Todo sobre Apple, Android, Juegos Apks y Sitios de Peliculas

Seguridad central 5G: límites de confianza, SBA, seguridad de división de red

A medida que la tecnolog√≠a 5G contin√ļa implement√°ndose en todo el mundo, la seguridad de estas redes se ha convertido en una m√°xima prioridad tanto para los proveedores de servicios como para los usuarios finales.

Con las mayores capacidades y características de 5G, como la compatibilidad con Internet de las cosas (IoT) e Internet industrial, existe una mayor necesidad de medidas de seguridad sólidas para proteger contra amenazas y garantizar la integridad de la red 5G.

En esta publicación de blog, profundizaremos en la implementación de la seguridad central 5G, explorando los diversos componentes de la red central 5G y los puntos clave que se han implementado para proteger contra amenazas.

Desde el cifrado y la autenticación hasta el control de acceso y la división de la red, cubriremos los elementos clave de la seguridad central de 5G y cómo trabajan juntos para mantener la red segura.

Esta publicación de blog proporcionará una descripción general completa de las medidas de seguridad básicas de 5G que se han implementado para proteger las redes 5G.

A continuación se detallan los principales puntos de medidas de seguridad que debe considerar para la seguridad central 5G en su red:

1. Límites de confianza

La arquitectura de la red 5G incluye varios límites de confianza para garantizar la seguridad y la integridad de los datos transmitidos dentro y entre diferentes partes de la red.

Estos límites de confianza se utilizan para dividir la red en diferentes zonas de confianza, donde cada zona de confianza pertenece a un operador de red móvil específico.

Los mensajes que se transmiten entre zonas de confianza deben seguir requisitos específicos para garantizar su seguridad e integridad, a menos que ya estén protegidos por NDS/IP como se especifica en los estándares TS 33.210.

Estos requisitos ayudan a evitar el acceso no autorizado o la manipulación de datos a medida que pasan por la red.

2. Seguridad de la arquitectura basada en servicios 5G

  • Confidencialidad: El descubrimiento y el registro basados ‚Äč‚Äčen el servicio NF respaldar√°n la confidencialidad, lo que significa que la informaci√≥n intercambiada entre las NF y la NRF (funci√≥n de repositorio de red) se mantendr√° privada y solo ser√° accesible para las partes previstas.
  • Integridad: El descubrimiento y registro basado en servicios de NF tambi√©n respaldar√° la integridad, lo que significa que la informaci√≥n intercambiada entre las NF y la NRF estar√° protegida contra cambios o modificaciones no autorizados.
  • Protecci√≥n de repetici√≥n: El descubrimiento y registro basado en servicios NF admitir√° la protecci√≥n de reproducci√≥n, lo que significa que la informaci√≥n intercambiada entre las NF y la NRF estar√° protegida contra ataques de reproducci√≥n, donde un atacante intercepta y retransmite la informaci√≥n para obtener acceso no autorizado.
  • Autorizaci√≥n: La NRF deber√° poder garantizar que las solicitudes de registro y descubrimiento de NF est√©n autorizadas, lo que significa que solo las NF autorizadas pueden solicitar y recibir informaci√≥n de la NRF.
  • Ocultaci√≥n de topolog√≠a: El descubrimiento y registro basado en el servicio NF deber√° poder ocultar la topolog√≠a de las NF disponibles/soportadas en un dominio administrativo/de confianza de entidades en diferentes dominios administrativos/de confianza (por ejemplo, entre las NF en las redes visitadas y las de origen). Esto ayuda a proteger la infraestructura de la red para que no sea descubierta y potencialmente explotada por atacantes.
  • Autenticacion mutua: El procedimiento de Solicitud y Respuesta de Servicio de NF respaldar√° la autenticaci√≥n mutua entre el consumidor y el productor de NF, lo que significa que ambas partes se autenticar√°n mutuamente antes de intercambiar informaci√≥n.
  • Validaci√≥n de mensajes entrantes: Cada NF validar√° todos los mensajes entrantes. La NF rechazar√° o descartar√° los mensajes que no sean v√°lidos seg√ļn la especificaci√≥n del protocolo y el estado de la red. Esto ayuda a garantizar que solo se procesen mensajes v√°lidos y autorizados, protegiendo contra posibles ataques.

