2016年,至少有50%的LTE網路將成為犯罪組織、激進駭客、
隨機攻擊者與騙徒通訊攔截或破壞行動的主要目標,
相較之下目前的比重尚不及5%。
而LTE/VoLTE網路、軟體定義網路與物聯網崛起,
更挑戰通訊服務商資安防護能力。
通訊服務供應商已開始升級為4G/LTE行動架構,為無線用戶提供更快速、覆蓋範圍更廣且更穩定的高效能寬頻服務。此外,通訊服務供應商也開始探索軟體定義網路及網路功能虛擬化。
LTE網路能提供新的功能與服務;然而,隨著技術變遷,業界發展出完全以IP為基礎的全新介面與協定。企業技術長必須認知,在這些新的協定與介面之下,4G/LTE網路的安全不比2G或3G網路,因而必須小心處理資安問題。
在LTE網路方面,像S1介面這種位於基地台端與演進封包核心之間的新型協定,2G與3G時代並不存在。因此,必須具備額外資安功能來保護基地台端,因為它是終端用戶開始進行通訊時的第一個接觸點,最容易受到惡意攻擊。如何保護LTE網路裡的無線電接入網,是通訊服務供應商必須正視的領域;如果在基地台端有所妥協,就可能出現斷電、服務品質打折、訂戶資料遺失或遭竊、惡意阻斷服務攻擊或癱瘓終端用戶功能的惡意程式。
軟體定義網路與網路功能虛擬化的目的在於提升網路彈性,同時提供更機動的隨選服務與頻寬。可降低整體網路運作成本,也是推廣軟體定義網路的另一項重點。這些正在進行及未來可望出現的網路與技術變革,代表資安工作必須額外進行網路規畫。
這時就需要像第三代合作夥伴計畫所定義的安全閘道、電信級次世代防火牆、會談邊界控制器和路由代理節點等各種資安解決方案。這些節點將提供各式各樣資安功能,例如加密、阻斷服務、入侵預防與偵測系統(IPS/IDS),還有負載平衡與截流功能。在可能發生負荷超載與資安事件時提出警告也有幫助。
全面採用IP架構雖然帶來資安方面的挑戰,4G的另一個要素就是驗證與加密功能更為提升。以演進通用陸地無線接取網路(E-UTRAN)為例,透過無線電介面傳送的資料全經過加密。相反地,部署小型基地台等各種趨勢日趨受歡迎。小型基地台提高了網路存取能力,卻很容易遭到竄改。駭客可利用這些存取點並找出其中漏洞。
此外,採用VoLTE與LTE-A網路的無線通訊服務供應商,必須具備適當元件與組態以確保服務品質、避免合法的網路故障並抵禦惡意攻擊。
同時崛起的其他幾項趨勢也提高了網路的風險,像是應用驅動式通訊、小型基地台與家庭基站,還有物聯網。物聯網涵蓋連網家庭、汽車與自動化。這些新型連網元素形成一個規模更大的進出介面領域,如果未加適當維護或控制,便可能會對未經管理的裝置提供存取點。當企業逐漸邁向未來數位業務之際,這諸多因素卻提供駭客、竊取服務者及其他惡意攻擊者更多存取網路的途徑。
圖一 : 物聯網涵蓋連網家庭、汽車與自動化,這些新型連網元素形成一個規模更大的進出介面領域。 |
|
應用驅動式通訊與LTE漫遊造成網路風險增加
LTE網路能為終端用戶提供更快速、更穩定的服務及各種多媒體功能,每秒連結次數也因此高出許多。能持續更新的應用程式也會為LTE網路帶來負面影響。舉例來說,會同時更新且有即時低延遲連網需求的社群網路與遊戲網站,就會造成網路塞車進而演變為故障,因為同時有太多階段作業、網路封包與驗證方面的需求。
圖二 : LTE漫遊的網際網路封包交換,也會為通訊服務供應商帶來極高風險。 |
|
因此,如何在尖峰時間採用正確的網路規模與優先處理順序相當重要,如此才能確保網路能應付流量尖峰時段,同時解決未來網路用量成長的問題。應測試網路是否能承受持續的惡意阻斷服務攻擊,以避免相關問題造成故障。
