Ngoài các tính năng bảo mật được cung cấp bởi kiến trúc an ninh 3G, các nhà khai thác mạng di động có thể áp dụng các công nghệ bảo mật truyền thống được sử dụng trong mạng có dây để bảo vệ mạng lõi UMTS và bất kỳ thông tin liên lạc liên mạng giữa các mạng 3G và các mạng bên ngoài. Thông thường, dữ liệu người dùng trong mạng xương sống UMTS được truyền nguyên thể. Điều này có thể lộ ra các mối nguy hiểm khác nhau. Hơn nữa, thông tin liên lạc liên mạng nói chung là dựa trên mạng Internet được biết đến một cách công khai. Điều này có thể cho phép thực hiện giả mạo địa chỉ IP bởi bên thứ ba cố tình làm hại có thể tiếp cận các tài nguyên trong mạng di động 3G. Để đối phó với các mối đe dọa này, các nhà cung cấp thông tin di động có thể sử dụng ba công nghệ bổ sung: hệ thống bảo vệ xâm nhập, hệ thống phát hiện xâm nhập, và VPN.
Các hệ thống bảo vệ xâm nhập có thể được mô tả như là một loạt các cơ chế mà mục đích là thực thi một chính sách bảo mật trên các luồng dữ liệu đi và đến từ một mạng công ty. Chúng có thể được thực hiện tại các biên của các mạng di động (hoặc trên một số điểm truy cập trong mạng) và có thể cho phép phân tích, so sánh, và lọc các luồng dữ liệu có nguồn gốc từ (hoặc đến) các mạng nước ngoài cụ thể. Về điều này, một số kỹ thuật được phát triển bao gồm cả các loại tường lửa mạng bảo vệ xương sống UMTS từ thâm nhập trái phép. Mặt khác, tường lửa của lớp ứng dụng ngăn chặn truy cập trực tiếp thông qua
Chương III: Bảo mật trong mạng 3G
việc sử dụng các bộ chuyển tiếp cho các dịch vụ, trong đó phân tích các lệnh ứng dụng, thực hiện xác thực, và bảo vệ các bản ghi.
Tuy nhiên, các hệ thống phòng ngừa xâm nhập không cung cấp sự riêng tư và bảo mật, nói chung. Giải pháp dựa trên VPN phải được thiết lập để hoàn tất chúng để bảo vệ dữ liệu trong quá trình truyền. VPN thiết lập một đường hầm an toàn giữa hai điểm, đóng gói và mã hóa dữ liệu, xác nhận và cho phép người dùng truy cập các các tài nguyên của công ty trên mạng. Chúng mở rộng các kết nối chuyên dụng giữa các nhánh từ xa, hoặc truy cập từ xa cho người dùng di động, hơn là một hạ tầng cấu trúc chia sẻ. Sự triển khai giải pháp đó mang lại lợi ích gấp đôi cho doanh nghiệp: chi phí đầu tư ban đầu thấp, mức độ hoạt động và bảo mật cung cấp cho truyền thông nội mạng. Các cơ chế khác nhau cung cấp VPN qua mạng IP không dây và di động đã được phát triển.
Các cửa ngõ biên mạng là thành phần nằm ở biên của mạng lõi UMTS và cung cấp mức độ chính sách bảo mật phù hợp (ví dụ, tường lửa). Nó cũng duy trì đường hầm bảo mật được cấu hình tĩnh trước (ví dụ, đường hầm IPsec) cung cấp các dịch vụ VPN cho một số mạng ngang hàng. Một cửa ngõ biên mạng có thể đóng vai trò như là cửa ngõ giữa miền PS và mạng IP bên ngoài được sử dụng để cung cấp kết nối các miền PS nằm trong mạng lõi khác.
