Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Upcoming SlideShare
Loading in...5
×
 

Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)

on

  • 439 views

 

Statistics

Views

Total Views
439
Views on SlideShare
439
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Presentation Transcript

  • 1. ©2008 NIL 1
  • 2. 24 лет успеха и прогресса ... с 1989 • • Компания по обучению и консалтингу по технологии Cisco • Специализирующаяся по технологиям SP & центров обработки данных Восточная Европа, Россия, США, Южная Африка, Ближний Восток ©2008 NIL 2
  • 3. В компании успешных Крупные компании / Поставщики услуг / Малое и среднее предпринимательство ©2008 NIL 3
  • 4. Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Давид Ерор
  • 5. Угрозы безопасности сети Виды угрозы безопасности: • Физический доступ к площадке • • Инфраструктура / отказ в обслуживании (DoS) • • Доступность услуг Конфиденциальность пользователей / информация • ©2008 NIL Доступность услуг / Конфиденциальность Фишинг, слежка, человек-в-середине, взлом шифрования 5
  • 6. LTE безопасность системы • • • • • LTE – All-IP архитектура • • • Целостность и шифрование на радио и NAS Легкий доступ (например, имитировать eNodeB) Отсутствие шифрования между двумя концами Отсутствие аутентификации между сетью и eNodeB Влияние третьей стороны (инциденты, изменения инфраструктуры...) Отсутствие целостности / шифрования на S1, X2 IPsec может быть использован для обеспечения транспортной целостности ©2008 NIL 6
  • 7. Требование в мобильной сети • Типичное требование по безопасности – чтобы все управление (S1-MME, X2-C) и плоскость управления были аутентифицированы и зашифрованы • Аутентификация и шифрование пользовательской плоскости (S1-U, X2-U) остаются в качестве дополнительного RRC Целостность и шифрование ©2008 NIL Незащищеннoe 7
  • 8. LTE X2 интерфейс и требования • В R8 / 9 - Сегодня X2 в основном используется для: • • • • Управления мобильностью (роуминг) Управления нагрузкой Отчета об ошибках LTE Advanced (R10/11) вводит CoMP Координированное многоточие • Централизованная совместная передача - один UE обслуживается несколькими узлами еNодеB • UE сообщает узлам eNodeB информацию о состоянии канала – обмен сообщениями через X2 • X2 требует прямую связь с низкой задержкой ©2008 NIL 8
  • 9. LTE X2 - Сегодня: Все интерфейсы, соединенные на WSG ядра • eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к централизованному WSG • Первоначальное развертывание в большинстве случаев из-за ограниченного трафика LTE • Централизованное PKI обеспечивает аутентификацию на основе сертификата Шлюз агрегации Граничный маршрутизатор Шлюз предагрегации WSG ядрa Сотовый шлюз Шлюз предагрегации Граничный маршрутизатор Шлюз агрегации ©2008 NIL 9
  • 10. LTE X2 - Завтра: Все интерфейсы, соединенные на распределенных WSG • eNodeB установят один или несколько IPSec туннелей для X2, S1-C/-U и OAM к распределенному WSG • Оптимальные масштабируемость, низкая задержка и доступность услуг Шлюз агрегации Граничный маршрутизатор Шлюз предагрегации Агрег. WSG Сотовый шлюз Шлюз предагрегации Шлюз агрегации ©2008 NIL Граничный маршрутизатор 10
  • 11. WSG в качестве опции ? Cisco WSG обеспечивает безопасное туннелирование через незащищенную сеть агрегации для: • • 3G и 4G трафика Развертывания фемтосот • Поддержка Internet Key Exchange 2 (IKE 2) – требование 3GPP для фемтосот и UMA / GAN • • • Лучшее покрытие внутри дома Развертывания пикосот Unlicensed Mobile Access (UMA) трафика  WiFi Kорпоративный пользователь LTE Ядро Интернет-провайдер Интернет-провайдер ©2008 NIL 11
  • 12. Сетевая архитектура • WSG решение основано на универсальных Cisco 7600 • Архитектура построена на основе : • SAMI платы с WSG прошивкой • • • ©2008 NIL Входные данные зашифрованы Выходные данные в незашифрованном виде Балансировка нагрузки на основе Policy-Based Routing (PBR) решения 12
  • 13. Соединие единого IPSec туннеля • Идентификация трафика (S1, X2, OAM) на основе IP адреса назначения • Один IPSec SA Фаза 2 (для разных IP адресов источников - S1, X2, OAM) ©2008 NIL 13
