Sicherung von LTE-Netzwerken – Was, Warum und Wie

Dienstanbieter stehen heute vor einer Reihe komplexer Herausforderungen, da sie ihre Netzwerke weiterentwickeln und „zukunftssicher“ machen möchten, um dem zunehmenden Netzwerkverkehr, den enormen Skalierungsanforderungen, dem Virtualisierungs- und Orchestrierungsbedarf, der Kostenkontrolle und der Erschließung neuer Einnahmequellen gerecht zu werden.

Gleichzeitig sind die Betreiber mit Sicherheitsvorfällen und Angriffen konfrontiert, wie sie Internetdienstanbieter schon seit Jahren erleben. Netzwerküberlastungen, eine Verschlechterung oder ein vollständiger Ausfall der Dienste sowie die Offenlegung von Benutzerinformationen und Signalisierungsnachrichten sind ernsthafte Bedenken. Kernnetzwerkelemente und unterstützende Infrastruktur sind anfälliger für externe Bedrohungen als je zuvor. Advanced Persistent Threats (APTs), Distributed-Denial-of-Service-Angriffe (DDoS) und Angriffe auf DNS-Ebene bedrohen die Verfügbarkeit und Leistung von Netzwerken und Diensten. Daher ist die Gewährleistung der Sicherheit, Leistung und Verfügbarkeit von Hochgeschwindigkeits-Mobilfunknetzen sowohl für die Dienstanbieter, die diese Netze besitzen und betreiben, als auch für deren Abonnenten von entscheidender Bedeutung. Darüber hinaus ist es heute von entscheidender Bedeutung, das Netzwerk selbst sowie die daran angeschlossenen Verbrauchergeräte zu schützen.

Die Carrier-Grade-Sicherheitslösungen von F5 schützen sowohl das Long-Term Evolution (LTE)-Netzwerk als auch seine Abonnenten vor den Bedrohungen, denen sie heute ausgesetzt sind. Diese Lösungen können Dienstanbietern Sicherheit in einem sich verändernden Umfeld bieten, den Ruf ihrer Marken wahren, vor Angriffen der nächsten Generation schützen und die Erschließung neuer Einnahmequellen ermöglichen.

Traditionell konzentrierte sich die Sicherheit der Dienstanbieter fast ausschließlich auf den Schutz der Netzwerkinfrastruktur und schenkte den Endgeräten der Abonnenten kaum oder gar keine Beachtung. Da sich die Netzwerktechnologien jedoch weiterentwickeln und die Leistung durch 3G, 4G, 5G und darüber hinaus steigt, muss sich die herkömmliche Betriebsanschauung ändern, wonach der bloße Schutz des Netzwerks selbst ausreicht.

Herkömmliche Betriebsmodelle, die für feste Netzwerkinfrastrukturen und Teilnehmergeräte mit geringer Leistung entwickelt wurden, reichen nicht länger aus, da sich die Architekturen der Dienstanbieter hin zu dynamischen, virtualisierten und orchestrierten Infrastrukturmodellen weiterentwickeln. Die Netzwerke der Dienstanbieter, insbesondere die sich entwickelnden LTE-Netzwerke, müssen heute so konzipiert sein, dass sie überall sicher bleiben, damit sie in virtualisierten, Cloud- und Software-Defined-Networking-Umgebungen (SDN) zuverlässige und leistungsstarke Dienste bereitstellen können. Darüber hinaus müssen Dienstanbieter zur Gewährleistung der Infrastruktursicherheit im 21. Jahrhundert den Schwerpunkt verstärkt auf den Schutz von Verbrauchergeräten legen, da diese einen neuen und sehr ernsten Risikovektor darstellen.

F5 bietet Lösungen für diese kritischen Herausforderungen – sowohl über speziell entwickelte Hardware als auch über virtuelle Angebote – um die Sicherheit, Leistung und Verfügbarkeit zu gewährleisten, die Betreiber bei Wachstum und Weiterentwicklung ihrer Netzwerke benötigen.

