www.juniper.net
Nmero de pieza: 530-017779-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de usuario web .............................................. v Convenciones de interfaz de lnea de comandos ...................................... vi Convenciones de nomenclatura y conjuntos de caracteres ...................... vii Convenciones para las ilustraciones ....................................................... viii Asistencia y documentacin tcnica................................................................ ix Captulo 1 GPRS 1
El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .................................................................................................... 2 Interfaces Gp y Gn ..................................................................................... 2 Interfaz Gi.................................................................................................. 3 Modos de funcionamiento ......................................................................... 4 Compatibilidad con el sistema virtual ........................................................ 5 Protocolo de encapsulamiento de GPRS segn directivas .................................5 Ejemplo: Configuracin de directivas para habilitar la inspeccin de GTP ..................................................................................................... 6 Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP) .......7 Ejemplo: Creacin de un objeto de inspeccin de GTP .............................. 8 Filtrado de mensajes de GTP............................................................................ 8 Comprobacin de coherencia del paquete ................................................. 9 Filtrado de la longitud del mensaje ............................................................ 9 Ejemplo: Ajuste de las longitudes del mensaje de GTP ......................10 Filtrado del tipo de mensaje ....................................................................10 Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10 Tipos de mensaje admitidos..............................................................11 Limitacin de velocidad de los mensajes .................................................12 Ejemplo: Establecimiento de un lmite de velocidad .........................13 Validacin del nmero de secuencia........................................................13 Ejemplo: Habilitacin de la validacin del nmero de secuencia.......14 Fragmentacin de IP ...............................................................................14 Filtrado de paquetes de GTP-en-GTP........................................................14 Ejemplo: Habilitacin del filtrado de paquetes de GTP-en-GTP ..........14 Deep Inspection ......................................................................................14 Ejemplo: Habilitacin de Deep Inspection en la TEID........................15 Elementos de informacin de GTP .................................................................15 Filtrado del nombre de punto de acceso..................................................16 Ejemplo: Establecimiento de un APN y un modo de seleccin ..........17 Filtrado del prefijo de IMSI ......................................................................17 Ejemplo: Configuracin de un filtro APN y prefijo de IMSI combinado .................................................................................18 Tecnologa de acceso de radio .................................................................18
iii
Contenido
Ejemplo: Ajuste de un filtro de RAT y APN ........................................18 Identidad de rea de enrutamiento e informacin de ubicacin de usuario ..............................................................................................19 Ejemplo: Ajuste de un filtro RAI y APN..............................................19 Ejemplo: Ajuste de un filtro ULI y APN ..............................................19 Restriccin de APN ..................................................................................20 IMEI-SV....................................................................................................20 Ejemplo: Ajuste de un filtro IMEI-SV y APN .......................................20 Requisitos de protocolo y sealizacin ....................................................21 Compatibilidad combinada para filtrado IE .............................................21 Elementos de informacin R6 compatibles .............................................22 Eliminacin de 3GPP R6 IE......................................................................24 Ejemplo: Eliminacin de R6 ..............................................................24 Tneles de GTP ..............................................................................................25 Limitacin del tnel GTP..........................................................................25 Ejemplo: Establecimiento de los lmites de tnel GTP .......................25 Inspeccin de estado ...............................................................................25 Establecimiento y desmantelamiento del tnel de GTP .....................26 Actualizacin del rea de enrutamiento dentro de SGSN...................26 Conmutacin por error del tnel para alta disponibilidad ........................26 Limpieza de tneles de GTP colgados ......................................................27 Ejemplo: Establecimiento del tiempo de espera para los tneles de GTP ............................................................................................27 Redireccin de SGSN y GGSN .........................................................................28 Prevencin de ataque de sobrefacturacin.....................................................28 Descripcin del ataque