Cambios de ID de App relacionados con SCTP

SCTP y cómo se utiliza

El protocolo de transmisión de control de flujo (SCTP — protocolo número 132), un protocolo de capa de transporte IP definido en RFC 4960, es un protocolo de transporte confiable y basado en mensajes. Las redes móviles utilizan ampliamente SCTP para transportar tráfico de señalización en varias interfaces, como S1-Mme, S6a y x2, y para enviar múltiples flujos de señalización, voz y otros datos simultáneamente.

Actualmente tenemos 17 App-IDS para protocolos relacionados con SCTP y estamos planeando obsoletar 13 de estos App-IDS relacionados con protocolos SS7 incluyendo:

• SS7-Cap
• SS7-INAP
• SS7-SCCP
• SS7-mapa-CSS-callingparty
• SS7-mapa-EIR-callingparty
• SS7-mapa-GGSN-callingparty
• SS7-mapa-gmlc-callingparty
• SS7-mapa-gsmscf-callingparty
• SS7-mapa-ELO-callingparty
• SS7-Map-MSC-callingparty
• SS7-mapa-SGSN-callingparty
• SS7-mapa-siwf-callingparty
• SS7-mapa-VLR-callingparty

Para estos protocolos SS7, aconsejamos a nuestros clientes que adopten la característica de seguridad SCTP lanzada en pan-OS 8,1 en plataformas de seguridad soportadas. Esta característica proporciona una mayor seguridad, granularidad y visibilidad en estos protocolos.

También planeamos mejorar los mecanismos de identificación para los 4 App-IDS restantes para los protocolos relacionados con SCTP, incluyendo:

• diámetro-sobre-SCTP
• m3ua
• Sua
• s1ap

Plan de versión

El 15 de mayo de 2018, Palo Alto Networks estará mejorando los mecanismos de identificación de 4 App-IDS para protocolos relacionados con SCTP y obsoletos 13 App-IDS para protocolos SS7 basados en SCTP.

Preguntas frecuentes

P: ¿por qué Palo Alto Networks hizo este cambio?

A: basándonos en nuestra interacción con nuestros clientes de proveedores de servicios móviles y el cambiante paisaje de amenazas en el plano de señalización, investigamos y llegamos a estas mejoras. Al ser conscientes de ello y nuestros continuos esfuerzos para proporcionar una mejor visibilidad de las aplicaciones en las redes móviles, hemos tomado la decisión de obsoleto 13 App-IDS relacionados con SCTP y mejorar 4 SCTP relacionados con App-IDS. Lanzamos la característica de seguridad de SCTP en pan-OS 8,1 que proporciona una mejor seguridad, granularidad, y visibilidad en los protocolos SCTP-relacionados. 

P: ¿qué política de cambios serán necesarios?

A1: si usted es un cliente que está utilizando una política basada en app-id y el app-id llamado SCTP y Diameter-over-SCTP para permitir el tráfico relacionado con SCTP y diámetro, entonces no se requiere ningún cambio.

He aquí un ejemplo de una política de seguridad, sólo para fines ilustrativos.

A2: si usted es un cliente que usa una política basada en app-id y la app-id denominada SCTP y cualquiera de los 13 SCTP relacionados con App-IDS, incluyendo SS7-Cap, SS7-INAP, SS7-SCCP, SS7-Map-CSS-callingparty, SS7-mapa-EIR-callingparty, SS7-Map-GGSN-callingparty, SS7-mapa-gmlc-callingparty, SS7-mapa-gsmscf-callingparty, SS7-mapa-ELO-callingparty, SS7-mapa-MSC-callingparty, SS7-mapa-SGSN-callingparty, SS7-mapa-siwf-callingparty, SS7-mapa-VLR-callingparty para permitir SCTP y SS7 tráfico relacionado, usted será requerido para cambiar esta política para "agregar" M3UA o SUA App-ID dependiendo del Protocolo de capa de adaptación utilizado en su red. Preste mucha atención a la palabra "Add" en la frase anterior.  

A continuación se muestra un ejemplo de una política de seguridad, sólo para fines ilustrativos.

P: ¿Qué sucede si no se añade Diameter-over-SCTP en las directivas de seguridad con SCTP, en caso de que el diámetro del tráfico se ejecute sobre SCTP?

A: comenzando el tercer martes en mayo de 2018, el tráfico del diámetro que funciona sobre SCTP con PPID 46 y 47 ahora será identificado como Diameter-over-SCTP. Si la Directiva de seguridad existente se ha permitido explícitamente en SCTP, y hay un diámetro de coincidencia de tráfico de SCTP, se puede obtener una caída.  

P: ¿Qué sucede si S1AP no se agrega en las directivas de seguridad con SCTP en caso de que el tráfico S1AP se ejecute sobre SCTP?

A: apartir del tercer martes de mayo de 2018, el tráfico S1AP que corre sobre SCTP ahora se identificará como S1AP.   Si la Directiva de seguridad existente se ha permitido explícitamente en SCTP, y hay S1AP de coincidencia de tráfico, puede que se retirara.  

P: ¿Qué sucede si M3UA o sua no se agregan en las directivas de seguridad con SCTP en caso de que SS7 tráfico se ejecute sobre SCTP?

A:comenzando el tercer martes de mayo de 2018, el tráfico SS7 que corre sobre SCTP ahora será identificado como M3UA o SUA.   Si la Directiva de seguridad existente ha permitido explícitamente el SCTP, y hay M3UA o sua que coincidan con el tráfico, es posible que se haya caído.  

P: ¿Cuál es la función de seguridad de SCTP?

A: la función de seguridad SCTP le permite hacer cumplir la seguridad de múltiples capas en el tráfico SCTP para evitar que la información se filtre y evitar que los atacantes provoquen denegación de servicio, congestión de red y interrupciones que interrumpen los servicios de voz y datos para móviles suscriptores.

Además de permitir la inspección de estado con soporte multidireccional, inspección de varios trozos y validación de protocolos de SCTP, esta función permite filtrar el tráfico SCTP basado en IDS de protocolo de carga útil (PPIDs) y filtrar el diámetro y el tráfico SS7 sobre SCTP.

SCTP Security sólo se admite en los cortafuegos de la serie PA-5200 y de la serie VM y requiere la versión 785 de contenido o una versión posterior.

Para más información, consulte https://www.paloaltonetworks.com/documentation/81/Service-Providers/Mobile-Network-Infrastructure-Getting-Started/SCTP