Mobiltelefone haben sich im Laufe der Jahre weiterentwickelt und sind heute genauso leistungsfähig und allgegenwärtig wie normale Computer. Gleichzeitig haben Volumen und Vielfalt der Daten, die sie speichern können, dramatisch zugenommen, was diese Geräte selbst zu einem attraktiven Ziel für Angreifer macht. Ebenso hat sich die Bedrohungslandschaft für Mobilfunknetze von den früheren SMS-basierten Angriffen auf Risiken auf Geräte-, Anwendungs- und Netzwerkebene ausgeweitet.

Da mehr als zwei Drittel der online aktiven Erwachsenen kostenlose, ungesicherte öffentliche WLAN-Dienste nutzen, ist das Sicherheitsrisiko offensichtlich. Bryan Sartin, Direktor bei Verizon Business, stellt fest: „In zwei Jahren werden mehr Daten von Mobilgeräten gestohlen als von Servern und Anwendungen.“

Neben dem Datenverkehr böswilliger Angreifer müssen Sie außerdem das Risiko gesprächiger Anwendungen und der Belastung berücksichtigen, die diese für Signal- und zusätzliche Supportsysteme verursachen können. Da eine einzige Verbindungsanforderung für beliebte Anwendungen wie E-Mail, Nachrichten und soziale Medien oft 30 oder mehr Verbindungs- und Signalereignisse auslöst, besteht auch die Gefahr, dass Millionen von Teilnehmergeräten die Signalisierungs- und Support-Infrastruktur der Dienstanbieter überlasten. Dies ist ein sehr reales Problem. Wenn die Kapazität und Sicherheit der Infrastruktur nicht ausreichend sind und die Infrastruktur nicht sicher ist, besteht ein erhebliches Risiko, dass eine kleine Anzahl böswilliger Akteure die Signal- und Support-Infrastruktur des Netzbetreibers stört.

Auch die Bedrohungslandschaft für Verbraucher und ihre Geräte entwickelt sich ständig weiter. Angesichts der zunehmenden Vielfalt und Raffinesse der Bedrohungsvektoren, zu denen unter anderem Social Engineering, Malware und DDoS-Angriffe zählen, ist es für moderne LTE-Netzbetreiber von entscheidender Bedeutung, ihre Kunden vor potenziellen Angriffen zu schützen, um sich selbst zu schützen.

Angesichts der technologischen Weiterentwicklung und der Verbesserung des Kosten-Leistungs-Verhältnisses der Netzwerke müssen die Betreiber versuchen, den prognostizierten Rückgang der Einnahmen aus reiner Konnektivität und herkömmlichen Diensten abzufedern. Die meisten Betreiber sind zwar bestrebt, die Kosten ihrer Netzwerkinfrastruktur zu senken, doch reicht dies allein nicht aus, um rentables Wachstum zu gewährleisten. Daher suchen die Betreiber nach Quellen für zusätzliche Serviceeinnahmen.

Durch den Schutz des Netzwerks selbst können Betreiber die Qualität der Erfahrung (QoE) verbessern, die das Netzwerk den Abonnenten bietet, und so sowohl bestehende als auch neue Dienste schützen, die das Netzwerk unterstützt. Dies wiederum schützt die Betreiber vor einer Abwanderung ihrer Abonnenten und einem Rückgang des durchschnittlichen Umsatzes pro Benutzer (ARPU). Durch die Stärkung der Netzwerksicherheit können Betreiber daher ihren Gesamtumsatz steigern und ihre Gesamtbetriebskosten (TCO) senken.

Aufgrund der Vielzahl der Bedrohungsvektoren sind Mobilfunkbetreiber besonderen Risiken ausgesetzt. Bedrohungen existieren auf Geräte-, Netzwerk- und Anwendungsebene und jede dieser Bedrohungen muss berücksichtigt und abgesichert werden, um sowohl das Netzwerk als auch die Abonnenten vor Angriffen zu schützen.

