Todo sobre Apple, Android, Juegos Apks y Sitios de Peliculas

Seguridad central 5G: límites de confianza, SBA, seguridad de división de red

A medida que la tecnología 5G continúa implementándose en todo el mundo, la seguridad de estas redes se ha convertido en una máxima prioridad tanto para los proveedores de servicios como para los usuarios finales.

Con las mayores capacidades y características de 5G, como la compatibilidad con Internet de las cosas (IoT) e Internet industrial, existe una mayor necesidad de medidas de seguridad sólidas para proteger contra amenazas y garantizar la integridad de la red 5G.

En esta publicación de blog, profundizaremos en la implementación de la seguridad central 5G, explorando los diversos componentes de la red central 5G y los puntos clave que se han implementado para proteger contra amenazas.

Desde el cifrado y la autenticación hasta el control de acceso y la división de la red, cubriremos los elementos clave de la seguridad central de 5G y cómo trabajan juntos para mantener la red segura.

Esta publicación de blog proporcionará una descripción general completa de las medidas de seguridad básicas de 5G que se han implementado para proteger las redes 5G.

A continuación se detallan los principales puntos de medidas de seguridad que debe considerar para la seguridad central 5G en su red:

1. Límites de confianza

La arquitectura de la red 5G incluye varios límites de confianza para garantizar la seguridad y la integridad de los datos transmitidos dentro y entre diferentes partes de la red.

Estos límites de confianza se utilizan para dividir la red en diferentes zonas de confianza, donde cada zona de confianza pertenece a un operador de red móvil específico.

Los mensajes que se transmiten entre zonas de confianza deben seguir requisitos específicos para garantizar su seguridad e integridad, a menos que ya estén protegidos por NDS/IP como se especifica en los estándares TS 33.210.

Estos requisitos ayudan a evitar el acceso no autorizado o la manipulación de datos a medida que pasan por la red.

2. Seguridad de la arquitectura basada en servicios 5G

  • Confidencialidad: El descubrimiento y el registro basados ​​en el servicio NF respaldarán la confidencialidad, lo que significa que la información intercambiada entre las NF y la NRF (función de repositorio de red) se mantendrá privada y solo será accesible para las partes previstas.
  • Integridad: El descubrimiento y registro basado en servicios de NF también respaldará la integridad, lo que significa que la información intercambiada entre las NF y la NRF estará protegida contra cambios o modificaciones no autorizados.
  • Protección de repetición: El descubrimiento y registro basado en servicios NF admitirá la protección de reproducción, lo que significa que la información intercambiada entre las NF y la NRF estará protegida contra ataques de reproducción, donde un atacante intercepta y retransmite la información para obtener acceso no autorizado.
  • Autorización: La NRF deberá poder garantizar que las solicitudes de registro y descubrimiento de NF estén autorizadas, lo que significa que solo las NF autorizadas pueden solicitar y recibir información de la NRF.
  • Ocultación de topología: El descubrimiento y registro basado en el servicio NF deberá poder ocultar la topología de las NF disponibles/soportadas en un dominio administrativo/de confianza de entidades en diferentes dominios administrativos/de confianza (por ejemplo, entre las NF en las redes visitadas y las de origen). Esto ayuda a proteger la infraestructura de la red para que no sea descubierta y potencialmente explotada por atacantes.
  • Autenticacion mutua: El procedimiento de Solicitud y Respuesta de Servicio de NF respaldará la autenticación mutua entre el consumidor y el productor de NF, lo que significa que ambas partes se autenticarán mutuamente antes de intercambiar información.
  • Validación de mensajes entrantes: Cada NF validará todos los mensajes entrantes. La NF rechazará o descartará los mensajes que no sean válidos según la especificación del protocolo y el estado de la red. Esto ayuda a garantizar que solo se procesen mensajes válidos y autorizados, protegiendo contra posibles ataques.

