Угрозы безопасности в сетях LTE: устройства, основные элементы сети и сервисы

По мере развертывания LTE по всему миру, бесшовные коммуникации среди всех форм устройств и способов доступа к ядру All-IP LTE развиваются с каждым днем. Эти достижения приносят не только новые возможности для получения прибыли, но и новые и угрозы безопасности. Исторически сложилось так, что телекоммуникационные сети операторского класса безопаснее для пользователя. Однако, сегодняшняя инфраструктура связи является более уязвимой, чем ее предшественники. Интернет становится неотъемлемой частью всех коммуникаций. От брешей в системах безопасности корпоративных сетей страдают миллионы пользователей — и сети должны решать эти проблемы на всех уровнях. Атаки могут происходить в самых разных формах — вредоносные программы, мошеннические звонки, спам, вирусы, кражи личных данных, DDoS. Рост угроз безопасности является отчасти следствием растущего развертывания инфраструктуры доступа Wi-Fi и малых сот в общественных местах, офисах и домах. И он будет возрастать по экспоненте с внедрением М2М. Каждое предприятие является точкой IP-доступа к сети, которая потенциально может быть использована в качестве отправной точки злоумышленниками и хакерами. Операторы и предприятия должны принимать меры по обеспечению сетевой безопасности, продолжая отвечать на растущий спроса на повсеместное покрытие и более высокую скорость передачи данных как в домохозяйствах, так и в корпоративном сегменте. Развертывание LTE является основным фактором угроз безопасности, так как архитектура LTE гораздо более плоская и IP-ориентированная, чем 3G, то есть в ней нужно меньше шагов, чтобы получить доступ к основной сети. В 3G-сетях контроллер радиосети (RNC) управляет всем доступом к базовым станциям, что означает, что потенциальные хакеры не могут подобраться к ядру сети. В LTE транспортная сеть является обязательной, но RNC узел исключается, что дает потенциальному злоумышленнику более прямой путь к ядру сети. Операторы признают, что туннели IPsec необходимо будет устанавливать на каждой соте, подключенной к незащищенной сети в целях аутентификации и шифрования. Операторы должны быть готовы ответить на все угрозы безопасности. Шлюзы безопасности и брандмауэры  не всегда настроены надлежащим образом. При современных угрозах, один девайс не может быть пригодным для всех случаев. Операторы должны решать проблемы безопасности на многих уровнях. Шифрование IPsec и аутентификация обеспечивает основной уровень безопасности пользователя и сети.

IP-бэкхол LTE создает серьезную опасность, потенциально подвергая опасности управление сетью и данные пользователя. Протоколы TDM, такие как SS7 и end-to-end-аутентификация и шифрование в сетях 2G и 3G означали, что исторически проводные и мобильные сетей были безопасны по своей природе. Тем не менее, LTE-сети не имеют этой обязательной защиты. До недавнего времени, рост в телекоммуникационных сетях касался ядра сети, и, следовательно, давал больше безопасности. Сейчас это уже не так. Чтобы сети работали нормально и безопасно, на данный момент лучше использовать наименьшее количество протоколов фильтрации или проверки пакетов. Защита доступа к ядру сети не достаточна в LTE-сетях. Защита соединения может быть достигнута с помощью встроенного шлюза безопасности IPsec на каждом узле. Это обеспечивает шифрование всего трафика управления и передачи данных. Расширенный шлюз безопасности в ядре обеспечивает чекпойнты,которые гарантируют, что только правильно авторизованный трафик проходит через сеть. Безопасность сети начинается с мобильного пользователя и заканчивается основными сервисами. Операторы и поставщики в равной мере должны обеспечить самые высокие уровни безопасности устройств и обучать пользователей защищать себя. Даже если шифрование встроено в устройство, приложения должны использовать его, и, конечно, само устройство должно использовать многофакторную аутентификацию. В конце концов, даже самая безопасная сеть не может защитить против «плохих» пакетов данных, которые она может получать от зараженных устройств. В этом случае, сеть должна иметь защиту на приемном конце соединения. Безопасность в сети, особенно в центрах обработки данных и узлах обслуживания, должна обеспечиваться приложениями безопасности с возможностями DPI (Deep Packet Inspection) для выявления скрытых угроз в пакетных потоках и предотвращения нападения на эти основные сетевые службы. Если сеть защищена, в ней не может быть никаких узких мест в производительности с точки зрения пропускной способности и задержки. Безопасность не может быть просто включенной; она также должна быть эффективной. Операторы должны выбрать гибкие решения для обеспечения безопасности с высокой пропускной способностью и правильным набором «фич», чтобы обеспечить себе конкурентное преимущество. Только тогда они могут продолжать строить свои сети, чтобы привлекать больше пользователей, а также защищать клиентов, давая им возможность воспользоваться возможностями экономического роста, доступными на расширяющемся ультра-широкополосном мобильном рынке. Ссылка на источник