de sobrefacturacin ............................................28 Solucin del ataque de sobrefacturacin..................................................30 Ejemplo: Configuracin de la caracterstica de prevencin de ataque de sobrefacturacin ....................................................................31 Supervisin de trfico de GTP ........................................................................33 Registro de trfico ...................................................................................33 Ejemplo: Habilitacin del registro de paquetes de GTP......................34 Recuento de trfico .................................................................................35 Ejemplo: Habilitacin del recuento de trfico de GTP........................35 Intercepcin legal ....................................................................................36 Ejemplo: Habilitacin de intercepcin legal.......................................36 ndice ........................................................................................................................IX-I
iv
Contenido
Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Help > Config Guide para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
vi
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
vii
Internet
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Conmutador
Concentrador
viii
ix
Captulo 1
GPRS
Las redes de servicio general de radio por paquetes (GPRS) se conectan a varias redes externas, incluso a aquellas de socios de itinerancia (roaming), clientes corporativos, proveedores de Intercambio de itinerancia de GPRS (GRX) e Internet pblica. Los operadores de red de GPRS se enfrentan al reto de proteger sus redes al mismo tiempo que proporcionan y controlan el acceso hacia y desde estas redes externas. Juniper Networks proporciona soluciones a varios problemas de seguridad que dificultan el trabajo de los operadores de red de GPRS. En la arquitectura de GPRS, la razn fundamental de las amenazas a la seguridad a la red de un operador es la inherente falta de seguridad del protocolo de encapsulamiento de GPRS (GTP). GTP es el protocolo que se utiliza entre los nodos de soporte de GPRS (GSN). La comunicacin entre las diferentes redes de GPRS no es segura ya que GTP no proporciona ninguna proteccin de confidencialidad, integridad de datos o autenticacin. Al implementar la seguridad del protocolo de Internet (IPSec) para las conexiones entre los socios de itinerancia, establecer los lmites de velocidad del trfico y utilizar la inspeccin de estado, es posible que se elimine una mayora de riesgos de seguridad de GTP. Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en las interfaces de Gp, Gn y Gi. Las caractersticas de cortafuegos de GTP en ScreenOS abordan los problemas de seguridad clave en las redes de los operadores mviles.
NOTA:
nicamente los dispositivos de ISG 2000 son compatibles con la funcionalidad de GTP. Este captulo describe las caractersticas de GTP que son compatibles con ScreenOS y explica cmo puede configurarlas en un dispositivo de seguridad de Juniper Networks. Este captulo consta de las siguientes secciones: El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS en la pgina 2 Protocolo de encapsulamiento de GPRS segn directivas en la pgina 5 Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP) en la pgina 7 Filtrado de mensajes de GTP en la pgina 8 Elementos de informacin de GTP en la pgina 15
Redireccin de SGSN y GGSN en la pgina 28 Prevencin de ataque de sobrefacturacin en la pgina 28 Supervisin de trfico de GTP en la pgina 33
NOTA:
El trmino interfaz tiene diferentes significados en ScreenOS y en la tecnologa GPRS. En ScreenOS, una interfaz es como una entrada a una zona de seguridad y permite que el trfico entre y salga de la zona. En GPRS, una interfaz es una conexin o un punto de referencia entre dos componentes de una infraestructura de GPRS, por ejemplo, un SGSN y un GGSN.
Interfaces Gp y Gn
Los dispositivos de seguridad se implementan en la interfaz Gn para proteger posiciones clave en la red como SGSN y GGSN. Para asegurar los tneles de GTP en la interfaz Gn, el dispositivo de seguridad se coloca entre los SGSN y los GGSN dentro de una PLMN comn. Cuando se implementa un dispositivo de seguridad en la interfaz Gp, se protege una PLMN contra otra PLMN. Para asegurar los tneles de GTP en la interfaz Gp, los SGSN y los GGSN de una PLMN se colocan detrs de un dispositivo de seguridad, por lo tanto todo el trfico entrante y saliente pasa a travs del cortafuegos.
Captulo 1: GPRS
La Figura 2 ilustra la colocacin de los dispositivos de seguridad de Juniper Networks para proteger PLMN en las interfaces Gp y Gn.
Figura 2: Interfaces Gp y Gn Torre de radio SGSN Dispositivo de seguridad MS Interfaces Gn GGSN PLMN 1 PLMN 2 Interfaz Gp Dispositivo de seguridad Interfaces Gn GGSN MS SGSN Torre de radio
Interfaz Gi
Cuando implementa un dispositivo de seguridad en la interfaz Gi, puede controlar a la vez el trfico de varias redes, proteger una PLMN contra Internet y redes externas y proteger a los usuarios mviles de Internet y otras redes. ScreenOS proporciona un gran nmero de enrutadores virtuales, lo que hace posible que usted utilice un enrutador virtual por red de cliente y por ende, permite la separacin de trfico de cada red del cliente. El dispositivo de seguridad puede reenviar de manera segura los paquetes a Internet o a redes de destino utilizando el encapsulamiento de protocolo de capa 2 (L2TP) para los tneles de red privada virtual (VPN). (No obstante, tenga en cuenta que los dispositivos de seguridad de Juniper Networks no son completamente compatibles con L2TP). Para obtener ms informacin sobres las caractersticas y capacidades de los enrutadores virtuales, consulte el Volumen 7: Enrutamiento.
