các hình thức tấn công và giải pháp bảo vệ mạng 3g umts

CHƯƠNG 1: CÁC HÌNH THỨC TẤN CÔNG MẠNG 3G UMTS1.1 Các điểm yếu của bảo mật mạng 3G UMTS Mặc dù kiến trúc bảo mật mạng 3G cung cấp các dịch vụ bảo mật tiên tiến vàchống lại rất nhiều các n

CHƯƠNG 1: CÁC HÌNH THỨC TẤN CÔNG MẠNG 3G UMTS

1.1 Các điểm yếu của bảo mật mạng 3G UMTS

Mặc dù kiến trúc bảo mật mạng 3G cung cấp các dịch vụ bảo mật tiên tiến vàchống lại rất nhiều các nguy cơ bảo mật đã được liệt kê trong mạng 3G, nhưng kiếntrúc bảo mật 3G vẫn còn có các điểm yếu có thể làm cho mạng và dịch vụ bị nguyhiểm, các điểm yếu này là:

- Truyền thông với một BS sai

- Truyền thông với BS/MS sai

- Tấn công các cuộc gọi ra trong các mạng với mật mã hoá bị cấm

- Tấn công các cuộc gọi vào trong các mạng với mật mã hoá bị cấm

- Một điểm yếu trong kiến trúc bảo mật 3G là thủ tục backup đối với việc phân bổlại TMSI

- Một điểm yếu khác nữa là người sử dụng có thể được mô tả bởi IMSI trong cáctrao đổi báo hiệu ở đường hữu tuyến

- Thủ tục tạo khoá và nhận thực mạng 3G cũng để lộ hai điểm yếu bảo mật quantrọng :

 Điểm yếu thứ nhất cho phép kẻ tấn công định hướng lại lưu lượng củangười sử dụng từ mạng này sang mạng khác

 Điểm yếu thứ hai liên quan đến thủ tục nhận thực mạng 3G cho phép kẻtấn công sử dụng các vector nhận thực bị ngắt từ một mạng để giả mạocác mạng khác

1.2 Các kiểu tấn công vào mạng di động 3G UMTS

1.2.1 Các đe doạ tới các máy di động (Malware)

Khi công nghệ 3G được triển khai, chúng ta cần cảnh giác với các nguy cơ bảomật tới các máy di động từ các loại malware khác nhau Malware (hay phần mềm cóhại) có thể là chương trình (hay đoạn mã chương trình) có hại, không có đặc quyền,hoặc không mong đợi bất kì có mục đích là thực hiện các tác vụ bất hợp pháp lên máytính, các phần tử mạng, hoặc thiết bị đầu cuối di động Một số ví dụ về các tác vụ màmột malware có thể thực hiện gồm: do thám lưu lượng vô tuyến, ghi lại các thông tin

cá nhân, đánh cắp và phân phối thông tin riêng tư và bí mật, cấm các máy tính, và xoácác file Malware có thể được phân chia thành tám thể loại khác nhau:

1 Worms: Một worm (sâu) là một chương trình thực hiện copy bản thân nó

(bằng các cách khác nhau như copy bản thân nó sử dụng email hoặc cơ chế truyền tảikhác) Một worm có thể làm hại và/hoặc thoả hiệp sự bảo mật của máy tính bị nhiễmbằng cách thực hiện các tác vụ đặc biệt Các loại Worm phổ biến trên các máy điệnthoại di động là: Cabir Worm, Lasco Worm, Commwarrior Worm

2 Zombies: Một zombie là một chương trình thực hiện bí mật qua một máy tính

khác được gán với Internet và sau đó sử dụng máy tính đó để thực hiện các tấn cônggây khó khăn để trace người khởi tạo zombie Các zombie có thể được sử dụng để thựchiện các tấn công từ chối dịch vụ (DoS), điển hình chống lại các Website mục tiêu Cáczombie có thể được cài đặt trên hàng trăm máy tính thuộc về các bên thứ ba khôngnghi ngờ Chúng thường được sử dụng đồng bộ để gây quá tải mục tiêu nạn nhân bằngcách triển khai các tấn công mạnh tràn ngập lưu lượng Internet

