男人伊人中文字幕,97香蕉久久国产超碰青草

你的位置：首頁 > 互連技術 > 正文

遭遇DDoS、漏洞及旁路攻擊，5G如何應對？

發(fā)布時間：2017-08-18 來源：網(wǎng)優(yōu)雇傭軍責任編輯：wenwei

【導讀】今年5月，WannaCry2.0利用“永恒之藍”漏洞利用程序通過互聯(lián)網(wǎng)對全球Windows操作系統(tǒng)的計算機進行攻擊，惡意加密用戶文件以勒索比特幣。勒索病毒橫掃全球！1/2/3/4G為手機而生，而如今，5G要面向萬物互聯(lián)，安全問題更加突出。那我們所了解的5G到底安全嗎？

從1G/2G到3G/4G，20多年來，移動通信網(wǎng)絡以其強大的加密與認證措施，一直都是最安全的商用網(wǎng)絡。

但是，1/2/3/4G僅為手機而生，而5G要面向萬物互聯(lián)，安全問題更加突出。

比如，5G有一個用例叫遠程醫(yī)療，它可以拯救人類的生命，可想而知，網(wǎng)絡安全性有多么重要！

5G超高速率與超低時延也是一把雙刃劍，對于黑客而言，這也意味著攻擊速度更快！

另一方面，5G要網(wǎng)絡重構，要切片，要遷移到電信云，基于NFV/SDN的網(wǎng)絡虛擬化、自動化和開源化使能網(wǎng)絡更靈活、敏捷和低成本。

但這也是一把雙刃劍，網(wǎng)絡靈活和敏捷意味著更容易遭受惡意攻擊，伴隨開源和開放而來的還有敞開的漏洞。

通俗的講，1/2/3/4G網(wǎng)絡的安全機制是在網(wǎng)絡入口設置高高的“保護墻”來防止網(wǎng)絡遭受攻擊，而開放包容的5G會在一定程度上會打破“高墻”，部分依靠網(wǎng)絡內(nèi)部靈活慎密的安全機制來應對網(wǎng)絡攻擊。

4G標準安全構架

因此，5G安全是一門前無所有的新課題、新挑戰(zhàn)。

5G面臨的安全挑戰(zhàn)

要理解5G安全機制，我們得先理解5G網(wǎng)絡重構，即基于云的網(wǎng)絡構架。

我們講傳統(tǒng)的電信設備是“黑匣子”解決方案，5G要通過NFV（網(wǎng)絡功能虛擬化）來對“黑匣子”軟硬件解耦，并將解耦后的虛擬化網(wǎng)絡功能軟件分解成模塊化的組件運行于通用硬件之上，最終走向云化和開源的軟/硬件生態(tài)。

再以核心網(wǎng)為例...

這樣的5G網(wǎng)絡構架主要會面臨哪些挑戰(zhàn)呢？

如上圖所示，5G網(wǎng)絡安全挑戰(zhàn)包括：

來自接入網(wǎng)側的控制面和用戶面DDoS攻擊，比如海量終端發(fā)起“信令風暴”引發(fā)網(wǎng)絡擁塞甚至崩潰。
攻擊編排（Orchestration）漏洞
攻擊Hypervisor漏洞
來自互聯(lián)網(wǎng)DDoS/攻擊
虛擬化的5G網(wǎng)絡更具彈性和靈活性，但這同樣是把雙刃劍，這也意味著網(wǎng)絡攻擊更靈活。

其中，上圖也列出了虛擬化網(wǎng)絡的兩大主要應對措施：DDOS緩解機制和安全功能虛擬化（Security Function Virtualization）。

5G如何應對DDoS攻擊？

盡管傳統(tǒng)電信設備是“黑匣子”，但采用專用ASIC，處理性能穩(wěn)定，長期以來經(jīng)受住了網(wǎng)絡高峰考驗，堅挺而可靠。

而5G NFV把虛擬網(wǎng)絡功能運行于通用CPU之上，當網(wǎng)絡負荷狂增時，尤其在受到DDoS攻擊時，軟件化后的網(wǎng)絡能否經(jīng)得起考驗？如何應對？

現(xiàn)在我們假設大量物聯(lián)網(wǎng)終端感染了“遠程重啟”惡意軟件，這些物聯(lián)網(wǎng)終端組成所謂的“僵尸網(wǎng)絡”，黑客隨時準備向我們的5G網(wǎng)絡發(fā)起攻擊...

5G如何應對？如下圖：

①黑客操控海量被感染的物聯(lián)網(wǎng)終端同時重啟，引發(fā)海量的附著請求（Attach Requests），從而發(fā)起“信令風暴”攻擊。

②vMME處于被DDoS攻擊狀態(tài)。

③系統(tǒng)實時分析并發(fā)出“受攻擊”告警。

④編排器（Orchestrator）實例化新的虛擬機（VM）快速擴展vMME功能，以在對網(wǎng)絡攻擊進行進一步分析期間擴展更高的信令流量負荷，防止網(wǎng)絡癱瘓。

