Ce v13 SP

Conceptos y ejemplos Manual de referencia de ScreenOS
Volumen 13: Servicio general de radio por paquetes
Versin 6.0.0, Rev. 02
Juniper Networks, Inc.

1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000
www.juniper.net
Nmero de pieza: 530-017779-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de usuario web .............................................. v Convenciones de interfaz de lnea de comandos ...................................... vi Convenciones de nomenclatura y conjuntos de caracteres ...................... vii Convenciones para las ilustraciones ....................................................... viii Asistencia y documentacin tcnica................................................................ ix Captulo 1 GPRS 1
El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .................................................................................................... 2 Interfaces Gp y Gn ..................................................................................... 2 Interfaz Gi.................................................................................................. 3 Modos de funcionamiento ......................................................................... 4 Compatibilidad con el sistema virtual ........................................................ 5 Protocolo de encapsulamiento de GPRS segn directivas .................................5 Ejemplo: Configuracin de directivas para habilitar la inspeccin de GTP ..................................................................................................... 6 Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP) .......7 Ejemplo: Creacin de un objeto de inspeccin de GTP .............................. 8 Filtrado de mensajes de GTP............................................................................ 8 Comprobacin de coherencia del paquete ................................................. 9 Filtrado de la longitud del mensaje ............................................................ 9 Ejemplo: Ajuste de las longitudes del mensaje de GTP ......................10 Filtrado del tipo de mensaje ....................................................................10 Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10 Tipos de mensaje admitidos..............................................................11 Limitacin de velocidad de los mensajes .................................................12 Ejemplo: Establecimiento de un lmite de velocidad .........................13 Validacin del nmero de secuencia........................................................13 Ejemplo: Habilitacin de la validacin del nmero de secuencia.......14 Fragmentacin de IP ...............................................................................14 Filtrado de paquetes de GTP-en-GTP........................................................14 Ejemplo: Habilitacin del filtrado de paquetes de GTP-en-GTP ..........14 Deep Inspection ......................................................................................14 Ejemplo: Habilitacin de Deep Inspection en la TEID........................15 Elementos de informacin de GTP .................................................................15 Filtrado del nombre de punto de acceso..................................................16 Ejemplo: Establecimiento de un APN y un modo de seleccin ..........17 Filtrado del prefijo de IMSI ......................................................................17 Ejemplo: Configuracin de un filtro APN y prefijo de IMSI combinado .................................................................................18 Tecnologa de acceso de radio .................................................................18
iii
Contenido
Manual de referencia de ScreenOS: Conceptos y ejemplos
Ejemplo: Ajuste de un filtro de RAT y APN ........................................18 Identidad de rea de enrutamiento e informacin de ubicacin de usuario ..............................................................................................19 Ejemplo: Ajuste de un filtro RAI y APN..............................................19 Ejemplo: Ajuste de un filtro ULI y APN ..............................................19 Restriccin de APN ..................................................................................20 IMEI-SV....................................................................................................20 Ejemplo: Ajuste de un filtro IMEI-SV y APN .......................................20 Requisitos de protocolo y sealizacin ....................................................21 Compatibilidad combinada para filtrado IE .............................................21 Elementos de informacin R6 compatibles .............................................22 Eliminacin de 3GPP R6 IE......................................................................24 Ejemplo: Eliminacin de R6 ..............................................................24 Tneles de GTP ..............................................................................................25 Limitacin del tnel GTP..........................................................................25 Ejemplo: Establecimiento de los lmites de tnel GTP .......................25 Inspeccin de estado ...............................................................................25 Establecimiento y desmantelamiento del tnel de GTP .....................26 Actualizacin del rea de enrutamiento dentro de SGSN...................26 Conmutacin por error del tnel para alta disponibilidad ........................26 Limpieza de tneles de GTP colgados ......................................................27 Ejemplo: Establecimiento del tiempo de espera para los tneles de GTP ............................................................................................27 Redireccin de SGSN y GGSN .........................................................................28 Prevencin de ataque de sobrefacturacin.....................................................28 Descripcin del ataque de sobrefacturacin ............................................28 Solucin del ataque de sobrefacturacin..................................................30 Ejemplo: Configuracin de la caracterstica de prevencin de ataque de sobrefacturacin ....................................................................31 Supervisin de trfico de GTP ........................................................................33 Registro de trfico ...................................................................................33 Ejemplo: Habilitacin del registro de paquetes de GTP......................34 Recuento de trfico .................................................................................35 Ejemplo: Habilitacin del recuento de trfico de GTP........................35 Intercepcin legal ....................................................................................36 Ejemplo: Habilitacin de intercepcin legal.......................................36 ndice ........................................................................................................................IX-I
iv
Contenido
Acerca de este volumen

El Volumen 13: Servicio general de radio por paquetes es para los operadores de red de GPRS que poseen conocimiento avanzado de la tecnologa GPRS. Este volumen describe las funciones de GTP en ScreenOS y demuestra cmo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks. Incluye el siguiente captulo: Captulo 1, GPRS, donde se describen las funciones del protocolo de encapsulamiento de GPRS (GTP) en ScreenOS y demuestra cmo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks.
Convenciones del documento

Este documento utiliza las convenciones que se describen en las secciones siguientes: Convenciones de la interfaz de usuario web en esta pgina Convenciones de interfaz de lnea de comandos en la pgina vi Convenciones de nomenclatura y conjuntos de caracteres en la pgina vii Convenciones para las ilustraciones en la pgina viii
Convenciones de la interfaz de usuario web

En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegacin aparece en la parte superior de la pantalla, cada pgina separada por signos de mayor y menor.
Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Help > Config Guide para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
Convenciones de interfaz de lnea de comandos

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de lnea de comandos (CLI) en ejemplos y en texto. En ejemplos: Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
Las variables aparecen en cursiva:

set admin user nombre1 contrasea xyz
En el texto, los comandos estn en negrita y las variables en cursiva.
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.
vi
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
vii
Convenciones para las ilustraciones

La siguiente figura muestra el conjunto bsico de imgenes utilizado en las ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo o bien dominio de enrutamiento virtual Red de rea local (LAN) con una nica subred o bien zona de seguridad
Internet
Rango dinmico de IP (DIP)
Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)
Motor de directivas
Dispositivo de red genrico
Interfaz de tnel Servidor Tnel VPN
Enrutador Dispositivos de seguridad Juniper Networks
Conmutador
Concentrador
viii
Asistencia y documentacin tcnica

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/customers/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con Juniper Networks al techpubs-comments@juniper.net.
ix
Captulo 1
GPRS
Las redes de servicio general de radio por paquetes (GPRS) se conectan a varias redes externas, incluso a aquellas de socios de itinerancia (roaming), clientes corporativos, proveedores de Intercambio de itinerancia de GPRS (GRX) e Internet pblica. Los operadores de red de GPRS se enfrentan al reto de proteger sus redes al mismo tiempo que proporcionan y controlan el acceso hacia y desde estas redes externas. Juniper Networks proporciona soluciones a varios problemas de seguridad que dificultan el trabajo de los operadores de red de GPRS. En la arquitectura de GPRS, la razn fundamental de las amenazas a la seguridad a la red de un operador es la inherente falta de seguridad del protocolo de encapsulamiento de GPRS (GTP). GTP es el protocolo que se utiliza entre los nodos de soporte de GPRS (GSN). La comunicacin entre las diferentes redes de GPRS no es segura ya que GTP no proporciona ninguna proteccin de confidencialidad, integridad de datos o autenticacin. Al implementar la seguridad del protocolo de Internet (IPSec) para las conexiones entre los socios de itinerancia, establecer los lmites de velocidad del trfico y utilizar la inspeccin de estado, es posible que se elimine una mayora de riesgos de seguridad de GTP. Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en las interfaces de Gp, Gn y Gi. Las caractersticas de cortafuegos de GTP en ScreenOS abordan los problemas de seguridad clave en las redes de los operadores mviles.
NOTA:
nicamente los dispositivos de ISG 2000 son compatibles con la funcionalidad de GTP. Este captulo describe las caractersticas de GTP que son compatibles con ScreenOS y explica cmo puede configurarlas en un dispositivo de seguridad de Juniper Networks. Este captulo consta de las siguientes secciones: El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS en la pgina 2 Protocolo de encapsulamiento de GPRS segn directivas en la pgina 5 Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP) en la pgina 7 Filtrado de mensajes de GTP en la pgina 8 Elementos de informacin de GTP en la pgina 15
Redireccin de SGSN y GGSN en la pgina 28 Prevencin de ataque de sobrefacturacin en la pgina 28 Supervisin de trfico de GTP en la pgina 33
El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS

El protocolo de encapsulamiento de GPRS (GTP) se utiliza para establecer un tnel GTP para estaciones mviles individuales (MS), entre un nodo de soporte de servidor GPRS (SGSN) y un nodo de soporte de puerta de enlace GPRS (GGSN). Un tnel GTP es un canal seguro entre GSN a travs del cual dos hosts pueden intercambiar datos. SGSN recibe los paquetes de las MS y los encapsula dentro de un encabezado de GTP antes de reenviarlos a GGSN a travs del tnel GTP. Cuando GGSN recibe los paquetes, ste los desencapsula y los reenva al host externo. Un cortafuegos de GTP de Juniper Networks autorizada puede proporcionar seguridad para los siguientes tipos de interfaces de GPRS: Gn: La interfaz Gn es la conexin entre SGSN y GGSN dentro de la misma red mvil terrestre pblica (PLMN). Gp: La interfaz Gp es la conexin entre dos redes mviles terrestres pblicas PLMN. Gi: La interfaz Gi es la conexin entre un GGSN e Internet o las redes de destino conectadas a PLMN.
NOTA:
El trmino interfaz tiene diferentes significados en ScreenOS y en la tecnologa GPRS. En ScreenOS, una interfaz es como una entrada a una zona de seguridad y permite que el trfico entre y salga de la zona. En GPRS, una interfaz es una conexin o un punto de referencia entre dos componentes de una infraestructura de GPRS, por ejemplo, un SGSN y un GGSN.
Interfaces Gp y Gn
Los dispositivos de seguridad se implementan en la interfaz Gn para proteger posiciones clave en la red como SGSN y GGSN. Para asegurar los tneles de GTP en la interfaz Gn, el dispositivo de seguridad se coloca entre los SGSN y los GGSN dentro de una PLMN comn. Cuando se implementa un dispositivo de seguridad en la interfaz Gp, se protege una PLMN contra otra PLMN. Para asegurar los tneles de GTP en la interfaz Gp, los SGSN y los GGSN de una PLMN se colocan detrs de un dispositivo de seguridad, por lo tanto todo el trfico entrante y saliente pasa a travs del cortafuegos.
Captulo 1: GPRS
La Figura 2 ilustra la colocacin de los dispositivos de seguridad de Juniper Networks para proteger PLMN en las interfaces Gp y Gn.
Figura 2: Interfaces Gp y Gn Torre de radio SGSN Dispositivo de seguridad MS Interfaces Gn GGSN PLMN 1 PLMN 2 Interfaz Gp Dispositivo de seguridad Interfaces Gn GGSN MS SGSN Torre de radio
Interfaz Gi
Cuando implementa un dispositivo de seguridad en la interfaz Gi, puede controlar a la vez el trfico de varias redes, proteger una PLMN contra Internet y redes externas y proteger a los usuarios mviles de Internet y otras redes. ScreenOS proporciona un gran nmero de enrutadores virtuales, lo que hace posible que usted utilice un enrutador virtual por red de cliente y por ende, permite la separacin de trfico de cada red del cliente. El dispositivo de seguridad puede reenviar de manera segura los paquetes a Internet o a redes de destino utilizando el encapsulamiento de protocolo de capa 2 (L2TP) para los tneles de red privada virtual (VPN). (No obstante, tenga en cuenta que los dispositivos de seguridad de Juniper Networks no son completamente compatibles con L2TP). Para obtener ms informacin sobres las caractersticas y capacidades de los enrutadores virtuales, consulte el Volumen 7: Enrutamiento.
La Figura 3 ilustra la implementacin de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi.
Figura 3: Interfaz Gi
Internet
Red A corporativa
Red B corporativa
Dispositivo de seguridad Torre de radio Interfaz Gi
MS PLMN 1
Modos de funcionamiento
ScreenOS admite dos modos de funcionamiento de interfaz con GTP: El modo transparente y el modo de rutas. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red, puede ejecutarlo en el modo de rutas. Para ello es necesario modificar el diseo de la red. Puede implementar el dispositivo de seguridad, de forma alterna, en modo transparente en sus redes existentes sin tener que reconfigurar su red completa. En el modo transparente, el dispositivo de seguridad acta como un conmutador de Capa 2 o un puente y las direcciones de IP de interfaces se establecen en 0.0.0.0, lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente a los usuarios. ScreenOS admite la Traduccin de direcciones de red (NAT) en interfaces y directivas que no tienen activada la inspeccin de GTP. En la versin actual de ScreenOS, el modo transparente nicamente admite la alta disponibilidad (HA) activa-pasiva, a diferencia del modo de rutas, que admite tanto HA activa-pasiva como activa-activa. Para obtener ms informacin sobre los modos de funcionamiento y alta disponibilidad, consulte el Volume 2: Fundamentos y el Volumen 11: Alta Disponibilidad, respectivamente.
Captulo 1: GPRS
Compatibilidad con el sistema virtual

Los dispositivos de seguridad de Juniper Networks son completamente compatibles con la funcionalidad de GTP en sistemas virtuales (vsys). No obstante, para conservar los recursos, le recomendamos que no utilice ms de 10 vsys.
Protocolo de encapsulamiento de GPRS segn directivas

De forma predeterminada, la PLMN que protege al dispositivo de seguridad est en la zona Trust. El dispositivo de seguridad protege la PLMN en la zona Trust contra cualquier otra PLMN en otras zonas. Puede colocar todas las PLMN contra las que est protegiendo su PLMN en la zona Untrust o puede crear zonas definidas por el usuario para cada PLMN. Una PLMN puede ocupar una zona de seguridad o varias zonas de seguridad. Debe crear directivas para que el trfico pueda fluir entre las zonas y las PLMN. Las directivas incluyen reglas que permiten, deniegan o encapsulan el trfico. Un dispositivo de seguridad realiza el filtro de directivas de GTP mediante la comparacin de cada paquete de GTP con las directivas que regulan el trfico de GTP, para luego reenviar, descartar o encapsular el paquete segn dichas directivas. Al seleccionar el servicio de GTP en una directiva, usted activa al dispositivo de seguridad para que permita, rechace o encapsule el trfico de GTP. Sin embargo, esto no activa al dispositivo para inspeccionar el trfico de GTP. Con el fin de que el dispositivo de seguridad inspeccione el trfico de GTP, debe aplicar una configuracin de GTP, tambin denominada Objeto de inspeccin de GTP, a una directiva. Antes de que pueda aplicar una configuracin de GTP a una directiva, primero debe haber creado un Objeto de inspeccin de GTP (consulte Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP) en la pgina 7). Puede aplicar nicamente un objeto de inspeccin de GTP por directiva, pero puede aplicar un objeto de inspeccin de GTP a varias directivas. Con el uso de directivas, puede permitir o rechazar el establecimiento de tneles de GTP de determinados interlocutores tales como SGSN. Puede configurar las directivas que especifican Any (cualquiera) como la zona de origen o destino (de este modo se incluyen todos los hosts de la zona) y puede configurar directivas que especifican mltiples direcciones de origen y destino. En las directivas puede habilitar las caractersticas tales como el registro de trfico y recuento de trfico. Para obtener ms informacin sobre las directivas, consulte el Volume 2: Fundamentos.
Ejemplo: Configuracin de directivas para habilitar la inspeccin de GTP

En este ejemplo, usted configura las interfaces y crea direcciones y dos directivas para permitir que haya trfico bidireccional entre dos redes dentro de la misma PLMN. Tambin aplica un objeto de inspeccin de GTP a las directivas. WebUI
1. Objeto de inspeccin GTP
Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.
GTP Name: GPRS1
2. Interfaces
Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
3. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.0/24 Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (seleccione), 1.2.2.5/32 Zone: Untrust
4. Directivas
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), local-GGSN Destination Address: Address Book Entry: (seleccione), remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit
Captulo 1: GPRS
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), remote-SGSN Destination Address: Address Book Entry: (seleccione), local-GGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit
CLI
1. Objeto de inspeccin GTP
set gtp configuration gprs1 (gtp:gprs1)-> exit save

2. Interfaces
set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10.1.1.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1.1.1/24
3. Direcciones
set address trust local-ggsn 10.1.1.0/32 set address untrust remote-sgsn 2.2.2.5/32
4. Directivas
set policy from trust to untrust local-ggsn remote-sgsn gtp permit
El sistema devuelve una Identificacin de directiva, por ejemplo: policy id = 4.

set policy id 4 gtp gprs1 set policy from untrust to trust remote-sgsn local-ggsn gtp permit
El sistema devuelve una Identificacin de directiva, por ejemplo: policy id = 5.

set policy id 5 gtp gprs1 save
Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP)

Para habilitar el dispositivo de seguridad para que realice la inspeccin del trfico del Protocolo de encapsulamiento de GPRS (GTP), debe crear un objeto de inspeccin de GTP y luego aplicarlo a una directiva. Los objetos de inspeccin de GTP proporcionan ms flexibilidad, pues permiten configurar las mltiples directivas que permiten las diferentes configuraciones de GTP. Puede configurar el dispositivo de seguridad para controlar el trfico de GTP con una base diferente en las direcciones y zonas de origen y destino, accin, etc. Para configurar las caractersticas de GTP, debe escribir el contexto de una configuracin de GTP. Para guardar sus configuraciones, primero debe salir de la configuracin de GTP y luego escribir el comando save.
Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP)
Ejemplo: Creacin de un objeto de inspeccin de GTP

En este ejemplo, se crea un objeto de inspeccin de GTP denominado LA-NY. Se preservan la mayora de los valores predeterminados, pero se habilitan las caractersticas de validacin de nmero de secuencia y rechazo de GTP en GTP. WebUI Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.
GTP Name: LA-NY Sequence Number Validation: (seleccione) GTP-in-GTP Denied: (seleccione)
CLI
set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save
Filtrado de mensajes de GTP

Cuando un dispositivo de seguridad recibe un paquete de GTP, se comprueba el paquete con las directivas configuradas en el dispositivo. Si el paquete coincide con una directiva, el dispositivo inspecciona entonces el paquete de acuerdo con la configuracin de GTP aplicada a la directiva. Si el paquete no cumple con ninguno de los parmetros de configuracin de GTP, el dispositivo de seguridad descarta el paquete. Esta seccin describe las caractersticas que constituyen una configuracin de GTP que el dispositivo de seguridad utiliza para realizar la inspeccin de trfico de GTP. Contiene las siguientes secciones: Comprobacin de coherencia del paquete en la pgina 9 Filtrado de la longitud del mensaje en la pgina 9 Filtrado del tipo de mensaje en la pgina 10 Limitacin de velocidad de los mensajes en la pgina 12 Validacin del nmero de secuencia en la pgina 13 Fragmentacin de IP en la pgina 14 Filtrado de paquetes de GTP-en-GTP en la pgina 14 Deep Inspection en la pgina 14
Captulo 1: GPRS
Comprobacin de coherencia del paquete

