3, Tấn cơng trì hỗn giải phóng địa chỉ IP ngƣợc trở lại tớ
SGSN Zone 2: SGSN
Zone 2: SGSN Border gateway Zone 3: Roaming GGS N Zone 5: GGSN Zone 6: GRX Roaming partnets Chatging Gateway Zone 7: Billing MSC Zone 4: HLR/AuC/EIR/MSC/VLR Zone 8: Internet Interne t Zone 10: Content Content Services Zone 9: Corporate Corporate Data Services BSB OAM MPC OAM Gn BS BS RNC LuPS Zone 1: UTRAN LuPS Ga Ga Ga Gi Gi Gi Gp Zone Border OAM Connection Device Connection Hình 3.4: Các vùng bảo mật trong mạng di động 3G
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
và cũng gồm các cơ chế để thiết lập, di chuyển, xóa các đƣờng hầm giữa SGSN và GGSN trong các tình huống chuyển vùng. Thực hiện IPsec giữa các bên tham gia chuyển vùng và quản lý các tốc độ lƣu lƣợng có thể loại bỏ phần lớn các nguy cơ bảo mật trên giao diện Gp. Một số giải pháp đƣợc khuyến nghị là:
- Thực hiện lọc gói vào và ra: Điều này giúp ngăn ngừa PLMN bị sử dụng nhƣ là nguồn để tấn công các mạng roaming khác. Nếu nhà khai thác mạng đƣợc kết nối tới nhiều hơn một GRX hoặc các kết nối roaming riêng thì giải pháp này cũng đảm bảo rằng lƣu lƣợng từ bên tham gia roaming bị chứng tỏ là giả mạo không thể đến đƣợc các đƣờng mà bên tham gia roaming không đƣợc kết nối.
- Thực hiện lọc gói GTP trạng thái: Chỉ cho phép lƣu lƣợng đƣợc yêu cầu và từ các nguồn hoặc các đích của các bên tham gia roaming. Điều này ngăn ngừa các mạng LPMN khác đƣợc kết nối tới cùng GRX khỏi rất nhiều loại tấn công. Giải pháp này cũng ngăn ngừa các GSN khỏi phải xử lý lƣu lƣợng từ các mạng PLMN không phải là bên tham gia roaming, ngăn ngừa lƣu lƣợng bất hợp pháp và bất thƣờng. Một bức tƣờng lửa hỗ trợ kiểm tra trạng thái GTP sẽ đảm bảo rằng các GSN không xử lý các gói GTP bất bình thƣờng, có tiêu đề khơng hợp lệ hoặc không ở trạng thái xác định. Giải pháp này ngăn ngừa rất nhiều kiểu tấn công nhƣ DoS, thăm dị hay do thám thơng tin...
- Tạo dạng lƣu lƣợng GTP: Để ngăn ngừa các nguồn tài nguyên băng thông đƣợc chia sẻ và bộ xử lý của GSN khỏi bị tiêu thụ bởi kẻ tấn công hoặc bởi một thuê bao, sự giới hạn tốc độ GTP nên đƣợc thực hiện. Giới hạn tốc độ lớp 3 và lớp 4 cũng đƣợc thực hiện để ngăn ngừa các tấn công DoS và đảm bảo rằng băng thông đƣợc phân bổ phù hợp giữa GTP, BGP, DNS...
- Thực hiện các đƣờng hầm IPsec giữa các bên tham gia roaming: Phần lớn các vấn đề về nhận thực và bí mật đƣợc khắc phục bằng cách thực hiện IPsec giữa mạng PLMN của nhà khai thác và mạng của bên tham gia roaming. Nói chung, chỉ lƣu lƣợng của GTP và DNS đƣợc cho phép đi qua đƣờng hầm IPsec.
- Ngăn chăn tấn công overbilling: Một giải pháp là cho phép bức tƣờng lửa GTP thông báo cho bức tƣờng lửa Gi về một tấn công. Bức tƣờng Gi sau đó có thể
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
kết thúc các phiên, hoặc các đƣờng hầm do đó cắt bỏ lƣu lƣợng không mong muốn. Điều này ngăn ngừa thuê bao UMTS khỏi tấn công overbilling.