【導讀】今年5月,WannaCry2.0利用“永恒之藍”漏洞利用程序通過互聯網對全球Windows操作系統的計算機進行攻擊,惡意加密用戶文件以勒索比特幣。勒索病毒橫掃全球!1/2/3/4G為手機而生,而如今,5G要面向萬物互聯,安全問題更加突出。那我們所了解的5G到底安全嗎?
從1G/2G到3G/4G,20多年來,移動通信網絡以其強大的加密與認證措施,一直都是最安全的商用網絡。
但是,1/2/3/4G僅為手機而生,而5G要面向萬物互聯,安全問題更加突出。
比如,5G有一個用例叫遠程醫療,它可以拯救人類的生命,可想而知,網絡安全性有多么重要!
5G超高速率與超低時延也是一把雙刃劍,對于黑客而言,這也意味著攻擊速度更快!
另一方面,5G要網絡重構,要切片,要遷移到電信云,基于NFV/SDN的網絡虛擬化、自動化和開源化使能網絡更靈活、敏捷和低成本。
但這也是一把雙刃劍,網絡靈活和敏捷意味著更容易遭受惡意攻擊,伴隨開源和開放而來的還有敞開的漏洞。
通俗的講,1/2/3/4G網絡的安全機制是在網絡入口設置高高的“保護墻”來防止網絡遭受攻擊,而開放包容的5G會在一定程度上會打破“高墻”,部分依靠網絡內部靈活慎密的安全機制來應對網絡攻擊。
4G標準安全構架
因此,5G安全是一門前無所有的新課題、新挑戰。
5G面臨的安全挑戰
要理解5G安全機制,我們得先理解5G網絡重構,即基于云的網絡構架。
我們講傳統的電信設備是“黑匣子”解決方案,5G要通過NFV(網絡功能虛擬化)來對“黑匣子”軟硬件解耦,并將解耦后的虛擬化網絡功能軟件分解成模塊化的組件運行于通用硬件之上,最終走向云化和開源的軟/硬件生態。
再以核心網為例...
這樣的5G網絡構架主要會面臨哪些挑戰呢?
如上圖所示,5G網絡安全挑戰包括:
- 來自接入網側的控制面和用戶面DDoS攻擊,比如海量終端發起“信令風暴”引發網絡擁塞甚至崩潰。
- 攻擊編排(Orchestration)漏洞
- 攻擊Hypervisor漏洞
- 來自互聯網DDoS/攻擊
- 虛擬化的5G網絡更具彈性和靈活性,但這同樣是把雙刃劍,這也意味著網絡攻擊更靈活。
其中,上圖也列出了虛擬化網絡的兩大主要應對措施:DDOS緩解機制和安全功能虛擬化(Security Function Virtualization)。
5G如何應對DDoS攻擊?
盡管傳統電信設備是“黑匣子”,但采用專用ASIC,處理性能穩定,長期以來經受住了網絡高峰考驗,堅挺而可靠。
而5G NFV把虛擬網絡功能運行于通用CPU之上,當網絡負荷狂增時,尤其在受到DDoS攻擊時,軟件化后的網絡能否經得起考驗?如何應對?
現在我們假設大量物聯網終端感染了“遠程重啟”惡意軟件,這些物聯網終端組成所謂的“僵尸網絡”,黑客隨時準備向我們的5G網絡發起攻擊...
5G如何應對?如下圖:
①黑客操控海量被感染的物聯網終端同時重啟,引發海量的附著請求(Attach Requests),從而發起“信令風暴”攻擊。
②vMME處于被DDoS攻擊狀態。
③系統實時分析并發出“受攻擊”告警。
④編排器(Orchestrator)實例化新的虛擬機(VM)快速擴展vMME功能,以在對網絡攻擊進行進一步分析期間擴展更高的信令流量負荷,防止網絡癱瘓。
如果是用戶面的惡意流量呢?5G又如何應對?
①移動終端上的惡意軟件向客戶云服務直接發送惡意IP數據包。
②分析引擎檢測到異常,并發送實時告警。
③SDN控制器動態修改防火墻規則,阻撓攻擊。
5G如何應對漏洞攻擊?