Angriffe auf Geräteebene, die durch Schadsoftware oder Bots verursacht werden können, welche die Geräte der Abonnenten infizieren, können unerwünschten Datenverkehr oder Angriffsverkehr erzeugen, Signalstürme im Netzwerk auslösen und die Gerätebatterien entladen. Im Netzwerk selbst kann es zu einer Erschöpfung der Ressourcen des Funkzugangsnetzes (RAN) und des Kernnetzes, zu Verstößen gegen die Allgemeinen Geschäftsbedingungen (AGB) und zu Angriffen auf die DNS-, Abrechnungs- und Signalinfrastruktur kommen. Darüber hinaus können auf die Anwendungsebene abzielende Angriffe serverseitige Schadsoftware, (protokollspezifische) DDoS-Angriffe auf Anwendungsebene oder Bedrohungen auf Ebene der Webanwendungen der Ebene 7 umfassen.

Alle diese Risikofaktoren müssen vom Betreiber berücksichtigt werden, um einen stabilen und sicheren Netzbetrieb zu gewährleisten, die Infrastruktur zu schützen und die Kunden zu schützen und zufriedenzustellen. Genauer gesagt müssen die Betreiber Kontrollen und Sicherheitsrichtlinien in mehreren Bereichen implementieren, um jeden Aspekt des Mobilfunknetzes zu schützen.

Für einen umfassenden Schutz des Netzwerks ist eine echte mehrschichtige Sicherheitsrichtlinie für mehrere Domänen erforderlich. Die Sicherheit des Mobilgeräts, der Luftschnittstelle, des Zugangsnetzes, des Kernnetzes – und auch der Anwendungen, der Betriebsunterstützungssysteme (OSS) und der Geschäftsunterstützungssysteme (BSS) – muss geschützt werden. Bis alle diese Schichten gesichert sind, sind die Betreiber dem Risiko von Angriffen über zahlreiche, sich ständig weiterentwickelnde Bedrohungsvektoren ausgesetzt.

Es gibt viele potenzielle Angriffe, die LTE-Netzwerke und ihre Abonnenten schädigen können. Daher ist es wichtig, eine ganzheitliche Sicherheitsarchitektur zu entwerfen und zu implementieren, die vor allen diesen Angriffen schützt. Während der Schaden bei vielen verschiedenen Angriffsarten, wie zum Beispiel bei einem DDoS-Angriff, großflächig und sofort erkennbar ist, führen zahlreiche andere Angriffsarten lediglich zu örtlich begrenzten Serviceverschlechterungen und sind daher viel schwieriger zu beheben.

Beispiele für diese letztere Art von Angriff sind die Erschöpfung der RAN-Verbindung, die zu lokalen Ausfällen führt, und Probleme mit der Entladung der Batterie von Verbrauchergeräten, die zur Rückgabe von Geräten führen können. Ebenso führen Angriffe auf die Abrechnungsinfrastruktur zu Unzufriedenheit bei den Kunden und Serviceanrufen.

Alle Arten von Angriffen verringern – sofern sie erfolgreich sind – die Kundenzufriedenheit und erhöhen die Kosten für die Betreiber. Daher ist es von entscheidender Bedeutung, sowohl die Risiken zu verstehen als auch eine End-to-End-Strategie zur Risikominderung zu entwickeln.

Wenn Betreiber der Sicherheit eingehender Nachrichten ihrer Upstream-Internetverbindung nicht genügend Aufmerksamkeit schenken, können Angreifer Flooding- oder DoS-/DDoS-Angriffe auf Netzwerkteilnehmer starten. Das folgende Diagramm zeigt ein solches Angriffsszenario, bei dem Mobilfunkteilnehmer vom Upstream aus angegriffen werden.

Der potenzielle Schaden eines solchen Angriffs könnte Folgendes umfassen:

• Entladung des Akkus mobiler Geräte.
• Datenvolumennutzung und daraus resultierende Abrechnungsbeschwerden.
• Erschöpfung der RAN-Verbindung.

