3G与4G LTE网络下一代安全.docVIP

3G与4G LTE网络下一代安全 　　现在，随着移动网络运营商（MNO）不断地增加其用户群，并且努力成为互联网服务供应商（ISP）而不是基本语音和数据服务的供应商，他们面临3大挑战： · 以最高的性能和可用性来保持网络运行。 · 提供丰富的、积极的用户体验。 · 保护其移动网络、客户数据和设备不受当前和新兴的安全威胁。 如果移动网络运营商希望维护客户的忠诚和信任，并保持其增长以及品牌的信誉，就必须成功地解决以上挑战。但是现在移动设备功能和性能的不断提高，用户渴望更丰富更快的网络服务，这些为3G和4G网络带来了一系列新的安全风险。 智能手机和移动应用使用的急剧增长使网络信令超量，影响了网络性能，实际上它已经成为了一种非恶意性的DDos攻击行为。越来越多的移动设备和应用也带来了新的应用层漏洞。此外，4G LTE网络向以IP为中心的架构转移，意味着现在网络更易受到来自公共网络和无线接入网络（RAN）的IP安全攻击，这也为移动网络运营商带来了从未有过的安全挑战，需要用新的方法来保护网络。 新一代4G LTE架构的安全隐患 全新的4G LTE 网络架构同样面临新的安全挑战。它并不像2G和3G服务那样使用TDM和ATM回程，LTE使用基于IP的回程。随着越来越多的基于IP的通信进入移动基础设施，它也变得更易受到来自互联网的攻击。LTE网络的全IP架构带来了更多的安全风险。攻击者可以访问未加密的用户流量或网络控制信令。 随着公共接入微蜂窝基站部署的增加，3G和4G网络面临更多的安全风险，这些公共接入微蜂窝基站的部署主要为了增加购物中心、公用办公室等其他公共场所的本地容量。这些安置在公共区域的小型设备面向公众，不能像传统基站那样采用物理保护方法，这使攻击者很容易从这些点突破来攻击网络。 LTE网络架构和分组核心还面临其他安全挑战，包括SCTP与Diameter传输和应用协议的封锁，以及移动网络上来自不同网元的分布式拒绝服务攻击（DDoS）。数据信令网关、移动包核心（Mobile Packet Core） 和无线接入网络基础设施都有潜在的漏洞。 保证Gi/Sgi接口安全——保护分组核心免受互联网攻击 像我们之前所看到的，据估计到2014年，智能手机的销售量将接近所有已售设备的50%，平均每个设备的数据使用量将翻3倍。在运营商由私有向公共IP地址转换时，智能手机使用的快速增长和日益复杂的应用意味着移动运营商需要一个扩展的、稳健的方法来处理日益增多的用户IP地址，跟踪公共IP地址后的单个设备。 网络现在逐渐向IPv6过渡，需要处理从IPv4到IPv6地址的迁移，这使得问题变得更加复杂。这将要求移动运营商在一段时间内支持以上两种地址方案。因此，移动运营商需要一个弹性的Gi/SGi电信级NAT（CGN）解决方案。 在Gi/Sgi接口上使用CGN解决方案可以在公共互联网上隐藏核心服务和设备的IP地址，这有助于保证其安全，避免成为使用DoS技术的恶意目标。它还可以保护设备或移动台的IP地址不被劫持，否则将导致“超额计费”攻击。 保护LTE Gi/SGi接口的安全要求 保护Gi接口安全的CGN解决方案应为状态NAT防火墙解决方案，并针对互联网、语音和基于会话的应用和协议进行优化。只有状态防火墙可以减少在CGN解决方案中增加IP地址共享的风险，并降低客户和运营商受到超额计费攻击的风险。 在理想情况下，NAT防火墙应作为一个单一的、可扩展的网关，由一个单一的IP地址管理，并支持通过单一控制台进行安全和策略管理。最好是基于机柜的解决方案，堆叠了多个网关模块，因为这样更易于管理、更简单，而且可更高效地实现流量平衡和管理。 该解决方案应该支持IPv4 CGN，通过静态和动态地址和端口映射，包括端口块分配，实现NAPT和NAT44（4）。它还应该支持拥有v4v6双栈DS-Lite、6over4隧道6PE/6rd、4over6隧道、4rd/MAP-T、NAT64、NAT46和NAT66等功能的IPv6 CGN，实现无缝地址转换和迁移。 NAT的性能和吞吐量同样关键：随着网络流量和用户设备数量成倍增加，NAT防火墙需要支持和服务数千万计的并发连接和数千兆真实世界移动流量吞吐量。 NAT防火墙应该智能化，并能够识别超额计费攻击发起的“悬挂”数据会话。当发起方退出会话的时候，防火墙应当能够侦测到，并终止该会话。如果该解决方案能够通过身份感知把RADIUS计费记录与设备的IP相连接，这也是非常有用的，并使电信公司在有关当局提出请求时能够提供用户的特定信息。它还应该提供带有其它安全功能的深度包检测，包括IPS、防病毒、URL过滤、应用程序控制和防僵尸网络。这些提供的保护