La Figura 3 ilustra la implementacin de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi.
Figura 3: Interfaz Gi
Internet
Red A corporativa
Red B corporativa
MS PLMN 1
Modos de funcionamiento
ScreenOS admite dos modos de funcionamiento de interfaz con GTP: El modo transparente y el modo de rutas. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red, puede ejecutarlo en el modo de rutas. Para ello es necesario modificar el diseo de la red. Puede implementar el dispositivo de seguridad, de forma alterna, en modo transparente en sus redes existentes sin tener que reconfigurar su red completa. En el modo transparente, el dispositivo de seguridad acta como un conmutador de Capa 2 o un puente y las direcciones de IP de interfaces se establecen en 0.0.0.0, lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente a los usuarios. ScreenOS admite la Traduccin de direcciones de red (NAT) en interfaces y directivas que no tienen activada la inspeccin de GTP. En la versin actual de ScreenOS, el modo transparente nicamente admite la alta disponibilidad (HA) activa-pasiva, a diferencia del modo de rutas, que admite tanto HA activa-pasiva como activa-activa. Para obtener ms informacin sobre los modos de funcionamiento y alta disponibilidad, consulte el Volume 2: Fundamentos y el Volumen 11: Alta Disponibilidad, respectivamente.
Captulo 1: GPRS
Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.
GTP Name: GPRS1
2. Interfaces
Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
3. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.0/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: Untrust
4. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), local-GGSN Destination Address: Address Book Entry: (seleccione), remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit
Captulo 1: GPRS
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), remote-SGSN Destination Address: Address Book Entry: (seleccione), local-GGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit
CLI
1. Objeto de inspeccin GTP
set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10.1.1.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1.1.1/24
3. Direcciones
set address trust local-ggsn 10.1.1.0/32 set address untrust remote-sgsn 2.2.2.5/32
4. Directivas
CLI
set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save
Captulo 1: GPRS
NOTA:
Juniper Networks cumple con los Estndares de GTP establecidos por 3GPP (Proyecto de sociedad de 3ra Generacin). Para obtener ms informacin sobre estos estndares, consulte los siguientes documentos de especificacin tcnica: 3GPP TS 09.60 v6.9.0 (2000-09) 3GPP TS 29.060 v3.8.0 (2001-03) 3GPP TS 32.015 v3.9.0 (2002-03)
CLI
set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-message-length 1200 (gtp:gprs1)-> exit save
10
Captulo 1: GPRS
CLI
set gtp configuration gprs1 (gtp:gprs1)-> set drop error-indication (gtp:gprs1)-> set drop failure-report (gtp:gprs1)-> exit save
Tipo de mensaje
create-aa-pdp create-aa-pdp create-pdp create-pdp data-record data-record delete-aa-pdp delete-aa-pdp delete-pdp delete-pdp echo echo error-indication failure-report failure-report fwd-relocation fwd-relocation fwd-relocation fwd-relocation fwd-srns-context fwd-srns-context identification identification node-alive
Versin 0
Versin 1
b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b
11
b b b b
Mensaje
node alive response note MS GPRS present request note MS GPRS present response pdu notification request pdu notification response pdu notification reject request pdu notification reject response RAN info relay redirection request redirection response relocation cancel request relocation cancel response send route info request send route info response sgsn context request sgsn context response sgsn context acknowledge supported extension headers notification g-pdu update pdp context request updated pdp context response version not supported
Tipo de mensaje
node-alive note-ms-present note-ms-present pdu-notification pdu-notification pdu-notification pdu-notification ran-info redirection redirection relocation-cancel relocation-cancel send-route send-route sgsn-context sgsn-context sgsn-context supported-extension gtp-pdu update-pdp update-pdp version-not-supported
Versin 0
Versin 1
b b b b b b b b b
b b b b b b b b b b b b
b b b b b
b b b b b b
b b b b
b b b b
12
Captulo 1: GPRS
Inundacin de GTP: El trfico de GTP puede inundar un GSN hasta el punto de obligarle a ampliar sus ciclos de CPU para procesar datos ilegtimos. Esto puede evitar que los abonados utilicen la itinerancia, reenvo de datos a redes externas o evitar un ataque de GPRS a la red. Esta caracterstica limita la velocidad del trfico enviado a cada GSN desde el cortafuegos de Juniper Networks. La velocidad predeterminada es ilimitada.
WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply:
Control Plane Traffic Rate Limit: 300
CLI
set gtp config gprs1 (gtp:gprs1)-> set limit rate 300 (gtp:gprs1)-> exit save
13
Fragmentacin de IP
Un paquete GTP consta de cuerpo de mensajes y tres encabezados: GTP, UDP e IP. Si el paquete de IP resultante es ms grande que la unidad de transmisin de mensaje (MTU) en el enlace de transferencia, el SGSN o GGSN de envo realiza una fragmentacin de IP. De forma predeterminada, un dispositivo de seguridad almacena en bfer los fragmentos de IP hasta que recibe un mensaje completo de GTP y luego realiza la inspeccin del mensaje de GTP.
Deep Inspection
Puede configurar el dispositivo de seguridad para que realice una inspeccin a fondo (Deep Inspection) en la ID de punto final de tnel (TEID) en mensajes de datos G-PDU.
14
Captulo 1: GPRS
15
16
Captulo 1: GPRS
El filtrado de APN se aplica nicamente a los mensajes create pdp request. Cuando realiza el filtrado de APN, el dispositivo de seguridad inspecciona los paquetes de GTP en busca de APN que coincidan con los APN que estableci. Si el APN de un paquete de GTP coincide con un APN que especific, el dispositivo de seguridad verifica entonces el modo de seleccin y reenva nicamente el paquete de GTP si tanto el APN como el modo de seleccin coinciden con el APN y el modo de seleccin que usted especific. Ya que el filtrado de APN se basa en coincidencias perfectas, el uso del comodn * cuando establece un sufijo de APN puede evitar la exclusin accidental de los APN que de otra manera autorizara. El dispositivo de seguridad rechaza automticamente todos los otros APN que no coinciden. Adems, un dispositivo de seguridad puede filtrar los paquetes de GTP segn la combinacin de un prefijo de identidad de abonado mvil (IMSI) y un APN.
CLI
set gtp config gprs1 (gtp:gprs1)-> set apn *mobiphone.com.mnc123.mcc456.gprs selection net (gtp:gprs1)-> exit save
17
Cuando filtra los paquetes GTP segn el prefijo IMSI, tambin debe especificar un APN. Consulte Ejemplo: Configuracin de un filtro APN y prefijo de IMSI combinado.
CLI
set gtp config gprs1 (gtp:gprs1)-> set mcc-mnc 246565 apn *mobiphone.com.mnc123.mcc456.gprs pass (gtp:gprs1)-> exit save NOTA:
Seleccionar la variable pass en CLI es igual a seleccionar los tres modos de seleccin en WebUI. Al utilizar esta variable, se autoriza el paso del trfico de todos los modos de seleccin del APN especificado.
18
Captulo 1: GPRS
WebUI Actualmente usted puede ajustar una combinacin RAT y APN solo desde la Interfaz de lnea de comandos (CLI). CLI
set gtp config gprs1 (gtp:gprs1)-> set rat 123 apn *mobiphone.com drop (gtp:gprs1)-> exit save
19
CLI
set gtp config gprs1 (gtp:gprs1)-> set uli 123456 apn mobiphone.com drop (gtp:gprs1)-> exit save
Restriccin de APN
Los contextos del protocolo de datos de paquete (PDP) primarios concurrentes y un MS/UE capaz de enrutarse entre estos dos puntos de acceso, pueden poner en riesgo la seguridad de IP para los usuarios corporativos que tienen APN tanto pblicos como privados. El IE de restriccin de APN, agregado al mensaje de respuesta GTP create PDP context, asegura la exclusividad mutua de un contexto PDP si lo solicita GGSN (o lo rechaza si esta condicin no se puede cumplir), evitando de esta manera la amenaza a la seguridad.
IMEI-SV
El IE de la identidad de equipo mvil internacional, versin de software (IMEI-SV) proporciona maneras de adaptar el contenido al tipo de terminal y aplicacin del cliente cada vez que no est presente un servidor proxy para este propsito. Este IE tambin es til para informes generados de GGSN, AAA o puerta de enlace de protocolo de aplicacin inalmbrica (WAP GW). El dispositivo de seguridad de deteccin de GTP es compatible con la restriccin de RAT, RAI, ULI, APN e IMEI-SV en atributos de GTP para evitar el tratamiento o categorizacin como trfico inequvoco, que puede ser peligroso para el trfico GPRS o el trfico de itinerancia GPRS. Estos atributos se incluyen en el conjunto de atributos tiles de filtro que se utilizan para bloquear el trfico GPRS o el trfico de itinerancia GPRS. Cuando ajusta el IE de IMEI- SV, tambin debe especificar un APN. Consulte Ejemplo: Ajuste de un filtro IMEI-SV y APN.