Angreifer können es außerdem von der mobilen Seite des Netzwerks eines einzelnen Betreibers aus auf andere Benutzer mobiler Geräte abgesehen haben. In diesem Szenario können ein oder mehrere mobile Angreifer Netzwerkteilnehmer mit DoS-, Flooding- oder DDoS-Angriffen über die Zugangs- und Kernnetzinfrastruktur des Betreibers angreifen.

Wie bei einem Angriff über das Internet könnte dieser Angriff möglicherweise mehrere Probleme verursachen, darunter:

• Entladung des Akkus mobiler Geräte.
• Datenvolumennutzung führt zu Abrechnungsbeschwerden.
• Erschöpfung der RAN-Verbindung.

Angriffe von der mobilen Seite zielen möglicherweise nicht auf Geräte, sondern auf die Signalinfrastruktur des Betreibers, einschließlich DNS sowie Lade- und Abrechnungssysteme.

Zu den Risiken eines Angriffs dieser Art gehören:

1. Erschöpfung der Airtime-/RAN-Ressourcen.
2. Beschwerden bezüglich der Datenvolumennutzung und Abrechnung von Abonnenten.
3. Überlastung und Zusammenbruch der DNS-Infrastruktur.
4. Fehler im Abonnentendatensatz.

Wie Sie sehen, kann es tatsächlich eine komplexe Aufgabe sein, alle potenziellen Sicherheitsrisiken zu verstehen und anzugehen, denen ein LTE-Netzbetreiber ausgesetzt ist. Glücklicherweise kann F5 maßgeschneiderte Lösungen auf Carrier-Niveau anbieten, um diese Risiken zu mindern.

Die weltweit größten Kommunikationsdienstleister vertrauen auf die Unterstützung von F5 bei der Sicherung und Vereinfachung ihrer Netzwerke, der Verbesserung ihrer Servicequalität und der Steigerung ihrer Rentabilität. Heute ist F5 in der einzigartigen Lage, Dienstanbietern dabei zu helfen, die Datenexplosion zu bewältigen und nahtlos auf IPv6 zu migrieren – und zwar mit einem breiten Portfolio an Carrier-Grade-Lösungen, die mehrere Dienste, einschließlich Sicherheit, auf einer einheitlichen Plattform bereitstellen. Mithilfe der F5-Plattform können Dienstanbieter die Markteinführungszeit verkürzen, Kapital- und Betriebskosten senken, die Leistung und Sicherheit der Dienstbereitstellung verbessern und Netzwerkdienste monetarisieren.

Das Service-Provider-Lösungspaket von F5 besteht aus Lösungen für Sicherheit, Netzwerkfunktionsvirtualisierung (NFV), Datenverkehrsmanagement sowie Diameter- und DNS-Signalisierung. Alle F5-Lösungen sind entweder auf speziell entwickelten, leistungsstarken physischen Hardwareplattformen oder auf einer Vielzahl von virtuellen oder Cloud-Plattformen verfügbar. Darüber hinaus sind Verwaltung und Orchestrierung für diese Lösungen über die F5® BIG-IQ® Verwaltungsplattform sowie über APIs jedes Produkts verfügbar.

Da Netzwerke weiterhin massiv wachsen und skalieren, entwickeln sich auch die Eigenschaften des über sie laufenden Datenverkehrs weiter. Dies führt zu einer größeren Anzahl von TCP-Verbindungen, wobei kürzere und häufigere Verbindungen vorherrschend werden. Diese Entwicklung des Anwendungsverkehrs hat zur Folge, dass das Netzwerk der Dienstanbieter jetzt Infrastrukturlösungen benötigt, die eine sehr hohe Skalierung von TCP-Verbindungen unterstützen. Veraltete Sicherheitslösungen sind nicht skalierbar und bieten nicht die Leistung, die für moderne Hochleistungsnetzwerke und -anwendungen erforderlich ist. Sie reichen in der heutigen Umgebung nicht aus, um Sicherheit, Leistung und Zuverlässigkeit zu gewährleisten.