3 Viruses: Một virus là một chuỗi mã nguồn được chèn vào mã nguồn khác có

thể thực hiện được, thoả mãn khi chương trình chạy thì mã nguồn gây ra bởi virus cũngđược thực hiện Mã nguồn gây ra bởi virus gây ra một copy bản thân nó để được chènvào trong một hoặc nhiều hơn một chương trình Các virus không phải là các chươngtrình riêng biệt, chúng không thể tự chạy và cần có chương trình chủ, mà virus là một

phần của chương trình chủ này, để chạy và kích hoạt chúng Một số loại virus điểnhình trong thông tin di động như Duts virus, Pseudo-virus,

4 Trojan Horses: Một Trojan là một malware thực hiện các tác vụ bất hợp

pháp, thường là có hại Sự khác nhau chủ yếu giữa một Trojan và một virus là sựkhông có khả năng nhân bản bản thân của Trojan Giống như virus, Trojan có thể gâyhại hoặc một phản ứng hệ thống không mong đợi, và có thể thoả hiệp sự bảo mật củacác hệ thống Một Trojan giống như một chương trình bình thường bất kì, nhưng nó cómột số mã nguồn có hại nằm ẩn bên trong nó Các loại Trojan phổ biến trên các máyđiện thoại di động là: Skull Trojan, Mosquito Trojan, Brador Trojan, Cardtrap.A,MetalGear

5 Logic Bombs: Một logic bomb là một đoạn mã chương trình được chèn bí mật

hoặc chủ ý Bomb được thiết kế để thực hiện dưới những điều kiện đặc biệt, như mộtkhoảng thời gian đã trôi qua kể từ khi sự kiện đã xảy ra Nó là một virus hoặc Trojanmáy tính có tác vụ trễ Một logic bomb có thể được thiết kế để hiển thị một bản tin giảmạo, xoá dữ liệu, corrupt dữ liệu, hoặc có các ảnh hưởng không mong muốn khác khiđược thực hiện

6 Trap Doors: Một trap door, đôi khi được gọi là back door, là điểm đầu vào bí

mật trong chương trình cho phép kẻ tấn công cảnh giác về trapdoor nhận được quyềntruy nhập mà không phải thực hiện các thủ tục truy nhập bảo mật Sự khác nhau giữamột trap door và một Trojan truy nhập từ xa (RAT) là trap door chỉ mở một cổng, RATđược thiết kế với kiến trúc client-server

7 Phishing Scam (PS): Một PS là một trang Web, một email, hoặc một tin nhắn

văn bản không trung thực thu hút những người sử dụng không nghi ngờ để lộ các thôngtin nhạy cảm như password, các thông tin tài chính, hoặc dữ liệu cá nhân khác

8 Spyware: Một spyware là một phần mềm nhằm để lộ thông tin cá nhân của

người sử dụng di động hoặc hệ thống máy tính của nó tới các kẻ nghe trộm Ví dụ nhưFlexiSpy là một spyware được bung ra năm 2006 Nó gửi một log các cuộc gọi di động

và các bản sao các văn bản và các tin nhắn MMS tới một server Internet thương mại để

có thể xem được bởi bên thứ ba

1.2.2 Các kiểu tấn công trên mạng 3G

1.2.2.1 Phân loại các kiểu tấn công

Việc phân loại các kiểu tấn công trên mạng 3G có thể dựa trên ba chiều là [2]:(a) Các thể loại tấn công; (b) Các phương tiện tấn công; (c) Chiều truy nhập vật lý,trong đó các tấn công được phân loại dựa trên mức truy nhập vật lý mà kẻ tấn công sửdụng tới mạng 3G

a) Phân loại dựa trên các thể loại:

b) Phân loại dựa trên các phương tiện tấn công:

• Các tấn công dựa trên dữ liệu

• Các tấn công dựa trên các bản tin

• Các tấn công truy nhập vật lý V

1.2.2.2 Một số tấn công điển hình

Các tấn công trên mạng 3G có thể khởi nguồn từ hai nguồn chính là:

- Từ bên ngoài mạng di động: Từ mạng Internet công cộng, các mạng riêng, vàcác mạng của nhà khai thác khác;

Tấn công thăm dò, hacker sử dụng các công cụ quét (scanner) để lấy cắp thôngtin như sơ đồ các thiết bị kết nối mạng 3G (dựa vào địa chỉ IP), thông tin về hệ điềuhành, cổng dịch vụ đang mở, các lỗ hổng phần mềm cài đặt, lợi dụng công nghệ IPtrong mạng 3G

Tấn công thâm nhập kế thừa các nguy cơ từ mạng IP, dịch vụ chia sẻ tập tin(thường mở cổng kết nối 445) hoặc do người dùng đặt mật khẩu yếu, lỗ hổng trongviệc cập nhật bản vá phần mềm

- Bên trong mạng di động: Từ các thiết bị như các máy cầm tay có khả năng xử lý

dữ liệu, các máy điện thoại thông minh, các máy tính cá nhân hoặc các máy tính

để bàn được kết nối tới mạng di động 3G

Tấn công giả mạo tin nhắn (Fake SMS) là hình thức hacker có thể giả mạo bất

cứ số điện thoại di động nào nhắn tin có mục đích đến nạn nhân

Ngoài ra, còn có các nguy cơ khác như virus, phần mềm độc hại và tấn công từchối dịch vụ (DDoS)

Bảng 1 1 Các kiểu tấn công khác nhau trên mạng di động 3G

Worm, Virus, Trojan,

SMS/MMS spam

Các người sử dụng khác,các phần tử mạng (các

Quấy rầy, từ chối dịch vụ

server nội dung) (DoS), ngắt dịch vụ

Tấn công khả năng cungcấp dịch vụ

Tấn công Overbilling Các phần tử quản lý của

nhà khai thác (AAA,HLR, VLR, )

hiệu (SIGTRAN, SIP)

gồm biến đổi, ngăn chặn,

DoS

Các node báo hiệu Tấn công khả năng cung

cấp dịch vụ

1.2.2.3 Các tấn công trên các giao diện mạng

Các giao diện quan trọng của mạng thông tin di động 3G gồm có:

- Gi: Giao diện giữa mạng 3G và mạng bên ngoài như mạng Internet;

- Gp: Giao diện giữa hai nhà khai thác mạng di động, chủ yếu cho chuyển vùng(roaming);

- Ga: Giao diện tới các hệ thống tính cước;

- Gn: Giao diện nội bộ giữa SGSN và GGSN của nhà khai thác mạng di động

Hình 1 1 Các giao diện của mạng 3G.

Các tấn công có thể xảy ra trên các giao diện này, đặc biệt là trên các giao diện

Gp và Gi, nơi mà mạng của nhà khai thác di động kết nối với mạng của nhà khai tháckhác

Các dịch vụ bảo mật cung cấp sự bảo vệ chống lại các nguy cơ tấn công khác

nhau, các dịch vụ bảo mật có thể được phân loại như sau: Tính toàn vẹn, Tính bí mật,

Nhận thực, Tính hợp pháp (có đặc quyền), Tính khả dụng

Khi nghiên cứu các nguy cơ bảo mật trên các giao diện của mạng 3G, chúng taxem xét các tấn công chống lại các dịch vụ bảo mật này Để quyết định lựa chọn giảipháp bảo mật phù hợp, trước tiên cần xác định kiểu lưu lượng và các dịch vụ dữ liệuđược cung cấp, sau đó phân tích các nguy cơ bảo mật cụ thể đối với các dịch vụ này.Dưới đây, chúng ta sẽ phân tích các nguy cơ bảo mật trên các giao diện của mạng 3G

a) Các tấn công trên giao diện Gp

Giao diện Gp là kết nối logic giữa các mạng di động mặt đất công cộng(PLMN), được sử dụng để hỗ trợ người sử dụng di động chuyển vùng (roaming) Giaothức đường hầm GPRS (GTP) được sử dụng để thiết lập một kết nối giữa một SGSNnội hạt và GGSN thường trú của người sử dụng Bao gồm các kiểu tấn công sau:

Tính khả dụng: Kiểu tấn công phổ biến nhất vào tính khả dụng là tấn công từ

chối dịch vụ (DoS) Các dạng tấn công DoS trên giao diện Gp gồm:

- Làm bão hoà băng thông của gateway biên (BG)

- Làm ngập DNS

- Làm ngập GTP

- Bản tin GTP PDP Context Delete bị lừa đảo

- Thông tin định tuyến BGP tồi

- DSN Cache Poisoning

Nhận thực và có đặc quyền: Kẻ lừa đảo có thể giả mạo như là một thuê bao hợp

lệ Các tấn công vào sự nhận thực và có đặc quyền trên giao diện Gp gồm:

- Bản tin Create PDP Context Request bị lừa đảo

- Bản tin Update PDP Context Request bị lừa đảo

- Các tấn công overbilling

Tính bí mật và toàn vẹn: Kẻ tấn công có thể ở vị trí truy nhập tới lưu lượng GTP

hoặc DNS

b) Các tấn công trên giao diện Gi

Giao diện Gi là giao diện mà dữ liệu được khởi đầu bởi MS được gửi ra ngoài,truy nhập tới Internet hoặc mạng doanh nghiệp Đây là giao diện được phơi bày tới cácmạng dữ liệu công cộng và các mạng của các khách hàng doanh nghiệp Lưu lượngđược gửi ra từ GGSN trên giao diện Gi hoặc đến một MS trên giao diện Gi có thể làbất kì kiểu lưu lượng nào bởi vì ứng dụng được sử dụng ở MS là không được biết

Tính khả dụng: Giống như giao diện Gp, tấn công từ chối dịch vụ (DoS) là

nguy cơ bảo mật lớn nhất trên giao diện Gi Các tấn công điển hình gồm:

 Làm bão hoà băng thông Gi

 Làm ngập lụt MS

Tính bí mật: Bởi vì không có cơ chế bảo mật dữ liệu từ MS tới mạng dữ liệu

công cộng hoặc mạng doanh nghiệp, do đó các bên thứ ba có thể xem dữ liệu nếuIPSec hoặc bảo mật lớp ứng dụng không được sử dụng

Tính toàn vẹn: Dữ liệu được gửi qua các mạng dữ liệu công cộng có thể bị thay

đổi bởi bên thứ ba trừ khi bảo mật lớp cao hơn được sử dụng

Nhận thực và có đặc quyền: Trừ khi các đường hầm lớp 2 hoặc lớp 3 được sử

dụng ở GGSN để kết nối tới mạng doanh nghiệp, MS có thể truy nhập tới mạng doanhnghiệp của khách hàng khác Địa chỉ nguồn của lưu lượng mạng không thể được tincậy đối với các mục đích nhận thực và có đặc quyền bởi vì MS hoặc các host sau MS

có thể tạo ra các gói với địa chỉ bất kì bất chấp địa chỉ IP đã được gán cho MS

c) Các tấn công trên giao diện Gn

Giao diện Gn là giao diện bên trong mạng của nhà cung cấp dịch vụ di động.Các nguy cơ bảo mật có thể khởi nguồn từ bên trong mạng của nhà cung cấp, hoặc cóthể xuất hiện từ bên ngoài nhưng truyền dẫn bên trong mạng của nhà cung cấp chỉ khiphần mang của mạng đã bị chọc thủng Các tấn công ở giao diện Gn trong mạng có thểdẫn đến làm sập mạng tuỳ theo mức độ của tấn công Tác động này có thể dẫn đếndowntime mạng, mất dịch vụ, mất lợi nhuận, và làm cho khách hàng thấy bực tức

