Say Hi to 5G

26.03.2021

Bezpieczeństwo w sieciach mobilnych

5G okiem eksperta – blogiem przez 5G

 

Koncepcja bezpieczeństwa

Bezpieczeństwo sieci mobilnych jest jednym z najważniejszych aspektów projektowania i budowania sieci. Bezpieczeństwo danych jest jedną z kluczowych wartości, a obecnie staje się jeszcze ważniejsze z uwagi na krytyczny typ sieci nowej generacji oraz danych, które będziemy przez tą sieć przesyłać. Dostęp do nieupoważnionych treści może powodować straty natury finansowej, wizerunkowej, czy też wpływać na bezpieczeństwo infrastruktury krytycznej, a tym samym na bezpieczeństwo całych narodów.

Sieci nowej generacji będą musiały w najbliższym czasie potrafić obsłużyć miliardy nowych urządzeń internetu rzeczy (IoT), zwirtualizowany sprzęt, miliony nowych aplikacji działających w chmurze, czy też całkowicie nowy rodzaj sieci opartych na oprogramowaniu (SDN – Software Defined Network) pozwalających w dynamiczy sposób konfigurować odesparowane od siebie sieci logiczne (tzw. network slicing). Wszystko to, duża elastyczność konfiguracji, czy też zdecentralizowana struktura sieci otwiera nowe wektory ataków i podatności na odparcie których musimy być gotowi.

 

Podejście holistyczne

Budowa bezpiecznej sieci 5G wymaga holistycznego podejścia, a nie skupiania się na pojedyńczych elementach technicznych. Mówi się, że łańcuch jest tak mocny jak mocne jest jego najsłabsze ogniwo. Podobne podejście możemy przyjąć mówiąc o bezpieczeństwie sieci telekomunikacyjnych. Nawet najlepsze standardy bezpieczeństwa sieci nie pomogą, jeśli nie spojrzymy na naszą sieć jako całość. Poniższa ilustracja pokazuje jak w ujęciu holistycznym powinny przebiegać procesy zapewniania bezpieczeństwa systemów telekomunikacyjnych.

 

Proces standaryzacyjny to czas, w którym dostawcy, operatorzy, szerzej – cały świat telekomunikacji – uzgadnia sposób w jaki sieci mają ze sobą współpracować, jakie algorytmy, czy procedury powinny umieć obsługiwać. Powyższe standardy każdy z dostawców implementuje w swoim sprzęcie, dzięki czemu każde urządzenie może działać w każdej sieci na świecie. Następnie sprzęt ten instalowany jest w sieciach telekomunikacyjnych. Jako, że w temacie bezpieczeństwa odbywa się pewnego rodzaju wyścig pomiędzy siłami zła i dobra, sieci te w sposób ciągły wystawione są na ataki, gdzie każde naruszenie bezpieczeństwa trafia do analizy, na podstawie której operator bądź dostawca wprowadza aktualizację oprogramowania, czy też całych procesów bezpieczeństwa. Każdy z czterech poziomów wzajemnie na siebie oddziałuje i tylko synergia narzędzi bezpieczeństwa na każdym z nich zapewni w pełni zabezpieczoną sieć.

 

Typy zagrożeń

Ilość zagrożeń pojawiających się w sieciach telekomunikacyjnych jest olbrzymia i ciągle rośnie. Na poniższej ilustracji widzimy część ataków podzielonych na grupy w zależności od rodzaju ataku – nazwy na ilustracji pozostawiam w wersji angielskiej z uwagi na to, że zdecydowanie łatwiej wyszukać w sieci więcej szczegółów po nazwach angielskich. Typy zagrożeń dzielimy na 4 grupy:

  • Atak przeciwko prywatności –ujawnianie wszelkiego rodzaju danych prywatnych – wiadomości, rozmowy, lokalizacja
  • Atak przeciwko integralności – mający na celu naruszenie integralności danych poprzez modyfikowanie, wstrzykiwanie, obcinanie wiadomości
  • Atak przeciwko dostępności – wpływający na możliwość dostępu do usługi bądź danych – najpopularniejsza metoda ataku to DoS – Denial of Service
  • Atak przeciwko uwierzytelnianiu – typ ataku mający na celu złamanie zabezpieczeń, a przez to dostęp do zabezpieczonych zasobów – atak słownikowy lub atak siłowy to dwa przykładowe rodzaje takich ataków

 