3. Seguridad NRF

La Función de Repositorio de Red (NRF) es responsable de gestionar el descubrimiento y registro de Funciones de Red (NF) en la red 5G.

Recibe solicitudes de descubrimiento de NF de los nodos NF y proporciona información sobre las instancias de NF descubiertas a la instancia solicitante. La NRF también mantiene perfiles de las FN registradas.

Para garantizar la seguridad del proceso de descubrimiento y registro, la NRF debe implementar ciertas medidas de seguridad por su parte.

Estas medidas incluyen autenticacion mutua entre la NRF y las NF que solicitan el servicio, así como la capacidad de proporcionar autenticación y autorización a las NF para establecer una comunicación segura entre sí.

Estas medidas ayudan a garantizar que sólo las FN autorizadas puedan acceder a los servicios de la NRF y que la comunicación entre la NRF y las FN esté protegida contra el acceso no autorizado o la manipulación.

4. Seguridad NEF

La Función de Exposición de Red (NEF) es responsable de exponer las capacidades de las Funciones de Red a las Funciones de Aplicación, que luego pueden interactuar con las Funciones de Red relevantes a través de la NEF.

Para garantizar una comunicación segura, se deben cumplir los siguientes requisitos de seguridad para la interfaz entre NEF y AF (función de aplicación):

  • Protección de integridad, protección de reproducción y protección de confidencialidad debe ser compatible para la comunicación entre NEF y AF (función de aplicación).
  • Autenticacion mutua entre la NEF y la función de aplicación debe ser compatible.
  • Información interna del núcleo 5Gcomo DNN y S-NSSAI, la NEF no debe enviar fuera del dominio del operador 3GPP.
  • el supi La NEF no debe enviar fuera del dominio del operador 3GPP.

Además, la NEF debe poder determinar si la Función de Aplicación está autorizada para interactuar con las Funciones de Red relevantes.

Esto garantiza que solo las entidades autorizadas puedan acceder y utilizar las funciones de la red a través de la NEF.

Seguridad para la interconexión de redes centrales 5G de extremo a extremo (e2e)

  1. Seguridad general: Soporte para mecanismos de capa de aplicación para agregar, eliminar y modificar elementos de mensaje mediante nodos intermedios, con la excepción de elementos de mensaje específicos definidos en la especificación. Esto es necesario para permitir que los proveedores de IPX modifiquen los mensajes con fines de enrutamiento.
  2. Protección de confidencialidad y/o integridad de extremo a extremo para elementos de mensaje específicos entre las redes de origen y destino. Esto requiere la presencia de SEPP (puntos de protección de borde de seguridad) en los bordes de las redes de origen y destino dedicados a manejar la seguridad de interconexión de la red central e2e. La protección de confidencialidad y/o integridad se aplica entre dos SEPP en las PLMN (Redes Públicas Móviles Terrestres) de origen y de destino.
  3. La capacidad de la red de destino para autenticar la red de origen que envió los elementos del mensaje protegido. Esto se puede lograr teniendo un SEPP (Security Edge Protection Proxy) en la red de destino dedicada a manejar la seguridad de interconexión de la red central e2e que puede autenticar la red de origen.
  4. Impacto mínimo y adiciones a elementos de red definidos por 3GPP.
  5. Uso de protocolos de seguridad estándar.
  6. Cobertura de interfaces utilizadas con fines de roaming.
  7. Consideración del rendimiento y los gastos generales.
  8. Prevención de ataques de repetición.
  9. Negociación de algoritmos y prevención de ataques de oferta.
  10. Consideración de aspectos operativos de la gestión de claves.

Protección de borde de seguridad 5G Proxy (SEPP)

El SEPP es una entidad de seguridad que se utiliza para proteger los mensajes del plano de control de la capa de aplicación entre dos funciones de red (NF) 5G que pertenecen a diferentes redes móviles terrestres públicas (PLMN) y utilizan la interfaz N32 para comunicarse entre sí.