- SGSN hoặc GGSN bị lừa đảo

- Bản tin GTP PDP Context Delete bị lừa đảo

- Các tấn công từ một khách hàng di động tới một khách hàng di động khác

CHƯƠNG 2: CÁC GIẢI PHÁP BẢO VỆ MẠNG 3G UMTS

2.1 Một số giải pháp chống lại các dạng tấn công cụ thể vào mạng di động 3G.

Bảng 2.1 Bảo vệ chống lại các dạng tấn công cụ thể

Các dạng tấn công Mục tiêu Giải pháp bảo vệ

Worm, Virus, Trojan,

SMS/MMS spam

Các người sử dụng khác,các phần tử mạng (cácserver nội dung)

Phần mềm diệt virus ởmạng và thiết bị; côngnghệ quét nội dung

Các bức tường lửa, cácbức tường lửa báo hiệu vàcác hệ thống phát hiện vàngăn ngừa xâm nhập(IDP)

Tấn công Overbilling Các phần tử quản lý của

nhà khai thác (AAA,HLR, VLR )

Các hệ thống phát hiện vàngăn ngừa xâm nhập(IDP)

Spoofed PDP context Các phiên của người sử

dụng

Các bức tường lửa báohiệu

Các tấn công ở mức báo

hiệu (SIGTRAN, SIP)

gồm biến đổi, ngăn chặn,

và DoS

Các node báo hiệu Các bức tường lửa, các

bức tường lửa báo hiệu vàcác hệ thống phát hiện vàngăn ngừa xâm nhập(IDP)

2.1.1 Bảo vệ chống lại Malware

Bước đầu tiên trong việc bảo vệ chống lại malware là triển khai các phần mềmdiệt virus và bức tường lửa trên tất cả các thiết bị truy nhập mạng (các phần mềm này

có thể được cung cấp miễn phí cho khách hàng hoặc được cung cấp với chi phí thấpbởi nhà khai thác);

Các nhà khai thác cũng nên xem xét việc triển khai công nghệ quét nội dung ởtrong mạng; ví dụ nhiều nhà khai thác ở Châu Âu đã triển khai sản phẩm RMSC ởtrong mạng

2.1.2 Bảo vệ bằng các bức tường lửa

Bức tường lửa có thể được định nghĩa là một thiết bị truyền thông được đặt ởgiữa mạng (mạng cần được bảo vệ) và một mạng mạng khác (mạng công cộng), mạngkhác này có thể được phép truy nhập một cách chọn lọc tới mạng được bảo vệ [2] Bứctường lửa quan sát tất cả lưu lượng được định tuyến giữa hai mạng để kiểm tra xem lưulượng này có đáp ứng các tiêu chuẩn cụ thể hay không Nếu một tiêu chuẩn đáp ứng,thì lưu lượng được định tuyến giữa các mạng, nếu tiêu chuẩn không đáp ứng thì lưulượng bị chặn lại Các bức tường lửa có thể được sử dụng để quan sát tất cả nỗ lựcmuốn thâm nhập vào mạng được bảo vệ và đưa ra các cảnh báo các hoạt động xâmnhập bất hợp pháp Các bức tường lửa có thể lọc các gói dựa trên nội dung của cáctrường để lọc địa chỉ (sử dụng các địa chỉ nguồn và địa chỉ đích, các số cổng) và lọcgiao thức (sử dụng kiểu lưu lượng mạng cụ thể)

Hình 2.1 Bảo vệ bằng bức tường lửa.