20
Captulo 1: GPRS
21
3. ULI 4. IMEI 5. MCC-MNC Siempre que se ajusta una restriccin de atributos, se debe especificar tambin un APN: Por ejemplo, si desea que el dispositivo de seguridad pase los mensajes GTP que contienen RAT1, RAI 567* y MCC-MNC 56789 o que pase mensajes con RAI 123*, pero de forma predeterminada descarte los paquetes con cualquier valor APN, utilice la siguiente configuracin:
set rat 1 rai 567* mcc-mnc 56789 apn * pass set rai 123* apn * pass set apn * drop
La primera lnea de configuracin ocasiona que el dispositivo de seguridad pase los mensajes GTP que contienen RAT 1, RAI 567*, MCC-MNC 56789, y cualquier APN. La segunda lnea de la configuracin ocasiona que el dispositivo pase los mensajes que contienen RAI 123* y cualquier APN. La tercera lnea ocasiona que el dispositivo descarte todos los APN.
22
Captulo 1: GPRS
23
Eliminacin de 3GPP R6 IE
La caracterstica de eliminacin de 3GPP R6 IE le permite retener la interoperabilidad en itinerancia entre redes 2GPP y 3GPP. Puede configurar el dispositivo de seguridad de deteccin de GTP, que se aloja en el extremo de PLMN y GRX y que funciona como un cortafuegos Gp, para que elimine los atributos especficos 3GPP del ttulo del paquete GTP cuando el paquete pasa a una red 2GPP. Puede configurar el dispositivo de seguridad para que elimine la restriccin RAT, RAI, ULI, IMEI-SV de IE de los mensajes GTP antes de reenviar estos mensajes a GGSN.
Ejemplo: Eliminacin de R6
En este ejemplo, puede configurar la interfaz Gp del dispositivo de seguridad para que elimine los IE de R6 nuevos que se agreguen (restricciones RAT, ULI, IMEI-SV y APN) del mensaje GTP. WebUI Objects > GTP > New: Seleccione los siguientes datos y haga clic en Apply:
Remove R6 EI: (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> set remove-r6 (gtp:gprs1)-> exit save
24
Captulo 1: GPRS
Tneles de GTP
Un tnel GTP habilita la transmisin del trfico de GTP entre los GSN con el Protocolo de encapsulamiento de GPRS (GTP). Hay dos tipos de tneles: uno para los mensajes de GTP-U (datos del usuario) y uno para los mensajes de GTP-C (sealizacin y control).
CLI
set gtp config gprs1 (gtp:gprs1)-> set limit tunnel 800 (gtp:gprs1)-> exit save
Inspeccin de estado
Tras una serie de verificaciones de paquete de GTP (consulte Filtrado de mensajes de GTP en la pgina 8), el dispositivo de seguridad verifica el paquete de GTP con el estado actual del tnel de GTP. El dispositivo de seguridad basa su accin de reenvo o descarte de un paquete de GTP en paquetes de GTP anteriores que recibi. Por ejemplo, un mensaje de peticin precede un mensaje de respuesta, as que si el dispositivo de seguridad recibe un mensaje create pdp context response cuando no recibi previamente un mensaje create pdp context request, el dispositivo de seguridad descarta el mensaje de respuesta. Bsicamente, si ste recibe un paquete de GTP que no pertenece al modelo de estado actual de GTP, el dispositivo de seguridad descarta el paquete. Lo siguiente son ejemplos simplificados de los modelos de estado de GTP.
Tneles de GTP
25
Captulo 1: GPRS
Durante la conmutacin por error, los tneles de GTP establecidos permanecen activos e intactos, pero los tneles de GTP en el proceso de establecimiento se pierden. Para estos, debe reiniciar el establecimiento del tnel de GTP despus de la conmutacin por error. Tambin es posible que los tneles de GTP en el proceso de desmontaje (o terminacin) pierdan el mensaje de confirmacin y queden a la espera en el dispositivo de seguridad. La espera de los tneles de GTP puede ocurrir por varias razones. Con relacin a la HA, un tnel de GTP en espera ocurre cuando el GSN en un extremo del tnel enva GSN al otro extremo del tnel un mensaje delete pdp context request y mientras espera la respuesta ocurre un fallo que interrumpe la comunicacin y evita que GSN reciba el mensaje delete pdp context response (que confirma la eliminacin) del otro GSN. El GSN que enva el mensaje de confirmacin elimina de manera simultnea su contexto de pdp mientras que el GSN en el otro extremo del tnel de GTP queda en espera, esperando la confirmacin de eliminacin. Puede configurar el dispositivo de seguridad para que elimine los tneles de GTP en espera. Para obtener ms informacin, consulte Limpieza de tneles de GTP colgados en la pgina 27. Para obtener ms informacin sobre HA y para aprender sobre cmo configurar los dispositivos de seguridad para alta disponibilidad, consulte Volumen 11: Alta Disponibilidad.
