SCTP-bezogene APP-ID-Änderungen

SCTP und wie es verwendet wird

Das Stream-Control -Übertragungsprotokoll (SCTP —-Protokollnummer 132), ein in RFC 4960 definiertes IP-Transport-Layer-Protokoll, ist ein zuverlässiges, Nachrichten basiertes Transportprotokoll. Mobilfunknetze nutzen SCTP, um den Signal Verkehr auf verschiedenen Schnittstellen wie S1-MME, S6a und X2 zu transportieren und mehrere Ströme von Signalisierung, Stimme und anderen Daten gleichzeitig zu versenden.

Wir haben derzeit 17 App-IDs für SCTP-bezogene Protokolle und planen, 13 dieser APP-IDs im Zusammenhang mit SS7-Protokollen zu veraltet, darunter:

• SS7-Cap
• SS7-Inap
• SS7-SCCP
• SS7-Map-CSS-callingparty
• SS7-Map-EIR-callingparty
• SS7-Map-GGSN-callingparty
• SS7-Map-gmlc-callingparty
• SS7-Map-gsmscf-callingparty
• SS7-Map-HLR-callingparty
• SS7-Map-MSC-callingparty
• SS7-Map-SGSN-callingparty
• SS7-Map-siwf-callingparty
• SS7-Map-VLR-callingparty

Für diese SS7- Protokolle empfehlen wir unseren Kunden, die in Pan-OS 8,1 veröffentlichte SCTP-Sicherheitsfunktion auf unterstützten Sicherheits Plattformen zu übernehmen. Diese Funktion bietet eine bessere Sicherheit, Granularität und Sichtbarkeit in diese Protokolle.

Wir planen auch, die Identifikationsmechanismen für die restlichen 4 APP-IDs für SCTP-bezogene Protokolle zu verbessern, darunter:

• Durchmesser-over-SCTP
• M3UA
• Sua
• s1ap

Freigabeplan

Am 15. Mai 2018 wird Palo Alto Networks die Identifikationsmechanismen für 4 APP-IDs für SCTP-bezogene Protokolle verbessern und 13 APP-IDs für SCTP-basierte SS7-Protokolle veraltet.

Häufig gestellte Fragen

F: Warum vornehmen Palo Alto Networks diese Änderung?

A: basierend auf unserer Interaktion mit unseren Kunden im Mobil Funk Dienstleister und der sich entwickelnden Bedrohungslandschaft in der Signalebene haben wir diese Verbesserungen untersucht und entwickelt. Da wir uns dessen bewusst sind und uns weiterhin bemühen, eine bessere Sichtbarkeit der Anwendungen in den MobilFunknetzen zu gewährleisten, haben wir die Entscheidung getroffen, 13 SCTP-bezogene App-IDs obsolet zu machen und 4 SCTP-bezogene App-IDs zu verbessern. Wir haben SCTP Security Feature in PAN-OS 8,1 veröffentlicht, das eine bessere Sicherheit, Granularität und Sichtbarkeit in den SCTP-bezogenen Protokollen bietet. 

F: welche Änderungen sind erforderlich?

A1: Wenn Sie ein Kunde sind, der eine APP-ID-basierte Richtlinie verwendet, und die APP-ID namens SCTP und Durchmesser-over-SCTP, um SCTP und Durchmesser bezogenen Verkehr zu ermöglichen, dann ist keine Änderung erforderlich.

Hier ist ein Beispiel für eine Sicherheitspolitik, nur zu illustrativen Zwecken.

A2: Wenn Sie ein Kunde sind, der eine APP-ID-basierte Richtlinie und die APP-ID namens SCTP und eine der 13 SCTP-bezogenen App-IDs verwendet, inklusive SS7-Cap, SS7-Inap, SS7-SCCP, SS7-Map-CSS-callingparty, SS7-Map-EIR-callingparty, SS7-Map-GGSN-callingparty, SS7-Map-gmlc-callingparty, SS7-Map-gsmscf-callingparty, SS7-Map-HLR-callingparty, SS7-Map-MSC-callingparty, SS7-Karte-SGSN-callingparty, SS7-Map-siwf-callingparty, SS7-Map-VLR-callingparty um SCTP und SS7 verwandten Verkehr zu ermöglichen, werden Sie erforderlich, um diese Richtlinie zu ändern, um M3UA oder SUA APP-ID zu "addieren", je nach dem in Ihrem Netzwerk verwendeten Anpassungs Schicht Protokoll. Achten Sie genau auf das Wort "hinzufügen" im vorhergehenden Satz.  

Im folgenden ist ein Beispiel für eine Sicherheitspolitik, nur zu illustrativen Zwecken.

F: Was passiert, wenn DurchMesser-over-SCTP nicht in den Sicherheitsrichtlinien mit SCTP hinzugefügt wird, wenn der DurchMesser Verkehr über SCTP läuft?

A: ab dem dritten Dienstag im Mai 2018 wird der Durchmesser Verkehr, der über SCTP mit PPID 46 und 47 verläuft, nun als Durchmesser-over-SCTP identifiziert. Wenn die bestehende Sicherheitspolitik SCTP explizit erlaubt hat und es einen Verkehrs passenden DurchMesser-over-SCTP gibt, kann es fallen gelassen werden.  

F: Was passiert, wenn S1AP nicht in den Sicherheitsrichtlinien mit SCTP hinzugefügt wird, falls S1AP Verkehr über SCTP läuft?

A:ab dem dritten Dienstag im Mai 2018 wird nun S1AP Verkehr, der über SCTP verläuft, als S1AP identifiziert.   Wenn die bestehende Sicherheitspolitik SCTP explizit erlaubt hat und es einen Traffic-Matching S1AP gibt, kann es fallen gelassen werden.  

F: Was passiert, wenn M3UA oder SUA nicht in den Sicherheitsrichtlinien mit SCTP hinzugefügt wird, falls SS7 Verkehr über SCTP läuft?

A:ab dem dritten Dienstag im Mai 2018 wird der SS7-Verkehr, der über SCTP verläuft, nun als M3UA oder SUA identifiziert.   Wenn die bestehende Sicherheitspolitik SCTP explizit erlaubt hat, und es gibt Traffic Matching M3UA oder SUA, kann es fallen gelassen werden.  

F: Was ist die SCTP-Sicherheitsfunktion?

A: SCTP Security Feature ermöglicht es Ihnen, mehrschichtige Sicherheit im SCTP-Verkehr durchzusetzen, um zu verhindern, dass Informationen auslaufen, und um zu verhindern, dass Angreifer Denial of Service, Netzwerk Überlastung und Ausfälle verursachen, die Daten-und Sprachdienste für Mobile stören. Abonnenten.

Neben einer stattlichen Inspektion mit Multi-Homing-Unterstützung, Multi-Chunk-Inspektion und Protokoll Validierung von SCTP ermöglicht diese Funktion die Filterung von SCTP-Traffic auf der Basis von Nutz Last Protokoll-IDs (PPIDs) und den filterDurchmesser und den SS7-Verkehr über SCTP.

SCTP Security wird nur auf den Firewalls der PA-5200-Serie und der VM-Serie unterstützt und benötigt eine Content-Release-Version 785 oder eine spätere Version.

Weitere Informationen finden Sie auf https://www.paloaltonetworks.com/Documentation/81/Service-Providers/Mobile-Network-Infrastructure-Getting-Started/SCTP