3. Seguridad NRF

La Función de Repositorio de Red (NRF) es responsable de gestionar el descubrimiento y registro de Funciones de Red (NF) en la red 5G.

Recibe solicitudes de descubrimiento de NF de los nodos NF y proporciona información sobre las instancias de NF descubiertas a la instancia solicitante. La NRF también mantiene perfiles de las FN registradas.

Para garantizar la seguridad del proceso de descubrimiento y registro, la NRF debe implementar ciertas medidas de seguridad por su parte.

Estas medidas incluyen autenticacion mutua entre la NRF y las NF que solicitan el servicio, así como la capacidad de proporcionar autenticación y autorización a las NF para establecer una comunicación segura entre sí.

Estas medidas ayudan a garantizar que sólo las FN autorizadas puedan acceder a los servicios de la NRF y que la comunicación entre la NRF y las FN esté protegida contra el acceso no autorizado o la manipulación.

4. Seguridad NEF

La Función de Exposición de Red (NEF) es responsable de exponer las capacidades de las Funciones de Red a las Funciones de Aplicación, que luego pueden interactuar con las Funciones de Red relevantes a través de la NEF.

Para garantizar una comunicación segura, se deben cumplir los siguientes requisitos de seguridad para la interfaz entre NEF y AF (función de aplicación):

  • Protecci√≥n de integridad, protecci√≥n de reproducci√≥n y protecci√≥n de confidencialidad debe ser compatible para la comunicaci√≥n entre NEF y AF (funci√≥n de aplicaci√≥n).
  • Autenticacion mutua entre la NEF y la funci√≥n de aplicaci√≥n debe ser compatible.
  • Informaci√≥n interna del n√ļcleo 5Gcomo DNN y S-NSSAI, la NEF no debe enviar fuera del dominio del operador 3GPP.
  • el supi La NEF no debe enviar fuera del dominio del operador 3GPP.

Además, la NEF debe poder determinar si la Función de Aplicación está autorizada para interactuar con las Funciones de Red relevantes.

Esto garantiza que solo las entidades autorizadas puedan acceder y utilizar las funciones de la red a través de la NEF.

Seguridad para la interconexión de redes centrales 5G de extremo a extremo (e2e)

  1. Seguridad general: Soporte para mecanismos de capa de aplicación para agregar, eliminar y modificar elementos de mensaje mediante nodos intermedios, con la excepción de elementos de mensaje específicos definidos en la especificación. Esto es necesario para permitir que los proveedores de IPX modifiquen los mensajes con fines de enrutamiento.
  2. Protecci√≥n de confidencialidad y/o integridad de extremo a extremo para elementos de mensaje espec√≠ficos entre las redes de origen y destino. Esto requiere la presencia de SEPP (puntos de protecci√≥n de borde de seguridad) en los bordes de las redes de origen y destino dedicados a manejar la seguridad de interconexi√≥n de la red central e2e. La protecci√≥n de confidencialidad y/o integridad se aplica entre dos SEPP en las PLMN (Redes P√ļblicas M√≥viles Terrestres) de origen y de destino.
  3. La capacidad de la red de destino para autenticar la red de origen que envió los elementos del mensaje protegido. Esto se puede lograr teniendo un SEPP (Security Edge Protection Proxy) en la red de destino dedicada a manejar la seguridad de interconexión de la red central e2e que puede autenticar la red de origen.
  4. Impacto mínimo y adiciones a elementos de red definidos por 3GPP.
  5. Uso de protocolos de seguridad est√°ndar.
  6. Cobertura de interfaces utilizadas con fines de roaming.
  7. Consideración del rendimiento y los gastos generales.
  8. Prevención de ataques de repetición.
  9. Negociación de algoritmos y prevención de ataques de oferta.
  10. Consideración de aspectos operativos de la gestión de claves.

Protección de borde de seguridad 5G Proxy (SEPP)

El SEPP es una entidad de seguridad que se utiliza para proteger los mensajes del plano de control de la capa de aplicaci√≥n entre dos funciones de red (NF) 5G que pertenecen a diferentes redes m√≥viles terrestres p√ļblicas (PLMN) y utilizan la interfaz N32 para comunicarse entre s√≠.

