Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)

472 views
330 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
472
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)

  1. 1. ©2008 NIL 1
  2. 2. 24 лет успеха и прогресса ... с 1989 • • Компания по обучению и консалтингу по технологии Cisco • Специализирующаяся по технологиям SP & центров обработки данных Восточная Европа, Россия, США, Южная Африка, Ближний Восток ©2008 NIL 2
  3. 3. В компании успешных Крупные компании / Поставщики услуг / Малое и среднее предпринимательство ©2008 NIL 3
  4. 4. Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Давид Ерор
  5. 5. Угрозы безопасности сети Виды угрозы безопасности: • Физический доступ к площадке • • Инфраструктура / отказ в обслуживании (DoS) • • Доступность услуг Конфиденциальность пользователей / информация • ©2008 NIL Доступность услуг / Конфиденциальность Фишинг, слежка, человек-в-середине, взлом шифрования 5
  6. 6. LTE безопасность системы • • • • • LTE – All-IP архитектура • • • Целостность и шифрование на радио и NAS Легкий доступ (например, имитировать eNodeB) Отсутствие шифрования между двумя концами Отсутствие аутентификации между сетью и eNodeB Влияние третьей стороны (инциденты, изменения инфраструктуры...) Отсутствие целостности / шифрования на S1, X2 IPsec может быть использован для обеспечения транспортной целостности ©2008 NIL 6
  7. 7. Требование в мобильной сети • Типичное требование по безопасности – чтобы все управление (S1-MME, X2-C) и плоскость управления были аутентифицированы и зашифрованы • Аутентификация и шифрование пользовательской плоскости (S1-U, X2-U) остаются в качестве дополнительного RRC Целостность и шифрование ©2008 NIL Незащищеннoe 7
  8. 8. LTE X2 интерфейс и требования • В R8 / 9 - Сегодня X2 в основном используется для: • • • • Управления мобильностью (роуминг) Управления нагрузкой Отчета об ошибках LTE Advanced (R10/11) вводит CoMP Координированное многоточие • Централизованная совместная передача - один UE обслуживается несколькими узлами еNодеB • UE сообщает узлам eNodeB информацию о состоянии канала – обмен сообщениями через X2 • X2 требует прямую связь с низкой задержкой ©2008 NIL 8
  9. 9. LTE X2 - Сегодня: Все интерфейсы, соединенные на WSG ядра • eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к централизованному WSG • Первоначальное развертывание в большинстве случаев из-за ограниченного трафика LTE • Централизованное PKI обеспечивает аутентификацию на основе сертификата Шлюз агрегации Граничный маршрутизатор Шлюз предагрегации WSG ядрa Сотовый шлюз Шлюз предагрегации Граничный маршрутизатор Шлюз агрегации ©2008 NIL 9
  10. 10. LTE X2 - Завтра: Все интерфейсы, соединенные на распределенных WSG • eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к распределенному WSG • Оптимальные масштабируемость, низкая задержка и доступность услуг Шлюз агрегации Граничный маршрутизатор Шлюз предагрегации Агрег. WSG Сотовый шлюз Шлюз предагрегации Шлюз агрегации ©2008 NIL Граничный маршрутизатор 10
  11. 11. WSG в качестве опции ? Cisco WSG обеспечивает безопасное туннелирование через незащищенную сеть агрегации для: • • 3G и 4G трафика Развертывания фемтосот • Поддержка Internet Key Exchange 2 (IKE 2) – требование 3GPP для фемтосот и UMA / GAN • • • Лучшее покрытие внутри дома Развертывания пикосот Unlicensed Mobile Access (UMA) трафика  WiFi Kорпоративный пользователь LTE Ядро Интернет-провайдер Интернет-провайдер ©2008 NIL 11
  12. 12. Сетевая архитектура • WSG решение основано на универсальных Cisco 7600 • Архитектура построена на основе : • SAMI платы с WSG прошивкой • • • ©2008 NIL Входные данные зашифрованы Выходные данные в незашифрованном виде Балансировка нагрузки на основе Policy-Based Routing (PBR) решения 12
  13. 13. Соединие единого IPSec туннеля • Идентификация трафика (S1, X2, OAM) на основе IP адреса назначения • Один IPSec SA Фаза 2 (для разных IP адресов источников - S1, X2, OAM) ©2008 NIL 13
