Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Monitoreo del tráfico GTP

El protocolo de tunelización GPRS (GTP) establece un túnel GTP para un equipo de usuario, entre un nodo de soporte de GPRS de puerta de enlace de servicio (SGSN) y un nodo de soporte de GPRS de puerta de enlace (GGSN), y una entidad SGSN y de gestión de movilidad (MME). El SGSN recibe paquetes del equipo de usuario y los encapsula dentro de un encabezado GTP antes de reenviarlos al GGSN a través del túnel GTP. Cuando la GGSN recibe los paquetes, decapsula los paquetes y los reenvía al host externo.

Descripción de la inspección GTP-U

La inspección del plano de usuario del protocolo de tunelización GPRS (GTP-U) realiza comprobaciones de seguridad en paquetes GTP-U. Cuando se habilita la inspección GTP-U, se bloquean los paquetes GTP-U no válidos y el nodo de soporte de GPRS (GSN) está protegido de un ataque GTP-U.

Una vez que se habilita la inspección GTP-U y según la configuración del dispositivo, la inspección de GTP-U puede incluir comprobaciones en paquetes GTP-in-GTP, autorización del usuario final, válida la secuencia de paquetes y la válido del túnel. Si falla alguna comprobación configurada, se descarta el paquete GTP-U.

Si la inspección GTP-U está habilitada mientras la distribución GTP-U está deshabilitada, se mostrará el siguiente mensaje: GTP-U inspection is enabled, please enable GTP-U distribution to ensure that GTP-U packets are inspected by the proper inspectors, and avoid dropping GTP-U packets wrongly. Execute CLI “set security forwarding-process application-services enable-gtpu-distribution" to enable GTP-U distribution. se recomienda encarecidamente que cuando habilite la inspección GTP-U, también se debería habilitar la distribución GTP-U.

A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.3R1, en dispositivos SRX5400, SRX5600 y SRX5800, si el perfil GTP está configurado, el módulo GTP seleccionará la SPU de ancla para distribuir el tráfico UDP que viene en los puertos 2123 y 2152. Si no configura el perfil de GTP, el módulo GTP no funcionará y no seleccionará la SPU de ancla para el tráfico UDP en los puertos 2123 y 2152.

En la siguiente lista se describen los distintos tipos de inspecciones GTP-U que se realizan en el tráfico:

  • GTP-U tunnel check: el módulo GTP-U comprueba que el paquete GTP-U coincide con un túnel GTP. Si ningún túnel coincide con el paquete GTP-U, se descarta el paquete GTP-U.

  • GTP-in-GTP check: en la SPU, el módulo GTP comprueba para asegurarse de que la carga GTP-U no es un paquete GTP. Si la carga es un paquete GTP, entonces se descarta el paquete GTP.

  • End-user address check: si se encuentra el túnel de usuario para el paquete GTP-U, el módulo GTP-U comprueba la dirección del usuario final. Si la dirección de carga GTP-U no coincide con la dirección del usuario final, se descarta el paquete GTP-U.

    A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la dirección del usuario final en ciertos casos no se lleva en los mensajes de creación de GTP. Por ejemplo, si se usa DHCPv4 para la asignación de direcciones IPv4, el campo dirección IPv4 del mensaje de creación de GTP se establecerá en 0.0.0.0. El equipo de usuario y GGSN/PGW obtienen la dirección del servidor DHCP. En este caso, el módulo GTP no puede obtener la dirección para la comprobación de dirección del usuario final. Posteriormente, si esta configuración está habilitada, se descartará el mensaje de creación de GTP.

  • Sequence number check: el módulo GTP-U compara el número de secuencia de paquetes GTP-U con el número de secuencia almacenada en el túnel GTP-U. Si no está en el rango especificado, se descarta el paquete GTP-U. Si está en el rango, el túnel GTP-U actualiza el número de secuencia y permite que pase el paquete GTP-U.

Al final de la inspección GTP-U, el túnel GTP-U actualiza los temporizadores y los contadores.