Wektory ataków

Sieci mobilne składają się z kilku segmentów takich jak część dostępowa (radiowa), cześć transmisyjna, część rdzeniowa. Chcąc zapewnić pełne bezpieczeństwo musimy zapewnić bezpieczeństwo każdego kawałka naszej sieci. Na ilustracji przedstawiono kolejne narażone na atak segmenty sieci z dodatkową informacją jak ewentualny atak wpłynie na rozległość i uciążliwość ataku. Szkody dla sieci będą zdecydowanie większe jeśli dostęp zostanie uzyskany do części rdzeniowej sieci. Na szczęście dostęp do niej jest mocno ograniczony, a bezpieczeństwa kluczowych elementów sieci strzegą całe zespoły ekspertów, którzy na bieżąco analizują wszystkie pojawiace się naruszenia. Przełamanie zabezpieczeń urządzenia powinno dawać dostęp tylko do zasobów tego urządzenia, utrzymując bezpieczeństwo w reszcie sieci i urządzeń. Należy pamiętać o tym, że urządzeniem najbardziej narażonym na ataki są urządzenia końcowe. Jeśli pozwolimy na umieszczenie złośliwego oprogramowania na naszych smartfonach, wtedy nawet najlepsze zabezpieczenia sieci czy samych aplikacji niewiele pomogą w ochronie naszych danych. Dlatego tak ważnym jest, aby instalować jedynie aplikacje ze sprawdzonych źródeł, a także nie klikać w nieznane odnośniki.

Bezpieczeństwo w sieciach 4G i 5G

Koncepcja bezpieczeństwa w sieciach 5G jest bardzo podobna, a w wielu miejscach taka sama jak w sieciach 4G, co w moim odczuciu jest świetną laurką dla bezpieczeństwa sieci LTE. Nikt nie zdecydowałby się na kopiowanie rozwiązań, które wzbudzają chociaż cień wątpliwości co do skuteczności czy efektywności zabezpieczeń. Oczywiście zawsze jest miejsce na poprawki i to właśnie robi 5G. Dodaje zabezpieczenia tam, gdzie ich brakowało w poprzednich technologiach, a także tam, gdzie jest to niezbędne to realizowania wszelkiego rodzaju nowych usług krytycznych. Poniżej lista najważniejszych zabezpieczeń występujących w sieciach 4G i 5G.

Bezpieczeństwo części radiowej:

  • Procedura uzgadniania kluczy AKA “Authentication Key Agreement” – dwustopniowa procedura uwierzytelniania – sieć sprawdza czy urządzenie końcowe jest tym za kogo się podaje, natomist urządzenie końcowe sprawdza czy sieć do której się rejestrujemy to nasza sieć.
  • Klucze bezpieczeństwa – w drugiej części procedury AKA każde urządzenie biorące udział w transmisji danych generuje na swoje potrzeby zestaw kluczy do szyfrowania i do sprawdzania integralności każdego rodzaju danych – sygnalizacyjnych oraz danych użytkownika.
  • Częsta wymiana kluczy – mimo tego, że standard przewiduje co najmniej 6 różnych, niezależnych kluczy bezpieczeństwa dla integralności i dla szyfrowania danych dla każdego z użytkowników, dodatkowe mechanizmy bezpieczeństwa przez cały czas dbają o to, by klucze te nie zdążyły się “zestarzeć”. O skuteczności mechanizmów bezpieczeństwa i wymiany kluczy niech świadczy fakt, że klucze te są 128 bitowe, co przy używanych dziś częściej 256 bitach wygląda dość skromnie. A jednak jest w zupełności wystarczające do zapewnienia pełni bezpieczeństwa transmisji.

 

Bezpieczeństwo sieci transportowej

Bezpieczeństwa sieci transportowej strzeże powszechnie znany i skuteczny IPSec. Jest to protokół zewnętrzny (nie zdefiniowany przez 3GPP), ale świetnie uzupełniający bezpieczeństwo sieci mobilnych na odcinkach tranmisji IP. Niestety minusem protokołu IPSec jest warstwa OSI w której działa – warstwa 3. Minus ten do tej pory był bez znaczenia z uwagi na brak obsługi rozwiązań krytycznych w sieciach wcześniejszych generacji. Standard 5G wprowadza dodatkowy, szybki protokół bezpieczeństwa dla tranmisji IP. Tym protokołem jest DTSL (Datagram Transport Layer Security), który potrafii zabezpieczyć tranmisję usług krytycznych, wrażliwych na najmniejsze opóźnienia, a także potrafi zabezpieczyć nowe interfejsy wprowadzone przez 5G – np. F1 (interfejs pomiędzy jednostką dystrybuowaną i wirtualizowaną). Protokół ten obsługiwany jest w drugiej warstwie OSI, dzięki czemu jest szybszy i bardziej odpowiedni do obsługi rozwiązań krytycznych.

 

Tekst autorstwa Michała Majcherczaka, trenera Ericsson specjalizującego się w technologiach dostępu radiowego w sieciach 4G i 5G, stworzony na potrzeby bloga  5G okiem eksperta – blogiem przez 5G

 

https://www.ericsson.com/pl/blog/3/2021/3/bezpieczestwo-w-sieciach-mobilnych

Firma Ericsson współpracuje z Łódzką Specjalną Strefą Ekonomiczną w programie S5 – Akcelerator Technologii 5G / Startup Spark, który ma na celu łączenie startupów z dużymi przedsiębiorstwami i wspieranie rozwoju innowacyjnych rozwiązań z wykorzystaniem technologii 5G.

WRÓĆ DO POPRZEDNIEJ STRONY