El dispositivo de seguridad realiza una comprobacin de coherencia del paquete de GTP para determinar si el paquete es un paquete vlido de UDP y GTP. La comprobacin de coherencia protege los recursos del nodo de soporte GPRS (GSN) al evitar que intenten procesar paquetes GTP mal formados. Cuando realiza la comprobacin de coherencia del paquete de GTP, el dispositivo de seguridad examina si el encabezado de cada paquete de GTP tiene lo siguiente: Nmero de versin de GTP: ScreenOS es compatible con las versiones 0 y 1 (incluso con GTP). Ajuste apropiado de los bits predefinidos: el nmero de versin de GTP determina qu bits predefinidos se examinan. Tipo de protocolo: para la versin 1 (incluso con GTP). Longitud del paquete de UDP/TCP. Si el paquete no cumple con los estndares de UDP y GTP, el dispositivo de seguridad lo descarta, evitando as que el dispositivo de seguridad reenve trfico mal formado o falsificado. El dispositivo de seguridad realiza la comprobacin de coherencia del paquete de GTP de manera automtica; no es necesario configurar esta caracterstica.
NOTA:
Juniper Networks cumple con los Estndares de GTP establecidos por 3GPP (Proyecto de sociedad de 3ra Generacin). Para obtener ms informacin sobre estos estndares, consulte los siguientes documentos de especificacin tcnica: 3GPP TS 09.60 v6.9.0 (2000-09) 3GPP TS 29.060 v3.8.0 (2001-03) 3GPP TS 32.015 v3.9.0 (2002-03)
Filtrado de la longitud del mensaje

Puede configurar el dispositivo de seguridad para descartar los paquetes que no cumplen con las longitudes mnimas o mximas de mensajes que usted especifique. En el encabezado de GTP, el campo de longitud del mensaje indica la longitud, en octetos, de la carga de GTP. No incluye la longitud del encabezado de GTP en s, el encabezado de UDP o el encabezado de IP. Las longitudes predeterminadas mnimas y mximas del mensaje de GTP son 0 y 1452, respectivamente.
Ejemplo: Ajuste de las longitudes del mensaje de GTP

En este ejemplo, configura la longitud mnima del mensaje de GTP para que sea de 8 octetos y la longitud mxima del mensaje de GTP para que sea de 1200 octetos para el objeto de inspeccin de GTP GPRS. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply:
Minimum Message Length: 8 Maximum Message Length: 1200
CLI
set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-message-length 1200 (gtp:gprs1)-> exit save
Filtrado del tipo de mensaje

Puede configurar el dispositivo de seguridad para filtrar los paquetes de GTP y permitirlos o rechazarlos segn sus tipos de mensajes. De forma predeterminada, el dispositivo de seguridad permite todos los tipos de mensaje de GTP. Un tipo de mensaje de GTP incluye uno o muchos mensajes. Cuando permite o rechaza un tipo de mensaje, permite o rechaza automticamente todos los mensajes del tipo especificado. Por ejemplo, si selecciona rechazar el tipo de mensaje sgsn-context, tambin se rechazarn los mensajes sgsn context request, sgsn context response y sgsn context acknowledge. Para obtener ms informacin sobre los tipos de mensajes, consulte Tipos de mensaje admitidos en la pgina 11. Usted permite o rechaza los tipos de mensajes segn el nmero de versin de GTP. Por ejemplo, puede rechazar tipos de mensajes de una versin, y al mismo tiempo permitir los de otra versin.
Ejemplo: Permiso y rechazo de los tipos de mensajes

En este ejemplo, para la configuracin de GTP GPRS1, se configura el dispositivo de seguridad para rechazar los tipos de mensaje de informe de fallo e indicacin de error, ambos para la versin 1. WebUI Objects > GTP > Edit (GPRS1) > Message Drop: Seleccione los siguientes datos en la columna de la versin 1, luego haga clic en Apply:
Tunnel Management: Error Indication: (seleccione) Location Management: Failure Report Request/Response: (seleccione)
10
Captulo 1: GPRS
CLI
set gtp configuration gprs1 (gtp:gprs1)-> set drop error-indication (gtp:gprs1)-> set drop failure-report (gtp:gprs1)-> exit save
Tipos de mensaje admitidos

La Tabla 1 enumera los mensajes del protocolo de encapsulamiento de GPRS (GTP) admitidos en las versiones de GTP 1997 y 1999 (incluso los mensajes de carga para GTP) y los tipos de mensaje que puede utilizar para configurar el filtrado del tipo de mensaje de GTP.
Tabla 1: Mensajes de protocolo de encapsulamiento de GPRS (GTP) Mensaje
create AA pdp context request create AA pdp context response create pdp context request create pdp context response Data record request Data record response delete AA pdp context request delete AA pdp context response delete pdp context request delete pdp context response echo request echo response error indication failure report request failure report response forward relocation request forward relocation response forward relocation complete forward relocation complete acknowledge forward SRNS context forward SRNS context acknowledge identification request identification response node alive request
Tipo de mensaje
create-aa-pdp create-aa-pdp create-pdp create-pdp data-record data-record delete-aa-pdp delete-aa-pdp delete-pdp delete-pdp echo echo error-indication failure-report failure-report fwd-relocation fwd-relocation fwd-relocation fwd-relocation fwd-srns-context fwd-srns-context identification identification node-alive
Versin 0
Versin 1
b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b
11
b b b b
Mensaje
node alive response note MS GPRS present request note MS GPRS present response pdu notification request pdu notification response pdu notification reject request pdu notification reject response RAN info relay redirection request redirection response relocation cancel request relocation cancel response send route info request send route info response sgsn context request sgsn context response sgsn context acknowledge supported extension headers notification g-pdu update pdp context request updated pdp context response version not supported
Tipo de mensaje
node-alive note-ms-present note-ms-present pdu-notification pdu-notification pdu-notification pdu-notification ran-info redirection redirection relocation-cancel relocation-cancel send-route send-route sgsn-context sgsn-context sgsn-context supported-extension gtp-pdu update-pdp update-pdp version-not-supported
Versin 0
Versin 1
b b b b b b b b b
b b b b b b b b b b b b
b b b b b
b b b b b b
b b b b
b b b b
Limitacin de velocidad de los mensajes

Puede configurar el dispositivo de seguridad para limitar la velocidad del trfico de red que va al GSN. Puede establecer umbrales separados, en paquetes por segundo, para los mensajes de GTP-Control (GTP-C). Debido a que los mensajes GTP-C requieren procesamiento y respuesta, pueden llegar a saturar un GSN. Al establecer un lmite de velocidad en los mensajes de GTP-C, puede proteger su GSN de posibles ataques de denegacin de servicio (DoS) tales como los siguientes: Saturacin de ancho de banda de la puerta de enlace fronteriza: Un operador malicioso conectado al mismo GRX que su PLMN puede generar suficiente trfico de red dirigido a su puerta de enlace fronteriza, para que el trfico legtimo se quede sin ancho de banda de entrada o salida de su PLMN y de esa manera rechace el acceso de itinerancia hacia o desde su red.
12
Captulo 1: GPRS
Inundacin de GTP: El trfico de GTP puede inundar un GSN hasta el punto de obligarle a ampliar sus ciclos de CPU para procesar datos ilegtimos. Esto puede evitar que los abonados utilicen la itinerancia, reenvo de datos a redes externas o evitar un ataque de GPRS a la red. Esta caracterstica limita la velocidad del trfico enviado a cada GSN desde el cortafuegos de Juniper Networks. La velocidad predeterminada es ilimitada.
Ejemplo: Establecimiento de un lmite de velocidad

En el siguiente ejemplo, se limita la velocidad de los mensajes entrantes de GTP-C a 300 paquetes por segundo.
WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply:
Control Plane Traffic Rate Limit: 300
CLI
set gtp config gprs1 (gtp:gprs1)-> set limit rate 300 (gtp:gprs1)-> exit save
Validacin del nmero de secuencia

Puede configurar un dispositivo de seguridad para realizar la validacin del nmero de secuencia. El encabezado de un paquete de GTP contiene un campo de nmero de secuencia. Este nmero indica al GGSN que recibe los paquetes de GTP el orden de los paquetes. Durante la etapa de activacin del contexto de protocolo de datos de paquete (PDP), un GGSN de envo utiliza cero (0) como el valor del nmero de secuencia para el primer G-PDU que enva a travs de un tnel a otro GGSN. El GGSN de envo incrementa el valor del nmero de secuencia para cada G-PDU siguiente que enva. El valor se restablece en cero cuando llega a 65535. Durante la etapa de activacin del contexto de PDP, el GGSN de recepcin establece su contador en cero. Posteriormente, cada vez que el GGSN de recepcin recibe un G-PDU vlido, el GGSN incrementa en uno su contador. El contador se restablece en cero cuando llega a 65535. Normalmente, el GGSN de recepcin compara el nmero de secuencia en los paquetes que recibe con el nmero de secuencia de su contador. Si los nmeros se corresponden, GGSN enva el paquete. Si son distintos, GGSN descarta el paquete Al implementar un dispositivo de seguridad entre los GGSN, el dispositivo puede realizar esta validacin para GGSN y descartar los paquetes que lleguen fuera de secuencia. Esta caracterstica ayuda a conservar los recursos de GGSN al evitar el procesamiento innecesario de paquetes no vlidos.
13
Ejemplo: Habilitacin de la validacin del nmero de secuencia

En este ejemplo, usted habilita la caracterstica de validacin del nmero de secuencia. WebUI Objects > GTP > Edit (GPRS1): Seleccione Sequence Number Validation, luego haga clic en Apply. CLI
set gtp config gprs1 (gtp:gprs1)-> set seq-number-validated (gtp:gprs1)-> exit save
Fragmentacin de IP
Un paquete GTP consta de cuerpo de mensajes y tres encabezados: GTP, UDP e IP. Si el paquete de IP resultante es ms grande que la unidad de transmisin de mensaje (MTU) en el enlace de transferencia, el SGSN o GGSN de envo realiza una fragmentacin de IP. De forma predeterminada, un dispositivo de seguridad almacena en bfer los fragmentos de IP hasta que recibe un mensaje completo de GTP y luego realiza la inspeccin del mensaje de GTP.
Filtrado de paquetes de GTP-en-GTP

