5G-Netz stellt hohe Security-Anforderungen
6. März 2019
Durch das enorme Wachstum der Anzahl der potenziellen Einfallstore für die Angreifer wird sich mit 5G das Cyber-Bedrohungspotenzial verändern. Ein wichtiger Baustein bei sicheren IT-Infrastrukturen werden daher 5G-taugliche Firewalls sein. Wodurch sich diese auszeichnen und worauf bei ihnen zu achten ist, erläutert Martin Schauf, Senior Systems Engineering Manager bei Palo Alto Networks.
Mobilnetzbetreiber sind heute bereits mit neuen auf Malware zurückzuführenden Sicherheitsvorfällen konfrontiert, die die Netzverfügbarkeit und die Endgeräte der Teilnehmer gefährden. Darüber hinaus beobachten die Betreiber erhebliche Veränderungen der Netzverkehrs-Charakteristika aufgrund des exponentiellen Wachstums des Roaming- und Signalverkehrs. Damit gehen neue Bedrohungsvektoren einher, die das Risiko von Dienstunterbrechungen durch böswillige Akteure erhöhen, die die Signalinfrastruktur überlasten können.
Robuste, präventionsorientierte Sicherheitsstrategie erforderlich
„Diese wachsenden Bedrohungen und Schwachstellen, die sich bisher auf die SGi-Schnittstelle konzentrierten, können nun die Anwendungsschicht auf anderen Mobilfunkschnittstellen ausnutzen. Dadurch könnte die Servicequalität beeinträchtigt werden, es entstehen Herausforderungen hinsichtlich der Netzwerkleistung und der Umsatz der Netzbetreiber könnte leiden“, erläutert Martin Schauf. Um dies zu verhindern, bedarf es einer robusten, präventionsorientierten Sicherheitsstrategie. Diese muss Vorteile der Transparenz auf Anwendungsebene nutzen und das komplette 4G/5G-Netzwerk umfassen – einschließlich IoT, RAN (Radio Access Network), Mobile Backhaul, EPC (Evolved Packet Core) und Schnittstellen zu anderen Netzwerken. Das Credo gilt über alle Ebenen hinweg, einschließlich Benutzer-, Steuerungs- und Verwaltungsebenen.
Erste 5G-fähige Next-Generation-Firewalls, die es seit kurzem auf dem Markt gibt, wurden speziell für die Bereitstellung von Mobilfunknetzen durch Dienstanbieter entwickelt, wobei die Sicherheitsanforderungen von 5G und IoT im Vordergrund standen. Diese Firewalls müssen auf der einen Seite den wachsenden Anforderungen an den Durchsatz aufgrund steigender Mengen an anwendungs-, benutzer- und gerätegenerierten Daten gerecht werden. Auf der anderen Seite sind Bedrohungsabwehrfunktionen auf dem neuesten Stand der Technik erforderlich, um fortschrittliche Cyberangriffe zu stoppen und mobile Netzwerkinfrastrukturen, Teilnehmer und Dienste zu schützen. Die neuen Firewalls erreichen bereits einen Durchsatz von bis zu 1 TBit/s, indem sie auf dedizierte Verarbeitungs- und Speicherressourcen für Netzwerke, Sicherheit, Bedrohungsabwehr und Management zurückgreifen. Sie können so konfiguriert werden, dass sie den unterschiedlichen Sicherheits- und Durchsatzanforderungen der Netzbetreiber entsprechen. Dadurch sind diese Firewalls geeignet, um bestehende 4G-Netzwerke sowie zukünftige 5G- und IoT-Implementierungen zu schützen. Entscheidend bei 5G-fähigen Firewalls ist, dass sie auf allen aktuellen Netzwerkschnittstellen eingesetzt werden können, um einen skalierbaren, vollständigen Schutz mit konsistenter Verwaltung und Anwendungstransparenz zu erreichen.
Tiefgehende Transparenz und detaillierte Kontrolle über die Netzwerklandschaft
Generell entscheidend für moderne 5G-fähige Firewalls sind tiefgehende Transparenz und detaillierte Kontrolle über die Netzwerklandschaft. Dies beinhaltet vollständige Transparenz auf allen Ebenen, einschließlich Signalisierungs-, Daten- und Steuerungsebene, mit Sichtbarkeit auf Anwendungsebene in mobilen Tunneln. Die IMSI- und IMEI-Korrelation mit Bedrohungen zur Identifizierung infizierter Teilnehmer und Geräte liefert aussagekräftige Erkenntnisse für eine schnellere Behebung von Sicherheitsproblemen. IMSI (International Mobile Subscriber Identity) steht für die internationale Mobilfunkteilnehmerkennung und IMEI (International Mobile Equipment Identity) dient zur Identifizierung von Endgeräten.
