Modifications apportées à App-ID liées à SCTP
Resolution
SCTP et comment il est utilisé
Stream Control Transmission Protocol (SCTP — Protocol Number 132), un protocole de couche de transport IP défini dans la RFC 4960, est un protocole de transport fiable et basé sur les messages. Les réseaux mobiles utilisent largement SCTP pour transporter le trafic de signalisation sur diverses interfaces, telles que S1-Mme, S6a et x2, et pour envoyer plusieurs flux de signaux, de voix et d'autres données simultanément.
Nous avons actuellement 17 App-IDS pour les protocoles liés à SCTP et envisagent de obsolètes 13 de ces App-IDS liés à des protocoles SS7, y compris:
- SS7-Cap
- SS7-INAP
- SS7-PCCC
- SS7-carte-CSS-CallingParty
- SS7-plan-EIR-CallingParty
- SS7-plan-GGSN-CallingParty
- SS7-plan-GMLC-CallingParty
- SS7-plan-gsmscf-CallingParty
- SS7-plan-HLR-CallingParty
- SS7-plan-MSC-CallingParty
- SS7-plan-SGSN-CallingParty
- SS7-plan-siwf-CallingParty
- SS7-plan-VLR-CallingParty
Pour ces protocoles SS7, nous conseillons à nos clients d'adopter la fonctionnalité de sécurité SCTP publiée dans Pan-OS 8,1 sur les plates-formes de sécurité prises en charge. Cette fonctionnalité offre une meilleure sécurité, granularité et visibilité dans ces protocoles.
Nous avons également l'intention d'améliorer les mécanismes d'identification pour les 4 autres App-IDs pour les protocoles liés à SCTP, y compris:
- diamètre-over-SCTP
- M3UA
- Sua
- s1ap
Plan de version
Le 15 mai 2018, Palo Alto Networks sera l'amélioration des mécanismes d'identification pour 4 app-IDS pour les protocoles liés à SCTP et Obsoleting 13 App-IDS pour SCTP-based SS7 Protocols.
Foire aux Questions
Q: pourquoi Palo Alto Networks fait ce changement ?
A: basé sur notre interaction avec nos clients de fournisseur de services mobiles et le paysage de menace en évolution dans le plan de signalisation, nous avons étudié et avons trouvé ces améliorations. En étant conscient de cela et de nos efforts continus pour fournir une meilleure visibilité des applications dans les réseaux mobiles, nous avons pris la décision d'obsolètes 13 App-ID liés à SCTP et d'améliorer 4 SCTP App-IDS liés. Nous avons publié SCTP Security fonctionnalité dans Pan-OS 8,1 qui offre une meilleure sécurité, granularité et la visibilité dans les protocoles liés à SCTP.
Q : quelle stratégie de change sera nécessaire ?
A1: si vous êtes un client qui utilise une stratégie basée sur app-ID et L'app-ID nommé SCTP et le diamètre-over-SCTP pour permettre SCTP et le diamètre du trafic connexe, alors aucun changement n'est nécessaire.
Voici un exemple de stratégie de sécurité, à des fins d'illustration seulement.
A2: si vous êtes un client utilisant une stratégie basée sur L'app-ID et L'app-ID nommé SCTP et L'un des 13 SCTP liés App-IDS, y compris SS7-Cap, SS7-INAP, SS7-PCCC, SS7-Map-CSS-CallingParty, SS7-plan-EIR-CallingParty, SS7-Map-GGSN-CallingParty, SS7-plan-GMLC-CallingParty, SS7-plan-gsmscf-CallingParty, SS7-plan-HLR-CallingParty, SS7-plan-MSC-CallingParty, SS7-plan-SGSN-CallingParty, SS7-plan-siwf-CallingParty, SS7-Map-VLR-CallingParty pour permettre SCTP et SS7 trafic connexe, vous serez requis pour modifier cette stratégie pour «ajouter» M3UA ou sua App-ID en fonction du protocole d'adaptation Layer utilisé dans votre réseau. Prêter une attention particulière au mot «ajouter» dans la phrase précédente.
Voici un exemple de stratégie de sécurité, à des fins d'illustration uniquement.
Q: Qu'advient-il si le diamètre-sur-SCTP n'est pas ajouté dans les stratégies de sécurité avec SCTP, en cas de trafic de diamètre est en cours d'exécution sur SCTP?
A: à partir du troisième mardi de mai 2018, le trafic de diamètre fonctionnant sur SCTP avec PPID 46 et 47 sera maintenant identifié comme un diamètre-sur-SCTP. Si la stratégie de sécurité existante a SCTP explicitement autorisé, et il y a le trafic de diamètre-over-SCTP de correspondance, il peut être supprimé.
Q: Qu'advient-il si S1AP n'est pas ajouté dans les stratégies de sécurité avec SCTP dans le cas S1AP trafic est en cours d'exécution sur SCTP?
A: àpartir du troisième mardi de mai 2018, le trafic S1AP sur SCTP sera désormais identifié comme S1AP. Si la stratégie de sécurité existante a SCTP explicitement autorisé, et qu'il y a un trafic correspondant à S1AP, il peut être supprimé.
Q: Qu'advient-il si M3UA ou SUA n'est pas ajouté dans les stratégies de sécurité avec SCTP dans le cas SS7 trafic est en cours d'exécution sur SCTP?
A: àpartir du troisième mardi de mai 2018, le trafic SS7 sur SCTP sera désormais identifié comme M3UA ou sua. Si la stratégie de sécurité existante a SCTP explicitement autorisé, et qu'il y a un trafic correspondant à M3UA ou SUA, il peut être supprimé.
Q: qu'est-ce que la fonction de sécurité SCTP?
A: SCTP Security fonctionnalité vous permet d'appliquer la sécurité multicouche sur le trafic SCTP pour empêcher les informations de fuite et d'empêcher les attaquants de causer un déni de service, la congestion du réseau, et les pannes qui perturbent les services de données et de voix pour mobile abonnés.
En plus de permettre une inspection par État avec prise en charge multi-autoguidage, inspection multi-segments et validation de protocole de SCTP, cette fonctionnalité permet de filtrer le trafic SCTP basé sur les ID de protocole de charge utile (PPIDs) et de filtrer le diamètre et le trafic SS7 sur SCTP.
SCTP Security est pris en charge uniquement sur les pare-feu PA-5200 Series et VM-Series et nécessite un contenu version 785 ou une version ultérieure.
Pour plus d'informations, reportez-vous à https://www.paloaltonetworks.com/documentation/81/Service-Providers/Mobile-Network-infrastructure-Getting-Started/SCTP