Sécurisation des réseaux LTE : quoi, pourquoi et comment

Les fournisseurs de services sont aujourd’hui confrontés à un certain nombre de défis complexes alors qu’ils cherchent à faire évoluer et à « pérenniser » leurs réseaux pour s’adapter à l’augmentation du trafic réseau, aux exigences de mise à l’échelle massive, aux besoins de virtualisation et d’orchestration, aux contrôles des coûts et à l’expansion vers de nouvelles sources de revenus.

Dans le même temps, les opérateurs sont confrontés à des incidents de sécurité et à des attaques similaires à celles que connaissent les fournisseurs d’accès Internet depuis des années. La congestion du réseau, la dégradation du service ou la panne complète, ainsi que l’exposition des informations utilisateur et des messages de signalisation sont des préoccupations sérieuses. Les éléments du réseau central et l’infrastructure de support sont plus exposés que jamais aux menaces extérieures. Les menaces persistantes avancées (APT), les attaques par déni de service distribué (DDoS) et les attaques au niveau DNS menacent la disponibilité et les performances du réseau et des services. Assurer la sécurité, la performance et la disponibilité des réseaux mobiles à haut débit est donc d’une importance cruciale tant pour les fournisseurs de services qui les possèdent et les exploitent que pour leurs abonnés. De plus, il est désormais essentiel de protéger le réseau lui-même ainsi que les appareils grand public qui y sont connectés.

Les solutions de sécurité de niveau opérateur de F5 protègent à la fois le réseau d’évolution à long terme (LTE) et ses abonnés contre les menaces auxquelles ils sont confrontés aujourd’hui. Ces solutions peuvent offrir aux fournisseurs de services une sécurité dans un paysage en constante évolution, protéger la réputation de leur marque, se protéger contre les attaques de nouvelle génération et permettre l’expansion vers de nouvelles sources de revenus.

Traditionnellement, la sécurité des fournisseurs de services se concentrait presque entièrement sur la protection de l’infrastructure réseau, avec peu ou pas d’attention accordée aux terminaux des abonnés. Cependant, à mesure que les technologies de réseau évoluent et que les performances augmentent grâce à la 3G, la 4G, la 5G et au-delà, le point de vue opérationnel traditionnel, selon lequel la simple protection du réseau lui-même est suffisante, doit changer.

Les modèles opérationnels hérités conçus pour l’infrastructure de réseau fixe et les appareils d’abonnés à faible performance ne sont plus suffisants à mesure que les architectures des fournisseurs de services évoluent vers des modèles d’infrastructure dynamiques, virtualisés et orchestrés. Les réseaux des fournisseurs de services, en particulier les réseaux LTE en constante évolution, doivent désormais être conçus pour rester sécurisés partout afin de pouvoir fournir un service fiable et performant dans des environnements virtualisés, cloud et de réseau défini par logiciel (SDN). En outre, pour assurer la sécurité des infrastructures au XXIe siècle, les fournisseurs de services doivent accorder une nouvelle importance à la protection des appareils grand public, car ces appareils représentent un vecteur de risque nouveau et très sérieux.

F5 fournit des solutions à ces défis critiques, via du matériel spécialement conçu ainsi que des offres virtuelles, pour offrir la sécurité, les performances et la disponibilité dont les opérateurs ont besoin à mesure que leurs réseaux se développent et évoluent.

Les appareils de téléphonie mobile ont évolué au fil des années et sont désormais tout aussi puissants et omniprésents que les ordinateurs classiques. Dans le même temps, le volume et la variété des données qu’ils peuvent stocker ont considérablement augmenté, faisant de ces appareils eux-mêmes une cible attrayante pour les attaquants. De même, le paysage des menaces auxquelles sont confrontés les réseaux mobiles s’est élargi par rapport aux premières attaques par SMS pour inclure désormais des risques au niveau de l’appareil, de l’application et du réseau.