CLI
set gtp config gprs1 (gtp:gprs1)-> set timeout 12 (gtp:gprs1)-> exit save
Tneles de GTP
27
28
Captulo 1: GPRS
En la Figura 4, MS1 obtiene una direccin de IP y solicita un tnel GTP para GGSN. SGSN crea un tnel GTP por peticin de MS1. MS1 inicia una sesin con el servidor.
Figura 4: Inicio de sesin PLMN 1
MS maliciosa (MS1: 2.2.1.2/32) Cortafuegos de GTP SGSN Tnel GTP Servidor GGSN Cortafuegos de Gi
Internet
En la Figura 5, a medida que el servidor empieza a enviar paquetes a MS1, MS1 enva simultneamente una peticin a SGSN para eliminar el tnel GTP pero deja abierta la sesin al servidor. El servidor contina el envo de paquetes a GGSN. El cortafuegos de GI no sabe que el tnel GTP se elimin y reenva los paquetes a GGSN. GGSN descarta los paquetes ya que el tnel GTP ya no existe.
Figura 5: Eliminacin de un tnel de GTP PLMN 1
MS1 solicita la eliminacin del tnel GTP y sale de la sesin. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Servidor
Internet
En la Figura 6, una nueva estacin mvil, MS2 (la vctima), enva una solicitud a SGSN por un tnel GTP a GGSN y recibe la direccin IP de 2.2.1.2/32 (la misma direccin IP que utiliz MS1). SGSN crea un nuevo tnel GTP a GGSN. Al detectar el nuevo tnel GTP para la direccin IP de destino 2.2.1.2, GGSN, que reciba los paquetes para la sesin anterior con la misma direccin IP de destino pero diferente MS (MS1), ahora reenva estos paquetes a MS2. Aunque MS2 no solicit este trfico dirigido a MS1, se cobra a MS2 por esto.
29
Servidor
30
Captulo 1: GPRS
Al eliminar el tnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos de Gi acerca de la eliminacin del tnel GTP. El cortafuegos de Gi elimina la sesin de su tabla. Posteriormente, cuando el servidor intenta enviar paquetes a GGSN, el cortafuegos de Gi los intercepta y los descarta. Como resultado, una nueva MS, incluso si utiliza la misma direccin IP que la MS anterior, no puede recibir datos y se le facturar trfico que no ha iniciado.
Figura 7: Notificacin de eliminacin del tnel GTP
MS1 solicita la eliminacin del tnel GTP y sale de la sesin. El cortafuegos de Gi ejecuta el firmware ScreenOS 5.1.0 NSGP.
PLMN 1
El cortafuegos de GTP notifica al cortafuegos de Gi acerca de la eliminacin del tnel GTP.
SGSN
X
El cortafuegos de GTP ejecuta el firmware ScreenOS 5.0.0 o ScreenOS 5.1.0 GPRS.