Virtuelle oder Overlay-Netzwerke und virtualisierte Netzwerkdienste, wie sie zur Erstellung von Over-The-Top- (OTT) oder Großhandelsnetzwerkdiensten verwendet werden, schaffen außerdem eine weitere Komplexitätsebene, da die Skalierbarkeitsanforderungen steigen und neue Dienste und Anwendungen mit strengen Latenzanforderungen über diese Netzwerke ausgeführt werden.

All diese Veränderungen erfordern dringend Sicherheits- und Verkehrsmanagementlösungen, die enorme Skalierbarkeit und hohe Leistung bieten. F5-Lösungen, die beides können, sind perfekt für diese neuen Service- und Betriebsumgebungen geeignet.

Mit den Carrier-Grade-Service-Provider-Lösungen von F5 können Betreiber ihre LTE-Infrastrukturen, Teilnehmergeräte und OSS-Anwendungen vor potenziellen Angreifern schützen. Insbesondere der Einsatz lokaler und globaler Verkehrsmanagementlösungen wie F5 BIG-IP® Local Traffic Manager™ (LTM) und BIG-IP® DNS im Rechenzentrum des Netzbetreibers – zusammen mit F5-Firewall-Lösungen für Schicht 4 und Schicht 7 wie BIG-IP® Advanced Firewall Manager™ (AFM) und BIG-IP® Application Security Manager™ (ASM) – schützt Mobilfunkkunden vor Angriffen aus dem Internet und gleichzeitig das Rechenzentrum vor Angriffen von der mobilen Seite.

Innerhalb des Rechenzentrums selbst kann die Layer 4-Firewall von F5 Sicherheitsfunktionen aus der Kerninfrastruktur des Betreibers auslagern, was die Sicherheit erhöht und die Kosten senkt. Darüber hinaus bietet BIG-IP® Carrier-Grad NAT (CGNAT) die Carrier-Grade-NAT-Skalierbarkeit und -Leistung, die zur Unterstützung von Millionen von Benutzern erforderlich ist. Um den Serviceverkehr zu sichern und zu monetarisieren, kann BIG-IP® Policy Enforcement Manager™ (PEM) auch die Sichtbarkeit und Durchsetzung der Nutzlast des Benutzerverkehrs gewährleisten.

Die physischen und virtuellen BIG-IP-Plattformen bieten außerdem einen leistungsstarken und hoch skalierbaren Endpunkt für die SSL-Verschlüsselung und -Entschlüsselung, um sichere Verbindungen zum und vom Betreiberkern zu ermöglichen und durchzusetzen und so die Infrastruktur des Zugangsnetzwerks zu sichern. Der Einsatz der Sicherheitsplattformen BIG-IP AFM und BIG-IP ASM an Peering-Knotenpunkten schützt sowohl die Netzwerkinfrastruktur als auch die Mobilfunkkunden vor Angriffen durch Roaming-Netzwerkpartner.

Schließlich können OSS- und BSS-Systeme, einschließlich Teilnehmerdatenbanken, DNS und andere Signalisierungs- und Abrechnungssysteme innerhalb des Netzwerks des Betreibers durch BIG-IP AFM, BIG-IP DNS und den F5 Traffix® Signaling Delivery Controller™ (SDC) vor Angriffen durch betrügerische Mitarbeiter oder Bedrohungen aus dem Internet und von Mobilgeräten geschützt werden. F5 bietet außerdem eine vollständige Suite an Verwaltungs- und Orchestrierungsoptionen für Architekturen der nächsten Generation wie SDN und NFV, einschließlich Northbound-APIs und der BIG-IQ-Verwaltungsplattform.

Kurz gesagt bietet F5 umfassende Sicherheitslösungen für Dienstanbieter, die Folgendes gewährleisten können:

1. Mobilgeräte der Abonnenten.
2. Die Datenschicht des S/Gi-Netzwerks selbst sowie Rechenzentrums- und Peering-Verbindungen.
3. Das Zugangsnetz für sowohl drahtlose als auch drahtgebundene Verbindungen.
4. Die Signalisierungsschicht mit Traffix SDC und BIG-IP DNS-Diensten.
5. Anwendungen für die virtualisierten Netzwerkfunktionen (VNFs) im Rechenzentrum.