舉個例子,我們說5G網絡要以用戶為中心,要實現終端用戶的自助服務,比如用戶可以自助調整寬帶網速,甚至是添加類似防火墻一類的虛擬功能,但是,這一切都是用戶通過一個公共的外部網站或平臺來實現。
當用戶自助修改功能時,需求通過外部網絡傳送到NFV編排器(Orchestrator),這就意味著,在外網和運營商內網之間為終端用戶打開了一條控制網絡的通道。
這就為黑客利用漏洞發起攻擊提供了一條通道。
以Hypervisor漏洞攻擊為例...
黑客攻擊開源代碼漏洞,Hypervisor感染惡意軟件,進而篡改虛擬機(VM)、竊取和篡改數據。
再來看看SDN控制器漏洞攻擊...
眾所周知,傳統的電信設備是將控制面集成在一個封閉的盒子里,且控制面協議絕大部分預定義于設備中,只預留了少量的幾個參數可修改、調整。
而SDN將控制面從設備分離,并抽取出來,通過編程化的外部控制器來實現如同交通調度樞紐般的對網絡交通狀況進行動態調整,這同樣為黑客利用漏洞攻擊提供了機會。
黑客如何發起SDN控制器漏洞攻擊呢?
假設SDN控制器中代碼有BUG,沒有禁用外部實體接入,黑客就可以利用北向API發起XXE攻擊,進而竊取敏感數據或遠程代碼執行。
對于漏洞攻擊的防范主要還是實時監控、定期掃描、勤更新、堵端口等,尤其注意接入控制和API接口安全。
旁路攻擊
5G網絡需采用網絡切片技術來應對不同的應用場景,最典型的切片是:大規模物聯網、關鍵任務型物聯網和增強型移動寬帶三大切片。
網絡切片是指共享網絡物理資源,由Hypervisor管理和控制為不同應用場景切出多個邏輯上獨立的虛擬網絡。
由于同一張物理網絡共存多個“切片”,容易遭受來自黑客的旁路攻擊。
黑客如何對5G切片網絡發起旁路攻擊呢?
未來的5G切片可能不僅僅是以上三大典型切片,其包括多個為特定服務定制的網絡切片,甚至是虛擬運營商自己定義切片,不同的切片對網絡可靠性和安全性要求不盡相同,黑客就可能通過了解“切片1”中的虛擬機中的代碼運行規律來推斷出“切片2”中的運行于同一物理資源之上的虛擬機的代碼運行規律,從而發起向“切片2”的網絡攻擊。
這種攻擊方式通常采用旁路攻擊。所謂旁路攻擊,在密碼學中指繞過對加密算法的繁瑣分析,利用密碼算法的硬件實現的運算中泄露的信息,如執行時間、功耗、電磁輻射等,結合統計理論快速的破解密碼系統。
比如時序攻擊,黑客通過分析加密算法的時間執行來推導出密匙。
所以,5G切片需部署慎密的隔離機制,尤其是虛擬機之間的隔離。
從另一個角度看,虛擬機的隔離機制也非常重要。
由于未來的5G網絡是分布式的,除了核心云,還有分布于基站、接入機房的邊緣數據中心,虛擬機遍布網絡。這些虛擬機經常被實例化,一旦受到攻擊,病毒就可能從一個虛擬機傳播到另一個,或從一個主機上的虛擬機傳播到其它主機上,最終蔓延整個網絡。
因此,每一個切片網絡下的虛擬機可能都要做到被單獨監視和保護。
相對于傳統2/3/4G的安全機制,很明顯,5G安全機制更加細化。
總之,對于5G而言,傳統2/3/4G網絡那套安全機制是行不通,和5G網絡重構一樣,5G網絡的安全機制也是一次前所未有的顛覆:我們不但要防止網絡攻擊,還要時刻做最壞的打算,不斷假設網絡如果遭受攻擊應該采取怎樣的措施,且能快速應對。
以上內容主要討論了虛擬化后5G網絡面臨的安全問題,盡管很重要,但并不是5G安全的全部,事實上,我們認為,5G安全機制是一次CT和IT領域的融合,范圍廣,復雜度高。
墨跡了這么久,那么5G到底安全嗎?
對不起,這個問題我們真回答不了,但是,我們始終相信,不管2/3/4G,還是5G,移動蜂窩網絡的安全性永遠是No.1。
目前,3GPP工作組SA3負責5G網絡安全構架,其關注的領域如下:
5G第一階段的安全構架將于2018年3月完成,屆時可查閱技術規范TS33.501。
最后,再上一張來自諾基亞貝爾實驗室的5G安全架構圖...
好了,這就是我們所了解的關于5G安全那些事,不詳之處,歡迎補充。
推薦閱讀:
