Wyzwania w tworzeniu zabezpieczeń sieci 5G

Według prognoz firmy Ericsson, do 2024 roku na świecie będą działać 22 miliardy urządzeń internetu rzeczy podłączonych do sieci. Bezpieczeństwo wielu z nich może być bardzo ograniczone z powodu np. małej mocy obliczeniowej. Dodatkowo część z tych urządzeń będzie pracować bez przestojów, co zmniejszy częstotliwość aktualizacji. Takie urządzenia mogą być podatne na różne ataki, takie jak atak DoS (Denial-of-Service), przeciążający pamięć operacyjną, dysk, procesor, radio lub baterię. Mając na uwadze wiele potencjalnych zagrożeń, wspólnie z Maciejem Kędziorem, System Developerem w dziale Operation and Maintenance w 5G z firmy Ericsson przyglądamy się głównym systemom bezpieczeństwa sieci 5G.

Bardzo istotne w kontekście bezpieczeństwa jest zrozumienie faktu, że 5G jest nową i innowacyjną technologią. Poza znanymi zagrożeniami mogą pojawić się nowe, nieprzewidziane do tej pory niebezpieczeństwa. 5G niesie niemalże nieograniczony potencjał w IoT, ale również wprowadza nowe możliwości dla kreatywnych hakerów do przeprowadzania zupełnie nowych ataków.

Eksperci firmy Ericsson zdają sobie sprawę, że bardziej niż kiedykolwiek, systemy sieci telefonii komórkowej będą potrzebowały odpowiedniego monitorowania w celu identyfikacji anomalii w ruchu i ataków oraz należytego reagowania w czasie rzeczywistym. Przy takiej skali urządzeń i obsługiwanego ruchu wydaje się, że systemy bezpieczeństwa oparte o sztuczną inteligencję, to jedyne słuszne rozwiązanie, mogące sprostać wysokim wymaganiom bezpieczeństwa w sieciach 5G.

Wymagania bezpieczeństwa wobec 5G

Architektura bezpieczeństwa 5G musi być elastyczna i łatwo adaptowalna do nowych rozwiązań sieciowych oraz nowych funkcjonalności, które trzeba obsłużyć. Konfiguracja bezpieczeństwa powinna być dostosowana i zoptymalizowana, aby odpowiednio obsługiwać konkretną aplikację. Różne usługi będą miały inne wymagania wobec bezpieczeństwa. Uwierzytelnianie powinno być elastyczne, by sprostać tym wymaganiom. Dodatkowo architektura bezpieczeństwa powinna być zdolna do ewolucji, w celu radzenia sobie z nowymi zagrożeniami i rozwiązaniami, które nie są znane w czasie powstawania standardu.

Systemy 5G mogą używać różnorodnych technologii dostępu. Niejednorodne metody dostępu do sieci są jedną z kluczowych funkcji oferowanych przez nowy standard. Z tego powodu potrzebna jest jednolita struktura bezpieczeństwa, zapewniająca możliwość uwierzytelniania i szyfrowania ruchu dla urządzeń używających różnych standardów telekomunikacyjnych jako medium dostępowego, np. Wi-Fi.

Nowe metody bezpieczeństwa w 5G

Architektura rdzenia sieci 5G została zaprojektowana z myślą o niezawodności. Przykładem jest koncept logicznego segmentowania sieci (network slicing). Proces ten polega na logicznym izolowaniu podsieci, z których każda ma być tak zoptymalizowana, aby spełniać odpowiednią charakterystykę ruchu dla pełnionej usługi. Jednym z czynników branych pod uwagę przy projektowaniu segmentów sieci (network slices), powinny być wymogi bezpieczeństwa.

Mając dobrze oddzielone segmenty sieci, możemy odseparować od siebie grupy użytkowników i aplikacji o różnych wymaganiach. Można np. odizolować podsieć dla niskopriorytetowych urządzeń IoT w celu uniknięcia niepożądanych wpływów na sieć, spowodowanych dużą ilością tych urządzeń. Można też wyodrębnić osobny segment dla urządzeń o dużych wymaganiach bezpieczeństwa, np. sprzęt raportujący stan zdrowia pacjentów (eHealth).

Kolejnym czynnikiem zwiększającym niezawodność jest fakt, że architektura sieci szkieletowej 5G jest oparta na wirtualnym środowisku, a nie na dedykowanych urządzeniach, pełniących konkretne funkcje. Rozwiązania oparte na wirtualizacji sprawiają, że funkcje stają się bardziej skalowalne w zależności od wielkości obsługiwanego ruchu oraz sprawiają, że dane funkcje mogą być niezależnie zastąpione, zrestartowane czy też wyizolowane podczas ataku.

Przeczytaj również: aktualne oferty pracy w Ericsson Polska

5G kładzie duży nacisk na prywatność i anonimowość użytkowników. Z tego powodu wprowadzono dodatkową ochronę IMSI (International Mobile Subscriber Identity). IMSI jest unikatowym numerem przypisanym do karty SIM, jednoznacznie identyfikującym ją w sieci komórkowej, takiej jak LTE. 5G wprowadza mechanizm, w którym urządzenie mobilne szyfruje swoje IMSI, używając asymetrycznego klucza publicznego sieci domowej. W ten sposób zaszyfrowane IMSI może być odszyfrowane jedynie przez sieć domową, która posiada odpowiedni klucz prywatny. 5G nie dopuszcza transmisji IMSI w wersji zaszyfrowanej starszymi metodami. Wprowadzenie tego typu mechanizmu czyni śledzenie użytkowników poprzez podsłuchiwanie interfejsu radiowego nieopłacalnym.

5G wymaga elastycznego podejścia do uwierzytelniania urządzeń mobilnych z powodu mnogości przypadków użycia, takich jak IoT, automatyzacja fabryk czy też połączeń do sieci korporacyjnej. Z tego powodu 3GPP definiuje dwa etapy uwierzytelniania: pierwotne i wtórne (Primary, Secondary Authentication).

Pierwotne uwierzytelnianie jest obowiązkowe i jego celem jest przyznanie dostępu do sieci 5G. Wtórne uwierzytelnianie jest nieobowiązkowe i może nastąpić dopiero po pozytywnym uwierzytelnieniu pierwotnym. Celem tej fazy jest uwierzytelnienie urządzenia mobilnego przez zewnętrzną sieć danych – przykładem użycia może być przyznawanie dostępu do APN-u (Access Point Name), należącego do danego przedsiębiorstwa.

Kolejnym mechanizmem w 5G, który może zwiększyć bezpieczeństwo i prywatność użytkowników, jest wykrywanie fałszywych stacji bazowych (False Base Station Detection). Fałszywe stacje bazowe mogą próbować przeprowadzać pasywne lub aktywne ataki na urządzenia mobilne. Pasywne ataki polegają na podsłuchiwaniu interfejsu radiowego i próby wykorzystywania informacji, które są przesyłane w formie nieszyfrowanej (np. atak IMSI Catching). Podczas aktywnych ataków, fałszywa stacja bazowa udaje prawdziwą, rozgłaszając te same informacje MIB/SIB (Master/System Information Block), co prawdziwa stacja, tylko że z większą mocą – w ten sposób próbuje wymusić przełączenie mobilnego urządzenia do fałszywego nadajnika. Na sieci poprzednich generacji zostało zaadresowane wiele rozwiązań zwiększających odporność na takie ataki. Mając do dyspozycji urządzenia radiowe i terminale dużo mocniejsze niż kiedyś od początku wdrażamy odpowiednie dla 5G, najsilniejsze w obecnym momencie technologie zabezpieczeń. Będą one chronić sieć przed znanymi rodzajami ataku od początku jej istnienia. Ułatwią także wprowadzanie zabezpieczeń na nowe rodzaje ataków.

Rola Ericsson w bezpieczeństwie 5G

Standaryzacja to proces, w którym wiele organizacji definiuje, jak pracują sieci na całym świecie. Ericsson jest obecny we wszystkich większych jednostkach standaryzacyjnych, pracujących nad bezpieczeństwem i prywatnością w sieciach telekomunikacji mobilnej, takich jak 3GPP, IETF, ETSI NFV. Ericsson nieustannie kształtuje branżę, uczestnicząc w standaryzacji technologii, zwiększających bezpieczeństwo, w celu zapewnienia globalnie uzgodnionych rozwiązań w sieciach komórkowych.

Przeczytaj również: Jak pracujemy w Ericsson

Dla przykładu, w 3GPP Ericsson przewodzi pracą nad ustandaryzowaniem ochrony IMSI i mechanizmu do wykrywania fałszywych stacji bazowych w 5G. Dodatkowo kieruje również pracą nad udoskonaleniem uwierzytelniania 5G, zarówno w IETF, jak i 3GPP. Ulepszenia mają na celu uniemożliwienie osobie atakującej, która uzyskała tajny klucz długoterminowy, odszyfrowanie przeszłych komunikatów.

Ericsson intensywnie pracuje nad niezawodnością swoich produktów. Mechanizmy automatycznego przywrócenia usługi będą chroniły infrastrukturę sieciową jeszcze w większym stopniu niż dziś. Niektóre niepożądane sytuacje w sieci mogą zostać przewidziane i odpowiednie automatyczne akcje mogą zostać podjęte nawet przed wystąpieniem awarii.

W Polsce również działa drugie pod względem wielkości centrum badań i rozwoju firmy Ericsson na świecie, które w Krakowie i Łodzi zatrudnia około 1800 osób. Efekty pracy polskich inżynierów wykorzystują operatorzy telekomunikacyjni w wielu krajach, w Polsce są nimi Play i Polkomtel.

Śledź najnowsze informacje o firmie Ericsson w Polsce oraz polub profil firmy na Facebooku

O autorze

Maciej Kędzior pracuje jako System Architect w obszarze Operation and Maintenance w 4G/5G. Pracuje nad projektowaniem nowych rozwiązań do zarządzania stacjami bazowymi. W wolnym czasie czyta literaturę fantasy oraz aktywnie gra w squasha i piłkę nożną.