Беспроводной шлюз безопасности в сетях 4g wireless security...
DESCRIPTION
TRANSCRIPT
©2008 NIL 1
©2008 NIL 2
24 лет успеха и прогресса ... с 1989
• Компания по обучению и консалтингу по технологии Cisco
• Восточная Европа, Россия, США, Южная Африка, Ближний Восток
• Специализирующаяся по технологиям SP & центров обработки данных
©2008 NIL 3
В компании успешных
Крупные компании / Поставщики услуг / Малое и среднее предпринимательство
Беспроводной шлюз безопасности
в сетях 4G
Wireless Security Gateway (WSG)
Давид Ерор
©2008 NIL 5
Виды угрозы безопасности:
• Физический доступ к площадке
• Доступность услуг / Конфиденциальность
• Инфраструктура / отказ в обслуживании (DoS)
• Доступность услуг
• Конфиденциальность пользователей / информация
• Фишинг, слежка, человек-в-середине, взлом шифрования
Угрозы безопасности сети
©2008 NIL 6
• LTE – All-IP архитектура
• Легкий доступ (например, имитировать eNodeB)
• Отсутствие шифрования между двумя концами
• Отсутствие аутентификации между сетью и eNodeB
• Влияние третьей стороны (инциденты, изменения инфраструктуры...)
• Целостность и шифрование на радио и NAS
• Отсутствие целостности / шифрования на S1, X2
• IPsec может быть использован для обеспечения транспортной целостности
LTE безопасность системы
©2008 NIL 7
НезащищеннoeRRC Целостность и шифрование
• Типичное требование по безопасности – чтобы все управление (S1-MME, X2-C) и плоскость управлениябыли аутентифицированы и зашифрованы
• Аутентификация и шифрование пользовательской плоскости (S1-U, X2-U) остаются в качестве дополнительного
Требование в мобильной сети
©2008 NIL 8
LTE X2 интерфейс и требования
• В R8 / 9 - Сегодня X2 в основном используется для:
• Управления мобильностью (роуминг)
• Управления нагрузкой
• Отчета об ошибках
• LTE Advanced (R10/11) вводит CoMPКоординированное многоточие
• Централизованная совместная передача - один UE обслуживается несколькими узлами еNодеB
• UE сообщает узлам eNodeB информацию о состоянии канала – обмен сообщениями через X2
• X2 требует прямую связь с низкой задержкой
©2008 NIL 9
LTE X2 - Сегодня: Все интерфейсы,
соединенные на WSG ядра• eNodeB установят один или несколько IPSec туннелей
для X2, S1-C/-U и OAM к централизованному WSG
• Первоначальное развертывание в большинстве случаев из-за ограниченного трафика LTE
• Централизованное PKI обеспечивает аутентификацию на основе сертификата
WSG
ядрa
Шлюз агрегации
Шлюз агрегации
Шлюз предагрегации
Шлюз предагрегации
Сотовый шлюз
Граничный
маршрутизатор
Граничный
маршрутизатор
©2008 NIL 10
LTE X2 - Завтра: Все интерфейсы,
соединенные на распределенных WSG
• eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к распределенному WSG
• Оптимальные масштабируемость, низкая задержка и доступность услуг
Граничный
маршрутизатор
Граничный
маршрутизатор
Шлюз предагрегации
Шлюз предагрегации
Сотовый шлюз
Агрег.
WSG
Шлюз агрегации
Шлюз агрегации
©2008 NIL 11
WSG в качестве опции ?Cisco WSG обеспечивает безопасное туннелирование через незащищенную сеть агрегации для:
• 3G и 4G трафика
• Развертывания фемтосот
• Поддержка Internet Key Exchange 2 (IKE 2) –
требование 3GPP для фемтосот и UMA / GAN
• Лучшее покрытие внутри дома
• Развертывания пикосот
• Unlicensed Mobile Access (UMA) трафика WiFi
Интернет-провайдерИнтернет-провайдер
LTE Ядро
Kорпоративный
пользователь
©2008 NIL 12
Сетевая архитектура
• WSG решение основано на универсальных Cisco 7600
• Архитектура построена на основе :
• SAMI платы с WSG прошивкой
• Входные данные зашифрованы
• Выходные данные в незашифрованном виде
• Балансировка нагрузки на основе Policy-Based Routing (PBR) решения
©2008 NIL 13
Соединие единого IPSec туннеля
• Идентификация трафика (S1, X2, OAM) на основе IP адреса назначения
• Один IPSec SA Фаза 2 (для разных IP адресов источников - S1, X2, OAM)