Alors que plus des deux tiers des adultes en ligne utilisent des services Wi-Fi publics gratuits et non sécurisés, la menace pour la sécurité devient évidente. Comme le déclare Bryan Sartin, directeur de Verizon Business, « dans deux ans, davantage de données seront volées sur les appareils mobiles que sur les serveurs et les applications. »

Un autre risque à prendre en compte en plus du trafic malveillant des attaquants est celui des applications bavardes et de la charge qu’elles peuvent générer sur les systèmes de signalisation et de support auxiliaires. Avec une seule demande de connexion pour des applications populaires, notamment la messagerie, les actualités et les médias sociaux, générant souvent 30 événements de connexion et de signalisation ou plus, le risque que des millions d'appareils d'abonnés surchargent l'infrastructure de signalisation et de support du fournisseur de services est également une préoccupation très réelle. Si le système n’est pas conçu et construit avec une capacité et une sécurité suffisantes, il existe un risque important qu’un petit nombre de mauvais acteurs perturbent l’infrastructure de signalisation et de support de l’opérateur.

Le paysage des menaces ciblant les consommateurs et leurs appareils continue également d’évoluer. Avec la variété et la sophistication croissantes des vecteurs de menaces, notamment l’ingénierie sociale, les logiciels malveillants, les attaques DDoS, etc., il devient désormais essentiel pour les opérateurs de réseaux LTE modernes de protéger leurs clients contre les attaques potentielles afin de se protéger.

À mesure que les technologies évoluent et que les ratios coûts/performances des réseaux s’améliorent, les opérateurs doivent chercher à compenser la baisse prévue des revenus provenant de la connectivité pure et des services traditionnels. Bien que la plupart des opérateurs cherchent à réduire les coûts de leur infrastructure réseau, cela ne suffira pas à garantir une croissance rentable. Les opérateurs recherchent donc des sources de revenus de services supplémentaires.

En protégeant le réseau lui-même, les opérateurs peuvent améliorer la qualité de l’expérience (QoE) fournie par le réseau aux abonnés, protégeant ainsi les services existants et nouveaux pris en charge par le réseau. Cela protégera à son tour les opérateurs contre le désabonnement des abonnés et la baisse du revenu moyen par utilisateur (ARPU). Ainsi, en renforçant la sécurité du réseau, les opérateurs peuvent augmenter leurs revenus globaux et réduire leur coût total de possession (TCO).

Les opérateurs mobiles sont confrontés à des risques uniques en raison de la multitude de vecteurs de menaces impliqués ; les menaces existent au niveau des couches de l'appareil, du réseau et de l'application, et chacune doit être prise en compte et sécurisée pour protéger à la fois le réseau et les abonnés contre les attaques.

Les attaques au niveau de l’appareil, qui peuvent être causées par des logiciels malveillants ou des robots infectant les appareils des abonnés, peuvent générer du trafic parasite ou d’attaque, créer des tempêtes de signalisation dans le réseau et épuiser les batteries des appareils. Le réseau lui-même peut être sujet à l'épuisement des ressources du réseau d'accès radio (RAN) et du réseau central, à des violations des conditions générales (T&C) et à des attaques sur les infrastructures DNS, de facturation et de signalisation. En outre, les attaques ciblant la couche applicative peuvent inclure des logiciels malveillants côté serveur, des attaques DDoS au niveau de l'application (spécifiques au protocole) ou des menaces au niveau de l'application Web de la couche 7.

Tous ces facteurs de risque doivent être pris en compte par l’opérateur pour garantir un fonctionnement stable et sécurisé du réseau, pour protéger l’infrastructure et pour protéger et satisfaire les clients. Plus précisément, les opérateurs doivent mettre en place des contrôles et des politiques de sécurité dans plusieurs domaines pour protéger chaque aspect du réseau mobile.

Pour protéger pleinement le réseau, il est nécessaire de mettre en place une véritable politique de sécurité multicouche et multi-domaines. La sécurité au niveau de l’appareil mobile, de l’interface aérienne, du réseau d’accès, du réseau central, ainsi qu’au niveau des applications, des systèmes de support opérationnel (OSS) et des systèmes de support métier (BSS) doit être protégée. Tant que toutes ces couches ne sont pas sécurisées, les opérateurs sont confrontés au risque d’attaques via de multiples vecteurs de menaces évolutifs.

