Gi域、Gom域和计费接口域。
(1)Gom接口域、计费接口域,信任程度最高,涉及到网管功能或者业务收入,对安全性要求最严格;
(2)Gn、Gp接口域,信任程度次高,涉及GTP信令/业务的正常传送以及GTP封装信息的保密,对安全性要求严格;
(3) Gi接口域,来自手机和Internet的业务,对运营商而言应该属于不信任范围。

图1 现网核心网威胁源

    不同等级的安全域之间应该进行安全策略隔离防护。
    物理上交换机是核心网内部网络结构中不同安全域的汇聚点,因此一般情况下实施安全域划分和隔离是以交换机为中心进行,例如实施交换机的二层逻辑VLAN整治,二层逻辑VLAN之间自然隔离; 避免三层VLAN形成的路由互通或者需要额外的ACL仍配置。

   
    2  问题
    实施安全域划分的核心网络结构整治,隐含的前提是核心网设备只连接到单个安全域中,或者连接多个安全域的设备内部也是隔离。实际中,与具体产品相关、并不一定满足。
    J20是以Juniper路由器为平台、加上专用GGSN-C/U硬件模块和软件实现GGSN功能,具备独立的Gi、Gn 和Gom 接口。其内部结构如图2所示。

图2 J20内部体系结构示意

    其中的PFE执行路由查找、包过滤和包转发功能。J20 的路由功能特点是支持多路由实例(routing instance),每个路由实例相当于独立的虚拟路由器并且互相隔离;最基本的路由实例是主路由实例——inet0 ; 默认情况下J20上的地址和路由协议是归属在主路由实例inet.0上。
    也将一般的路由实例称呼为VRF(VPN Routin and Forwarding table),一个VRF一般包括路由表前转表以及路由协议和策略等。由于路由实例的概念理解不方便,我们进行了简化如图3所示,主路由实例inet.0上实现J20上的基本路由功能,Gn/Gi/Gom接口板、GGSN-C/U业务板以及内部loopback都连接在主路由实例inet.0上。

                                      图3 J20 GGSN主路由实例inet.0示意
   由此看来,J20内部Gn/Gi/Gom网段之间并不是自然隔离的,尤其当手机数据包被GGSN-U解(GTP封装后,如果也在主路由实例inet.0上进行路由,实际变成Gn/Gi/Gom/ 手机网段都路由互通,外部的安全域隔离将会是形同虚设。实际网络中严格限制这种情况的发生。


   3  J20内部路由分析和风险防范
   针对不同的GGSN APN业务需要,将J20提供两种方式的APN业务: 普通IP路由方式和VPN路由方式。
3.1 普通IP路由方式
   普通IP路由方式下,手机数据包在被GGSN-U解GTP封装后,由主路由实例inet.0进行路由,手机数据包在J20内部处理和路由过程如图4所示:手机数据包在GTP-U处理板进行GTP被解封装后,随即在J20内部的主路由实例中以其源\目的地址进行路由转发,默认路由指向Gi接口板。

图4 J20普通IP路由方式路由示意


3.1.1 路由互通分析
   J20内部主路由实例实质上相当于Internet的接入路由器,可被J20内部主路由实例路由的网络有Internet、手机网络、J20设备内部网络。J20设备内部网络包括Gn接口板地址、Gi接口板地址、loopback地址、网管地址和网段、业务处理板地址等。上述这些地址和网段可以路由互通。

   一般情况下,手机数据包依据其IP地址,被路由转发到Gi接口板发送到Internet。

3.1.2 安全分析
(1)根据网络安全要求,Gn、Gi、Gom的地址和网段分别属于不同的安全域,且需要互相隔离。但是这些不同的安全域在J20内部的主路由实例上被路由互通了,因此必须在J20内部的主路由实例接口上进行ACL控制,使得外部的安全域隔离有效;
(2)而且,由于手机数据包以封装形式进入J20内部,Gn接口的ACL无法限制手机数据包,并且由于手机数据包还未出Gi接口,Gi接口的ACL也无法限制手机数据包访问J20内部网络,因此造成手机数据包GTP解封装后可以访问J20内部网络,例如Gn接口板地址、Gi接口板地址、loopback地址、网管地址等,因此必须在J20内部的主路由实例的前转表上进行ACL控制,限制手机地址访问J20设备内部网段;

(3)虽然手机用户属于封闭用户群,但是数据通信不同于电话通信,有些情况下需要限制手机之间的IP互通。J20中,限制同APN的手机之间IP互通,也可以通过前转表ACL配置实现;
(4)采用普通IP路由方式的不同APN用户之间,也可以通过J20内部主路由实例获得路由互通。因此通常情况下,也需要J20内部的主路由实例的前转表上进行ACL控制,限制不同APN之间的手机互访。前转表ACL控制是基于路由实例来实现的。手机数据包在进入Gn接口被GGSN-U解GTP封装后,需要经过路由实例的路由转发才进入Gi接口;路由具体转发根据前转表信息决定,J20在数据包依据前转表进行前转之前可以进行ACL 过滤—称为前转表过滤策略(FTF),实现策略转发功能:

  针对上述安全分析,需要在以下各点布置ACL以及具体策略。
(1)Gom 接口过滤策略:
* 只允许网管网地址段的入访问;
* 限制手机用户地址对网管网的出访问、 限制内部非同安全域地址的出访问。
(2)Gn接口过滤策略:
* 只允许Gn网地址段的入访问;
* 限制手机用户地址对Gn网段的出访问、限制内部非同安全域地址的出访问。
(3)Loopback过滤策略:限制手机地址的入访问、限制非网管地址的入访问。
(4)Gi接口过滤策略:
* 限制外部Gi域地址对内部地址的非业务入访问、限制全部外部Gi域地址对内部Gom地址的入访问;
* 限制手机地址对设备外部、核心网内部Gi域地址的出访问。
(5)多个普通IP路由方式的不同APN之间过滤策
略:视需要进行限制。
(6)前转表FTF过滤策略(对主路由实例FTF在forwarding-options下配置) :
* 限制手机地址对J20内部地址的入访问;
* 视需要,限制同APN 的手机地址之间入访问;
* 视需要,限制不同APN 的手机地址段之间入访问。
   对前5项,配置时先先在firewall下配置Filter, 再在相关接口上启用对应Filter;对6项,先在firewall下进行配置Filter, 再在forwarding-options上启用对应Filter。
   由于普通IP路由方式配置复杂,而且容易产生漏洞,具有较大风险,因此不建议配置普通IP路由方式的APN。但还是需要依据上述原则,针对主路由实例inet.0上进行安全策略配置。


3.2 VPN路由方式
  VPN路由方式下,不同于普通IP路由方式,手机数据包在GTP-U处理板进行GTP解封装后,随后通过专用逻辑资源VRF进行处理,VRF与主路由实例独立。手机数据包在J20内部处理和路由过程如图5所示。

图5 J20 VPN路由方式路由示意


3.2.1 路由互通分析
   J20内部的主路由实例是基础路由实例,J20在此基础上,为支持VPN方式的APN,创建了逻辑隔离的专用路由器资源VRF。对采用VPN方式的APN,J20内部的路由转发与手机数据包IP地址无关,通过预先配置的VPN通道进行数据转发。
   例如:对CMNET APN,手机数据包在J20上CMNET VRF对应的VPN接口结束VPN通道转发,随后以手机数据包IP地址进行转发。
对CMWAP APN,手机数据包在WAPGW的GRE路由器才结束VPN通道转发,随后才以手机数据包IP地址进行转发。
   采用VPN方式的不同APN,由于所属的VPN通道也互相隔离,因此不同APN之间也是“天然”独立的。GGSN上的APN,包括CMNET、CMWAP以及行业应用APN,建议采用VPN路由方式。

3.2.2 安全分析
(1)由于VPN通道独立,因此J20内部只要满足普通IP路由方式下的基础安全要求即可,没有特别要求。采用VPN路由方式的不同APN用户之间互相独立一般不存在互通路由;
(2)同样,有些情况下需要限制手机之间的IP互通。J20中,限制同APN的手机之间的IP互通,可以通过前转表FTF 配置实现;
(3)但在VPN通道末端路由器如果接入多个APN的VPN通道,会产生不同APN用户之间互通路由,需要在末端路由器上进行ACL控制,限制不同APN之间的手机互访。例如一般同一个WAPGW路由器接入多个GGSN的CMWAP APN ,因此不同GGSN的CMWAP APN用户之间存在互通路由,需要在WAPGW路由器进行ACL 的互访限制。针对上述安全分析,需要在以下各点布置ACL以及具体策略: 在普通IP路由方式的基础策略上,继续配置。
(1)Gi接口过滤策略:
* 只允许企业内部地址对手机地址的入访问;
* 只允许手机地址对企业内部地址的出访问。
(2)前转表FTF过滤策略(对VRF路由实例FTF在相应VRF的routing-instances下配置) :
*  限制手机地址对该APN下业务地址的入访问,
   例如:对RADIUS客户端/服务器地址的访问(带内RADIUS方式) ;
* 视需要,限制同APN手机地址之间的入访问。
(3)多个VPN端点的过滤策略:视需要,限制来自不同VPN 通道的地址之间的入访问,例如一个WAPGW路由器接入多个GGSN的CMWAP APN,不同GGSN的CMWAP APN用户之间需要在WAPGW路由器进行ACL的互访限制。

   4  总结
   经过以上分析,针对J20内部体系特点,采取的风险防范措施总结如下。
(1)由于普通IP路由方式配置复杂,而且容易产生漏洞,具有较大风险,因此不建议配置普通IP路由方式的APN。J20 GGSN上的APN,包括CMNET、CMWAP以及行业应用APN,建议采用VPN路由方式;
(2)主路由实例inet.0上进行最基础的6项安全策略配置, 达到安全域划分的目的和效果, 避免漏洞产生;
(3)如果配置新的普通IP路由方式APN,必须进行主路由实例inet.0的6项安全策略配置更新;
(4)如果配置新的VPN 路由方式APN,必须进行VRF 路由实例的3 项安全策略配置;
(5)Gi接口如采用封装方式(如GRE隧道)的逻辑接口,那么Gi接口上针对手机地址的接口过滤策略一般无法生效,只能依靠前转表FTF策略方式。

附件: 你需要登录才可以下载或查看附件。没有帐号?立即注册
www.gprshome.com: GPRS及移动通信技术学习交流分享平台。
您需要登录后才可以回帖 登录 | 立即注册

站长邮箱|Archiver|51学通信 ( 粤ICP备11025688 )

GMT+8, 2024-11-29 13:52 , Processed in 0.026681 second(s), 13 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部