  14. 14. Соединие нескольких IPSec туннелей • Идентификация трафика на основе IP адреса назначения (D1, D2, D3) или на основе IPSec SA Фаза 2 • Несколько IPSec туннелей / SA Фаза 2 (eNodeB использует различные IP адреса источников - S1, X2, OAM) ©2008 NIL 14
  15. 15. Режим работы Активный-Запасной • Одна плата из избыточной пары будет в активном режиме, другая будет в резерве – обе платы имеют туннели • Только одна WSG плата в паре обрабатывает туннельный трафик – другой туннель пустой Мобильное ядро Активная плата Избыточная плата ©2008 NIL 15
  16. 16. Режим работы Активный-Активный • Обе платы из избыточной пары будут в активном режиме и в состоянии обработать туннельный трафик • • Удваиватся пропускная способность избыточной пары Туннели на каждой WSG плате в паре синхронизируются с другой платой в паре, создавая пустой избыточный туннель Мобильное ядро ©2008 NIL Мобильное ядро 16
  17. 17. WSG избыточность • • Первичное шасси - активный HSRP, активные WSG Вторичное шасси - запасной HSRP, запасные WSG Агрегация Мобильное ядро Активная плата Избыточная плата • Есть готовность переключаться на запасной туннель на запасную WSG ©2008 NIL Зашифрованный трафик Незашифрованный трафик 17
  18. 18. Обеспечение высокой доступности • Полная избыточность обеспечивается с помощью двух шасси в следующих случаях : 1. Отказ платы управления 2. Отказ линейной платы или оптоволкна 3. Отказ обоих источников питания - выход из строя шасси 4. Отказ платы SAMI 4 1 ЯДРО ЯДРО 2 ДОСТУП ©2008 NIL ДОСТУП 3 3 18
  19. 19. Переключение, отказоустойчивость (1) • • Во время переключения - ICMP потеряет 2 пакета • Несколько сценариев отказа и переключения: Автоматическое восстановление • Плата управления (RSP, SUP)  запасная плата управления на том же шасси • Линейная плата  HSRP на вторичное шасси • • ©2008 NIL Канал связи L2 между 2 шасси OSPF (глобальный и VRF) между 2 шасси - использован вместо статических маршрутов, которые перераспределяются 19
  20. 20. Переключение, отказоустойчивость (2) • Выход из строя шасси  HSRP с задержкой после перезагрузки на вторичное шасси • • • SUP/RSP восстанавливается раньше, чем SAMI – IPSec туннели ждут задержку HSRP OSPF (глобальный и VRF) между 2 шасси Плата SAMI  запасная плата SAMI нa другом шасси • • ©2008 NIL Специальная VLAN только за высокую доступность между двумя шасси Резервный IPSec туннель существует на запасной плате и готов к обслуживанию 20
  21. 21. Положение WSG в сети • Балансировка нагрузки (PBR) IPSec туннелей: • • • • Четные адреса источников  WSG-A Нечетные адреса источников  WSG-B Внутренняя IP-связь между шасси – OSPF, VRF OSPF Внешняя виртуализация шасси – HSRP, WSG alias VRF Таблица маршрутизации Глобальная таблица маршрутизации IPSec содержащий IP-X через WSG-A IP-X через WSG-A IP-C PBR WSG-A ПЛОСКОСТЬ УПРАВЛЕНИЯ RRI IP-D SUP IP-A SUP IP-C ВНЕШНИЙ ЧЕТНИЙ IP АДРЕС ИСТОЧНИКА ВНУТРЕННИЙ R R НЕЧЕТНИЙ IP АДРЕС ИСТОЧНИКА IP-Y R ВНУТРЕННИЙ S1-U Доступ WSG-B HSRP R ВНЕШНИЙ ПОЛЬЗОВАТЕЛЯ IP-D IP-C S1-C Ядро R S1-U Ядро R IP-MME HSRP R IP-SGW WSG-C IP-B ПЛОСКОСТЬ R OSPF eNodeB S1-C Доступ VRF OSPF IP-X IP-D SUP PBR SUP IP-C RRI WSG-D ©2008 NIL IP-D 21
  22. 22. Масштабируемость • • • Первый этап – 2xSAMI, 4 Гбит, 200,000 туннелей IPSec Второй этап – 4xSAMI, 8 Гбит, 400,000 туннелей IPSec Третий этап – 8xSAMI, 16 Гбит, 800,000 туннелей IPSec ЯДРО ЯДРО ДОСТУП ДОСТУП ©2008 NIL 22
  23. 23. WSG в будущем • • WSG на ASR9000 / VSM реализован на StarOS • LC модулей на ASR9000 будет использоваться для проведения внешнего трафика на шасси VSM платы представят 12 10GE ​интерфейсов, которые видны через IOS-XR CLI и осуществляют передачу трафика от шасси в VSM платы ©2008 NIL 23
  24. 24. Преимущества решения Cisco • • • Cовместимость с основными производителями eNodeB • Уверенность в существовании продукта и в будущем Большая емкость Возможность повторного использования существующего оборудования ©2008 NIL 24

×