GGSN
Servidor
Internet
Cortafuegos de Gi 2.2.1.4/24
Servidor
Internet
31
WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Untrust (seleccione) IP Address/Netmask: 1.1.2.5/24 Management Services: Telnet (seleccione)
Objects > GTP > Edit (GPRS1) > Overbilling: Introduzca los siguientes datos y haga clic en Apply:
Overbilling Notify: (seleccione) Destination IP: 2.2.1.4 Source Interface: ethernet1/2 Destination Context: 2
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: Any GTP Inspection Object: GPRS1 Action: Permit
CLI
set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 1.1.2.5/24 set interface ethernet1/2 manage telnet set gtp config gprs1 (gtp:gprs1)-> set notify 2.2.1.4 src-interface ethernet1/2 context 2 (gtp:gprs1)-> exit save set policy from untrust to trust any any any permit
WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Untrust (seleccione) IP Address/Netmask: 2.2.1.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione)
32
Captulo 1: GPRS
NSGP: Introduzca los siguientes datos y haga clic en Add, luego haga clic en OK:
Context ID: 2 Zone: Untrust
CLI
set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 2.2.1.4/24 set interface ethernet1/2 manage telnet set interface ethernet1/2 nsgp set nsgp context 2 type session zone untrust save
Registro de trfico
Con la caracterstica de registro de trfico de GTP, puede configurar el dispositivo de seguridad para registrar los paquetes de GTP segn sus estados. Tambin puede especificar cunta informacin, bsica o extensa, desea sobre cada paquete. Puede utilizar la consola, syslog y WebUI para ver los registros de trfico. El estado de un paquete de GTP puede ser alguno de los siguientes: Reenviado: Un paquete que transmite el dispositivo de seguridad ya que la directiva de GTP lo permite. Prohibido: Un paquete que descarta el dispositivo de seguridad ya que la directiva de GTP lo rechaza. Limitado por velocidad: Un paquete que descarta el dispositivo de seguridad ya que excede el lmite mximo de velocidad del GSN de destino. Estado no vlido: Un paquete que descarta el dispositivo de seguridad ya que fall la inspeccin de estado. Limitado por tneles: Un paquete que descarta el dispositivo de seguridad ya que se lleg al lmite mximo de tneles de GTP para el GSN de destino.
NOTA:
De forma predeterminada, el registro de trfico est inhabilitado en un dispositivo de seguridad de Juniper Networks. Cada entrada de registro en su forma bsica contiene la siguiente informacin: Marca de hora Direccin IP de origen
Supervisin de trfico de GTP
33
Direccin IP destino Identificador del tnel (TID) o Identificador del punto final del tnel (TEID) Tipo de mensaje Estado del paquete: reenviado, prohibido, estado no vlido, limitado por velocidad o limitado por tneles Nombre de vrouter, vsys o interfaz (si corresponde) Red mvil terrestre pblica (PLMN) o nombre de zona Cada entrada del registro en su forma extendida incluye la siguiente informacin adems de la informacin bsica: IMSI MSISDN APN Modo de seleccin Direccin de SGSN para sealizacin Direccin de SGSN para datos de usuario Direccin de GGSN para sealizacin Direccin de GGSN para datos de usuario
NOTA:
Para obtener ms informacin sobre las caractersticas de supervisin, consulte Supervisin de dispositivos de seguridad en la pgina 3-59. Cuando habilita el inicio de sesin de los paquetes de GTP con un estado de limitado por velocidad del paquete, tambin puede especificar una frecuencia de inicio de sesin para controlar el intervalo en el cual el dispositivo de seguridad registra estos mensajes. Por ejemplo, si establece el valor de frecuencia en 10, el dispositivo de seguridad nicamente registra cada dcimo mensaje sobre el lmite de velocidad establecido. Al establecer una frecuencia de registro, ayuda a conservar los recursos en el servidor syslog y en el dispositivo de seguridad y puede evitar el desbordamiento de registro de los mensajes.
34
Captulo 1: GPRS
WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply:
Packet Prohibited: Basic (seleccione) Packet State-invalid: Extended (seleccione) Packet Rate-Limited: Basic (seleccione) When Packet Rate Limit is exceeded, log every other messages: 10
CLI
set gtp config gprs1 (gtp:gprs1)-> set prohibited basic (gtp:gprs1)-> set state-invalid extended (gtp:gprs1)-> set rate-limited basic 10 (gtp:gprs1)-> exit save
Recuento de trfico
Con la caracterstica de recuento de trfico de GTP, puede configurar el dispositivo de seguridad para contar el nmero de mensajes de control y datos de usuario (o bytes de datos), recibidos de y reenviados a GGSN y SGSN al cual protege. El dispositivo de seguridad cuenta el trfico para cada tnel de GTP por separado y lo diferencia de los mensajes de GTP-Usuario y GTP-Control. Cuando se elimina un tnel, el dispositivo de seguridad cuenta y registra el nmero total de mensajes o bytes de datos que se recibieron de y se reenviaron a SGSN o GGSN. La entrada de registro para la eliminacin de un tnel contiene la siguiente informacin: Marca de hora Nombre de interfaz (si aplica) Direccin IP de SGSN Direccin IP de GGSN TID Tiempo de duracin del tnel en segundos Nmero de mensajes enviados a SGSN Nmero de mensajes enviados a GGSN
NOTA:
De forma predeterminada, el registro de trfico se deshabilita en los dispositivos de seguridad de Juniper Networks.
