Файл: Исследование мер противодействия атакам на сети 5g пояснительная записка тпжа. 100502. 008 Пз выпускная квалификационная работа.docx

Разработка рекомендаций по нейтрализации актуальных угроз и мер противодействия атакам.

Основываясь на опыте изучения безопасности сетей предыдущего поколения, а также на уже описанных потенциальных проблемах безопасности сетей 5G, можно дать следующие рекомендации для будущих операторов сетей 5G [6, 12, 18, 13, 12].

1. Комплексный подход к защите сети. Операторы должны немедленно начать анализ всей сигнальной информации, пересекающей границу их домашней сети, чтобы обеспечить безопасность и блокировать незаконный трафик. Этот анализ предоставляет данные, необходимые для поддержания политики безопасности в актуальном состоянии. Этот комплексный и систематический подход может позволить обеспечить безопасность сетей 5G с самого первого дня.

2. Аудит безопасности сети. Сервис-ориентированная сетевая архитектура 5G предоставляет операторам гибкость, необходимую для быстрой адаптации их сетей к требованиям рынка, но недостатком является сложность управления всем подряд. Это повышает важность аудита безопасности для выявления уязвимостей и проверки правильности настройки и применения политик безопасности. Аудит безопасности следует проводить периодически, как во время первоначального развертывания сети 5G, так и во время обычной операции. Это позволяет отслеживать изменения в безопасности сети и своевременно принимать контрмеры.

3. Постоянное совершенствование системы безопасности. Безопасность – это процесс, а не одноразовое событие. Несмотря на большое количество работ по обеспечению безопасности 5G на уровне стандартов, многие неизвестные угрозы по-прежнему остаются неизвестными. Операторы должны регулярно изучать и внедрять рекомендации по защите своих сетей 5G. Рекомендации должны выполняться продуманно. Они обычно являются универсальными, но каждая сеть уникальна. Изменения в политике безопасности должны быть частью общего процесса. Проверка должна проводиться до и после внедрения новых решений. Таким образом, безопасность сетей 5G – это не просто наличие правильной архитектуры или оборудования для обеспечения безопасности, а создание рабочих процессов

---

, процедур и совместная работа между командами.

4. Обеспечение целостности данных в сети, путем внедрения федеративной модели идентификации и управления доступом.

5. Реализация распределённого реестра для проверки легитимности и целостности SIM-карт, что обеспечит полную видимость угроз.

6. Решение вопросов взаимодействия с устройствами в роуминге, путем формирования распределённой системы безопасности без границ.

7. Разработка новых технических концепций, таких как «сетевой слой» (network slicing) и методы виртуализации, которые требуют интегрированных решений по безопасности.

8. Повышение уровня конфиденциальности пользовательских данных.

9. Совместимость решений по защите и технологий передачи со сверхнизкой задержкой по времени.

10. Чтоб предотвратить атаки типа перехват DNS, рекомендуется использовать сетевой монитор или регистратор данных/деталей событий, который ведёт запись метаданных сетевого соединения. При возникновении нестандартного трафика может быть немедленно подан сигнал тревоги. Также рекомендуется выбирать промышленные протоколы, поддерживающие привязку сертификатов. Использование SSL/TLS без отключения основных функций безопасности (таких как проверка корневого центра сертификации) позволяет легко обнаружить соединения, вызванные поддельными записями DNS. Для предотвращения перехвата DNS-запросов можно использовать расширения безопасности системы доменных имён (DNSSEC) или DNS over HTTPS (DoH).

11. Для предотвращения атаки типа перехват MQTT можно использовать MQTTS вместо менее безопасного MQTT и защитить MQTTS с помощью надёжных паролей и привязки сертификатов.

12. Чтоб предотвратить атаки, использующие уязвимости гарантированной идентификации, применяют принцип нулевого доверия (Zero-Trust Architecture, ZTA), заключающийся в сохранении безопасности для неконтролируемых, движущихся или находящихся за пределами периметра сети устройств. В соответствии с принципом ZTA необходимо внедрить федеративную модель идентификации и управления доступом (Federated Identity and Access Management, FIdAM), тем самым обеспечив проверку подлинности подключающихся к сети устройств на каждом этапе. Федеративная модель идентификации в сетях 5G обеспечивает единую согласованную архитектуру для проверки подлинности

---

, прав доступа, целостности данных и других компонентов и технологий

Чтобы реализовать эти меры на практике, потребуются значительные затраты времени и средств, однако развёртывание сетей 5G стремительно расширяется, а значит, устранение уязвимостей и обеспечение безопасности телекоммуникационных услуг, предоставляемых сетями пятого поколения, становится первоочередной задачей.

Выводы по шестому разделу

Были сформулированы 12 мер противодействия атакам в сети 5G. Наиболее действенные из них:

1. Комплексный подход к защите сети.

