Protección de redes LTE: qué, por qué y cómo

Los proveedores de servicios se enfrentan hoy a una serie de desafíos complejos a medida que buscan evolucionar y "asegurar el futuro" de sus redes para dar cabida al creciente tráfico de red, los requisitos de escalamiento masivo, las necesidades de virtualización y orquestación, los controles de costos y la expansión hacia nuevas fuentes de ingresos.

Al mismo tiempo, los operadores están experimentando incidentes y ataques de seguridad similares a los que los proveedores de servicios de Internet vienen experimentando desde hace años. La congestión de la red, la degradación o interrupción total del servicio y la exposición de la información del usuario y de los mensajes de señalización son preocupaciones graves. Los elementos red principal y la infraestructura de soporte son más propensos que nunca a sufrir amenazas externas. Las amenazas persistentes avanzadas (APT), los ataques distribuidos de denegación de servicio (DDoS) y los ataques a nivel de DNS amenazan la disponibilidad y el rendimiento de la red y el servicio. Por lo tanto, garantizar la seguridad, el rendimiento y la disponibilidad de las redes móviles de alta velocidad es de importancia crucial tanto para los proveedores de servicios que las poseen y operan como para sus suscriptores. Además, ahora es fundamental proteger la red en sí, así como los dispositivos de consumo conectados a ella.

Las soluciones de seguridad de nivel operador de F5 protegen tanto la red de evolución a largo plazo (LTE) como a sus suscriptores de las amenazas que enfrentan hoy. Estas soluciones pueden brindar a los proveedores de servicios seguridad en un panorama cambiante, salvaguardar la reputación de sus marcas, proteger contra ataques de próxima generación y permitir la expansión hacia nuevas fuentes de ingresos.

Tradicionalmente, la seguridad del proveedor de servicios se ha centrado casi por completo en proteger la infraestructura de red, y ha prestado poca o ninguna atención a los dispositivos terminales de los suscriptores. Sin embargo, a medida que las tecnologías de red evolucionan y el rendimiento aumenta a través de 3G, 4G, 5G y más allá, el punto de vista operativo tradicional (que simplemente proteger la red en sí es suficiente) debe cambiar.

Los modelos operativos tradicionales diseñados para infraestructura de red fija y dispositivos de suscriptores de bajo rendimiento ya no son suficientes a medida que las arquitecturas de los proveedores de servicios evolucionan hacia modelos de infraestructura dinámicos, virtualizados y orquestados. Las redes de proveedores de servicios, especialmente las redes LTE en evolución, ahora deben diseñarse para permanecer seguras en todas partes para que puedan brindar un servicio confiable y de alto rendimiento en entornos de redes virtualizadas, en la nube y definidas por software (SDN). Además, brindar seguridad a la infraestructura en el siglo XXI requiere que los proveedores de servicios asuman un nuevo enfoque en la protección de los dispositivos de los consumidores, ya que esos dispositivos representan un vector de riesgo nuevo y muy grave.

F5 ofrece soluciones a estos desafíos críticos (mediante hardware especialmente diseñado y ofertas virtuales) para brindar la seguridad, el rendimiento y la disponibilidad que los operadores necesitan a medida que sus redes crecen y evolucionan.

Los dispositivos de telefonía móvil han evolucionado a lo largo de los años y ahora son tan potentes y omnipresentes como las computadoras normales. Al mismo tiempo, el volumen y la variedad de datos que pueden almacenar han aumentado drásticamente, lo que convierte a estos dispositivos en un objetivo atractivo para los atacantes. De manera similar, el panorama de amenazas que enfrentan las redes móviles se ha ampliado desde los primeros ataques basados ​​en SMS hasta incluir ahora riesgos a nivel de dispositivo, aplicação y red.

Con más de dos tercios de los adultos conectados a Internet utilizando servicios de WiFi públicos, gratuitos y no seguros, la amenaza a la seguridad se hace evidente. Como afirma Bryan Sartin, director de Verizon Business, “en dos años, se robarán más datos de los dispositivos móviles que de los servidores y las aplicações”.

Otro riesgo a tener en cuenta, además del tráfico de atacantes maliciosos, son las aplicações conversacionales y la carga que pueden generar en los sistemas de señalización y soporte auxiliar. Con una sola solicitud de conexión para aplicações populares, como correo, noticias y redes sociales, que a menudo produce 30 o más eventos de conexión y señalización, la posibilidad de que millones de dispositivos suscriptores sobrecarguen la señalización del proveedor de servicios y la infraestructura de soporte también es una preocupación muy real. Si no está diseñado y construido con suficiente capacidad y seguridad, existe un potencial significativo de que un pequeño número de actores maliciosos interrumpan la infraestructura de soporte del operador.