Puede configurar un dispositivo de seguridad para detectar y descartar un paquete de GTP que contiene otro paquete de GTP en su cuerpo del mensaje.
Ejemplo: Habilitacin del filtrado de paquetes de GTP-en-GTP

En este ejemplo, habilita el dispositivo de seguridad para detectar y descartar los paquetes de GTP que contienen un paquete de GTP en el cuerpo del mensaje. WebUI Objects > GTP > Edit (GPRS1): Seleccione GTP-in-GTP Denied, luego haga clic en Apply. CLI
set gtp config gprs1 (gtp:gprs1)-> set gtp-in-gtp-denied (gtp:gprs1)-> exit save
Deep Inspection
Puede configurar el dispositivo de seguridad para que realice una inspeccin a fondo (Deep Inspection) en la ID de punto final de tnel (TEID) en mensajes de datos G-PDU.
14
Captulo 1: GPRS
Ejemplo: Habilitacin de Deep Inspection en la TEID

En este ejemplo, se permite que el dispositivo de seguridad realice el procedimiento DI (Deep Inspection) de mensajes de datos G-PDU en TEID. La DI slo puede configurarse desde la interfaz CLI. CLI
set gtp config gprs1 (gtp:gprs1)-> set teid-di (gtp:gprs1)-> exit save
Elementos de informacin de GTP

Los elementos de informacin (IE) se incluyen en todos los paquetes de mensaje de control GTP. Los IE proporcionan informacin sobre los tneles GTP, como creacin, modificacin, eliminacin y estado. ScreenOS es compatible con los IE conformes a la versin 6 de 3GPP. Si est ejecutando una versin anterior o tiene acuerdos o contratos con operadores que ejecutan versiones anteriores de 3GPP puede reducir los gastos generales de red mediante la restriccin de los mensajes de control que contienen IE no compatibles. Esta seccin describe los IE incluidos en mensajes de control en los que puede configurar el dispositivo de seguridad para que filtre segn los IE. Contiene las siguientes secciones: Filtrado del nombre de punto de acceso en la pgina 16 Filtrado del prefijo de IMSI en la pgina 17 Tecnologa de acceso de radio en la pgina 18 Identidad de rea de enrutamiento e informacin de ubicacin de usuario en la pgina 19 Restriccin de APN en la pgina 20 IMEI-SV en la pgina 20 Requisitos de protocolo y sealizacin en la pgina 21 Compatibilidad combinada para filtrado IE en la pgina 21 Elementos de informacin R6 compatibles en la pgina 22 Eliminacin de 3GPP R6 IE en la pgina 24
15
Filtrado del nombre de punto de acceso

Un Nombre de punto de acceso (APN) es un IE que se incluye en el encabezado de un paquete de GTP que proporciona informacin sobre cmo acceder a una red. Un APN incluye dos elementos: ID de red: Identifica el nombre de una red externa, como mobiphone.com Una ID del operador: que identifica de manera nica la PLMN del operador como mnc123.mcc456 De forma predeterminada, el dispositivo de seguridad permite todos los APN. No obstante, puede configurar el dispositivo para realizar el filtrado de APN para restringir el acceso a la itinerancia de los abonados a redes externas. Puede configurar hasta 2.000 APN. Para habilitar el filtrado de APN, debe especificar uno o ms APN. Para establecer un APN, es necesario que conozca el nombre de dominio de la red (por ejemplo, mobiphone.com) y la ID del operador. Ya que la parte del nombre de dominio (ID de red) de un APN es posiblemente muy larga e incluye muchos caracteres, puede utilizar el comodn * como el primer carcter de APN. El comodn indica que el APN no se limita nicamente a mobiphone.com, sino tambin incluye todos los caracteres que pueden precederle. Tambin debe establecer el modo de seleccin para el APN. El modo de seleccin indica el origen del APN y si el registro de ubicacin local (HLR) verific o no que el usuario era un abonado. El modo de seleccin se establece conforme a las necesidades de seguridad de la red. Entre los modos posibles de seleccin se incluyen los siguientes: Estacin mvil: APN que proporciona la MS, no se comprueba si el usuario es abonado Este modo de seleccin indica que la estacin mvil (MS) proporcion el APN y que el HLR no verific si el usuario estaba abonado a la red. Red: APN que proporciona la red, no se comprueba si el usuario es abonado Este modo de seleccin indica que la red proporcion un APN predeterminado ya que la MS no especific uno y que el HLR no verific si el usuario estaba abonado a la red. Verificado: APN que proporcion la MS o la red, se verifica si el usuario es un abonado Este modo de seleccin indica que la MS o la red proporcion el APN y que el HLR verific la suscripcin del usuario a la red.
16
Captulo 1: GPRS
El filtrado de APN se aplica nicamente a los mensajes create pdp request. Cuando realiza el filtrado de APN, el dispositivo de seguridad inspecciona los paquetes de GTP en busca de APN que coincidan con los APN que estableci. Si el APN de un paquete de GTP coincide con un APN que especific, el dispositivo de seguridad verifica entonces el modo de seleccin y reenva nicamente el paquete de GTP si tanto el APN como el modo de seleccin coinciden con el APN y el modo de seleccin que usted especific. Ya que el filtrado de APN se basa en coincidencias perfectas, el uso del comodn * cuando establece un sufijo de APN puede evitar la exclusin accidental de los APN que de otra manera autorizara. El dispositivo de seguridad rechaza automticamente todos los otros APN que no coinciden. Adems, un dispositivo de seguridad puede filtrar los paquetes de GTP segn la combinacin de un prefijo de identidad de abonado mvil (IMSI) y un APN.
Ejemplo: Establecimiento de un APN y un modo de seleccin

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Tambin establece la Red como el modo de seleccin. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI > New: Introduzca los siguientes datos y haga clic en OK:
Access Point Name: *mobiphone.com.mnc123.mcc456.gprs Selection Mode: Network (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> set apn *mobiphone.com.mnc123.mcc456.gprs selection net (gtp:gprs1)-> exit save
Filtrado del prefijo de IMSI

Un Nodo de soporte de GPRS (GSN) identifica una estacin mvil (MS) por su Identidad de estacin mvil internacional (IMSI). Una IMSI abarca tres elementos: el MCC (Cdigo mvil del pas), el Cdigo de red mvil (MNC) y el Nmero de identificacin mvil del abonado (MSIN). El MCC y el MNC combinados constituyen el prefijo de IMSI e identifican la red local mvil del abonado o la Red mvil terrestre pblica (PLMN). Al configurar los prefijos IMSI puede configurar el dispositivo de seguridad para rechazar el trfico de GTP que viene de los socios que no tienen itinerancia. De forma predeterminada, un dispositivo de seguridad no realiza el filtrado de prefijo de IMSI en los paquetes de GTP. Al establecer los prefijos de IMSI, puede configurar el dispositivo de seguridad para filtrar los mensajes create pdp request y nicamente permitir los paquetes de GTP con los prefijos de IMSI que coincidan con los que usted estableci. El dispositivo de seguridad permite los paquetes de GPT con los prefijos de IMSI que no coinciden con alguno de los prefijos de IMSI que usted estableci. Para bloquear los paquetes GTP con prefijos IMSI que no coinciden con ninguno de los prefijos IMSI que estableci, utilice un comodn explcito para el filtro IMSI y la accin. drop debe ser la ltima directiva de filtrado de prefijos IMSI. Puede configurar hasta 1.000 prefijos de IMSI.
17
Cuando filtra los paquetes GTP segn el prefijo IMSI, tambin debe especificar un APN. Consulte Ejemplo: Configuracin de un filtro APN y prefijo de IMSI combinado.
Ejemplo: Configuracin de un filtro APN y prefijo de IMSI combinado

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Usted permite todos los modos de seleccin para este APN. Tambin establece el prefijo IMSI para una PLMN conocida, que es 246565. El par MCC-MNC puede tener cinco o seis dgitos. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI: Introduzca los siguientes datos y haga clic en OK:
Access Point Name: *mobiphone.com.mnc123.mcc456.gprs Mobile Country-Network Code: 246565 Selection Mode: Mobile Station, Network, Verified (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> set mcc-mnc 246565 apn *mobiphone.com.mnc123.mcc456.gprs pass (gtp:gprs1)-> exit save NOTA:
Seleccionar la variable pass en CLI es igual a seleccionar los tres modos de seleccin en WebUI. Al utilizar esta variable, se autoriza el paso del trfico de todos los modos de seleccin del APN especificado.
Tecnologa de acceso de radio

El elemento de informacin de Tecnologa de acceso de radio (RAT) proporciona una manera de estimular el acceso mltiple de divisin de cdigo de banda ancha (WCDMA) y la elaboracin de informes por medio de sistemas de informacin de facturacin. Anteriormente, la direccin IP SGSN se utilizaba para distinguir entre los sistemas de tecnologa de comunicacin mvil inalmbrica de tercera generacin (3G) y los sistemas de tecnologa de comunicacin mvil inalmbrica de segunda generacin (2G). Con la introduccin de 2G/3G combinadas, sin embargo, debe configurar el elemento de informacin de RAT para activar el dispositivo de seguridad con el fin de que haga esta distincin. Cuando se ajusta un IE de RAT, tambin se debe especificar un APN. Consulte Ejemplo: Ajuste de un filtro de RAT y APN.
Ejemplo: Ajuste de un filtro de RAT y APN

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Usted permite todos los modos de seleccin para este APN. Usted configura el dispositivo de seguridad para que descarte el mensaje GTP si el valor de IE de RAT coincide con el valor de cadena 123
18
Captulo 1: GPRS
WebUI Actualmente usted puede ajustar una combinacin RAT y APN solo desde la Interfaz de lnea de comandos (CLI). CLI
set gtp config gprs1 (gtp:gprs1)-> set rat 123 apn *mobiphone.com drop (gtp:gprs1)-> exit save
Identidad de rea de enrutamiento e informacin de ubicacin de usuario