Il existe de nombreuses attaques potentielles susceptibles de nuire aux réseaux LTE et à leurs abonnés, et il est essentiel de concevoir et de mettre en œuvre une architecture de sécurité holistique pour se protéger contre elles toutes. Bien que les dommages causés par de nombreux types d’attaques, comme une attaque DDoS, soient à la fois vastes et immédiatement apparents, plusieurs types d’attaques ne produiront qu’une dégradation localisée du service et sont donc beaucoup plus difficiles à résoudre.

Les exemples de ce dernier type d’attaque incluent l’épuisement de la connexion RAN, qui conduit à des pannes localisées, et les problèmes de décharge de la batterie des appareils grand public, qui peuvent conduire au retour des appareils. De même, les attaques sur l’infrastructure de facturation entraîneront l’insatisfaction des clients et des appels de service.

Tous les types d’attaques, s’ils réussissent, diminueront la satisfaction des clients et augmenteront les coûts de l’opérateur. Il est donc essentiel de comprendre les risques et de développer une stratégie d’atténuation de bout en bout.

Si les opérateurs ne prêtent pas suffisamment attention à la sécurité entrante de leur connexion Internet en amont, les attaquants peuvent lancer des attaques par inondation ou DoS/DDoS contre les abonnés du réseau. Le diagramme ci-dessous montre un tel scénario d’attaque, avec des abonnés mobiles attaqués en amont.

Les dommages potentiels d’une telle attaque pourraient inclure :

• Épuisement de la batterie de l'appareil mobile.
• Utilisation du volume de données et réclamations de facturation qui en découlent.
• Épuisement de la connexion RAN.

Les attaquants peuvent également cibler d’autres utilisateurs d’appareils mobiles depuis le côté mobile du réseau d’un seul opérateur. Dans ce scénario, un ou plusieurs attaquants mobiles peuvent cibler les abonnés du réseau avec des attaques DoS, Flooding ou DDoS sur l’accès de l’opérateur et sur l’infrastructure du réseau principal.

Comme dans le cas d’une attaque côté Internet, cette attaque pourrait également potentiellement causer de multiples problèmes, notamment :

• Épuisement de la batterie de l'appareil mobile.
• Utilisation du volume de données entraînant des plaintes en matière de facturation.
• Épuisement de la connexion RAN.

Plutôt que de cibler les appareils, les attaques du côté mobile peuvent plutôt cibler l’infrastructure de signalisation de l’opérateur, y compris le DNS et les systèmes de facturation.

Les risques d’une attaque de cette nature incluent :

1. Épuisement des ressources Airtime/RAN.
2. Plaintes relatives à l'utilisation du volume de données des abonnés et à la facturation.
3. Surcharge et effondrement de l’infrastructure DNS.
4. Erreurs d’enregistrement des données d’abonné.

Comme vous pouvez le constater, il peut en effet s’avérer complexe de comprendre et de traiter tous les risques de sécurité potentiels auxquels est confronté un opérateur de réseau LTE. Heureusement, F5 peut proposer des solutions sur mesure de qualité opérateur pour atténuer ces risques.

Les plus grands fournisseurs de services de communication au monde font confiance à F5 pour les aider à sécuriser et à simplifier leurs réseaux, à améliorer leur qualité de service et à accroître leur rentabilité. Aujourd'hui, F5 est dans une position unique pour aider les fournisseurs de services à gérer l'explosion des données et à migrer de manière transparente vers IPv6 avec un large portefeuille de solutions de qualité opérateur qui offrent plusieurs services, y compris la sécurité, sur une plate-forme unifiée. La plateforme F5 permet aux fournisseurs de services de réduire les délais de mise sur le marché, de réduire les coûts d'investissement et d'exploitation, d'améliorer les performances et la sécurité de la prestation de services et de monétiser les services réseau.