El panorama de amenazas que afecta a los consumidores y sus dispositivos también continúa evolucionando. Con la creciente variedad y sofisticación de los vectores de amenaza, que incluyen ingeniería social, malware, ataques DDoS y más, ahora resulta fundamental que los operadores de redes LTE modernas protejan a sus clientes de posibles ataques para protegerse a sí mismos.

A medida que las tecnologías evolucionan y las relaciones costo/desempeño de la red mejoran, los operadores deben tratar de compensar la disminución proyectada en los ingresos provenientes de la conectividad pura y los servicios tradicionales. Si bien la mayoría de los operadores buscan reducir los costos de su infraestructura de red, esto por sí solo no garantizará un crecimiento rentable, por lo que los operadores están buscando fuentes de ingresos adicionales por servicios.

Al proteger la red en sí, los operadores pueden mejorar la calidad de la experiencia (QoE) proporcionada por la red a los suscriptores, protegiendo así tanto los servicios existentes como los nuevos que la red admite. Esto, a su vez, protegerá a los operadores de la pérdida de suscriptores y de las disminuciones en el ingreso promedio por usuario (ARPU). De este modo, al fortalecer la seguridad de la red, los operadores pueden aumentar sus ingresos generales y reducir su costo total de propiedad (TCO).

Los operadores móviles enfrentan riesgos únicos debido a la multitud de vectores de amenazas involucrados; las amenazas existen en las capas del dispositivo, la red y la aplicação , y cada una de ellas debe ser considerada y protegida para proteger tanto a la red como a los suscriptores de ataques.

Los ataques a nivel de dispositivo, que pueden ser causados por malware o bots que infectan los dispositivos de los suscriptores, pueden generar tráfico espurio o de ataque, crear tormentas de señalización en la red y agotar las baterías de los dispositivos. La red en sí puede estar sujeta al agotamiento de los recursos de la red de acceso por radio (RAN) y de la red principal , a violaciones de términos y condiciones (T&C) y a ataques a la infraestructura de DNS, facturación y señalización. Además, los ataques dirigidos a la capa de aplicação pueden incluir malware del lado del servidor, ataques DDoS a nivel de aplicación (específicos del protocolo) o amenazas a nivel de aplicação web de capa 7.

El operador debe tener en cuenta todos estos factores de riesgo para garantizar el funcionamiento estable y seguro de la red, proteger la infraestructura y proteger y satisfacer a los clientes. Más específicamente, los operadores deben implementar controles y políticas de seguridad en múltiples dominios para proteger cada aspecto de la red móvil.

Para proteger completamente la red se requiere una política de seguridad verdaderamente multicapa y multidominio. La seguridad en el dispositivo móvil, la interfaz aérea, la red de acceso, la red principal y también en las aplicações, los sistemas de soporte operativo (OSS) y los sistemas de soporte empresarial (BSS) debe estar protegida. Hasta que todas estas capas estén seguras, los operadores enfrentan el riesgo de ataques a través de múltiples vectores de amenaza en evolución.

Existen muchos ataques potenciales que pueden dañar las redes LTE y sus suscriptores, y es fundamental diseñar e implementar una arquitectura de seguridad integral para protegerse contra todos ellos. Si bien el daño de muchos de los diversos tipos de ataques, como el de un ataque DDoS, será amplio e inmediatamente evidente, varios tipos de ataques solo producirán una degradación localizada del servicio y, por lo tanto, son mucho más difíciles de solucionar.

Ejemplos de este último tipo de ataque incluyen el agotamiento de la conexión RAN, que provoca cortes localizados, y problemas de descarga de la batería de los dispositivos del consumidor, que pueden llevar a la devolución del dispositivo. De manera similar, los ataques a la infraestructura de facturación provocarán insatisfacción de los clientes y llamadas de servicio.

Todos los tipos de ataque, si tienen éxito, reducirán la satisfacción del cliente y aumentarán los costos del operador, por lo que es fundamental comprender los riesgos y desarrollar una estrategia de mitigación de extremo a extremo.

Si los operadores no prestan suficiente atención a la seguridad entrante desde su conexión a Internet ascendente, los atacantes pueden lanzar ataques de inundación o DoS/DDoS hacia los suscriptores de la red. El diagrama a continuación muestra un escenario de ataque de este tipo, con suscriptores móviles atacados desde arriba.

Los daños potenciales de un ataque de este tipo podrían incluir:

• Descarga de batería del dispositivo móvil.
• Uso del volumen de datos y quejas de facturación resultantes.
• Agotamiento de la conexión RAN.

Los atacantes también pueden apuntar a otros usuarios de dispositivos móviles desde el lado móvil de la red de un solo operador. En este escenario, uno o más atacantes móviles pueden atacar a los suscriptores de la red con ataques DoS, inundaciones o DDoS en toda la infraestructura de acceso y red principal del operador.