Realiza diversas tareas relacionadas con la seguridad, como autenticaci√≥n mutua y negociaci√≥n del conjunto de cifrado con el SEPP en la red itinerante, manejando aspectos clave de administraci√≥n, ocultaci√≥n de topolog√≠a y proporcionando un √ļnico punto de acceso y control a las NF internas.

El SEPP tambi√©n verifica la autorizaci√≥n del SEPP emisor para utilizar la PLMN. ID en el mensaje N32 recibido e implementa mecanismos de limitaci√≥n de velocidad y anti-suplantaci√≥n de identidad para defenderse contra la se√Īalizaci√≥n excesiva y la suplantaci√≥n de direcciones.

Tambi√©n descarta los mensajes de se√Īalizaci√≥n N32 con formato incorrecto e implementa un mecanismo para diferenciar entre los certificados utilizados para la autenticaci√≥n de SEPP pares y los certificados utilizados para la autenticaci√≥n de intermediarios que realizan modificaciones de mensajes.

Protección de atributos

Al transferir atributos a través de la interfaz N32, se aplicará protección de integridad a todos los atributos.

Además, se aplicará protección de la confidencialidad a ciertos atributos específicos, incluidos los vectores de autenticación, el material criptográfico, los datos de ubicación y el Identificador Permanente de Suscripción (SUPI).

Esto es para garantizar la seguridad y confidencialidad de estos atributos confidenciales a medida que se transmiten a través de la interfaz N32.

Además de los atributos requeridos, se recomienda aplicar también protección de confidencialidad a otros atributos especificados.

Entidades de Seguridad en la Red Core 5G

La arquitectura del Sistema 5G introduce las siguientes entidades de seguridad en la red 5G Core que necesitan tener un mecanismo de protección de datos adecuado:

  • AUSF: Funci√≥n del servidor de autenticaci√≥n
  • ARPF: funci√≥n de procesamiento y dep√≥sito de credenciales de autenticaci√≥n
  • SIDF: funci√≥n de ocultaci√≥n del identificador de suscripci√≥n
  • SEAF: Funci√≥n de anclaje de seguridad

La función del servidor de autenticación (AUSF) es responsable de autenticar la identidad del UE y emitir un contexto de seguridad para el UE.

Para ello, verifica las credenciales de suscripción del UE, que se almacenan en el Repositorio y Función de Procesamiento de Credenciales de Autenticación (ARPF).

La función de desocultación del identificador de suscripción (SIDF) es responsable de desocultar el Identificador Permanente de Suscripción (SUPI) del UE cuando se recibe de forma encubierta. Esto se hace para proteger la privacidad de la identidad del UE.

La función SEcurityancla (SEAF) es responsable de gestionar el ancla de seguridad, que es un secreto a largo plazo compartido entre la UE y la red 5G Core.

El ancla de seguridad se utiliza para establecer contextos de seguridad entre el UE y la red, y también se utiliza para autenticar el UE y la red entre sí.

Seguridad de división de red

La divisi√≥n de red permite la creaci√≥n de m√ļltiples redes virtuales sobre una infraestructura f√≠sica 5G compartida.

Cada red virtual, o ‚Äúporci√≥n‚ÄĚ, se puede alinear con las necesidades y requisitos espec√≠ficos de un caso de uso o aplicaci√≥n particular, como conectividad de gran ancho de banda para clientes residenciales o conectividad de baja latencia para aplicaciones industriales de IoT.

Para garantizar la seguridad de estas redes virtuales, 5G utiliza una combinación de cifrado, autenticación y medidas de control de acceso.

El cifrado se utiliza para proteger los datos del usuario mientras viajan a través de la red, mientras que la autenticación se utiliza para verificar la identidad de los usuarios y dispositivos que acceden a la red.

Para protegerse contra amenazas en entornos virtualizados, 5G utiliza varias medidas de seguridad, como aislamiento de máquinas virtuales (VM), firewalls y sistemas de detección y prevención de intrusiones.

En general, la seguridad de la porción de red 5G se basa en una combinación de cifrado, autenticación, control de acceso y NFV para proteger contra amenazas y garantizar la integridad de la red.

Espero que este artículo le haya brindado información detallada sobre la seguridad central de 5G y sus atributos. También puede leer la Consideración de seguridad 5G sobre gNB, UE y requisitos de seguridad general aquí.