Realiza diversas tareas relacionadas con la seguridad, como autenticación mutua y negociación del conjunto de cifrado con el SEPP en la red itinerante, manejando aspectos clave de administración, ocultación de topología y proporcionando un único punto de acceso y control a las NF internas.

El SEPP también verifica la autorización del SEPP emisor para utilizar la PLMN. ID en el mensaje N32 recibido e implementa mecanismos de limitación de velocidad y anti-suplantación de identidad para defenderse contra la señalización excesiva y la suplantación de direcciones.

También descarta los mensajes de señalización N32 con formato incorrecto e implementa un mecanismo para diferenciar entre los certificados utilizados para la autenticación de SEPP pares y los certificados utilizados para la autenticación de intermediarios que realizan modificaciones de mensajes.

Protección de atributos

Al transferir atributos a través de la interfaz N32, se aplicará protección de integridad a todos los atributos.

Además, se aplicará protección de la confidencialidad a ciertos atributos específicos, incluidos los vectores de autenticación, el material criptográfico, los datos de ubicación y el Identificador Permanente de Suscripción (SUPI).

Esto es para garantizar la seguridad y confidencialidad de estos atributos confidenciales a medida que se transmiten a través de la interfaz N32.

Además de los atributos requeridos, se recomienda aplicar también protección de confidencialidad a otros atributos especificados.

Entidades de Seguridad en la Red Core 5G

La arquitectura del Sistema 5G introduce las siguientes entidades de seguridad en la red 5G Core que necesitan tener un mecanismo de protección de datos adecuado:

  • AUSF: Función del servidor de autenticación
  • ARPF: función de procesamiento y depósito de credenciales de autenticación
  • SIDF: función de ocultación del identificador de suscripción
  • SEAF: Función de anclaje de seguridad

La función del servidor de autenticación (AUSF) es responsable de autenticar la identidad del UE y emitir un contexto de seguridad para el UE.

Para ello, verifica las credenciales de suscripción del UE, que se almacenan en el Repositorio y Función de Procesamiento de Credenciales de Autenticación (ARPF).

La función de desocultación del identificador de suscripción (SIDF) es responsable de desocultar el Identificador Permanente de Suscripción (SUPI) del UE cuando se recibe de forma encubierta. Esto se hace para proteger la privacidad de la identidad del UE.

La función SEcurityancla (SEAF) es responsable de gestionar el ancla de seguridad, que es un secreto a largo plazo compartido entre la UE y la red 5G Core.

El ancla de seguridad se utiliza para establecer contextos de seguridad entre el UE y la red, y también se utiliza para autenticar el UE y la red entre sí.

Seguridad de división de red

La división de red permite la creación de múltiples redes virtuales sobre una infraestructura física 5G compartida.

Cada red virtual, o “porción”, se puede alinear con las necesidades y requisitos específicos de un caso de uso o aplicación particular, como conectividad de gran ancho de banda para clientes residenciales o conectividad de baja latencia para aplicaciones industriales de IoT.

Para garantizar la seguridad de estas redes virtuales, 5G utiliza una combinación de cifrado, autenticación y medidas de control de acceso.

El cifrado se utiliza para proteger los datos del usuario mientras viajan a través de la red, mientras que la autenticación se utiliza para verificar la identidad de los usuarios y dispositivos que acceden a la red.

Para protegerse contra amenazas en entornos virtualizados, 5G utiliza varias medidas de seguridad, como aislamiento de máquinas virtuales (VM), firewalls y sistemas de detección y prevención de intrusiones.

En general, la seguridad de la porción de red 5G se basa en una combinación de cifrado, autenticación, control de acceso y NFV para proteger contra amenazas y garantizar la integridad de la red.

Espero que este artículo le haya brindado información detallada sobre la seguridad central de 5G y sus atributos. También puede leer la Consideración de seguridad 5G sobre gNB, UE y requisitos de seguridad general aquí.