Al igual que un ataque desde Internet, este ataque también podría causar potencialmente múltiples problemas, entre ellos:

• Descarga de batería del dispositivo móvil.
• Uso de volumen de datos que genera quejas sobre facturación.
• Agotamiento de la conexión RAN.

En lugar de apuntar a los dispositivos, los ataques desde el lado móvil pueden apuntar a la infraestructura de señalización del operador, incluido el DNS y los sistemas de cobro y facturación.

Los riesgos de un ataque de esta naturaleza incluyen:

1. Agotamiento de recursos de tiempo aire/RAN.
2. Quejas sobre el volumen de datos de los suscriptores y su facturación.
3. Sobrecarga y colapso de la infraestructura DNS.
4. Errores en el registro de datos del suscriptor.

Como puede ver, puede ser una tarea compleja comprender y abordar todos los riesgos de seguridad potenciales que enfrenta un operador de red LTE. Afortunadamente, F5 puede ofrecer soluciones personalizadas y de nivel operador para mitigar estos riesgos.

Los proveedores de servicios de comunicaciones más grandes del mundo confían en F5 para ayudarlos a proteger y simplificar sus redes, mejorar su calidad de servicio y aumentar la rentabilidad. Hoy, F5 está en una posición única para ayudar a los proveedores de servicios a gestionar la explosión de datos y migrar sin problemas a IPv6 con una amplia cartera de soluciones de nivel de operador que brindan múltiples servicios, incluida la seguridad, en una plataforma unificada. La plataforma F5 permite a los proveedores de servicios reducir el tiempo de comercialización, reducir los costos operativos y de capital, mejorar el rendimiento y la seguridad de la prestación de servicios y monetizar los servicios de red.

El conjunto de soluciones para proveedores de servicios de F5 se compone de soluciones para seguridad, virtualización de funciones de red (NFV), gestión del tráfico de datos y señalización Diameter y DNS. Todas las soluciones de F5 están disponibles en plataformas de hardware físicas de alto rendimiento especialmente diseñadas o en una variedad de plataformas virtuales o en la nube. Además, la gestión y orquestación de estas soluciones está disponible a través de la plataforma de gestión F5® BIG-IQ®, así como de las API de cada producto.

A medida que las redes continúan creciendo y escalando masivamente, las características del tráfico que circula por ellas también evolucionan, lo que genera una mayor cantidad de conexiones TCP, siendo las conexiones más cortas y frecuentes las que se vuelven dominantes. La implicación de esta evolución del tráfico de aplicação es que la red del proveedor de servicios ahora requiere soluciones de infraestructura que admitan un escalamiento de conexión TCP muy alto. Las soluciones de seguridad heredadas no pueden escalar y no ofrecen el rendimiento necesario para las redes y aplicações modernas de alto rendimiento; no serán suficientes para brindar seguridad, rendimiento y confiabilidad en el entorno actual.

Las redes virtuales o superpuestas y los servicios de red virtualizados, tal como se utilizan para crear servicios de red OTT (over-the-top) o mayoristas, también generan otro nivel de complejidad a medida que aumentan los requisitos de escalabilidad y se ejecutan nuevos servicios y aplicações con estrictos requisitos de latencia en estas redes.

Toda esta transformación impulsa la necesidad crítica de contar con soluciones de seguridad y gestión del tráfico que puedan ofrecer una escala masiva y un alto rendimiento. Las soluciones de F5, que hacen ambas cosas, se adaptan perfectamente a estos nuevos entornos operativos y de servicio.

Las soluciones para proveedores de servicios de nivel de operador de F5 permiten a los operadores proteger sus infraestructuras LTE, dispositivos de suscriptores y aplicações OSS de posibles atacantes. En concreto, la implementación de soluciones de gestión de tráfico local y global como F5 BIG-IP® Local Traffic Manager™ (LTM) y BIG-IP® DNS dentro del centro de datos del operador, junto con soluciones de firewall de F5 para capa 4 y capa 7, como BIG-IP® Advanced Firewall Manager™ (AFM) y BIG-IP® Aplicação Security Manager™ (ASM), protegerá a los clientes móviles de ataques desde Internet y, al mismo tiempo, protegerá al centro de datos de ataques desde el lado móvil.

Dentro del propio centro de datos, el firewall de capa 4 de F5 puede descargar funciones de seguridad de la infraestructura principal del operador, aumentando la seguridad y reduciendo los costos. Además, BIG-IP® Carrier-Grad NAT (CGNAT) proporciona la escalabilidad y el rendimiento de NAT de nivel de operador necesarios para dar soporte a millones de usuarios. BIG-IP® Policy Enforcement Manager™ (PEM) también puede proporcionar visibilidad y cumplimiento de la carga útil del tráfico del usuario para proteger y monetizar el tráfico del servicio.

