爱立信GGSN网元安全分析和风险防范

爱卫生

   本文转载自期刊《电信工程技术与标准化》2008年第8期。已上传至gprshome@163.com网易网盘。
全文如下：

爱立信GGSN网元安全分析和风险

                                        作者：  邬学农  王海雷  陈伟栋
                                （中国移动通信集团广东有限公司  广州 510100）
摘 要 本文对爱立信J20 GGSN网元的组网安全进行详细分析，提出了相应风险防范策略措施，为核心网组网安全优化工作提供指导和参照。
关键词 GPRS  爱立信  J20  GGSN  安全
    1  背景
    2007年网维中心研究课题《GPRS网络&3G-PS域安全防护体系研究》，以网络系统整体为对象，对安全防护进行了系统化的研究。研究中提及：广东公司在2.5G GPRS网络运营过程中，积累了相当一部分安全方面经验，认为当前GPRS网络存在以下5个主要威胁源T1～T5。针对威胁源类别和特点，提出了核心网安全域划分的安全保护措施，3G核心网PS核心网、GPRS核心网安全域划分为Gn域、Gp域、Gi域、Gom域和计费接口域。
（1）Gom接口域、计费接口域，信任程度最高，涉及到网管功能或者业务收入，对安全性要求最严格；
（2）Gn、Gp接口域，信任程度次高，涉及GTP信令／业务的正常传送以及GTP封装信息的保密，对安全性要求严格；
（3） Gi接口域，来自手机和Internet的业务，对运营商而言应该属于不信任范围。

图1 现网核心网威胁源

    不同等级的安全域之间应该进行安全策略隔离防护。
    物理上交换机是核心网内部网络结构中不同安全域的汇聚点，因此一般情况下实施安全域划分和隔离是以交换机为中心进行，例如实施交换机的二层逻辑VLAN整治，二层逻辑VLAN之间自然隔离; 避免三层VLAN形成的路由互通或者需要额外的ACL仍配置。
   
    2  问题
    实施安全域划分的核心网络结构整治，隐含的前提是核心网设备只连接到单个安全域中，或者连接多个安全域的设备内部也是隔离。实际中，与具体产品相关、并不一定满足。
    J20是以Juniper路由器为平台、加上专用GGSN-C/U硬件模块和软件实现GGSN功能，具备独立的Gi、Gn 和Gom 接口。其内部结构如图2所示。

图2 J20内部体系结构示意

    其中的PFE执行路由查找、包过滤和包转发功能。J20 的路由功能特点是支持多路由实例（routing instance），每个路由实例相当于独立的虚拟路由器并且互相隔离；最基本的路由实例是主路由实例——inet0 ； 默认情况下J20上的地址和路由协议是归属在主路由实例inet.0上。
    也将一般的路由实例称呼为VRF（VPN Routin and Forwarding table），一个VRF一般包括路由表前转表以及路由协议和策略等。由于路由实例的概念理解不方便，我们进行了简化如图3所示，主路由实例inet.0上实现J20上的基本路由功能，Gn/Gi/Gom接口板、GGSN-C/U业务板以及内部loopback都连接在主路由实例inet.0上。

                                      图3 J20 GGSN主路由实例inet.0示意
   由此看来，J20内部Gn/Gi/Gom网段之间并不是自然隔离的，尤其当手机数据包被GGSN-U解（GTP封装后，如果也在主路由实例inet.0上进行路由，实际变成Gn/Gi/Gom/ 手机网段都路由互通，外部的安全域隔离将会是形同虚设。实际网络中严格限制这种情况的发生。

   3  J20内部路由分析和风险防范
   针对不同的GGSN APN业务需要，将J20提供两种方式的APN业务: 普通IP路由方式和VPN路由方式。
3.1 普通IP路由方式
   普通IP路由方式下，手机数据包在被GGSN-U解GTP封装后，由主路由实例inet.0进行路由，手机数据包在J20内部处理和路由过程如图4所示：手机数据包在GTP-U处理板进行GTP被解封装后，随即在J20内部的主路由实例中以其源\目的地址进行路由转发，默认路由指向Gi接口板。

图4 J20普通IP路由方式路由示意

3.1.1 路由互通分析
   J20内部主路由实例实质上相当于Internet的接入路由器，可被J20内部主路由实例路由的网络有Internet、手机网络、J20设备内部网络。J20设备内部网络包括Gn接口板地址、Gi接口板地址、loopback地址、网管地址和网段、业务处理板地址等。上述这些地址和网段可以路由互通。
   一般情况下，手机数据包依据其IP地址，被路由转发到Gi接口板发送到Internet。