Alle oben genannten Dienste können im gesamten Netzwerk durchgängig abgeglichen und mit einem konsistenten Richtliniensatz durchgesetzt werden. Schließlich kann DDoS-Schutz über alle Ebenen des Netzwerks hinweg bereitgestellt werden, auf allen BIG-IP-Hardware- oder Virtual Edition-Plattformen.

Die Sicherheits- und Verkehrsmanagementlösungen von F5 für Dienstanbieter ermöglichen Netzwerkbetreibern:

• Sorgen Sie für die Sicherheit Ihrer Dienstanbieter in einer sich verändernden Landschaft. F5 bietet Dienstanbietern eine umfassende Sicherheitslösung mit enormer Skalierbarkeit, Programmierbarkeit und Erweiterbarkeit.
• Vereinfachen. Da alle oben genannten Funktionen (außer Traffix SDC) auf einer einzigen BIG-IP-Plattform verfügbar sind, kann ein Betreiber seine Rechenzentrumsinfrastruktur und seinen Netzwerkbetrieb reduzieren und vereinfachen und so Investitions-, Betriebs- und Gesamtbetriebskosten senken.
• Schützen Sie die Marke des Dienstanbieters. Die Sicherheitslösungen von F5 passen in eine einheitliche Servicebereitstellungsarchitektur, die eine proaktive Sicherheitslage und optimale Erfahrungen für Abonnenten bietet.
• Sicher gegen Angriffe der nächsten Generation. Die Sicherheitslösungen von F5 bieten Dienstanbietern eine hochgradig skalierbare Plattform, die überlegenen Durchsatz, höhere Verbindungsraten und gleichzeitige Sitzungen ermöglicht und gleichzeitig vor Angriffen der nächsten Generation schützt.
• Sichere Expansion in neue Umsatzquellen. F5 schützt und gewährleistet die Verfügbarkeit der Netzwerke und Anwendungsinfrastruktur von Dienstanbietern unter anspruchsvollsten Bedingungen und ermöglicht so die sichere Bereitstellung neuer Netzwerkanwendungen und -dienste, die das Umsatzwachstum vorantreiben.

Das Hauptanliegen der Dienstanbieter besteht weiterhin darin, ihre gesamte kritische Netzwerkinfrastruktur vor Angriffen zu schützen. Doch auch Angriffe auf die Endgeräte geraten mittlerweile in den Fokus der Aufmerksamkeit. Während einige Dienstanbieter in der Vergangenheit Angriffe auf Mobilgeräte möglicherweise als außerhalb ihres Verantwortungsbereichs stehend eingestuft haben, sind sich die meisten heute des potenziellen Schadens dieser Angriffe voll und ganz bewusst und wissen, dass sie über die nötigen Tools verfügen müssen, um solche Vorfälle zu verhindern. 

Für die Dienstanbieter stellt es eine noch größere Herausforderung dar, für alle Dienste eine End-to-End-Sicherheit zu gewährleisten, da die Grenze zwischen Angriffen auf die Benutzerausrüstung und Angriffen auf Netzwerkelemente immer mehr verschwimmt. Dies führt dazu, dass Dienstanbieter ein skalierbares, fortschrittliches und umfassendes Sicherheitsframework implementieren müssen, das ihre Netzwerke und Kunden schützt und ihnen gleichzeitig die Tools und Funktionen bietet, um auf neue, komplexe Bedrohungen reagieren zu können, sobald diese auftreten. Die Implementierung einer starken Sicherheitslage ist heute wichtiger denn je, und Mobilfunkanbieter können ihre sich entwickelnden LTE-Netzwerke am besten mit den umfassenden Sicherheitsfunktionen für Dienstanbieter schützen, die nur F5 bieten kann.

Weitere Informationen zum F5-Serviceprovider-Lösungssatz finden Sie unter f5.com/solutions/service-provider .