Bảo mật lớp ứng dụng xây dựng các tính năng bảo mật vào các ứng dụng cá nhân. Nó hoạt động độc lập so với các phương pháp bảo mật mạng khác. Nhiều ứng dụng yêu cầu bảo mật đặc biệt nhưng không được đáp ứng bởi các dịch vụ bảo mật mạng. Tuy nhiên, bảo mật ở lớp này rất dễ triển khai, miễn là tất cả người dùng sử dụng đồng nhất các ứng dụng trên mô hình tiêu chuẩn. Trong khi các phương pháp này có hiệu quả về giải quyết một số các vấn đề bảo mật, các giải pháp như vậy cũng bị hạn chế trong một số miền. Ví dụ, bảo mật lớp vận chuyển hoạt động tốt trong môi trường phục vụ khách hàng đơn giản, nhưng trong trường hợp dịch vụ cần một số lượng lớn các tham chiếu chéo cho các máy chủ khác, lượng yêu cầu các hoạt động trao đổi thiết yếu có thể bị quá tải cho các khách hàng.
Mặt khác, sự thiếu sót của các cơ chế bảo mật được sử dụng trong mạng 3G làm tăng thêm sự cần thiết về kỹ thuật phát hiện mới để chống lại các cuộc tấn công tinh vi vào thiết bị di động. Hầu hết các phương pháp hiện tại dựa vào các đặc điểm của tín hiệu nội tại để phát hiện các sự kiện xâm nhập. Hệ thống phát hiện xâm nhập không dây là một thành phần mạng nhằm bảo vệ mạng bằng cách
Chương III: Bảo mật trong mạng 3G
phát hiện các cuộc tấn công không dây, mục tiêu là các mạng không dây có tính năng cụ thể và đặc điểm đặc biệt. Xâm nhập không dây có thể thuộc về hai loại tấn công. Loại đầu tiên nhằm vào thành phần cố định của mạng không dây, như làm giả mạo MAC, giả mạo IP, và DoS, và loại thứ hai của tấn công này nhắm vào thành phần vô tuyến của mạng không dây mạng, chẳng hạn như xâm nhập Access Point (AP), làm tràn tiếng ồn, và truy tìm mạng không dây. Loại tấn công thứ hai phức tạp hơn bởi vì rất khó để phát hiện và theo dõi dấu vết tấn công.
Để phát hiện các cuộc tấn công phức tạp như vậy, WIDS đã triển khai các phương pháp và kỹ thuật được cung cấp bởi hệ thống phát hiện xâm nhập (IDS) để bảo vệ mạng có dây. Triển khai các phương pháp này trong môi trường không dây yêu cầu một số sửa đổi. Các tính năng và đặc điểm của môi trường không dây làm cho việc sử dụng các phương pháp phát hiện truyền thống rất khó khăn. Các tính năng chủ yếu là tính di động, nơi thông tin được thu thập từ các nguồn khác nhau, mà có thể yêu cầu phân tích lưu lượng thời gian thực. Hơn nữa, không có sự khác biệt rõ ràng giữa hành vi "Bình thường" và "bất thường" trong môi trường di động.
Do đó, Các phương pháp phát hiện truyền thống phải được xem xét. Phương pháp dựa vào dấu hiệu trong mạng không dây có thể yêu cầu sự hiểu biết trên cơ sở những dấu hiệu tấn công mạng không dây trong khi phương pháp dựa trên hiện tượng bất thường đòi hỏi định nghĩa về cấu hình cụ thể cho các thực thể không dây (người dùng di động và AP). Phát hiện xâm nhập không dây có thể được thực hiện bằng cách giám sát các thành phần hoạt động của mạng không dây, chẳng hạn như các AP. Nói chung, WIDS được thiết kế để giám sát và báo cáo các hoạt động giữa các thiết bị giao tiếp của mạng. Để làm điều này, WIDS phải nắm bắt và giải mã lưu lượng truy cập mạng không dây. Chỉ có một số WIDS thể cập nhật và lưu trữ lưu lượng truy cập không dây. Ví dụ, hệ thống, được gọi là WITS, được giữ lại các hồ sơ truy cập có chứa các thống kê hệ thống và dữ liệu liên quan đầy đủ các mạng để theo dõi lại kẻ xâm nhập. Các WIDS khác có thể phân tích dấu vết tín hiệu, rất hữu ích trong việc phát hiện các cuộc tấn công.
Chương III: Bảo mật trong mạng 3G