3.1.2 安全分析
（1）根据网络安全要求，Gn、Gi、Gom的地址和网段分别属于不同的安全域，且需要互相隔离。但是这些不同的安全域在J20内部的主路由实例上被路由互通了，因此必须在J20内部的主路由实例接口上进行ACL控制，使得外部的安全域隔离有效；
（2）而且，由于手机数据包以封装形式进入J20内部，Gn接口的ACL无法限制手机数据包，并且由于手机数据包还未出Gi接口，Gi接口的ACL也无法限制手机数据包访问J20内部网络，因此造成手机数据包GTP解封装后可以访问J20内部网络，例如Gn接口板地址、Gi接口板地址、loopback地址、网管地址等，因此必须在J20内部的主路由实例的前转表上进行ACL控制，限制手机地址访问J20设备内部网段；
（3）虽然手机用户属于封闭用户群，但是数据通信不同于电话通信，有些情况下需要限制手机之间的IP互通。J20中，限制同APN的手机之间IP互通，也可以通过前转表ACL配置实现；
（4）采用普通IP路由方式的不同APN用户之间，也可以通过J20内部主路由实例获得路由互通。因此通常情况下，也需要J20内部的主路由实例的前转表上进行ACL控制，限制不同APN之间的手机互访。前转表ACL控制是基于路由实例来实现的。手机数据包在进入Gn接口被GGSN-U解GTP封装后，需要经过路由实例的路由转发才进入Gi接口；路由具体转发根据前转表信息决定，J20在数据包依据前转表进行前转之前可以进行ACL 过滤—称为前转表过滤策略（FTF），实现策略转发功能：
  针对上述安全分析，需要在以下各点布置ACL以及具体策略。
（1）Gom 接口过滤策略：
* 只允许网管网地址段的入访问；
* 限制手机用户地址对网管网的出访问、 限制内部非同安全域地址的出访问。
（2）Gn接口过滤策略：
* 只允许Gn网地址段的入访问；
* 限制手机用户地址对Gn网段的出访问、限制内部非同安全域地址的出访问。
（3）Loopback过滤策略：限制手机地址的入访问、限制非网管地址的入访问。
（4）Gi接口过滤策略：
* 限制外部Gi域地址对内部地址的非业务入访问、限制全部外部Gi域地址对内部Gom地址的入访问；
* 限制手机地址对设备外部、核心网内部Gi域地址的出访问。
（5）多个普通IP路由方式的不同APN之间过滤策
略：视需要进行限制。
（6）前转表FTF过滤策略（对主路由实例FTF在forwarding-options下配置） ：
* 限制手机地址对J20内部地址的入访问；
* 视需要，限制同APN 的手机地址之间入访问；
* 视需要，限制不同APN 的手机地址段之间入访问。
   对前5项，配置时先先在firewall下配置Filter， 再在相关接口上启用对应Filter;对6项，先在firewall下进行配置Filter， 再在forwarding-options上启用对应Filter。
   由于普通IP路由方式配置复杂，而且容易产生漏洞，具有较大风险，因此不建议配置普通IP路由方式的APN。但还是需要依据上述原则，针对主路由实例inet.0上进行安全策略配置。

3.2 VPN路由方式
  VPN路由方式下，不同于普通IP路由方式，手机数据包在GTP-U处理板进行GTP解封装后，随后通过专用逻辑资源VRF进行处理，VRF与主路由实例独立。手机数据包在J20内部处理和路由过程如图5所示。

图5 J20 VPN路由方式路由示意

3.2.1 路由互通分析
   J20内部的主路由实例是基础路由实例，J20在此基础上，为支持VPN方式的APN，创建了逻辑隔离的专用路由器资源VRF。对采用VPN方式的APN，J20内部的路由转发与手机数据包IP地址无关，通过预先配置的VPN通道进行数据转发。
   例如：对CMNET APN，手机数据包在J20上CMNET VRF对应的VPN接口结束VPN通道转发，随后以手机数据包IP地址进行转发。
对CMWAP APN，手机数据包在WAPGW的GRE路由器才结束VPN通道转发，随后才以手机数据包IP地址进行转发。
   采用VPN方式的不同APN，由于所属的VPN通道也互相隔离，因此不同APN之间也是“天然”独立的。GGSN上的APN，包括CMNET、CMWAP以及行业应用APN，建议采用VPN路由方式。

3.2.2 安全分析
（1）由于VPN通道独立，因此J20内部只要满足普通IP路由方式下的基础安全要求即可，没有特别要求。采用VPN路由方式的不同APN用户之间互相独立一般不存在互通路由；
（2）同样，有些情况下需要限制手机之间的IP互通。J20中，限制同APN的手机之间的IP互通，可以通过前转表FTF 配置实现；
（3）但在VPN通道末端路由器如果接入多个APN的VPN通道，会产生不同APN用户之间互通路由，需要在末端路由器上进行ACL控制，限制不同APN之间的手机互访。例如一般同一个WAPGW路由器接入多个GGSN的CMWAP APN ，因此不同GGSN的CMWAP APN用户之间存在互通路由，需要在WAPGW路由器进行ACL 的互访限制。针对上述安全分析，需要在以下各点布置ACL以及具体策略: 在普通IP路由方式的基础策略上，继续配置。
（1）Gi接口过滤策略：
* 只允许企业内部地址对手机地址的入访问；
* 只允许手机地址对企业内部地址的出访问。
（2）前转表FTF过滤策略（对VRF路由实例FTF在相应VRF的routing-instances下配置） ：
*  限制手机地址对该APN下业务地址的入访问，
   例如：对RADIUS客户端/服务器地址的访问（带内RADIUS方式） ；
＊ 视需要，限制同APN手机地址之间的入访问。
（3）多个VPN端点的过滤策略：视需要，限制来自不同VPN 通道的地址之间的入访问，例如一个WAPGW路由器接入多个GGSN的CMWAP APN，不同GGSN的CMWAP APN用户之间需要在WAPGW路由器进行ACL的互访限制。

   4  总结
   经过以上分析，针对J20内部体系特点，采取的风险防范措施总结如下。
（1）由于普通IP路由方式配置复杂，而且容易产生漏洞，具有较大风险，因此不建议配置普通IP路由方式的APN。J20 GGSN上的APN，包括CMNET、CMWAP以及行业应用APN，建议采用VPN路由方式;
（2）主路由实例inet.0上进行最基础的6项安全策略配置， 达到安全域划分的目的和效果， 避免漏洞产生;
（3）如果配置新的普通IP路由方式APN，必须进行主路由实例inet.0的6项安全策略配置更新；
（4）如果配置新的VPN 路由方式APN，必须进行VRF 路由实例的3 项安全策略配置；
（5）Gi接口如采用封装方式（如GRE隧道）的逻辑接口，那么Gi接口上针对手机地址的接口过滤策略一般无法生效，只能依靠前转表FTF策略方式。