Algunos pases restringen el acceso de los abonados a determinados tipos de contenido de red. Para cumplir con estas demandas reguladoras, los operadores de red deben poder supervisar el contenido solicitado por el abonado antes de permitir una descarga de contenido. ScreenOS proporciona a los operadores de red la capacidad de filtrar el contenido segn los IE de identidad de rea de enrutamiento (AIR) y de informacin de ubicacin de usuario (ULI). Debido a que los formatos de registro de detalle de llamadas 3GPP (CDR) y las interfaces de carga en tiempo real no tienen estos atributos, los sistemas de facturacin y carga deben buscar las direcciones SGSN IP para determinar a los socios de itinerancia para la liquidacin y cargos del usuario final. ScreenOS proporciona a los operadores de red la capacidad de filtrar mensajes de control segn RAI y ULI: cuando ajusta el IE de RAT o de ULI, tambin debe especificarse un APN. Consulte Ejemplo: Ajuste de un filtro RAI y APN y Ejemplo: Ajuste de un filtro ULI y APN.
Ejemplo: Ajuste de un filtro RAI y APN

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Usted permite todos los modos de seleccin para este APN. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de RAI coincide con el valor de cadena 12345*. WebUI Actualmente usted puede ajustar una combinacin RAI y APN solo desde la Interfaz de lnea de comandos (CLI). CLI
set gtp config gprs1 (gtp:gprs1)-> set rai 12345* *mobiphone.com drop (gtp:gprs1)-> exit save
Ejemplo: Ajuste de un filtro ULI y APN

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Usted permite todos los modos de seleccin para este APN. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de ULI coincide con el valor de cadena 123456. WebUI Actualmente usted puede ajustar una combinacin ULI y APN solo desde la Interfaz de lnea de comandos (CLI).
19
CLI
set gtp config gprs1 (gtp:gprs1)-> set uli 123456 apn mobiphone.com drop (gtp:gprs1)-> exit save
Restriccin de APN
Los contextos del protocolo de datos de paquete (PDP) primarios concurrentes y un MS/UE capaz de enrutarse entre estos dos puntos de acceso, pueden poner en riesgo la seguridad de IP para los usuarios corporativos que tienen APN tanto pblicos como privados. El IE de restriccin de APN, agregado al mensaje de respuesta GTP create PDP context, asegura la exclusividad mutua de un contexto PDP si lo solicita GGSN (o lo rechaza si esta condicin no se puede cumplir), evitando de esta manera la amenaza a la seguridad.
IMEI-SV
El IE de la identidad de equipo mvil internacional, versin de software (IMEI-SV) proporciona maneras de adaptar el contenido al tipo de terminal y aplicacin del cliente cada vez que no est presente un servidor proxy para este propsito. Este IE tambin es til para informes generados de GGSN, AAA o puerta de enlace de protocolo de aplicacin inalmbrica (WAP GW). El dispositivo de seguridad de deteccin de GTP es compatible con la restriccin de RAT, RAI, ULI, APN e IMEI-SV en atributos de GTP para evitar el tratamiento o categorizacin como trfico inequvoco, que puede ser peligroso para el trfico GPRS o el trfico de itinerancia GPRS. Estos atributos se incluyen en el conjunto de atributos tiles de filtro que se utilizan para bloquear el trfico GPRS o el trfico de itinerancia GPRS. Cuando ajusta el IE de IMEI- SV, tambin debe especificar un APN. Consulte Ejemplo: Ajuste de un filtro IMEI-SV y APN.
Ejemplo: Ajuste de un filtro IMEI-SV y APN

En este ejemplo, establece mobiphone.com.mnc123.mcc456.gprs como un APN y utiliza el comodn *. Se permiten todos los modos de seleccin para este APN. Configure el dispositivo de seguridad para que pase el mensaje GTP si el IE de IMEI-SV coincide con la cadena 87652. WebUI Actualmente usted puede ajustar una combinacin RAI y APN solo desde la Interfaz de lnea de comandos (CLI). CLI
set gtp config gprs1 (gtp:gprs1)-> set imei-sv 87652* apn mobiphone.com pass (gtp:gprs1)-> exit save
20
Captulo 1: GPRS
Requisitos de protocolo y sealizacin

El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Create PDP Context Request: RAT RAI ULI APN Restriction IMEI-SV El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Update PDP Context Request: RAT RAI ULI El dispositivo de seguridad es compatible con el atributo de restriccin de APN en el mensaje de GTP Update PDP Context Response: Puede configurar los mensajes de sealizacin GTP anteriores en el dispositivo de seguridad, de la siguiente manera: Pasar de manera transparente Bloqueo basado en (individualmente) RAT RAI (con rangos como 123*) ULI (con rangos) IMEI-SV (con rangos)
Compatibilidad combinada para filtrado IE

Para la compatibilidad combinada del filtrado R6 en elementos de informacin (IE) se aplican las siguientes reglas: De forma predeterminada, un dispositivo de seguridad no realiza el filtrado de IE en los paquetes de GTP. En cada lnea de comandos, los atributos estn interconectados en el siguiente orden de precedencia: 1. RAT 2. RAI
21
3. ULI 4. IMEI 5. MCC-MNC Siempre que se ajusta una restriccin de atributos, se debe especificar tambin un APN: Por ejemplo, si desea que el dispositivo de seguridad pase los mensajes GTP que contienen RAT1, RAI 567* y MCC-MNC 56789 o que pase mensajes con RAI 123*, pero de forma predeterminada descarte los paquetes con cualquier valor APN, utilice la siguiente configuracin:
set rat 1 rai 567* mcc-mnc 56789 apn * pass set rai 123* apn * pass set apn * drop
La primera lnea de configuracin ocasiona que el dispositivo de seguridad pase los mensajes GTP que contienen RAT 1, RAI 567*, MCC-MNC 56789, y cualquier APN. La segunda lnea de la configuracin ocasiona que el dispositivo pase los mensajes que contienen RAI 123* y cualquier APN. La tercera lnea ocasiona que el dispositivo descarte todos los APN.
Elementos de informacin R6 compatibles

ScreenOS es compatible con todos los 3GPP R6 IE para GTP que se enumeran en la Tabla 2.
Tabla 2: Elementos de informacin compatibles Valor de tipo IE Elemento de informacin
1 2 3 4 5 8 9 11 12 13 14 15 16 17 18 19 20 Causa Identidad de abonado mvil internacional (IMSI) Identidad de rea de enrutamiento (REI) Identidad de vnculo lgico temporal (TLLI) Paquete TMSI (P-TMSI) Reordenamiento requerido Triple confirmacin Causa MAP Firma P-TMSI Validado por MS Recuperacin Modo de seleccin Datos I de identificador de punto final de tnel Plano de control de identificador de punto final de tnel Datos II de identificador de punto final de tnel ID de desmantelacin NSAPI
22
Captulo 1: GPRS
Valor de tipo IE Elemento de informacin

21 22 23 24 25 26 27 28 29 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 Causa RANAP Contexto RAB Prioridad de radio SMS Prioridad de radio ID de flujo de paquetes Caractersticas de carga Referencia de seguimiento Tipo de seguimiento Razn de MS no accesible ID de carga Direccin de usuario final Contexto MM Contexto PDP Nombre de punto de acceso Opciones de configuracin de protocolo Direccin GSN Nmero internacional PSTN/ISDN de MS (MSISDN) Calidad del perfil de servicio Quinteto de confirmacin Plantilla de flujo de trfico Identificacin de objetivo Contenedor transparente UTRAN Informacin de ajuste RAB Lista de tipo de encabezado de extensin Id de activador Identidad OMC Contenedor transparente RAN Dar prioridad al contexto PDP Informacin adicional de ajuste RAB Nmero SGSN Indicadores comunes Restriccin de APN LCS de prioridad de radio Tipo RAT Informacin de ubicacin de usuario Huso horario MS IMEI-SV Contenedor de informacin de carga CAMEL Contexto MBMS UE
23
Valor de tipo IE Elemento de informacin

157 158 159 160 161 162 163 164 165 166 167 168 169 251 255 Identidad de grupo mvil temporal (TMGI) Direccin de enrutamiento RIM Opciones de configuracin de protocolo MBMS rea de servicio MBMS Informacin de contexto TNC PDCP origen Informacin adicional de seguimiento Contador de saltos ID de PLMN seleccionada Identificador de sesin MBMS Indicador MBMS2G/3G NSAPI mejorado Duracin de sesin MBMS Informacin adicional de seguimiento de MBMS Direccin de puerta de enlace de carga Extensin privada
Eliminacin de 3GPP R6 IE
La caracterstica de eliminacin de 3GPP R6 IE le permite retener la interoperabilidad en itinerancia entre redes 2GPP y 3GPP. Puede configurar el dispositivo de seguridad de deteccin de GTP, que se aloja en el extremo de PLMN y GRX y que funciona como un cortafuegos Gp, para que elimine los atributos especficos 3GPP del ttulo del paquete GTP cuando el paquete pasa a una red 2GPP. Puede configurar el dispositivo de seguridad para que elimine la restriccin RAT, RAI, ULI, IMEI-SV de IE de los mensajes GTP antes de reenviar estos mensajes a GGSN.
Ejemplo: Eliminacin de R6
En este ejemplo, puede configurar la interfaz Gp del dispositivo de seguridad para que elimine los IE de R6 nuevos que se agreguen (restricciones RAT, ULI, IMEI-SV y APN) del mensaje GTP. WebUI Objects > GTP > New: Seleccione los siguientes datos y haga clic en Apply:
Remove R6 EI: (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> set remove-r6 (gtp:gprs1)-> exit save
24
Captulo 1: GPRS
Tneles de GTP
Un tnel GTP habilita la transmisin del trfico de GTP entre los GSN con el Protocolo de encapsulamiento de GPRS (GTP). Hay dos tipos de tneles: uno para los mensajes de GTP-U (datos del usuario) y uno para los mensajes de GTP-C (sealizacin y control).
Limitacin del tnel GTP