L'ensemble de solutions de fournisseur de services de F5 est composé de solutions de sécurité, de virtualisation des fonctions réseau (NFV), de gestion du trafic de données et de signalisation Diameter et DNS. Toutes les solutions F5 sont disponibles soit sur des plates-formes matérielles physiques hautes performances spécialement conçues, soit sur une variété de plates-formes virtuelles ou cloud. De plus, la gestion et l’orchestration de ces solutions sont disponibles via la plateforme de gestion F5® BIG-IQ® ainsi que les API de chaque produit.

À mesure que les réseaux continuent de croître et de s'étendre massivement, les caractéristiques du trafic qui y circule évoluent également, entraînant un plus grand nombre de connexions TCP, les connexions plus courtes et plus fréquentes devenant dominantes. L’implication de cette évolution du trafic applicatif est que le réseau du fournisseur de services nécessite désormais des solutions d’infrastructure prenant en charge une mise à l’échelle très élevée des connexions TCP. Les solutions de sécurité existantes ne peuvent pas évoluer et n’offrent pas les performances nécessaires aux réseaux et applications modernes et performants. Elles ne seront pas suffisantes pour assurer la sécurité, les performances et la fiabilité dans l’environnement actuel.

Les réseaux virtuels ou superposés et les services de réseau virtualisés, tels qu'utilisés pour créer des services de réseau over-the-top (OTT) ou de gros, créent également un autre niveau de complexité à mesure que les exigences d'évolutivité augmentent et que de nouveaux services et applications avec des exigences de latence strictes sont exécutés sur ces réseaux.

Toutes ces transformations génèrent un besoin critique de solutions de sécurité et de gestion du trafic capables de fournir une échelle massive et des performances élevées. Les solutions F5, qui font les deux, sont parfaitement adaptées à ces nouveaux environnements de service et d’exploitation.

Les solutions de fournisseur de services de niveau opérateur de F5 permettent aux opérateurs de sécuriser leurs infrastructures LTE, leurs appareils d'abonnés et leurs applications OSS contre les attaquants potentiels. Plus précisément, le déploiement de solutions de gestion du trafic local et global telles que F5 BIG-IP® Local Traffic Manager™ (LTM) et BIG-IP® DNS au sein du centre de données de l'opérateur, ainsi que des solutions de pare-feu F5 pour les couches 4 et 7, telles que BIG-IP® Advanced Firewall Manager™ (AFM) et BIG-IP® Application Security Manager™ (ASM), protégera les clients mobiles des attaques provenant d'Internet tout en protégeant le centre de données des attaques provenant du côté mobile.

Au sein même du centre de données, le pare-feu de couche 4 de F5 peut décharger les fonctions de sécurité de l’infrastructure principale de l’opérateur, augmentant ainsi la sécurité et réduisant les coûts. De plus, BIG-IP® Carrier-Grad NAT (CGNAT) offre l'évolutivité et les performances NAT de niveau opérateur requises pour prendre en charge des millions d'utilisateurs. La visibilité et l'application de la charge utile du trafic utilisateur peuvent également être fournies par BIG-IP® Policy Enforcement Manager™ (PEM) pour sécuriser et monétiser le trafic de service.

Les plates-formes physiques et virtuelles BIG-IP fournissent également un point de terminaison de cryptage et de décryptage SSL hautes performances et hautement évolutif pour permettre et appliquer des connexions sécurisées vers et depuis le cœur de l'opérateur, sécurisant ainsi l'infrastructure du réseau d'accès. L'utilisation des plateformes de sécurité BIG-IP AFM et BIG-IP ASM aux jonctions de peering protège à la fois l'infrastructure réseau et les clients mobiles contre les attaques des partenaires de réseau en itinérance.

Enfin, les systèmes OSS et BSS, y compris les bases de données d'abonnés, le DNS et d'autres systèmes de signalisation et de facturation au sein du réseau de l'opérateur peuvent être protégés contre les attaques d'employés malveillants ou les menaces Internet et mobiles par BIG-IP AFM, BIG-IP DNS et le F5 Traffix® Signaling Delivery Controller™ (SDC). F5 propose également une suite complète d'options de gestion et d'orchestration pour les architectures de nouvelle génération telles que SDN et NFV, y compris les API nord-orientées et la plate-forme de gestion BIG-IQ.