2. Аудит безопасности сети.

3. Постоянное совершенствование системы безопасности.

4. Обеспечение целостности данных в сети, путем внедрения федеративной модели идентификации и управления доступом.

5. Совместимость решений по защите и технологий передачи со сверхнизкой задержкой по времени.

8. 1   ...   7   8   9   10   11   12   13   14   15

---

Выбор мер и средств защиты сети 5G.

Неоднородность и сложность инфраструктуры 5G потребуют применения безопасности на нескольких уровнях, в нескольких доменах с сочетанием централизованного и распределенного, физического и виртуального развертывания. Для предыдущих поколений ручное вмешательство для смягчения угроз может быть нормальным. Но с учетом скорости сети с переходом на 5G и тот факт, возможные угрозы и их сложность только продолжают расти, ручных операций недостаточно. Безопасность должна быть абсолютно автоматизирована – требуется внедрить автоматическое обнаружение и устранение угроз с целостной видимостью.

5G разработала средства управления безопасностью для устранения многих угроз, с которыми сталкиваются современные сети 4G / 3G / 2G. Эти элементы управления включают новые возможности взаимной проверки подлинности, улучшенную защиту личности подписчика и дополнительные механизмы безопасности. 5G предлагает мобильной индустрии беспрецедентную возможность повысить уровень безопасности сети и услуг.

5G обеспечивает превентивные меры для ограничения воздействия известных угроз, но внедрение новых сетевых технологий создает новые потенциальные угрозы для отрасли [29].

При разработке стандартов 5G были приняты принципы Secure by Design, что привело к [30]:

• 
  использованию взаимной аутентификации. Подтверждение доверия отправителя и получателя и обеспечения безопасности сквозных отношений;
  
• 
  предполагаемой «открытой» сети. Удаление любых предположений о безопасности из накладываемого продуктов или процессов;
  
• 
  подтверждению того, что все ссылки могут быть перехвачены. Обязательное шифрование межсетевого или внутрисетевого трафика, гарантирующее бесполезность зашифрованной информации при перехвате.
  

Сети 5G должны обеспечивать потребителю большую защиту, чем существующие сети 4G / 3G / 2G. Стандарты 5G описывают ряд моделей реализации. Несмотря на то, что в будущем планируется развернуть не менее 5 дополнительных опций, в настоящее время разворачивается единственный вариант - так называемый автономный режим (NSA), точнее называемый ENDC. Здесь базовые станции 5G интегрируются с существующей сетью 4G, работающей в тандеме с базовыми станциями LTE, и подключаются к ядру LTE, полагаясь на меры и средства защиты, которые обеспечивает ядро LTE.

---

Следующим этапом развертывания 5G, вероятно, станет автономный режим (SA), точнее SA ‑ NR, состоящий из новой радиосети (NR) 5G, подключенной к базовой сети 5G (5GC). Переход на ядро 5G позволит реализовать все функции безопасности, предусмотренные спецификациями 5G. Хотя признано, что новые парадигмы (облачная архитектура, основанная на сервисах) создадут новые проблемы безопасности.

5G повышает конфиденциальность и целостность данных пользователей и устройств. В отличие от предыдущих поколений мобильных систем 5G [30]:

• 
  защищает конфиденциальность сообщений начального уровня без доступа (NAS) между устройством и сетью. В результате больше невозможно отслеживать пользовательское оборудование (UE) с использованием текущих методологий атак через радиоинтерфейс; защита от атак MITM и поддельных базовых станций (Stingray или IMSI catcher);
  
• 
  представлен механизм защиты, называемый домашним контролем. Это означает, что окончательная аутентификация устройства в посещаемой сети завершается после того, как домашняя сеть проверит статус аутентификации устройства в посещаемой сети. Это усовершенствование предотвратит различные типы мошенничества в роуминге, которые исторически мешали операторам, и поддержит требование оператора правильно аутентифицировать устройства для предоставления услуг;
  
• 
  поддерживает унифицированную аутентификацию для других типов сетей доступа, например WLAN, позволяя сетям 5G управлять ранее неуправляемыми и незащищенными соединениями. Это включает в себя возможность выполнения повторной аутентификации UE, когда оно перемещается между разными сетями доступа или обслуживающими сетями;
  
• 
  вводит проверку целостности пользовательского уровня, гарантируя, что пользовательский трафик не изменяется во время передачи;
  
• 
  повышает защиту конфиденциальности за счет использования пар открытого и закрытого ключей для сокрытия личности подписчика и получения ключей, используемых во всей архитектуре.
  

Представляет 5G новый элемент сетевой архитектуры: прокси-сервер Security Edge Protection (SEPP). SEPP защищает границу домашней сети, выступая в качестве шлюза безопасности при соединениях между домашней сетью и посещаемыми сетями.

---