1

Seguridad de próxima generación en las redes de operadoras móviles

Las amenazas de seguridad emergentes impactan la integridad y rendimiento de la red.
Las amenazas de seguridad emergentes impactan la integridad y rendimiento de la red.

Por Scott Emo, líder de seguridad de punto final de Check Point Software. 

Las amenazas de seguridad emergentes impactan la integridad y el rendimiento de la red; los requisitos de la seguridad de redes móviles han cambiado.

Las operadoras de redes móviles podían controlar y gestionar la exposición de sus redes a riesgos y amenazas basados en la Internet con cierta facilidad. Sin embargo el último lustro ha marcado un cambio significativo en los dispositivos móviles acogido por los consumidores y cambios sísmicos en el uso de datos móviles y en volúmenes de tráfico. Estos cambios tienen un gran impacto en la seguridad de la red móvil.

El tráfico móvil no sólo consume recursos en el núcleo de la red, también puede estar en gran volumen pareciendo un ataque de negación del servicio (DoS por sus siglas en inglés) en la red o en las consolas de administración de seguridad; esto debido a que es difícil distinguir tráfico ‘normal’ de la red generado maliciosamente. Y si una operadora móvil no puede distinguir volúmenes de tráfico ‘normales’ de un ataque malicioso enfrenta un verdadero reto de seguridad.

Un riesgo de seguridad de redes 4G viene de la instalación en aumento de estaciones base de acceso público y estaciones base de microceldas que utilizan comunicaciones de red basadas en IP. Estos dispositivos ubicados en áreas accesibles al público no pueden protegerse físicamente de la misma manera como una estación base convencional dándole a los atacantes un punto de ingreso para atentar contra la red aprovechando el conocimiento común de métodos de ataques basados en IP.

Para explotar vulnerabilidades el atacante se dirigirá al menos a una de las 3 interfases principales en la infraestructura de red móvil:

– La interfase de acceso a Internet donde la red móvil LTE conecta a millones de dispositivos a ésta y a otras redes no confiables – exponiendo a una gama completa de amenazas web incluyendo malware, ataques DoS, botnets, suplantación, escaneo de puertos y más, produciendo una tormenta de señales de radio y comprometiendo los diversos servicios de paquetes tales como DNS y el P-Gateway.

– La interfase de acceso de radio basada en IP la cual conecta miles de estaciones celulares base eNodeB al paquete núcleo poniendo en riesgo el MME y el gateway S.

– Interfase de roaming la cual conecta las redes móviles de los socios de roaming de las operadoras de redes móviles y les da acceso a paquetes núcleo internos de servicios y datos.

Usando una solución NAT de nivel de operadora (CGN) en la interfase de acceso a la Internet esconde la dirección IP de servicios y dispositivos núcleo desde la Internet pública ayudándoles a mantenerlos seguros contra terceros maliciosos utilizando técnicas DoS, APT y de malware. También protege contra tormentas de señales y el secuestro de la dirección IP del dispositivo o de la estación móvil lo que lleva a ataques de sobrefacturación.

El firewall NAT debe ser inteligente y capaz de identificar sesiones de datos ‘en suspenso’ que se inician en ataques de sobrefacturación. El firewall debe poder detectar cuando la parte iniciante sale de la sesión y termina esa sesión. También es primordial vincular registros de cuentas RADIUS a la IP del dispositivo a través del software blade información de la identidad permitiéndole a las operadoras proporcionar intercepción legal y seguridad de valor agregado basada en la identidad móvil.

De acuerdo con 3GPP el gateway de seguridad debe soportar la autenticación IPSec entre sitios de celdas LTE y el núcleo de paquetes para prevenir el acceso no autorizado desde eNodeBs a la red núcleo de paquetes. Como tal, la interoperabilidad con soluciones de terceros es esencial. Esto también permite la autenticación de certificados para el plano de control de eNodeB así como el plano de datos y proteger los datos del usuario.

Al conectar a una red LTE los dispositivos móviles deben poder hacer roaming a redes LTE y 3G. Durante el periodo de transición de LTE las operadoras continuarán manteniendo su red 3G y permitir que el tráfico de datos haga roaming desde el núcleo de paquetes LTE al núcleo de paquetes 3G y viceversa.

Las conexiones de datos móviles deben ser seguras y estar disponibles en cualquier momento y desde cualquier lugar. Las operadoras de redes móviles también deben proteger sus redes móviles contra amenazas de seguridad actuales y emergentes usando seguridad avanzada para todos los protocolos LTE incluyendo GTP, SCTP y Diámetro.

Para proteger toda la infraestructura de una operadora incluyendo acceso radial, acceso a la Internet y conectividad de roaming se implementan las soluciones de seguridad optimizadas para operadoras móviles de Check Point. La solución también proporciona una plataforma para servicios de seguridad de valor agregado para suscriptores tales como control paternal y una Internet limpia usando IPS, antivirus, antibots y filtrado URL para habilitar una gama amplia de protecciones de seguridad.

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!