Descripción de las mejoras de los túneles GTP

Un túnel del protocolo de tunelización GPRS (GTP) es un canal entre dos nodos de soporte de GPRS mediante los cuales dos hosts intercambian datos. El túnel GTP se compone del plano de control de GTP (GTP-C) y del plano de usuario de GTP (GTP-U). La GTP-C se utiliza para señalizar entre el nodo de soporte de GPRS de puerta de enlace (GGSN) y el nodo de soporte de GPRS de servicio (SGSN), mientras que el túnel GTP-U se utiliza para encapsular y enrutar el tráfico del plano de usuario a través de varias interfaces de señalización.

Se mejora el manejo de GTP para actualizar el túnel GTP y la duración de la sesión para evitar problemas de tiempo de espera de túnel GTP. El valor de tiempo de espera del túnel GTP se configura en el perfil GTP y se enlaza al túnel del plano de usuario GTP (GTP-U). El valor del temporizador se actualiza cuando el tráfico de datos llega al túnel GTP-U y el valor del temporizador disminuye cuando el túnel GTP-U está en estado de inactividad. El túnel GTP-U se elimina cuando el valor del temporizador disminuye a cero y el túnel GTP-C correspondiente también se elimina cuando se eliminan todos los túneles GTP-U enlazados a los túneles GTP-C.

Cuando la inspección de GTP-U está deshabilitada, el tráfico de datos no puede actualizar el túnel GTP-U después de que expire el valor del temporizador y el tiempo de espera de todos los túneles GTP, aun si el tráfico de datos fluye a través de los túneles. En este caso, dado que los túneles GTP deben actualizarse, el dispositivo descarta la solicitud de actualización, ya que el túnel GTP-U no está presente.

Para evitar problemas de tiempo de espera del túnel GTP, incluso si la validación del usuario de GTP está deshabilitada, el tráfico GTP-U puede actualizar el túnel GTP. El tráfico GTP-U solo puede actualizar los túneles GTPv1 y GTPv2, y no los túneles GTPv0. Debe configurar el comando para set security forwarding-process application-services enable-gtpu-distribution evitar el envejecimiento o el vencimiento de los túneles GTP.

El túnel GTP-U tiene una marca de conexión de sesión que se comprueba al analizar los túneles GTP-U. Si la marca de conexión de sesión está presente en el túnel, el valor del temporizador no disminuye y evita que el túnel se elimine mientras el túnel está en servicio.

En los dispositivos SRX5400, SRX5600 y SRX5800, la cantidad de túneles GTP compatibles por SPU se incrementa de 200 000 túneles a 600 000 túneles por SPU, para un total de 2400 000 túneles por tarjeta SPC2.

Comprender la validación de la dirección IP en los mensajes GTP

Las direcciones IP del mensaje del protocolo de tunelización GPRS (GTP) en la interfaz Gp o S8 se validan con la lista de grupos IP configurados para evitar ataques. La lista de grupos IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Debe configurar las direcciones IP que pertenecen al equipo de red en la lista de grupos IP.

S8: esta interfaz conecta una SGW en una PLMN visitada (VPLM) y una PGW en una PLMN hogar (HPLMN). S8 es la variante inter PLMN de S5. La interfaz S8 es equivalente a la interfaz Gp en una red móvil 3G.

El firewall GTP determina si las direcciones IP de los mensajes de GTP y coinciden con la lista de grupos IP configurados, y se lleva a cabo la siguiente acción:

  • Si las direcciones IP se encuentran en la lista de grupos IP, los mensajes GTP se consideran válidos y se reenvía al motor de paquete y reenvío.

  • Si las direcciones IP no se encuentran en la lista de grupos IP, se descartan los mensajes GTP.

Configuración del grupo IP en el mensaje GTP

El grupo IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Los nombres del grupo IP se hacen referencia en los perfiles de GTP. El firewall GTP aplica políticas configuradas en direcciones IP entrantes y salientes en el mensaje del protocolo de tunelización GPRS (GTP) mencionado en las tablas 2 y 3.

Por ejemplo, el tráfico entre el cliente y el servidor en la Figura 1, hay dos políticas configuradas.

  • GTP Policy Out es para el tráfico desde el cliente al servidor.

  • GTP Policy In es para el tráfico del servidor al cliente.