©2008 NIL 14
• Идентификация трафика на основе IP адреса назначения (D1, D2, D3) или на основе IPSec SA Фаза 2
• Несколько IPSec туннелей / SA Фаза 2 (eNodeB использует различные IP адреса источников - S1, X2, OAM)
Соединие нескольких IPSec туннелей
©2008 NIL 15
Мобильное ядро
Активная плата
Избыточная плата
Режим работы Активный-Запасной
• Одна плата из избыточной пары будет в активном режиме, другая будет в резерве – обе платы имеют туннели
• Только одна WSG плата в паре обрабатывает туннельный трафик – другой туннель пустой
©2008 NIL 16
Мобильное ядро Мобильное ядро
• Обе платы из избыточной пары будут в активном режиме и в состоянии обработать туннельный трафик
• Удваиватся пропускная способность избыточной пары
• Туннели на каждой WSG плате в паре синхронизируются с другой платой в паре, создавая пустой избыточный туннель
Режим работы Активный-Активный
©2008 NIL 17
WSG избыточность
Агрегация Мобильное ядро
Активная плата
Избыточная плата
Зашифрованный трафик
Незашифрованный трафик
• Первичное шасси - активный HSRP, активные WSG
• Вторичное шасси - запасной HSRP, запасные WSG
• Есть готовность переключатьсяна запасной туннель на запасную WSG
©2008 NIL 18
Обеспечение высокой доступности
• Полная избыточность обеспечивается с помощью двух шасси в следующих случаях :
1. Отказ платы управления
2. Отказ линейной платы или оптоволкна
3. Отказ обоих источников питания - выход из строя шасси
4. Отказ платы SAMI
4
3 3
2
1 ЯДРО
ДОСТУП
ЯДРО
ДОСТУП
©2008 NIL 19
Переключение, отказоустойчивость (1)
• Во время переключения - ICMP потеряет 2 пакета
• Автоматическое восстановление
• Несколько сценариев отказа и переключения:
• Плата управления (RSP, SUP) запасная плата управления на том же шасси
• Линейная плата HSRP на вторичное шасси
• Канал связи L2 между 2 шасси
• OSPF (глобальный и VRF) между 2 шасси - использован вместо статических маршрутов, которые перераспределяются
©2008 NIL 20
• Выход из строя шасси HSRP с задержкой после перезагрузки на вторичное шасси
• SUP/RSP восстанавливается раньше, чем SAMI – IPSecтуннели ждут задержку HSRP
• OSPF (глобальный и VRF) между 2 шасси
• Плата SAMI запасная плата SAMI нa другом шасси
• Специальная VLAN только за высокую доступность между двумя шасси
• Резервный IPSec туннель существует на запасной плате и готов к обслуживанию
Переключение, отказоустойчивость (2)
©2008 NIL 21
Положение WSG в сети• Балансировка нагрузки (PBR) IPSec туннелей:
• Четные адреса источников WSG-A
• Нечетные адреса источников WSG-B
• Внутренняя IP-связь между шасси – OSPF, VRF OSPF
• Внешняя виртуализация шасси – HSRP, WSG alias
IP-MME
IP-SGW
SUP SUP
WSG-B
WSG-A
S1-C Доступ S1-C Ядро
S1-U Ядро
S1-U Доступ
eNodeB
R
R
R
R R
RR
R
IP-A
ВНЕШНИЙ
IP-B
ВНЕШНИЙ
IP-C
IP-C
IP-D
IP-D
IP-XВНУТРЕННИЙ
IP-YВНУТРЕННИЙ
PBR
RRI
Глобальная таблица маршрутизации
IP-X через WSG-A
SUP SUP
WSG-D
WSG-C
IP-C
IP-C
IP-D
IP-D
PBR RRI
VRF Таблица маршрутизации
IPSec содержащий IP-X через WSG-A
ЧЕТНИЙ IP АДРЕС ИСТОЧНИКА
НЕЧЕТНИЙ IP АДРЕС ИСТОЧНИКАHSRP HSRPO
SP
F
VR
F O
SP
F
ПЛОСКОСТЬ УПРАВЛЕНИЯ
ПЛОСКОСТЬ
ПОЛЬЗОВАТЕЛЯ
©2008 NIL 22
Масштабируемость
• Первый этап – 2xSAMI, 4 Гбит, 200,000 туннелей IPSec
ЯДРО
ДОСТУПДОСТУП
• Второй этап – 4xSAMI, 8 Гбит, 400,000 туннелей IPSec
• Третий этап – 8xSAMI, 16 Гбит, 800,000 туннелей IPSec
ЯДРО
©2008 NIL 23
WSG в будущем
• WSG на ASR9000 / VSM реализован на StarOS
• VSM платы представят 12 10GE интерфейсов, которые видны через IOS-XR CLI и осуществляют передачу трафика от шасси в VSM платы
• LC модулей на ASR9000 будет использоваться для проведения внешнего трафика на шасси
©2008 NIL 24
Преимущества решения Cisco
• Cовместимость с основными производителями eNodeB
• Большая емкость
• Возможность повторного использования существующего оборудования
• Уверенность в существовании продукта и в будущем