En bref, F5 propose des solutions de sécurité complètes pour les fournisseurs de services qui peuvent sécuriser :

1. Appareils mobiles des abonnés.
2. La couche de données du réseau S/Gi lui-même, ainsi que les connexions de centre de données et de peering.
3. Le réseau d'accès pour les connexions sans fil et filaires.
4. La couche de signalisation avec les services DNS Traffix SDC plus BIG-IP.
5. Applications pour les fonctions réseau virtualisées (VNF) au sein du centre de données.

Tous les services ci-dessus peuvent être mis en correspondance de bout en bout sur l’ensemble du réseau et appliqués avec un ensemble cohérent de politiques. Enfin, la protection DDoS peut être déployée sur toutes les couches du réseau, sur toutes les plateformes matérielles ou d'édition virtuelle BIG-IP.

Les solutions de sécurité et de gestion du trafic des fournisseurs de services de F5 permettent aux opérateurs de réseau de :

• Maintenir la sécurité des fournisseurs de services dans un paysage en constante évolution. F5 offre aux fournisseurs de services une solution complète et sécurisée avec une évolutivité, une programmabilité et une extensibilité massives.
• Simplifier. Étant donné que toutes les fonctions ci-dessus (à l'exception du SDC Traffix) sont disponibles sur une seule plate-forme BIG-IP, un opérateur peut réduire et simplifier son infrastructure de centre de données et ses opérations réseau, réduisant ainsi les dépenses d'investissement, les dépenses d'exploitation et le coût total de possession.
• Protéger la marque du fournisseur de services. Les solutions de sécurité F5 s'intègrent dans une architecture de prestation de services unique qui offre une posture de sécurité proactive et des expériences optimales pour les abonnés.
• Protégez-vous contre les attaques de nouvelle génération. Les solutions de sécurité F5 offrent aux fournisseurs de services une plate-forme hautement évolutive qui permet un débit, des taux de connexion et des sessions simultanées supérieurs tout en protégeant contre la nouvelle génération d'attaques.
• Sécuriser l’expansion vers de nouvelles sources de revenus. F5 protège et garantit la disponibilité des réseaux des fournisseurs de services et de l'infrastructure des applications dans les conditions les plus exigeantes, permettant une livraison sécurisée de nouvelles applications et services réseau qui stimulent la croissance des revenus.

La principale préoccupation des fournisseurs de services reste de protéger l’ensemble de leurs infrastructures réseau critiques contre les attaques, mais les attaques contre les équipements des utilisateurs font désormais également partie de leurs préoccupations. Alors que par le passé, certains fournisseurs de services pouvaient considérer les attaques sur les appareils mobiles comme étant en dehors de leur domaine de responsabilité, la plupart comprennent désormais pleinement les dommages potentiels de ces attaques et qu'ils doivent disposer d'outils pour empêcher que ces incidents ne se produisent. 

Le défi des fournisseurs de services pour garantir la sécurité de bout en bout de toutes les prestations de services est rendu encore plus difficile par le fait que la frontière entre les attaques sur les équipements des utilisateurs et les attaques sur les éléments du réseau continue de s’estomper. Cela oblige les fournisseurs de services à mettre en œuvre un cadre de sécurité évolutif, avancé et complet qui protège leurs réseaux et leurs clients tout en fournissant des outils et des capacités pour faire face aux nouvelles menaces sophistiquées à mesure qu'elles émergent. La mise en œuvre d’une posture de sécurité solide est désormais plus essentielle que jamais, et les fournisseurs de services mobiles peuvent sécuriser au mieux leurs réseaux LTE en évolution grâce aux capacités de sécurité étendues des fournisseurs de services que seul F5 peut fournir.

Pour en savoir plus sur l'ensemble de solutions de fournisseurs de services F5, rendez-vous sur f5.com/solutions/service-provider .