  • 14. Соединие нескольких IPSec туннелей • Идентификация трафика на основе IP адреса назначения (D1, D2, D3) или на основе IPSec SA Фаза 2 • Несколько IPSec туннелей / SA Фаза 2 (eNodeB использует различные IP адреса источников - S1, X2, OAM) ©2008 NIL 14
  • 15. Режим работы Активный-Запасной • Одна плата из избыточной пары будет в активном режиме, другая будет в резерве – обе платы имеют туннели • Только одна WSG плата в паре обрабатывает туннельный трафик – другой туннель пустой Мобильное ядро Активная плата Избыточная плата ©2008 NIL 15
  • 16. Режим работы Активный-Активный • Обе платы из избыточной пары будут в активном режиме и в состоянии обработать туннельный трафик • • Удваиватся пропускная способность избыточной пары Туннели на каждой WSG плате в паре синхронизируются с другой платой в паре, создавая пустой избыточный туннель Мобильное ядро ©2008 NIL Мобильное ядро 16
  • 17. WSG избыточность • • Первичное шасси - активный HSRP, активные WSG Вторичное шасси - запасной HSRP, запасные WSG Агрегация Мобильное ядро Активная плата Избыточная плата • Есть готовность переключаться на запасной туннель на запасную WSG ©2008 NIL Зашифрованный трафик Незашифрованный трафик 17
  • 18. Обеспечение высокой доступности • Полная избыточность обеспечивается с помощью двух шасси в следующих случаях : 1. Отказ платы управления 2. Отказ линейной платы или оптоволкна 3. Отказ обоих источников питания - выход из строя шасси 4. Отказ платы SAMI 4 1 ЯДРО ЯДРО 2 ДОСТУП ©2008 NIL ДОСТУП 3 3 18
  • 19. Переключение, отказоустойчивость (1) • • Во время переключения - ICMP потеряет 2 пакета • Несколько сценариев отказа и переключения: Автоматическое восстановление • Плата управления (RSP, SUP)  запасная плата управления на том же шасси • Линейная плата  HSRP на вторичное шасси • • ©2008 NIL Канал связи L2 между 2 шасси OSPF (глобальный и VRF) между 2 шасси - использован вместо статических маршрутов, которые перераспределяются 19
  • 20. Переключение, отказоустойчивость (2) • Выход из строя шасси  HSRP с задержкой после перезагрузки на вторичное шасси • • • SUP/RSP восстанавливается раньше, чем SAMI – IPSec туннели ждут задержку HSRP OSPF (глобальный и VRF) между 2 шасси Плата SAMI  запасная плата SAMI нa другом шасси • • ©2008 NIL Специальная VLAN только за высокую доступность между двумя шасси Резервный IPSec туннель существует на запасной плате и готов к обслуживанию 20
  • 21. Положение WSG в сети • Балансировка нагрузки (PBR) IPSec туннелей: • • • • Четные адреса источников  WSG-A Нечетные адреса источников  WSG-B Внутренняя IP-связь между шасси – OSPF, VRF OSPF Внешняя виртуализация шасси – HSRP, WSG alias VRF Таблица маршрутизации Глобальная таблица маршрутизации IPSec содержащий IP-X через WSG-A IP-X через WSG-A IP-C PBR WSG-A ПЛОСКОСТЬ УПРАВЛЕНИЯ RRI IP-D SUP IP-A SUP IP-C ВНЕШНИЙ ЧЕТНИЙ IP АДРЕС ИСТОЧНИКА ВНУТРЕННИЙ R R НЕЧЕТНИЙ IP АДРЕС ИСТОЧНИКА IP-Y R ВНУТРЕННИЙ S1-U Доступ WSG-B HSRP R ВНЕШНИЙ ПОЛЬЗОВАТЕЛЯ IP-D IP-C S1-C Ядро R S1-U Ядро R IP-MME HSRP R IP-SGW WSG-C IP-B ПЛОСКОСТЬ R OSPF eNodeB S1-C Доступ VRF OSPF IP-X IP-D SUP PBR SUP IP-C RRI WSG-D ©2008 NIL IP-D 21
  • 22. Масштабируемость • • • Первый этап – 2xSAMI, 4 Гбит, 200,000 туннелей IPSec Второй этап – 4xSAMI, 8 Гбит, 400,000 туннелей IPSec Третий этап – 8xSAMI, 16 Гбит, 800,000 туннелей IPSec ЯДРО ЯДРО ДОСТУП ДОСТУП ©2008 NIL 22
  • 23. WSG в будущем • • WSG на ASR9000 / VSM реализован на StarOS • LC модулей на ASR9000 будет использоваться для проведения внешнего трафика на шасси VSM платы представят 12 10GE ​интерфейсов, которые видны через IOS-XR CLI и осуществляют передачу трафика от шасси в VSM платы ©2008 NIL 23
  • 24. Преимущества решения Cisco • • • Cовместимость с основными производителями eNodeB • Уверенность в существовании продукта и в будущем Большая емкость Возможность повторного использования существующего оборудования ©2008 NIL 24