Vai trò quan trọng của bức tường lửa cá nhân trong thông tin di động có thể được tómtắt như sau [2]:

- Bức tường lửa cá nhân ngăn ngừa một dải rộng các tấn công từ mạng bao gồm:spoofing địa chỉ IP, quét cổng, và từ chối dịch vụ;

- Bức tường lửa cá nhân ngăn ngừa các tấn công billing, trong đó kẻ tấn công có thể sửdụng cước của người sử dụng khác chỉ bằng cách đơn giản làm cho họ có liên quan đến

sự trao đổi lưu lượng IP;

- Bức tường lửa cá nhân đóng góp vào việc ngăn ngừa các máy di động tiêu thụ thêmcông suất làm tiêu hao pin của máy Điều này có thể được thực hiện bằng cách bổ sungvào bức tường lửa các quy tắc lọc để giảm lưu lượng đi vào và đi ra không cần thiết,tránh rò rỉ thông tin;

- Bức tường lửa cá nhân hỗ trợ một cách hiệu quả các chức năng trong thông tin diđộng như các dịch vụ peer-to-peer qua IP Bức tường lửa cũng bảo vệ các giao thứctruyền thông như WAP và HTTP;

- Bức tường lửa cá nhân bảo vệ các máy đầu cuối di động khỏi bị ảnh hưởng bởi cácloại virus và nội dung không an toàn trong các trò chơi được tải về và các ứng dụng từInternet Điều này có thể được thực hiện bởi các chức năng cụ thể của bức tường lửa cánhân như khoá Pop-Ups JavaScript, tập các mẫu thói quen

Như vậy, để bảo vệ mạng di động, các nhà khai thác mạng di động nên triểnkhai giải pháp sử dụng các bức tường lửa ở các điểm phù hợp để bảo vệ ở các mức:mức gói, mức phiên, mức ứng dụng

Các bức tường lửa nên được sử dụng để bảo vệ hạ tầng mạng khỏi các tấn côngqua các giao diện chính kết nối với các mạng bên ngoài (qua giao diện Gp và Gi), bảo

vệ chống lại các nguy cơ đe doạ tiềm năng ở bên trong mạng (qua các giao diện Ga vàGn)

2.1.3 Bảo vệ mạng bằng các hệ thống phát hiện và ngăn ngừa xâm nhập

Hình 2.2 Bảo vệ mạng bằng Firewall và IDP.

Các hệ thống phát hiện và ngăn ngừa xâm nhập (IDP) bổ sung thêm vào vai trò của cácbức tường lửa trong việc bảo vệ mạng thông tin di động Các hệ thống IDP được thiết

kế để phát hiện sự có mặt của các tấn công trong dòng lưu lượng được cho phép đi vàotrong mạng Các hệ thống IDP thực hiện chức năng này nhờ:

- Các dấu hiệu có ích

- Phát hiện sự bất bình thường về giao thức

- Phát hiện lưu lượng gây ra bởi các worm và Trojan;

- Sự phát hiện bất bình thường về lưu lượng

- Thu hút các kẻ tấn công tiềm năng tới các dịch vụ không tồn tại;

- Các dấu hiệu kết hợp: Kết hợp các dấu hiệu trạng thái để mô tả các tấn công cóthể lan tràn nhiều phiên

Các hệ thống IDP thường được đặt sau bức tường lửa (Hình 2.2) để thiết bị cóthể kiểm tra các gói đi vào và đi ra khỏi mạng Khi lưu lượng có hại được phát hiện,thiết bị IDP sẽ ngăn ngừa lưu lượng này không được đi vào mạng hoặc rời khỏi mạng.Đặt một hệ thống IDP trên đường liên kết đầu ra là quan trọng bởi vì IDP cho phép nhàkhai thác ngăn ngừa các tấn công khởi nguồn từ bên trong mạng không tác động tới cácnhà khai thác khác

2.1.4 Bảo vệ mạng bằng VPN

Bảo vệ mạng bằng mạng riêng ảo (VPN) được mô tả trên Hình 3.4 Kỹ thuậtbảo vệ ở lớp mạng tốt nhất là IPsec, IPsec bảo vệ lưu lượng trên mỗi kết nối và do đóđộc lập với lớp ứng dụng chạy trên nó, ngoài ra IPsec được sử dụng để thực hiện cácmạng VPN Một mạng VPN dựa trên IPsec được sử dụng để nhận thực và cho phépngười sử dụng truy nhập tới các nguồn tài nguyên; thiết lập các đường hầm bảo mậtgiữa các thực thể truyền thông; đóng gói và bảo vệ dữ liệu được phát bởi mạng Sửdụng VPN, các nhà khai thác mạng di động khắc phục được các điểm yếu của giao

thức GTP bằng cách mật mã hoá lưu lượng qua một IPsec VPN và triển khai các bứctường lửa để khoá các dòng lưu lượng có ý định khai thác các điểm yếu của GTP.