35
WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply:
Traffic counters: Count by Message (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> log traffic-counters (gtp:gprs1)-> exit save
Intercepcin legal
Puede configurar un dispositivo de seguridad para identificar y registrar el contenido de mensajes de GTP-U o GTP-C segn los prefijos de IMSI o identificacin de red de datos de servicios integrados de estacin mvil (MS-ISDN). Puede identificar los abonados por sus IMSI o MS-ISDN y registrar el contenido de datos del usuario y mensajes de control que se dirigen al o provienen del abonado. Puede configurar el nmero de abonados a los que el dispositivo de seguridad puede dar seguimiento de manera activa y simultnea. El nmero predeterminado de seguimientos activos simultneos es tres. Para los paquetes de GTP que contienen datos del usuario, puede especificar el nmero de bytes de datos a registrar. Puede registrar los paquetes parciales o completos. El valor predeterminado es cero, lo que significa que el dispositivo de seguridad no registra ningn contenido de un paquete de GTP-U. El dispositivo de seguridad enva los paquetes registrados a un servidor externo (como Syslog) dedicado para las operaciones de Intercepcin legal.
CLI
set gtp config gprs1 (gtp:gprs1)-> set trace imsi 123456789012345 (gtp:gprs1)-> set trace max-active 2 save-length 1064 (gtp:gprs1)-> exit save
36
ndice
A
alta disponibilidad (HA) ............................................4, 26 APN filtrado .............................................................. 16 a 17 modo de seleccin ..................................................16 Ataques de sobrefacturacin ................................ 28 a 30 descripcin ...............................................................28 prevencin ....................................................... 28 a 33 prevencin, configuracin .....................................31 soluciones.................................................................30
I
intercepcin legal...........................................................36 Interfaces Gi .................................................................................2 Gn ................................................................................2 Gp ................................................................................2
L
L2TP ..................................................................................3 limitacin de velocidad, mensajes GTP-C ...................12
C
comodines ......................................................................16 compatibilidad con el sistema virtual ...........................5
M
mensajes GTP .................................................................11 longitud, filtrar por ....................................................9 tipo, filtrar por .........................................................10 tipos ..................................................................10 a 11 velocidad, limitacin por ........................................12 versiones 0 y 1 ........................................................11 modo de red ...................................................................16 modo de rutas ..................................................................4 modo NAT .........................................................................4 modo transparente ..........................................................4 modo verificado .............................................................16 modos de funcionamiento NAT .............................................................................4 Ruta .............................................................................4 transparente ...............................................................4 modos de seleccin APN ...........................................................................16 estacin mvil (MS) .................................................16 red .............................................................................16 verificado ..................................................................16
D
directivas ..........................................................................5 directivas, configuracin .................................................6
E
estacin mvil (MS) .......................................................16
F
filtrado del prefijo de IMSI ............................................17 funcionamiento, modos de NAT .............................................................................4 Ruta .............................................................................4 transparente...............................................................4
G
Gi, interfaz ........................................................................2 Gn, interfaz .......................................................................2 Gp, interfaz .......................................................................2 GTP comprobacin de coherencia del paquete .............9 estndares ..................................................................9 filtrado del nombre de punto de acceso (APN) ...16 filtrado del paquete de GTP-en-GTP ......................14 filtrado del prefijo de IMSI .....................................17 fragmentacin de IP ...............................................14 inspeccin de estado ..............................................25 objetos de inspeccin ......................................... 5 a 7 protocolo ....................................................................2 segn directivas .........................................................5 tiempo de espera del tnel ....................................27
N
Nombre de punto de acceso vase APN
P
Protocolo de encapsulamiento de GPRS (GTP) vase GTP
R
registro, trfico .................................................................5
ndice
IX-I
S
seleccin, modos APN ........................................................................... 16 estacin mvil (MS) ................................................ 16 red ............................................................................. 16 verificado ................................................................. 16
T
tiempo de espera ........................................................... 27 trfico recuento ..................................................................... 5 registro ....................................................................... 5 trfico GTP iniciar sesin ............................................................ 33 recuento ................................................................... 35 tnel de GTP en espera ................................................. 27 tneles de GTP colgados ............................................... 27 tneles GTP conmutacin por error ........................................... 26 lmite ........................................................................ 25 tiempo de espera .................................................... 27
V
validacin del nmero de secuencia ........................... 13
IX-II
ndice