Puede configurar el dispositivo de seguridad para limitar el nmero de tneles de GTP. Los GSN a los cuales se aplica esta limitacin se especifican en la directiva a la cual adjunta el objeto de inspeccin de GTP. Esta caracterstica evita que se exceda la capacidad de los GSN.
Ejemplo: Establecimiento de los lmites de tnel GTP

En el siguiente ejemplo, usted limita el nmero de tneles de GTP itinerancia a 800 para el objeto de inspeccin de GTP GPRS1. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply:
Maximum Number of Tunnels Limited to tunnels: (seleccione), 800
CLI
set gtp config gprs1 (gtp:gprs1)-> set limit tunnel 800 (gtp:gprs1)-> exit save
Inspeccin de estado
Tras una serie de verificaciones de paquete de GTP (consulte Filtrado de mensajes de GTP en la pgina 8), el dispositivo de seguridad verifica el paquete de GTP con el estado actual del tnel de GTP. El dispositivo de seguridad basa su accin de reenvo o descarte de un paquete de GTP en paquetes de GTP anteriores que recibi. Por ejemplo, un mensaje de peticin precede un mensaje de respuesta, as que si el dispositivo de seguridad recibe un mensaje create pdp context response cuando no recibi previamente un mensaje create pdp context request, el dispositivo de seguridad descarta el mensaje de respuesta. Bsicamente, si ste recibe un paquete de GTP que no pertenece al modelo de estado actual de GTP, el dispositivo de seguridad descarta el paquete. Lo siguiente son ejemplos simplificados de los modelos de estado de GTP.
Tneles de GTP
25
Establecimiento y desmantelamiento del tnel de GTP

Una estacin mvil (MS) desea llegar a una red externa (www.buygadgets.com) y realiza una conexin de GPRS con un SGSN para iniciar el establecimiento de un tnel de GTP. SGSN enva un mensaje create pdp context request a GGSN. Si GGSN puede aceptar con xito la conexin (confirmacin, si la hubiera, asignacin de recursos, garantas de calidad de servicio (QoS)), responde con un mensaje create pdp context response. Este intercambio de mensajes entre SGSN y GGSN establece un tnel de GTP a travs del cual la MS puede enviar mensajes de usuario de GTP-U a la red externa. Para terminar la comunicacin, la MS realiza una desconexin de GPRS con el SGSN para iniciar el desmantelamiento del tnel de GTP. SGSN enva un mensaje delete pdp context request a GGSN. GGSN responde con un mensaje delete pdp context response y elimina el tnel de GTP de sus registros. Cuando SGSN recibe la respuesta, tambin elimina el tnel de GTP de sus registros. Un dispositivo de seguridad puede recibir varias peticiones para establecer tneles de GTP para diferentes GSN de manera simultnea. Para ayudar a dar seguimiento a todos los tneles (estado del tnel y mensajes de registros de los diferentes tneles), un dispositivo de seguridad asigna un ndice nico a cada tnel en el momento de su creacin. Ese ndice de tnel aparece para cada mensaje de tnel de GTP registrado.
Actualizacin del rea de enrutamiento dentro de SGSN

Cuando una MS se mueve fuera del rango del SGSN actual e ingresa a una nueva rea de SGSN, el nuevo SGSN enva sgsn context request al SGSN anterior donde solicita la transferencia de toda la informacin que tiene sobre la MS. El SGSN anterior responde con un mensaje sgsn context response y enva al nuevo SGSN toda la informacin que tiene sobre la MS. Al recibir la respuesta e informacin, el nuevo SGSN confirma la recepcin enviando un mensaje sgsn context acknowledge al SGSN anterior. De aqu en adelante, el SGSN anterior reenviar al SGSN nuevo cualquier T-PDU nuevo que reciba para la MS. Para completar este procedimiento de entrega, el nuevo SGSN debe enviar un mensaje update pdp context request al GGSN al cual GGSN responde con un mensaje update pdp context response. En el caso de que los SGSN se encuentren en diferentes PLMN, todos los mensajes de GTP se dirigen a travs del dispositivo de seguridad. En el caso de que los dos SGSN estn en la misma PLMN y el GSN est en una PLMN diferente, nicamente el mensaje update pdp context request/response se dirige a travs del dispositivo de seguridad.
Conmutacin por error del tnel para alta disponibilidad

ScreenOS admite dos modos de HA (alta disponibilidad): activo-activo cuando el dispositivo de seguridad est en el modo de rutas y activo-pasivo cuando el dispositivo de seguridad est en el modo de rutas o en el modo transparente. En esencia, los dos dispositivos de seguridad en una configuracin HA actan como dispositivos maestro y de respaldo. El dispositivo de respaldo refleja la configuracin del maestro, incluso los tneles de GTP existentes y est listo para hacerse cargo de las responsabilidades del dispositivo maestro si ste llegara a fallar. La conmutacin por error entre el dispositivo maestro y de respaldo es rpida e invisible al usuario.
26
Tneles de GTP
Captulo 1: GPRS
Durante la conmutacin por error, los tneles de GTP establecidos permanecen activos e intactos, pero los tneles de GTP en el proceso de establecimiento se pierden. Para estos, debe reiniciar el establecimiento del tnel de GTP despus de la conmutacin por error. Tambin es posible que los tneles de GTP en el proceso de desmontaje (o terminacin) pierdan el mensaje de confirmacin y queden a la espera en el dispositivo de seguridad. La espera de los tneles de GTP puede ocurrir por varias razones. Con relacin a la HA, un tnel de GTP en espera ocurre cuando el GSN en un extremo del tnel enva GSN al otro extremo del tnel un mensaje delete pdp context request y mientras espera la respuesta ocurre un fallo que interrumpe la comunicacin y evita que GSN reciba el mensaje delete pdp context response (que confirma la eliminacin) del otro GSN. El GSN que enva el mensaje de confirmacin elimina de manera simultnea su contexto de pdp mientras que el GSN en el otro extremo del tnel de GTP queda en espera, esperando la confirmacin de eliminacin. Puede configurar el dispositivo de seguridad para que elimine los tneles de GTP en espera. Para obtener ms informacin, consulte Limpieza de tneles de GTP colgados en la pgina 27. Para obtener ms informacin sobre HA y para aprender sobre cmo configurar los dispositivos de seguridad para alta disponibilidad, consulte Volumen 11: Alta Disponibilidad.
Limpieza de tneles de GTP colgados

Esta caracterstica elimina los tneles de GTP que se quedan colgados en el dispositivo de seguridad. Los tneles de GTP pueden quedarse colgados debido a varias razones, por ejemplo, el mensaje delete pdp context response puede perderse en una red o un GSN puede no cerrarse correctamente. Puede configurar el dispositivo de seguridad para que detecte y elimine automticamente los tneles de GTP que se quedan colgados. Cuando se establece un valor de tiempo de espera del tnel de GTP, el dispositivo de seguridad automticamente identifica como colgado cualquier tnel de GTP que est libre durante el perodo de tiempo especificado por el valor de tiempo de espera y lo elimina. El valor de tiempo de espera del tnel de GTP predeterminado es de 24 horas.
Ejemplo: Establecimiento del tiempo de espera para los tneles de GTP

En este ejemplo, se establece el tiempo de espera del tnel de GTP para el objeto de inspeccin de GTP GPRS1 a 12 horas. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply:
Tunnel Inactivity Timeout: 12
CLI
set gtp config gprs1 (gtp:gprs1)-> set timeout 12 (gtp:gprs1)-> exit save
Tneles de GTP
27
Redireccin de SGSN y GGSN

Los dispositivos de seguridad de Juniper Networks admiten la redireccin del trfico de GTP entre SGSN y GGSN. Redireccin de SGSN: Un SGSN (A) puede enviar solicitudes create-pdp-context en las que puede especificar diferentes direcciones IP de SGSN (SGSN B y SGSN C) para mensajes subsecuentes de GTP-C y GTP-U. Por lo tanto, GGSN enva mensajes subsecuentes de GTP-C y GTP-U a SGSN B y C, en lugar de A. Desvo de GGSN: Un GGSN (X) puede enviar respuestas create-pdp-context en las cuales puede especificar diferentes direcciones IP de GGSN (GGSN Y y GGSN Z) para mensajes subsecuentes de GTP-C y GTP-U. Por lo tanto, SGSN enva los mensajes subsecuentes GTP-C y GTP-U a GGSN Y y Z, en lugar de X.
Prevencin de ataque de sobrefacturacin

Puede configurar los dispositivos de seguridad para evitar los ataques de sobrefacturacin de GPRS. La siguiente seccin describe el ataque de sobrefacturacin y luego explica la solucin.
Descripcin del ataque de sobrefacturacin