Eine automatisierte, Cloud-basierte Bedrohungsanalyse auf Basis von maschinellem Lernen und künstlicher Intelligenz ermöglicht eine schnelle Reaktion in Echtzeit auf Bedrohungen in Netzwerken auf globaler Ebene. Dies umfasst die Identifizierung und Analyse unbekannter Malware auf der Grundlage von Hunderten von bösartigen Verhaltensweisen, in Verbindung mit automatisierten Schutzmaßnahmen. Datengesteuerte Bedrohungsabwehr, die kontextuelle Sicherheitsergebnisse liefert, erweist sich als effektiv, um mehrstufige Angriffe und Anomalien zu verhindern. Eine Cloud-fähige Sicherheitsplattform – mit den gleichen Funktionen in physischen und virtualisierten Implementierungen – gewährleistet eine konsistente Sicherheitsüberwachung an allen Standorten. Wichtig ist ebenso die Unterstützung für eine offene API, die operative Einfachheit, Benutzerfreundlichkeit und Integrationsfähigkeit mit NFV-Ökosystemen (Network Functions Virtualization) und Software-definierten Netzwerken (SDN) bietet. Die vertikale und horizontale Skalierung von VNFs (Virtual Network Functions) sorgt dabei für mehr Agilität und Flexibilität.
Spezielle Sicherheitsfunktionen für Mobilfunknetze
„Eine 5G-fähige Firewall bietet weitere spezielle Sicherheitsfunktionen für moderne Mobilfunknetze. Im Rahmen verschiedener Einsatzszenarien können damit die erhofften Ergebnisse erzielt werden, die zu einer insgesamt verbesserten Sicherheitslage jeweils ihren Teil beitragen“, berichtet Martin Schauf. So geht es im Bereich der Roaming-Sicherheit um den Schutz des Mobilfunknetzes vor Signalstürmen, einschließlich verschiedener Tunneling- und Application-Layer-Angriffe, die über die GRX/IPX-Netzwerke (GPRS Roaming Exchange, IP Exchange) auf S8-, S6a/S6d-Schnittstellen erfolgen. Ebenso wichtig ist es, die Sicherheit für das Funkzugangsnetzwerk/RAN (Radio Access Network) zu gewährleisten: Die 5G-fähige Firewall liefert vollständige Inhaltsüberwachung des Teilnehmerverkehrs in GTP-Tunneln auf allen Ebenen. Steuerungs-, Signalisierungs- und Datenebenen mit Anwendungssichtbarkeit helfen, verdächtige Signalisierungsereignisse im Zugangsnetzwerk zu verhindern. GTP (GPRS Tunneling Protocol) gehört zu einer Gruppe von IP-basierten Tunnel-Protokollen, die in Mobilfunknetzen eingesetzt wird. GTP–U dient dabei zum Transport der Benutzerdaten und GTP–C zum Transport von Kontrolldaten. Die Inspizierung von GTP-U-Content und GTP-C-Zustand soll Angriffe von Geräten verhindern und verdächtige Signalisierungsereignisse stoppen.
Ein weiteres Thema ist Funkzellen-basierte IoT-Sicherheit: Das Mobilfunknetz gilt es gegen Angriffe durch mit Malware „bewaffnete“ NB-IoT-Geräte zu schützen. NB-IoT (Narrowband IoT) ist ein Konnektivitätsstandard für LPWA-Netzwerke (Low Power Wide Area). Umfassende Transparenz und detaillierte Kontrolle über den NB-IoT-Verkehr ermöglicht in Kombination mit automatisierten Sicherheitsmaßnahmen eine schnelle Reaktion auf Bedrohungen. Eine tiefgehende Transparenz und detaillierte Kontrolle über den NB-IoT-Verkehr hilft dabei, Angriffe von bekannten und unbekannten Bedrohungen zu erkennen und Command-and-Control-Kommunikation, Denial-of-Service-Angriffe und weitere bösartige Aktivitäten zu verhindern. Sichtbarkeits- und Präventionsfunktionen auf mehreren Ebenen des Signalisierungsverkehrs, einschließlich SCTP, SIGTRAN, Diameter und SS7, gewährleisten dessen sichere Abwicklung. Eine umfassende, präventionsorientierte Sicherheitsstrategie nutzt auch die Vorteile der Transparenz auf Anwendungsebene für die Gi/SGi-Schnittstelle zugunsten der Gi/SGi-Sicherheit.
Wenn 5G in Betrieb geht, müssen Sicherheitsmaßnahmen bereits vorhanden sein
Wenn diese notwendigen Sicherheitsfunktionen in 5G-Netzen vorhanden sind, können Netzbetreiber ihre eigenen Netzwerkelemente optimal schützen. Gleichzeitig können sie differenzierte Netzwerksicherheitsdienste für Unternehmen bereitstellen, die dann ihren Geschäftsbetrieb mit neuen 5G-Anwendungen auf sichere Weise umstellen können. Klar ist auch, dass die Mobilfunkbetreiber tätig werden müssen, damit die Sicherheitsmaßnahmen aktiv sind, sobald die ersten 5G-Netze in Betrieb gehen. „Angreifer werden auch auf Automatisierung setzen, um Schwachpunkte den Netzwerken zu finden, die sie für ihre Zwecke ausnutzen können. Eine moderne integrierte Sicherheitsplattform, basierend auf einer 5G-fähigen Next-Generation-Firewall, hilft Mobilfunkbetreibern, die kommenden Sicherheitsherausforderungen – infolge des 5G-Aufbaus und des IoT-Ausbaus – zu bewältigen“, fasst Martin Schauf abschließend zusammen. „Eine zeitgemäße Lösung dieser Art liefert die erforderliche umfassende Sichtbarkeit im Netzwerk, um die Installation und erfolgreiche Ausführung von Malware zu verhindern.“