LTE漫遊的網際網路封包交換,也會為通訊服務供應商帶來極高風險。舉例來說,2014年5月荷蘭皇家電信(KPN)在GPRS服務的漫遊交換發現有主機產生漏洞,可能遭受來自網際網路的攻擊。雖然並非「真正」的攻擊,只是演習以測試存取GRX有多容易及可能取得何種資料。結論是,倘若軟體過時再加上伺服器連結網際網路,便可能遭到有心人士大舉操控。
流量的種類也從單純的語音變為多媒體內容:包括視訊串流、會議電話、簡訊、線上動態遊戲和行動商務等等。多媒體為網路帶來品質與頻寬方面的壓力。此外,透過多重通訊服務商網路存取網路,也會為政策的實行與計費帶來風險;可能產生的衝擊因而加重,因為隨時都可能影響不只一家通訊服務商的網路。
信任和「無所不開放」造成資安風險
由於信任和「無所不開放」(open everything)的觀念,SDN/NFV、LTE/VoLTE與網路分享活動會造成資安風險。
在LTE架構當中,行動核心或演進封包核心須先建構在端對端的IP環境下。主要元件包括行動管理實體(MME)、服務閘道器(SGW)、封包數據網路閘道器(PGW)以及歸屬用戶伺服器(HSS)。
基本上,行動管理實體就是主要的控制節點或開關。封包數據網路閘道器可做為使用者設備的流量進出點,提供使用者設備與外部封包數據網路之間的連網功能。服務閘道器是排定路線與轉送使用者數據封包的節點。歸屬用戶伺服器則是用來存放用戶服務與資訊的節點。這些節點都可能出現演進封包核心漏洞;不過,因為歸屬用戶伺服器所儲存的資訊,本質上最為敏感且最私密,因而最有可能被駭或遭到攻擊。
LTE網路的資安解決方案:
*連結網路的防火牆(Internet-Facing Firewall)能提供基本資安功能,負責核可或阻擋流量。這類防火牆位於網際網路與封包數據網路閘道器之間。
*會談邊界控制器(SBC)能保護語音流量並提供網路地址轉譯(NAT)、阻斷服務攻擊防護、入侵偵測/預防以及語音加密等功能。這些裝置位於網路邊緣的IP多媒體子系統(IMS)與封包數據網路閘道器。
*當通訊服務供應商加入Diameter協定,就必須具備路由代理節點。Diameter是一種與LTE網路相關的驗證、授權與會計協定。路由代理節點位於演進封包核心架構裡面,同時也跟封包數據網路閘道器、政策與計費規則功能(PCRF)與歸屬用戶伺服器有所互動。
軟體定義網路與網路功能虛擬化
擬化的IP多媒體子系統與會談邊界控制器,針對網路功能虛擬化進行測試,有幾家公司甚至已成功推出商品化服務。就跟企業逐漸改用軟體定義資料中心的趨勢一樣,採用軟體定義網路將加速通訊服務供應商在資安方面的需求。就短期角度而言,資訊安全服務必須整合並支援這樣的變化趨勢。長遠來看,類似的脫鉤與變遷現象也會發生在資安服務。必須特別小心維護軟體定義網路控制器,因為這不單單有益於全面管控,基於同樣理由它也是駭客夢寐以求的目標。
會談邊界控制器具備了某些資安功能,例如阻斷服務攻擊防護、入侵預防/偵測系統以及加密功能。有了以軟體為基礎的會談邊界控制器,便可將這些功能虛擬化,廠商的技術發展路徑也能更進一步邁向虛擬化。或許在次世代的電信級防火牆當中,網際網路金鑰交換(IKE)功能也可以虛擬化,藉此打造一個更具彈性的資安環境。然而,軟體定義網路的環境還是有資安風險。整體而言,軟體定義網路雖非全新願景,因為企業界已開始將資料中心朝向軟體定義網路發展,但它對通訊服務供應商來說仍屬新概念,有些資安方面的問題相當類似。
網路分享
網路分享這種觀念,目的是協助通訊服務供應商分享網路資源,藉由聯合採購來節省資本支出。它還能提供訂戶額外服務、減少碳足跡,同時節省能源有利地球永續。這個概念雖然尚未廣為採行,加拿大、亞太與西歐地區已有相關活動進行當中,東歐也對這種作法越來越有興趣。隨著這股趨勢持續延燒,分享網路也將面臨更多訊號傳送與資安方面的議題,而這些議題都必須小心維護才能提升網路環境的互信。(本文作者為資策會Gartner首席研究分析師)