Con el fin de saber un ataque de sobrefacturacin, es importante conocer que una estacin mvil (MS) obtiene su direccin IP de un conjunto de IP. Esto indica que un ataque de sobrefacturacin puede ocurrir de varias maneras. Es decir, que puede ocurrir cuando un abonado legtimo devuelve su direccin IP a un conjunto de IP, en cuyo punto un agresor puede secuestrar la direccin IP, que es vulnerable ya que la sesin contina abierta. Cuando el agresor toma control de la direccin IP, sin que se detecte ni se informe de la situacin, el agresor puede descargar datos de manera gratuita (o con ms exactitud, a expensas del abonado legtimo) o enviar datos a otros abonados. Un ataque de sobrefacturacin puede ocurrir tambin cuando una direccin IP se encuentra disponible y se reasigna a otra MS. El trfico iniciado por la MS anterior se puede reenviar a la nueva MS, lo que ocasiona que a la nueva MS se le facture trfico no solicitado. La Figura 4, la Figura 5 y la Figura 6 ilustran esta situacin en detalle.
28
Redireccin de SGSN y GGSN
Captulo 1: GPRS
En la Figura 4, MS1 obtiene una direccin de IP y solicita un tnel GTP para GGSN. SGSN crea un tnel GTP por peticin de MS1. MS1 inicia una sesin con el servidor.
Figura 4: Inicio de sesin PLMN 1
MS maliciosa (MS1: 2.2.1.2/32) Cortafuegos de GTP SGSN Tnel GTP Servidor GGSN Cortafuegos de Gi
Internet
En la Figura 5, a medida que el servidor empieza a enviar paquetes a MS1, MS1 enva simultneamente una peticin a SGSN para eliminar el tnel GTP pero deja abierta la sesin al servidor. El servidor contina el envo de paquetes a GGSN. El cortafuegos de GI no sabe que el tnel GTP se elimin y reenva los paquetes a GGSN. GGSN descarta los paquetes ya que el tnel GTP ya no existe.
Figura 5: Eliminacin de un tnel de GTP PLMN 1
MS1 solicita la eliminacin del tnel GTP y sale de la sesin. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Servidor
Internet
En la Figura 6, una nueva estacin mvil, MS2 (la vctima), enva una solicitud a SGSN por un tnel GTP a GGSN y recibe la direccin IP de 2.2.1.2/32 (la misma direccin IP que utiliz MS1). SGSN crea un nuevo tnel GTP a GGSN. Al detectar el nuevo tnel GTP para la direccin IP de destino 2.2.1.2, GGSN, que reciba los paquetes para la sesin anterior con la misma direccin IP de destino pero diferente MS (MS1), ahora reenva estos paquetes a MS2. Aunque MS2 no solicit este trfico dirigido a MS1, se cobra a MS2 por esto.
29
Figura 6: Recepcin de datos no solicitados PLMN 1

Nueva estacin mvil (MS2: 2.2.1.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi
Tnel GTP Internet
Servidor
Solucin del ataque de sobrefacturacin

Para proteger a los abonados de una PLMN de ataques de sobrefacturacin es necesario contar con dos dispositivos de seguridad y utilizar el protocolo de equipo selector NetScreen (NSGP) y el mdulo de NSGP. El mdulo NSGP incluye dos componentes: el cliente y el servidor. El cliente se conecta al servidor y enva las peticiones, que procesa el servidor. Tanto el cliente como el servidor admiten varias conexiones entre s y con otros de manera simultnea. NSGP utiliza el protocolo de control de transmisin (TCP) y supervisa la conectividad entre el cliente y el servidor al enviar los mensajes de saludo en intervalos establecidos. NSGP actualmente slo admite el tipo de sesin de contexto, el cual es un espacio que retiene la informacin de la sesin del usuario, est unido a una zona de seguridad y se identifica por un nmero nico (ID de contexto). Cuando configure NSGP en los dispositivos del cliente y servidor, debe utilizar la misma ID de contexto en cada dispositivo. Cuando el cliente enva una peticin de borrar sesin al servidor, la peticin debe incluir la ID de contexto y la direccin IP del servidor. Al recibir el mensaje de borrar sesin, el servidor hace coincidir la ID de contexto y luego borra la sesin de su tabla. El dispositivo de seguridad que acta como cortafuegos de Gi (el servidor) debe ejecutar el firmware ScreenOS 5.0.0 NSGP y el otro dispositivo que acta como cortafuegos de GTP (el cliente) debe ejecutar el firmware ScreenOS 5.0.0 o ScreenOS 5.1.0 GPRS. Usted configura NSGP en el cortafuegos de GTP para activarlo y as notificar al cortafuegos de Gi cuando se elimina un tnel de GTP y configura NSGP en el cortafuegos de Gi para activarlo y as borrar automticamente las sesiones cada vez que el cortafuegos de Gi obtenga una notificacin del cortafuegos de GTP acerca de que se elimin un tnel de GTP. Al borrar las sesiones, el cortafuegos de Gi detiene el trfico no solicitado. Despus de iniciar una sesin con el servidor y a medida que el servidor empieza a enviar paquetes a MS1, MS1 enva una solicitud a SGSN para eliminar el tnel GTP y salir de la sesin.
30
Captulo 1: GPRS
Al eliminar el tnel, el cortafuegos de GTP notifica inmediatamente al cortafuegos de Gi acerca de la eliminacin del tnel GTP. El cortafuegos de Gi elimina la sesin de su tabla. Posteriormente, cuando el servidor intenta enviar paquetes a GGSN, el cortafuegos de Gi los intercepta y los descarta. Como resultado, una nueva MS, incluso si utiliza la misma direccin IP que la MS anterior, no puede recibir datos y se le facturar trfico que no ha iniciado.
Figura 7: Notificacin de eliminacin del tnel GTP
MS1 solicita la eliminacin del tnel GTP y sale de la sesin. El cortafuegos de Gi ejecuta el firmware ScreenOS 5.1.0 NSGP.
PLMN 1
El cortafuegos de GTP notifica al cortafuegos de Gi acerca de la eliminacin del tnel GTP.
SGSN
X
El cortafuegos de GTP ejecuta el firmware ScreenOS 5.0.0 o ScreenOS 5.1.0 GPRS.
GGSN
Servidor
Internet
Ejemplo: Configuracin de la caracterstica de prevencin de ataque de sobrefacturacin

En este ejemplo configura NSGP tanto en el cortafuegos de GTP (cliente) como en el cortafuegos de Gi (servidor). Este ejemplo asume que configur el objeto de inspeccin de GTP GPRS1 tanto en el cortafuegos de GTP como de Gi.
Figura 8: Configuracin de los cortafuegos de GTP y Gi
Cortafuegos de GTP 1.1.2.5/24
Cortafuegos de Gi 2.2.1.4/24
Servidor
Internet
31
Cortafuegos de GTP (cliente)
WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Untrust (seleccione) IP Address/Netmask: 1.1.2.5/24 Management Services: Telnet (seleccione)
Objects > GTP > Edit (GPRS1) > Overbilling: Introduzca los siguientes datos y haga clic en Apply:
Overbilling Notify: (seleccione) Destination IP: 2.2.1.4 Source Interface: ethernet1/2 Destination Context: 2
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: Any GTP Inspection Object: GPRS1 Action: Permit
CLI
set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 1.1.2.5/24 set interface ethernet1/2 manage telnet set gtp config gprs1 (gtp:gprs1)-> set notify 2.2.1.4 src-interface ethernet1/2 context 2 (gtp:gprs1)-> exit save set policy from untrust to trust any any any permit
El sistema devuelve una identificacin de directiva, por ejemplo: policy id = 2

set policy id 2 gtp gprs1 save
Cortafuegos de Gi (servidor)
WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Untrust (seleccione) IP Address/Netmask: 2.2.1.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione)
32
Captulo 1: GPRS
NSGP: Introduzca los siguientes datos y haga clic en Add, luego haga clic en OK:
Context ID: 2 Zone: Untrust
CLI
set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 2.2.1.4/24 set interface ethernet1/2 manage telnet set interface ethernet1/2 nsgp set nsgp context 2 type session zone untrust save
Supervisin de trfico de GTP

Los dispositivos de seguridad de Juniper Networks proporcionan herramientas completas para la supervisin del flujo de trfico en tiempo real. Para el trfico de GTP, puede supervisar el trfico utilizando el registro del trfico de GTP y las caractersticas de recuento del trfico de GTP.
Registro de trfico
Con la caracterstica de registro de trfico de GTP, puede configurar el dispositivo de seguridad para registrar los paquetes de GTP segn sus estados. Tambin puede especificar cunta informacin, bsica o extensa, desea sobre cada paquete. Puede utilizar la consola, syslog y WebUI para ver los registros de trfico. El estado de un paquete de GTP puede ser alguno de los siguientes: Reenviado: Un paquete que transmite el dispositivo de seguridad ya que la directiva de GTP lo permite. Prohibido: Un paquete que descarta el dispositivo de seguridad ya que la directiva de GTP lo rechaza. Limitado por velocidad: Un paquete que descarta el dispositivo de seguridad ya que excede el lmite mximo de velocidad del GSN de destino. Estado no vlido: Un paquete que descarta el dispositivo de seguridad ya que fall la inspeccin de estado. Limitado por tneles: Un paquete que descarta el dispositivo de seguridad ya que se lleg al lmite mximo de tneles de GTP para el GSN de destino.
NOTA:
De forma predeterminada, el registro de trfico est inhabilitado en un dispositivo de seguridad de Juniper Networks. Cada entrada de registro en su forma bsica contiene la siguiente informacin: Marca de hora Direccin IP de origen
33
Direccin IP destino Identificador del tnel (TID) o Identificador del punto final del tnel (TEID) Tipo de mensaje Estado del paquete: reenviado, prohibido, estado no vlido, limitado por velocidad o limitado por tneles Nombre de vrouter, vsys o interfaz (si corresponde) Red mvil terrestre pblica (PLMN) o nombre de zona Cada entrada del registro en su forma extendida incluye la siguiente informacin adems de la informacin bsica: IMSI MSISDN APN Modo de seleccin Direccin de SGSN para sealizacin Direccin de SGSN para datos de usuario Direccin de GGSN para sealizacin Direccin de GGSN para datos de usuario
NOTA:
Para obtener ms informacin sobre las caractersticas de supervisin, consulte Supervisin de dispositivos de seguridad en la pgina 3-59. Cuando habilita el inicio de sesin de los paquetes de GTP con un estado de limitado por velocidad del paquete, tambin puede especificar una frecuencia de inicio de sesin para controlar el intervalo en el cual el dispositivo de seguridad registra estos mensajes. Por ejemplo, si establece el valor de frecuencia en 10, el dispositivo de seguridad nicamente registra cada dcimo mensaje sobre el lmite de velocidad establecido. Al establecer una frecuencia de registro, ayuda a conservar los recursos en el servidor syslog y en el dispositivo de seguridad y puede evitar el desbordamiento de registro de los mensajes.
Ejemplo: Habilitacin del registro de paquetes de GTP

