为5G网络安全做好准备

      为5G网络安全做好准备无评论

从4G的发展中,可以预见未来5G网络的安全性需要受到关注。在4G核心网络中,Gi-LAN被认为是服务提供商网络中最脆弱的部分,仅保护此Gi接口对于服务提供商的安全性已不再足够。黑客针对Gi Link上的服务提供商核心网络发起DDoS攻击,威胁形势正在迅速变化,攻击可能来自其他连接点。近期一项研究表明无线电接入网络(RAN)的攻击是可能的,物联网的迅速崛起暴露了恶意行为者对运营商采取控制和攻击工具的威胁。

Gi接口–百度百科

Gi接口是GPRS与外部分组数据网之间的接口(在GPRS网络中GGSN与PDN接口–internet ),同时也是终端IP地址在外部数据网络的呈现点。GPRS通过Gi接口和各种公众分组网如Internet或ISDN网实现互联,所有用户和控制平面的功能都基于终端IP层之上来处理,所有3GPP范畴的终端移动性能终结在Gi接口前处理,在Gi接口上需要进行协议的封装/解封装、地址转换(如私有网IP地址转换为公有网IP地址)、用户接入时的鉴权和认证等操作。由于GPRS可以支持各种各样的数据网络,故Gi不是标准接口,而只是一参考点。                                                                                              

EPC中的Gi-LAN被认为是运营商网络中最脆弱的部分

直到最近,将EPC(4G核心网络)连接到互联网的Gi-LAN被认为是服务提供商网络中最脆弱的部分,并通过Gi-Firewal和反DDoS系统进行保护。其余的EPC链接被认为是黑客的难以攻击的目标,因为攻击成功需要丰富的针对运营商的知识。由于典型的黑客更喜欢软目标,因此防御措施不是开发人员或运营商的优先考虑事项。网络复杂性本身就是一种防御。

但是,从其他接口攻击EPC的必要技术现在变得越来越普遍。移动终端以惊人的速度被感染,这意味着攻击可以从网络内部进入。2016年,恶意软件攻击实现了飞跃。然后,2017年第一季度移动勒索软件攻击实现了飞跃,增长了  250%。

保护EPC的需求与LTE采用和物联网的崛起等进步密切相关,而物联网的发展速度仍在不断提高。 2017年,LTE网络增长到  647个商用网络,预计今年将推出另外700个网络。随着LTE的采用,物联网已成为现实,并成为企业的重要收入来源,预计到2022年将达到4000亿英镑的市场。  采取整体方法来保护服务提供商网络的时机已经到来。

将移动服务运营商与外部世界连接起来有三条主要数据路径。第一个是通过S / Gi LAN连接到互联网。下一步是指向漫游用户提供服务的合作伙伴网络的链接。最后,有一个来自塔楼的交通链接。每个链路上的安全挑战和攻击媒介都不同。直到最近,互联网的链接才是最脆弱的连接点。DDoS攻击经常针对Gi Link上的服务提供商核心网络。这些攻击通常是容量性的,并且相对容易阻止,具有高度可扩展的防火墙和DDoS缓解系统。

 

IoT设备的兴起使网络受到更大威胁攻击

 

威胁形势正在迅速变化,攻击可能来自其他连接点。直到最近,这一直是理论上的; 虽然过去十年中发表了许多学术研究论文,表明合作伙伴网络或无线电接入网络(RAN)的攻击是可能的,但这些威胁不再仅仅是一种智力活动:它们是真实的。与此同时,物联网的迅速崛起暴露了恶意行为者对服务提供商采取控制和武器装备的威胁。

 已发现并删除了多个僵尸网络,例如  WireX及其变体。到目前为止,这些攻击都是针对互联网上的主机,但它们开始攻击演进分组核心(EPC)组件只是时间问题。

EPC及其关键组件存在多个弱点。过去隐藏在专有和模糊协议背后的组件现在驻留在IP,UDP或SCTP上,可以使用简单的DoS攻击来删除。

攻击面显着大于以往,并且传统的安全方法不起作用。

针对单个实体的DDoS攻击(如信号风暴)可由恶意行为者甚至合法来源生成。例如,IoT设备中行为不当的协议栈可能通过产生信令风暴而导致中断。

 

加强基础设施保护SP网络

为了保护SP网络,企业必须提高对DDoS攻击的防御能力。实现这一目标的最佳方法是使用S / Gi防火墙解决方案和DDoS缓解解决方案。TPS还应该部署在企业的IT安全内部部署和云基础架构中

利用可以改善这些防御的强大工具,可以帮助检测和缓解或阻止一些针对EPC的高级攻击。正在使用的工具还应允许进行粒度深度数据包检查,以通过欺骗,网络模拟和对安全专业人员的信令攻击来防止用户冒充。

总而言之,除了减轻和阻止来自互联网的太比特级攻击并利用状态防火墙服务之外,企业必须通过使用保护整个企业基础设施的全频安全措施来提高安全措施。

发表评论