Hình 2.3 Bảo vệ mạng bằng IPsec VPN.

Để triển khai VPN trên hạ tầng của mạng di động 3G, ba sơ đồ bảo mật được đề nghị là[3]: (1) Sơ đồ bảo mật end-to-end, (2) Sơ đồ bảo mật mạng rộng, (3) Sơ đồ dựa trênđường biên Các sơ đồ này khác nhau chủ yếu ở vị trí mà chức năng bảo mật được đặttrong kiến trúc mạng 3G (MS, RNC và GGSN), và dữ liệu có được phát ở dạng tườngminh (cleartext) hay có thể bị xâm nhập bởi bên ngoài

2.2 Bảo vệ trên các giao diện của mạng

Một cách dễ dàng để hiểu kiểu kiến trúc bảo mật trong mạng di động 3G là phânchia mạng thành các vùng bảo mật logic như biểu diễn trên Hình 2.4 Bằng sơ đồ phânchia này, nhà khai thác mạng di động có thể đánh giá mức độ quan trọng của thông tin

trong mỗi vùng, các kiểu tấn công trong mỗi vùng và cơ chế bảo vệ tốt nhất trong mỗivùng

2.2.1 Các giải pháp bảo vệ trên giao diện Gp

Vấn đề cơ bản với các nguy cơ bảo mật trên giao diện Gp là do thiếu sự bảo mậtcủa giao thức đường hầm GTP GTP được sử dụng để đóng gói dữ liệu từ MS, và cũnggồm các cơ chế để thiết lập, di chuyển, xoá các đường hầm giữa SGSN và GGSN trongcác tình huống chuyển vùng (roaming) Thực hiện IPsec giữa các bên tham gia chuyển

vùng và quản lý các tốc độ lưu lượng có thể loại bỏ phần lớn các nguy cơ bảo mật trêngiao diện Gp Các giải pháp bảo mật trên giao diện Gp được khuyến nghị là:

- Thực hiện lọc gói vào và ra

- Thực hiện lọc gói GTP trạng thái

- Tạo dạng lưu lượng GTP

- Thực hiện các đường hầm IPsec giữa các bên tham gia roaming

- Ngăn chặn tấn công overbilling

Hình 2.5 Mô tả một cấu hình được khuyến nghị đối với giao diện Gp, sử dụngsản phẩm NS-500 của Juniper

Hình 2.5 Bảo vệ giao diện Gp.

2.2.2 Các giải pháp bảo vệ trên giao diện Gi

Giao diện Gi là giao diện mà mạng di động 3G kết nối với các mạng bên ngoàinhư mạng Internet, mạng doanh nghiệp, mạng của các nhà cung cấp dịch vụ khác Bởi

vì các ứng dụng của thuê bao có thể là bất kì, do đó các nhà khai thác mạng di động sẽ

phải phơi bày mạng của mình ở giao diện Gi tới tất cả các kiểu lưu lượng mạng Cácgiải pháp bảo mật ở giao diện Gi được khuyến nghị là:

- Thực hiện đường hầm logic từ GGSN tới các mạng doanh nghiệp

- Giới hạn tốc độ lưu lượng

- Kiểm tra gói trạng thái

- Thực hiện lọc gói vào và gói ra

- Ngăn ngừa tấn công Overbilling

Hình 2.6 Mô tả sơ đồ bảo vệ giao diện Gi, sử dụng sản phẩm NS-500 củaJuniper

Hình 2.6 Bảo vệ giao diện Gi.

