Segurança de próxima geração para redes de operadoras móveis

0

Em tempos passados, as operadoras de redes móveis, as chamadas MNOs, conseguiam controlar e administrar a exposição das suas redes aos riscos e ameaças da internet com relativa facilidade.  No entanto, os dispositivos móveis usados por consumidores mudaram muito nos últimos cinco anos e o volume de tráfego e dados móveis explodiu. Essas mudanças tiveram um impacto muito grande na segurança de redes móveis.

Neste cenário, as ameaças de segurança emergentes afetam a integridade e desempenho de redes. Com isso, os requisitos para segurança de redes mudaram.  

Além de consumir recursos da rede coração, o volume de tráfego móvel também pode ser interpretado como um ataque de negação de serviço (DoS) contra a rede ou o sistema de gestão de segurança. Isso acontece por que é difícil diferenciar entre o tráfego de rede 'normal' e o tráfego de fontes maliciosas. E uma operadora que não consegue diferenciar volumes de tráfego 'normais' e ataques maliciosos vai enfrentar sérios problemas de segurança.

Um dos riscos para a segurança de redes 4G é a crescente implementação de estações base para acesso público e estação base com microcélulas, usando comunicações de rede baseadas apenas em tecnologia IP. Esses dispositivos, localizados em áreas acessíveis ao público, não têm a mesma segurança física de uma estação base convencional, criando um ponto fraco de onde pode ser mais fácil atacar a rede usando informações no domínio público sobre ataques baseados em tecnologia IP.

"..P1 Security informou que encontrou 255 diferentes vulnerabilidades em serviços Packet Core, 75 relacionadas a HSS e HLR LTE…"

Para aproveitar dessas vulnerabilidades, pelo menos uma das três principais interfaces da infraestrutura de rede móvel será atacada:

–        A rede móvel LTE que conecta milhões de dispositivos com a internet e outras redes não confiáveis – expondo a todas as ameaças que existem, inclusive malware, ataques DoS, botnets, spoofing, escaneamento de portas e muito mais, produzindo grandes volumes de sinais de rádio que comprometem vários serviços do packet core, como DNS e o P-Gateway.

–        A interface IP de acesso ao rádio, conectando milhares de estações base celulares eNodeB com o packet core, criando riscos par o MME e o S-Gateway.

–        A interface de roaming, conectando as redes dos parceiros de roaming e oferecendo acesso aos serviços e dados internos do packet core.  

Usando uma solução Carrier-Grade NAT (CGN) na interface de acesso à internet oculta o endereço IP dos serviços e dispositivos core da internet pública, ajudando a garantir sua segurança contra ataques maliciosos usando DoS, APT e malware.  A solução também protege contra tempestades de sinais de rádio e o sequestro do endereço IP do dispositivo ou estação móvel, que pode resultar em ataques de 'superfaturamento'.

O firewall NAT deve ser inteligente e capaz de identificar sessões de dados 'suspensos', iniciadas em ataques de superfaturamento. O firewall deve ser capaz de saber quando a parte que iniciou a sessão desconectou e terminar a sessão. Além disso, os registros de contas RADIUS devem ser associados ao IP do dispositivo por meio de conhecimento de identidades, permitindo que a operadora realize a intercepção legítima e ofereça segurança baseado em identidades móveis.  

De acordo com a 3GPP, o gateway de segurança deve permitir autenticação IPSec entre células LTE e o packet core, para evitar acesso não autorizado à rede packet core a partir de eNodeBs. Por esse motivo, a interoperabilidade com soluções terceirizadas é essencial. Isso também permite autenticar os certificados para a camada de controle do eNodeB, além da camada de dados, e proteger dados de usuários.

Ao conectar com uma rede LTE, qualquer dispositivo móvel deve ser capaz de fazer roaming em redes LTE e 3G.  Durante o período de transição para a LTE, as operadoras devem manter suas redes 3G e permitir roaming entre o packet core LTE e o packet core 3G.  

As conexões para dados móveis devem ser seguras e disponíveis a qualquer momento, em qualquer lugar. As operadoras também devem proteger suas redes móveis contra ameaças de segurança atuais e futuras usando sistemas de segurança avançados para todos os protocolos LTE, inclusive GTP, SCTP e Diameter.  

A implementação de soluções de segurança para operadoras móveis garante a segurança de toda a infraestrutura da operadora, inclusive acesso ao rádio, acesso à internet e conectividade em roaming. A solução também precisa ser uma oferta de serviços de segurança aos assinantes, como controles de pais e sistemas de proteção, usando o IPS, Antivírus, Anti-Bot e Filtro de URLs para viabilizar uma série de proteções de segurança para usuários móveis.  

Scott Emo,  responsável por segurança de terminais da Check Point Software.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.