Las plataformas físicas y virtuales BIG-IP también proporcionan un punto final de cifrado y descifrado SSL altamente escalable y de alto rendimiento para habilitar y aplicar conexiones seguras hacia y desde el núcleo del operador, asegurando así la infraestructura de red de acceso. El uso de las plataformas de seguridad BIG-IP AFM y BIG-IP ASM en las uniones de peering protege tanto a la infraestructura de red como a los clientes móviles contra ataques de socios de red en itinerancia.

Finalmente, los sistemas OSS y BSS, incluidas las bases de datos de suscriptores, DNS y otros sistemas de señalización y cobro dentro de la red del operador pueden protegerse contra ataques de empleados deshonestos o amenazas de Internet y móviles mediante BIG-IP AFM, BIG-IP DNS y F5 Traffix® Signalling Delivery Controller™ (SDC). F5 también ofrece un conjunto completo de opciones de gestión y orquestación para arquitecturas de próxima generación como SDN y NFV, incluidas API en dirección norte y la plataforma de gestión BIG-IQ.

En resumen, F5 ofrece soluciones de seguridad integrales para proveedores de servicios que pueden proteger:

1. Dispositivos móviles de suscriptores.
2. La capa de datos de la propia red S/Gi, así como el centro de datos y las conexiones de peering.
3. La red de acceso para conexiones tanto inalámbricas como por cable.
4. La capa de señalización con los servicios DNS Traffix SDC más BIG-IP.
5. Aplicações de las funciones de red virtualizadas (VNF) dentro del centro de datos.

Todos los servicios mencionados anteriormente pueden coordinarse de extremo a extremo en toda la red y aplicarse con un conjunto coherente de políticas. Finalmente, la protección DDoS se puede brindar en todas las capas de la red, en todo el hardware BIG-IP o en plataformas de edición virtual.

Las soluciones de seguridad y gestión de tráfico para proveedores de servicios de F5 permiten a los operadores de red:

• Mantener la seguridad del proveedor de servicios en un panorama cambiante. F5 ofrece a los proveedores de servicios una solución de seguridad integral con enorme escalabilidad, programabilidad y extensibilidad.
• Simplificar. Dado que todas las funciones anteriores (excepto Traffix SDC) están disponibles en una única plataforma BIG-IP, un operador puede reducir y simplificar su infraestructura de centro de datos y sus operaciones de red, reduciendo así los gastos de capital, los gastos operativos y el total de propiedad (TCO).
• Proteger la marca del proveedor de servicios. Las soluciones de seguridad de F5 encajan dentro de una única arquitectura de prestación de servicios que ofrece una postura de seguridad proactiva y experiencias óptimas para los suscriptores.
• Protéjase contra ataques de próxima generación. Las soluciones de seguridad de F5 brindan a los proveedores de servicios una plataforma altamente escalable que permite un rendimiento superior, tasas de conexión y sesiones simultáneas al tiempo que protege contra la próxima generación de ataques.
• Asegurar la expansión hacia nuevas fuentes de ingresos. F5 protege y garantiza la disponibilidad de las redes de proveedores de servicios y la infraestructura de aplicaciones en las condiciones más exigentes, lo que permite la entrega segura de nuevas aplicações y servicios de red que impulsan el crecimiento de los ingresos.

La principal preocupación de los proveedores de servicios sigue siendo proteger toda su infraestructura de red crítica de ataques, pero los ataques a los equipos de los usuarios ahora también están firmemente dentro del ámbito de preocupación. Si bien en el pasado algunos proveedores de servicios pueden haber categorizado los ataques a dispositivos móviles como algo fuera del ámbito de sus responsabilidades, la mayoría ahora comprende completamente el daño potencial de esos ataques y que deben tener herramientas para evitar que estos incidentes ocurran. 

El desafío que enfrentan los proveedores de servicios para garantizar la seguridad de extremo a extremo para toda la prestación de servicios es que la línea entre los ataques a los equipos de los usuarios y los ataques a los elementos de la red sigue desdibujándose. Esto impulsa la necesidad de que los proveedores de servicios implementen un marco de seguridad escalable, avanzado y completo que proteja sus redes y clientes al tiempo que proporciona herramientas y capacidades para abordar nuevas amenazas sofisticadas a medida que surgen. Implementar una postura de seguridad sólida es ahora más importante que nunca, y los proveedores de servicios móviles pueden proteger mejor sus redes LTE en evolución con las amplias capacidades de seguridad para proveedores de servicios que sólo F5 puede proporcionar.

Obtenga más información sobre el conjunto de soluciones para proveedores de servicios de F5 en f5.com/solutions/service-provider .