2.2.3 Các giải pháp bảo vệ trên giao diện Gn và Ga

Giao diện Gn là giao diện giữa SGSN và GGSN, chuyển tiếp phần lớn lưu lượng GTPbên trong mạng của nhà khai thác Sử dụng quản lý và cấu hình dựa trên chính sách,các nhà cung cấp dịch vụ di động có thể bảo vệ chống lại các nguy cơ bảo mật nảy sinh

bên trong mạng UMTS Các giải pháp bảo vệ giao diện Gn được khuyến nghị là: Quản

lý bức tường lửa dựa trên chính sách, bức tường lửa kiểm tra trạng thái

Triển khai bức tường lửa GTP là giải pháp phù hợp để cung cấp sự điều khiểnnhằm xác định kiểu lưu lượng GTP nào được cho phép đi qua bức tường lửa giữaSGSN, GGSN, và gateway biên (BG)

Lưu lượng qua giao diện Ga có thể ở dạng các chuyển tiếp FTP batch, cập nhật

cơ sở dữ liệu thời gian thực, hoặc đơn giản là các bản ghi chi tiết cuộc gọi (CDRs) Do

đó, giải pháp bảo vệ là sử dụng bức tường lửa IP hoặc bộ định tuyến/chuyển mạch lọcgói

Hình 2.7 Bảo vệ giao diện Gn.

2.3 Bảo vệ từ khía cạnh quản trị hệ thống

2.3.1 Chính sách điều khiển truy nhập

Chính sách điều khiển truy nhập vào các phần tử của mạng 3G phải chặt chẽ với chínhsách điều khiển truy nhập nói chung được định nghĩa bởi chính sách bảo mật của nhàkhai thác Các quy tắc sau đây nên được áp dụng:

- Tuân thủ các nguyên tắc trong việc cấp quyền truy nhập cho người sử dụng tớicác phần tử của mạng 3G hoặc hỗ trợ các hệ thống IT.

- Các nhân viên của nhà khai thác phải chịu trách nhiệm về việc lưu giữ bảo mật

và sử dụng các phần tử thực hiện điều khiển truy nhập tin cậy

- Mỗi người sử dụng một hệ thống xác định nên được cung cấp bằng một đặc tả(tên log-in, tên tài khoản) duy nhất

Việc cấp phép đầy đủ hoặc rất rộng quyền truy nhập tới các nguồn tài nguyênnên bị hạn chế và điều khiển chặt chẽ

2.3.2 Bảo mật các phần tử mạng liên kết nối

Các phần tử mạng 3G phải cung cấp các phương thức để có thể quản lý, bảo dưỡng từ

xa và truyền thông với các hệ thống IT (ví dụ như hệ thống tính cước) Thông thường,một mạng máy tính của nhà khai thác được sử dụng cho mục đích này Điều này làmgiảm chi phí hạ tầng đáng kể nhưng cũng đặt ra các nguy cơ bảo mật quan trọng đốivới các thực thể của hệ thống 3G Nếu bảo mật không được sử dụng, thì mỗi người sửdụng mạng máy tính này có thể truy nhập từ xa tới một phần tử mạng 3G nếu địa chỉmạng của phần tử này được biết

Về nguyên lý, các phần tử mạng 3G nên được tách rời, ít nhất về mặt logic, khỏimạng máy tính của nhà khai thác Một tên người sử dụng và một password duy nhấtnên mô tả mỗi nhân viên được cấp quyền truy nhập tới phần tử mạng 3G Ứng dụngchính xác và các log hệ thống nên được duy trì, xem xét lại, và được bảo vệ

Truy nhập từ xa tới các thực thể của mạng nên được xem là chủ đề của chính sách bảomật của nhà khai thác và được bảo vệ khỏi sự nghe trộm và hijacking phiên

Truy nhập vật lý tới các phần tử mạng 3G nên được điều khiển bởi các phương thứcbảo mật vật lý phù hợp Vị trí vật lý của các phần tử mạng nên được xem là thông tincần được bảo vệ