SCTP 関連アプリ-ID の変更
Resolution
SCTP とその使用方法
ストリーム制御伝送プロトコル(SCTP-プロトコル番号 132)、RFC 4960 で定義されている IP トランスポート層プロトコルは、信頼性の高い、メッセージベースのトランスポートプロトコルです。モバイルネットワークは広く SCTP を使用して、S1-マダム、S6a、X2 などのさまざまなインターフェイスのシグナリングトラフィックを転送し、シグナリング、音声、およびその他のデータの複数のストリームを同時に送信します。
我々は現在、SCTP 関連のプロトコルのための17のアプリケーション id を持っており、次のような SS7 プロトコルに関連するこれらのアプリケーション id の時代遅れの13を計画している:
- ss7-キャップ
- ss7-inap
- ss7-sccp
- ss7-地図-css-callingparty
- ss7-地図-eir-callingparty
- ss7-地図-ggsn-callingparty
- ss7-地図-gmlc-callingparty
- ss7-地図-gsmscf-callingparty
- ss7-地図-hlr-callingparty
- ss7-地図-msc-callingparty
- ss7-地図-sgsn-callingparty
- ss7-地図-siwf-callingparty
- ss7-地図-vlr-callingparty
これらの SS7 プロトコルについては 、サポートされているセキュリティプラットフォーム上で、PAN-OS 8.1 でリリースした SCTP セキュリティ機能を採用することをお客様にお勧めします。この機能により、セキュリティ、粒度、およびこれらのプロトコルの可視性が向上します。
また、次のような SCTP 関連のプロトコルについて、残りの4つのアプリケーション id の識別メカニズムを改善する予定です。
- 直径-sctp
- M3ua
- Sua
- s1ap
リリース計画
5月15日2018に、パロアルトネットワークは、SCTP 関連のプロトコルのための4つのアプリケーション id のための識別メカニズムを改善するでしょう、そして、SCTP ベースの SS7 プロトコルのための時代遅れ13のアプリケーション id。
Frequently Asked Questions
Q: なぜパロアルト ネットワークはこの変更を行うのですか。
A: 私たちのモバイルサービスプロバイダのお客様との相互作用とシグナリング面で進化する脅威の風景に基づいて、我々は調査し、これらの改善を思い付いた。そのことを認識し、モバイルネットワークでより優れたアプリケーションの可視性を提供するための継続的な取り組みとして、我々は時代遅れの 13 SCTP 関連のアプリ id を決定し、4 SCTP 関連のアプリ id を改善しました。我々は、SCTP 関連のプロトコルにより良いセキュリティ、粒度、および可視性を提供する PAN-OS 8.1 の SCTP セキュリティ機能をリリースしました。
Q: どのようなポリシーの変更は必要になりますか。
A1:アプリ id ベースのポリシーを使用しているお客様で、SCTP および diameter SCTP という名前のアプリ id を使って、SCTP および diameter 関連のトラフィックを許可する場合は、変更は必要ありません。
以下に、セキュリティポリシーの例を示します。
A2:アプリ id ベースのポリシーと、SCTP という名前のアプリ id と、13の SCTP 関連アプリ IDs のいずれかを使用しているお客様は、ss7 を含む, ss7-inap, ss7-sccp, ss7-地図-css-callingparty, ss7-地図-eir-callingparty, ss7-地図-ggsn-callingparty,ss7-地図-gmlc-callingparty, ss7-地図-gsmscf-callingparty, ss7-地図-hlr-callingparty, ss7-地図-msc-callingparty, ss7-地図-sgsn-callingparty, ss7-地図-siwf-callingparty, ss7-地図-vlr-callingparty SCTP と ss7 関連のトラフィックを許可するには、このポリシーを変更するには、ネットワークで使用されている適応レイヤプロトコルに応じて、M3UA または SUA アプリ ID を "追加" する必要があります。前の文の「add」という言葉には細心の注意を払ってください。
以下に、セキュリティポリシーの例を示します。
Q: SCTP のセキュリティポリシーに直径 SCTP が追加されていない場合、直径のトラフィックが SCTP 以上実行されている場合はどうなりますか?
A: 5 月2018の第3火曜日に始まり、PPID 46 と47で SCTP 以上の直径のトラフィックが、直径-SCTP として識別されるようになりました。既存のセキュリティポリシーの SCTP が明示的に許可されていて、SCTP の直径が一致するトラフィックがある場合は、削除されることがあります。
Q: S1AP トラフィックが SCTP にわたって実行されている場合に、SCTP を使用してセキュリティポリシーに S1AP が追加されない場合はどうなりますか。
A: 5 月2018の第3火曜日に始まり、SCTP 以上の S1AP のトラフィックが S1AP として識別されるようになりました。 既存のセキュリティポリシーが明示的に許可されていて、S1AP に一致するトラフィックがある場合は、SCTP が削除されることがあります。
Q: SS7 トラフィックが SCTP にわたって実行されている場合に、SCTP を使用してセキュリティポリシーに M3UA または SUA が追加されない場合はどうなりますか。
A: 5 月2018の第3火曜日から、SCTP 以上の SS7 トラフィックが M3UA または SUA として識別されるようになりました。 既存のセキュリティポリシーが明示的に許可されていて、M3UA または SUA に一致するトラフィックがある場合は、SCTP が削除されることがあります。
Q: SCTP セキュリティ機能とは何ですか?
A: SCTP セキュリティ機能を使用すると、SCTP トラフィックに多層セキュリティを適用して、情報が漏洩しないようにしたり、攻撃者がサービス拒否、ネットワークの混雑、およびモバイル向けのデータや音声サービスを妨害する停止を防ぐことができます。加入者。
マルチホーミングサポート、マルチチャンク検査、および SCTP のプロトコル検証を使用してステートフルインスペクションを有効にするだけでなく、この機能により、ペイロードプロトコル id (PPIDs) に基づいて SCTP トラフィックをフィルタリングし、SCTP 上でのフィルタの直径と SS7 トラフィックを有効にすることができます。
SCTP セキュリティは、PA-5200 シリーズおよび VM シリーズのファイアウォールでのみサポートされており、コンテンツリリースバージョン785またはそれ以降のバージョンが必要です。
詳しくは、 https://www.paloaltonetworks.com/documentation/81/service-providers/mobile-network-infrastructure-getting-started/sctp を参照してください。