Gráfico 1: Perfil de GTP para mensajes GTP entrantes y salientes GTP Profile for incoming and outgoing GTP messages

Todas las direcciones IP del cliente y del servidor se deben configurar en la lista de grupos IP y enlazarse a las políticas GTP Policy Out y GTP Policy In .

Se introducen dos tipos diferentes de grupos para distintas direcciones IP. Una es para el grupo de direcciones IP DE NE y la otra es para el grupo de direcciones IP del equipo de usuario (UE) enumerado como en la tabla 1.

Tabla 1: Soporte para direcciones IP del equipo de red y del equipo de usuario en varias redes

Tipos de red

Dirección IP del equipo de red

Dirección IP del equipo de usuario

2G (GPRS) y 3G (UMTS)

RNC, SGSN y GGSN

Dirección de usuario final

4G (LTE)

eNodeB, MME, SGW y PGW

Asignación de direcciones PDN (PAA)

Cuando los mensajes GTP están en la etapa de controlador de mensajes, el grupo de direcciones IP del equipo de red y el grupo de direcciones IP del equipo de usuario se validan respectivamente según los elementos de información analizada y la información del encabezado de la dirección IP.

  • Grupo de direcciones IP del equipo de red: el encabezado de la dirección IP y la dirección IP del elemento de información del mensaje GTP se comparan con la lista de grupos de direcciones IP del equipo de red configurado (si existe). Si la dirección IP de NE se encuentra en el grupo de direcciones IP de NE configuradas, pase el paquete de datos al grupo de direcciones IP DE UE y, de lo contrario, deje caer el paquete.

  • Grupo de direcciones IP del equipo de usuario: todas las direcciones IP del usuario final se validan en la lista de grupos de direcciones IP del equipo de usuario configurado. Si la dirección IP del equipo de usuario se encuentra en el grupo de direcciones IP del equipo de usuario configurado, pase el paquete de datos y deje caer el paquete.

Mensajes de GTP compatibles

Hay muchos tipos de mensajes que pasan a través de interfaces Gp o S8, algunos de los mensajes GTP compatibles son los siguientes.

Tabla 2: Mensajes GTPv0

Tipo de mensaje

Mensaje GTP

Referencia en TS 29.060

1

Solicitud de echo

7.4.1

2

Respuesta de Echo

7.4.2

16

Crear solicitud de contexto PDP

7.5.1

17

Cree una respuesta de contexto del PDP

7.5.2

18

Actualizar la solicitud de contexto del PDP

7.5.3

19

Actualizar la respuesta al contexto del PDP

7.5.4

20

Eliminar solicitud de contexto del PDP

7.5.5

21

Eliminar la respuesta al contexto del PDP

7.5.6

22

Crear solicitud de contexto del PDP de AA

7.5.7

23

Cree una respuesta de contexto del PDP de AA

7.5.8

24

Eliminar solicitud de contexto del PDP de AA

7.5.9

25

Eliminar respuesta de contexto del PDP de AA

7.5.10

Tabla 3: Mensajes GTPv1

Tipo de mensaje

Mensaje GTP

Referencia en TS 29.060

1

Solicitud de echo

7.2.1

2

Respuesta de Echo

7.2.2

16

Crear solicitud de contexto PDP

7.3.1

17

Cree una respuesta de contexto del PDP

7.3.2

18

Actualizar la solicitud de contexto del PDP

7.3.3

19

Actualizar la respuesta al contexto del PDP

7.3.4

20

Eliminar solicitud de contexto del PDP

7.3.5

21

Eliminar la respuesta al contexto del PDP

7.3.6

Tabla 4: Mensajes GTPv2

Tipo de mensaje

Mensaje GTP

Referencia 3GPP TS 29.274

1

Solicitud de echo

23.007

2

Respuesta de Echo

23.007

32

Crear solicitud de sesión

29.274

33

Crear respuesta de sesión

29.274

36

Eliminar solicitud de sesión

29.274

37

Eliminar respuesta de sesión

29.274

34

Modificar solicitud de portador

29.274

35

Modificar la respuesta del portador

29.274

95

Crear solicitud de portador

29.274

96

Crear respuesta de portador

29.274

97

Actualización de la solicitud del portador

29.274

98

Actualizar la respuesta del portador

29.274

99

Eliminar solicitud de portador

29.274

100

Eliminar respuesta del portador

29.274

IEs involucradas en la válida de IP

A continuación, se encuentran los mensajes de los elementos de información (IE) que pertenecen a la interfaz 3GPP Gp o S8.