En este ejemplo, para la inspeccin de objeto de GTP GPRS1, usted configura el dispositivo de seguridad para registrar los paquetes GTP de estado no vlido, velocidad limitada y prohibidos. Usted opta por un inicio de sesin bsico de paquetes prohibidos y velocidad limitada, con un valor de frecuencia de 10 para los paquetes de velocidad limitada y registro para paquetes de estado no vlido.
34
Captulo 1: GPRS
WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply:
Packet Prohibited: Basic (seleccione) Packet State-invalid: Extended (seleccione) Packet Rate-Limited: Basic (seleccione) When Packet Rate Limit is exceeded, log every other messages: 10
CLI
set gtp config gprs1 (gtp:gprs1)-> set prohibited basic (gtp:gprs1)-> set state-invalid extended (gtp:gprs1)-> set rate-limited basic 10 (gtp:gprs1)-> exit save
Recuento de trfico
Con la caracterstica de recuento de trfico de GTP, puede configurar el dispositivo de seguridad para contar el nmero de mensajes de control y datos de usuario (o bytes de datos), recibidos de y reenviados a GGSN y SGSN al cual protege. El dispositivo de seguridad cuenta el trfico para cada tnel de GTP por separado y lo diferencia de los mensajes de GTP-Usuario y GTP-Control. Cuando se elimina un tnel, el dispositivo de seguridad cuenta y registra el nmero total de mensajes o bytes de datos que se recibieron de y se reenviaron a SGSN o GGSN. La entrada de registro para la eliminacin de un tnel contiene la siguiente informacin: Marca de hora Nombre de interfaz (si aplica) Direccin IP de SGSN Direccin IP de GGSN TID Tiempo de duracin del tnel en segundos Nmero de mensajes enviados a SGSN Nmero de mensajes enviados a GGSN
NOTA:
De forma predeterminada, el registro de trfico se deshabilita en los dispositivos de seguridad de Juniper Networks.
Ejemplo: Habilitacin del recuento de trfico de GTP

En este ejemplo, se habilita el recuento de trfico de GTP por mensajes en el objeto de inspeccin de GTP GPRS1.
35
WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply:
Traffic counters: Count by Message (seleccione)
CLI
set gtp config gprs1 (gtp:gprs1)-> log traffic-counters (gtp:gprs1)-> exit save
Intercepcin legal
Puede configurar un dispositivo de seguridad para identificar y registrar el contenido de mensajes de GTP-U o GTP-C segn los prefijos de IMSI o identificacin de red de datos de servicios integrados de estacin mvil (MS-ISDN). Puede identificar los abonados por sus IMSI o MS-ISDN y registrar el contenido de datos del usuario y mensajes de control que se dirigen al o provienen del abonado. Puede configurar el nmero de abonados a los que el dispositivo de seguridad puede dar seguimiento de manera activa y simultnea. El nmero predeterminado de seguimientos activos simultneos es tres. Para los paquetes de GTP que contienen datos del usuario, puede especificar el nmero de bytes de datos a registrar. Puede registrar los paquetes parciales o completos. El valor predeterminado es cero, lo que significa que el dispositivo de seguridad no registra ningn contenido de un paquete de GTP-U. El dispositivo de seguridad enva los paquetes registrados a un servidor externo (como Syslog) dedicado para las operaciones de Intercepcin legal.
Ejemplo: Habilitacin de intercepcin legal

En este ejemplo, habilita el dispositivo de seguridad para dar seguimiento a un abonado con 345678 como un prefijo de IMSI en el objeto de inspeccin de GTP GPRS1. Tambin puede establecer el nmero de seguimientos activos en 2 y el nmero de bytes a registrar en 1064. WebUI Objects > GTP > Edit (GPRS1) > Subscriber Trace: Introduzca los siguientes datos y haga clic en Apply:
Maximum Simultaneous Active Trace: 2 Trace Message: 1064 Subscribers identified by: Seleccione IMSI, escriba 123456789012345, luego haga clic en Add.
CLI
set gtp config gprs1 (gtp:gprs1)-> set trace imsi 123456789012345 (gtp:gprs1)-> set trace max-active 2 save-length 1064 (gtp:gprs1)-> exit save
36
ndice
A
alta disponibilidad (HA) ............................................4, 26 APN filtrado .............................................................. 16 a 17 modo de seleccin ..................................................16 Ataques de sobrefacturacin ................................ 28 a 30 descripcin ...............................................................28 prevencin ....................................................... 28 a 33 prevencin, configuracin .....................................31 soluciones.................................................................30
I
intercepcin legal...........................................................36 Interfaces Gi .................................................................................2 Gn ................................................................................2 Gp ................................................................................2
L
L2TP ..................................................................................3 limitacin de velocidad, mensajes GTP-C ...................12
C
comodines ......................................................................16 compatibilidad con el sistema virtual ...........................5
M
mensajes GTP .................................................................11 longitud, filtrar por ....................................................9 tipo, filtrar por .........................................................10 tipos ..................................................................10 a 11 velocidad, limitacin por ........................................12 versiones 0 y 1 ........................................................11 modo de red ...................................................................16 modo de rutas ..................................................................4 modo NAT .........................................................................4 modo transparente ..........................................................4 modo verificado .............................................................16 modos de funcionamiento NAT .............................................................................4 Ruta .............................................................................4 transparente ...............................................................4 modos de seleccin APN ...........................................................................16 estacin mvil (MS) .................................................16 red .............................................................................16 verificado ..................................................................16
D
directivas ..........................................................................5 directivas, configuracin .................................................6
E
estacin mvil (MS) .......................................................16
F
filtrado del prefijo de IMSI ............................................17 funcionamiento, modos de NAT .............................................................................4 Ruta .............................................................................4 transparente...............................................................4
G
Gi, interfaz ........................................................................2 Gn, interfaz .......................................................................2 Gp, interfaz .......................................................................2 GTP comprobacin de coherencia del paquete .............9 estndares ..................................................................9 filtrado del nombre de punto de acceso (APN) ...16 filtrado del paquete de GTP-en-GTP ......................14 filtrado del prefijo de IMSI .....................................17 fragmentacin de IP ...............................................14 inspeccin de estado ..............................................25 objetos de inspeccin ......................................... 5 a 7 protocolo ....................................................................2 segn directivas .........................................................5 tiempo de espera del tnel ....................................27
N
Nombre de punto de acceso vase APN
P
Protocolo de encapsulamiento de GPRS (GTP) vase GTP
R
registro, trfico .................................................................5
ndice
IX-I
S
seleccin, modos APN ........................................................................... 16 estacin mvil (MS) ................................................ 16 red ............................................................................. 16 verificado ................................................................. 16
T
tiempo de espera ........................................................... 27 trfico recuento ..................................................................... 5 registro ....................................................................... 5 trfico GTP iniciar sesin ............................................................ 33 recuento ................................................................... 35 tnel de GTP en espera ................................................. 27 tneles de GTP colgados ............................................... 27 tneles GTP conmutacin por error ........................................... 26 lmite ........................................................................ 25 tiempo de espera .................................................... 27
V
validacin del nmero de secuencia ........................... 13
IX-II
ndice

Ce v13 SP

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Ce v13 SP

Diunggah oleh

Hak Cipta:

Format Tersedia

Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 13: Servicio general de radio por paquetes

Versin 6.0.0, Rev. 02

Juniper Networks, Inc.

Manual de referencia de ScreenOS: Conceptos y ejemplos

Acerca de este volumen

Convenciones del documento

Convenciones de la interfaz de usuario web

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones de interfaz de lnea de comandos

Las variables aparecen en cursiva:

En el texto, los comandos estn en negrita y las variables en cursiva.

Convenciones del documento

Acerca de este volumen

Convenciones de nomenclatura y conjuntos de caracteres

Convenciones del documento

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones para las ilustraciones

Rango dinmico de IP (DIP)

Dispositivo de red genrico

Interfaz de tnel Servidor Tnel VPN

Enrutador Dispositivos de seguridad Juniper Networks

Convenciones del documento

Acerca de este volumen

Asistencia y documentacin tcnica

Asistencia y documentacin tcnica

Manual de referencia de ScreenOS: Conceptos y ejemplos

Asistencia y documentacin tcnica

Manual de referencia de ScreenOS: Conceptos y ejemplos

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS

Manual de referencia de ScreenOS: Conceptos y ejemplos

Dispositivo de seguridad Torre de radio Interfaz Gi

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS

Compatibilidad con el sistema virtual

Protocolo de encapsulamiento de GPRS segn directivas

Protocolo de encapsulamiento de GPRS segn directivas

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Configuracin de directivas para habilitar la inspeccin de GTP

Protocolo de encapsulamiento de GPRS segn directivas

set gtp configuration gprs1 (gtp:gprs1)-> exit save

set policy from trust to untrust local-ggsn remote-sgsn gtp permit

El sistema devuelve una Identificacin de directiva, por ejemplo: policy id = 4.

El sistema devuelve una Identificacin de directiva, por ejemplo: policy id = 5.

Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP)

Objeto de inspeccin en el protocolo de encapsulamiento de GPRS (GTP)

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Creacin de un objeto de inspeccin de GTP

Filtrado de mensajes de GTP

Filtrado de mensajes de GTP

Comprobacin de coherencia del paquete

Filtrado de la longitud del mensaje

Filtrado de mensajes de GTP

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Ajuste de las longitudes del mensaje de GTP

Filtrado del tipo de mensaje

Ejemplo: Permiso y rechazo de los tipos de mensajes

Filtrado de mensajes de GTP

Tipos de mensaje admitidos

Filtrado de mensajes de GTP