Los IE se configuran en la interfaz Gp o S8, si aparece un IE inesperado en el mensaje, es posible que se ignore y no se controle incluso si se trata de una dirección IP NE.

Tabla 5: IEs en mensajes GTPv0

Mensaje GTP

Tipo de dirección

Tipo IE

Crear solicitud de contexto PDPDise a una solicitud de contexto PDP AA

Dirección de usuario final DirecciónSGSN para señalización DirecciónSGSN para el tráfico de usuarios

Dirección de usuario final AddressGSN AddressGSN AddressGSN

Cree una respuesta de contexto PDPSe cree una respuesta contextual PDP AA

Dirección de usuario final DIRECCIÓNGGSN para señalizar direcciónGGSN para el tráfico de usuarios

Dirección de usuario final AddressGSN AddressGSN AddressGSN

Actualizar la solicitud de contexto del PDP

Dirección SGSN para señalización DirecciónSGSN para el tráfico de usuarios

Dirección GSN AddressGSN

Actualizar la respuesta al contexto del PDP

Dirección GGSN para señalizar direcciónGGSN para el tráfico de usuarios

Dirección GSN AddressGSN

Tabla 6: Mensajes GTPv1

Mensaje GTP

Tipo de dirección

Tipo IE

Crear solicitud de contexto PDP

Dirección de usuario final DirecciónSGSN para señalización DirecciónSGSN para el tráfico de usuarios

Dirección de usuario final AddressGSN AddressGSN AddressGSN

Cree una respuesta de contexto del PDP

Dirección de usuario final DIRECCIÓNGGSN para señalizar DirecciónGGSN para el tráfico de usuario Dirección GGSNalterante para dirección GGSN del plano de controlAlternative GGSN para el tráfico de usuarios

Dirección de usuario final AddressGSN AddressGSN DirecciónGSN DirecciónGSN

Actualización de la solicitud de contexto del PDP (iniciado por SGSN)

Dirección SGSN para señalización DirecciónSGSN para el tráfico de usuario Dirección SGSNalterante para plano de control Dirección SGSNalterante para el tráfico de usuarios

Dirección GSN AddressGSN DirecciónGSN DirecciónGSN

Actualización de la solicitud de contexto del PDP (iniciado por GGSN)

Dirección de usuario final

Dirección de usuario final

Actualizar la respuesta al contexto del PDP (por GGSN)

Dirección GGSN para indicar direcciónGGSN para el tráfico de usuario Dirección GGSNalterante para dirección GGSN del plano de controlAlternative GGSN para el tráfico de usuarios

Dirección GSN AddressGSN DirecciónGSN DirecciónGSN

Actualización de la respuesta al contexto del PDP (por SGSN)

Dirección SGSN para el tráfico de usuarios

Dirección GSN

Tabla 7: mensajes GTPv2

Mensaje GTP/Contexto de portador

Tipo de dirección

Tipo IE

Crear solicitud de sesión

Dirección de remitente para asignación de direcciones del plano de controlPDNH(e)BSN Dirección IP local BME/Identificador S4-SGSN

Dirección ADDRESSIP F-TEIDPAAIP

Crear solicitud de sesión (contexto de portador que se va a crear)

S5/S8-U SGW F-TEID

F-TEID

Crear respuesta de sesión

F-TEID PGW S5/S8 para interfaz de plano de control Asignación de direccionesPDN

F-TEIDPAA

Crear respuesta de sesión (Contexto de portador que se va a crear)

S5/S8-U PGW F-TEID

F-TEID

Crear solicitud de portador (contexto de portador)

S5/8-U PGW F-TEID

F-TEID

Crear respuesta de portador

Identificador MME/S4-SGSN

Dirección IP

Crear respuesta de portador (contexto de portador)

S5/8-U SGW F-TEIDS5/8-U PGW F-TEID

F-TEIDF-TEID

Modificar solicitud de portador

Dirección de remitente para el identificador IP local ADDRESSMME/S4-SGSN del plano de control(e)BSN

Dirección ADDRESSIP F-TEIDIP

Modificar solicitud de portador (contexto del portador)

S5/8-U SGW F-TEID

F-TEID

Eliminar solicitud de sesión

Dirección de remitente para el plano de control

F-TEID

Eliminar respuesta del portador

Identificador MME/S4-SGSN

Dirección IP

Actualizar la respuesta del portador

Identificador MME/S4-SGSN

Dirección IP

Ejemplo: configure la válidoidad de la dirección IP en los mensajes GTP

En este ejemplo, se muestra cómo configurar la válidoidad de la dirección IP en el mensaje del protocolo de tunelización GPRS (GTP).

Requisitos

Dispositivo serie SRX con Junos OS versión 19.3R1 o posterior. Este ejemplo de configuración se prueba en Junos OS versión 19.3R1.

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Necesita cualquiera de los SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 y vSRX instancia.

  • Equipo de usuario que necesita conectarse a Internet. También necesitará una red de núcleo móvil 3G o 4G y una red hogar y visitada.

Visión general

En este ejemplo, se configura la válidoidad de la dirección IP en el mensaje del protocolo de tunelización GPRS (GTP).

Puede evitar una variedad de ataques validando las direcciones IP de los paquetes entrantes y salientes en mensajes GTP contra las direcciones IP configuradas en la lista de grupos IP. El grupo IP es una lista de direcciones IP que pertenecen a todo tipo de equipos de red. Los nombres del grupo IP se hacen referencia en los perfiles de GTP. El firewall GTP aplica políticas configuradas en direcciones IP entrantes y salientes en mensajes del protocolo de tunelización GPRS (GTP).

Configurar dirección IP en mensajes GTP

CLI configuración rápida

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego [edit] , commit ingrese desde el modo de configuración.

Procedimiento

CLI configuración rápida

Para configurar la dirección IP en los mensajes de GTP:

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.

Procedimiento paso a paso
  1. Configure un perfil GTP para procesar el tráfico que va al firewall de GTP.

  2. Configure la zona de seguridad para admitir tráfico entrante y saliente para todos los servicios del sistema para todas las interfaces conectadas.

  3. Especifique la dirección IP en la libreta de direcciones global, estas direcciones IP se utilizan para validar direcciones IP en mensajes GTP entrantes o salientes.

  4. Configure el equipo de red definido y el grupo de direcciones IP del equipo de usuario a la lista de grupos IP, esta lista de grupos IP se usa en los mensajes GTP.

  5. Aplique el perfil GTP a los equipos de red y grupos de equipos de usuario.

  6. Habilite el servicio GTP en las políticas de seguridad.

Resultados

Desde el modo de configuración, escriba el comando para confirmar su show security gprs configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Desde el modo de configuración, escriba el comando para confirmar su show security zones configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Desde el modo de configuración, escriba el comando para confirmar su show security address-book configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Desde el modo de configuración, escriba el comando para confirmar su show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese en commit el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el grupo IP

Propósito

Compruebe que el grupo IP está configurado.

Acción

Utilice el show security gprs gtp ip-group comando para obtener los detalles del grupo IP configurado.

Verificar el perfil de GTP

Propósito

Compruebe que el perfil GTP está configurado.

Acción

Utilice el show security gprs gtp configuration 1 comando para obtener los detalles del grupo IP configurado.

Tabla del historial de versiones
Lanzamiento
Descripción
15.1X49-D40
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la dirección del usuario final en ciertos casos no se lleva en los mensajes de creación de GTP.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.3R1, en dispositivos SRX5400, SRX5600 y SRX5800, si el perfil GTP está configurado, el módulo GTP seleccionará la SPU de ancla para distribuir el tráfico UDP que viene en los puertos 2123 y 2152. Si no configura el perfil de GTP, el módulo GTP no funcionará y no seleccionará la SPU de ancla para el tráfico UDP en los puertos 2123 y 2152.