如果是用戶面的惡意流量呢？5G又如何應對？

①移動終端上的惡意軟件向客戶云服務直接發(fā)送惡意IP數(shù)據(jù)包。

②分析引擎檢測到異常，并發(fā)送實時告警。

③SDN控制器動態(tài)修改防火墻規(guī)則，阻撓攻擊。

5G如何應對漏洞攻擊？

舉個例子，我們說5G網(wǎng)絡要以用戶為中心，要實現(xiàn)終端用戶的自助服務，比如用戶可以自助調(diào)整寬帶網(wǎng)速，甚至是添加類似防火墻一類的虛擬功能，但是，這一切都是用戶通過一個公共的外部網(wǎng)站或平臺來實現(xiàn)。

當用戶自助修改功能時，需求通過外部網(wǎng)絡傳送到NFV編排器（Orchestrator），這就意味著，在外網(wǎng)和運營商內(nèi)網(wǎng)之間為終端用戶打開了一條控制網(wǎng)絡的通道。

這就為黑客利用漏洞發(fā)起攻擊提供了一條通道。

以Hypervisor漏洞攻擊為例...

黑客攻擊開源代碼漏洞，Hypervisor感染惡意軟件，進而篡改虛擬機（VM）、竊取和篡改數(shù)據(jù)。

再來看看SDN控制器漏洞攻擊...

眾所周知，傳統(tǒng)的電信設備是將控制面集成在一個封閉的盒子里，且控制面協(xié)議絕大部分預定義于設備中，只預留了少量的幾個參數(shù)可修改、調(diào)整。

而SDN將控制面從設備分離，并抽取出來，通過編程化的外部控制器來實現(xiàn)如同交通調(diào)度樞紐般的對網(wǎng)絡交通狀況進行動態(tài)調(diào)整，這同樣為黑客利用漏洞攻擊提供了機會。

黑客如何發(fā)起SDN控制器漏洞攻擊呢？

假設SDN控制器中代碼有BUG，沒有禁用外部實體接入，黑客就可以利用北向API發(fā)起XXE攻擊，進而竊取敏感數(shù)據(jù)或遠程代碼執(zhí)行。

對于漏洞攻擊的防范主要還是實時監(jiān)控、定期掃描、勤更新、堵端口等，尤其注意接入控制和API接口安全。

旁路攻擊

5G網(wǎng)絡需采用網(wǎng)絡切片技術來應對不同的應用場景，最典型的切片是：大規(guī)模物聯(lián)網(wǎng)、關鍵任務型物聯(lián)網(wǎng)和增強型移動寬帶三大切片。

網(wǎng)絡切片是指共享網(wǎng)絡物理資源，由Hypervisor管理和控制為不同應用場景切出多個邏輯上獨立的虛擬網(wǎng)絡。

由于同一張物理網(wǎng)絡共存多個“切片”，容易遭受來自黑客的旁路攻擊。

黑客如何對5G切片網(wǎng)絡發(fā)起旁路攻擊呢？

未來的5G切片可能不僅僅是以上三大典型切片，其包括多個為特定服務定制的網(wǎng)絡切片，甚至是虛擬運營商自己定義切片，不同的切片對網(wǎng)絡可靠性和安全性要求不盡相同，黑客就可能通過了解“切片1”中的虛擬機中的代碼運行規(guī)律來推斷出“切片2”中的運行于同一物理資源之上的虛擬機的代碼運行規(guī)律，從而發(fā)起向“切片2”的網(wǎng)絡攻擊。

這種攻擊方式通常采用旁路攻擊。所謂旁路攻擊，在密碼學中指繞過對加密算法的繁瑣分析，利用密碼算法的硬件實現(xiàn)的運算中泄露的信息，如執(zhí)行時間、功耗、電磁輻射等，結合統(tǒng)計理論快速的破解密碼系統(tǒng)。

比如時序攻擊，黑客通過分析加密算法的時間執(zhí)行來推導出密匙。

所以，5G切片需部署慎密的隔離機制，尤其是虛擬機之間的隔離。

從另一個角度看，虛擬機的隔離機制也非常重要。

由于未來的5G網(wǎng)絡是分布式的，除了核心云，還有分布于基站、接入機房的邊緣數(shù)據(jù)中心，虛擬機遍布網(wǎng)絡。這些虛擬機經(jīng)常被實例化，一旦受到攻擊，病毒就可能從一個虛擬機傳播到另一個，或從一個主機上的虛擬機傳播到其它主機上，最終蔓延整個網(wǎng)絡。

因此，每一個切片網(wǎng)絡下的虛擬機可能都要做到被單獨監(jiān)視和保護。

相對于傳統(tǒng)2/3/4G的安全機制，很明顯，5G安全機制更加細化。

總之，對于5G而言，傳統(tǒng)2/3/4G網(wǎng)絡那套安全機制是行不通，和5G網(wǎng)絡重構一樣，5G網(wǎng)絡的安全機制也是一次前所未有的顛覆：我們不但要防止網(wǎng)絡攻擊，還要時刻做最壞的打算，不斷假設網(wǎng)絡如果遭受攻擊應該采取怎樣的措施，且能快速應對。

以上內(nèi)容主要討論了虛擬化后5G網(wǎng)絡面臨的安全問題，盡管很重要，但并不是5G安全的全部，事實上，我們認為，5G安全機制是一次CT和IT領域的融合，范圍廣，復雜度高。

墨跡了這么久，那么5G到底安全嗎？

對不起，這個問題我們真回答不了，但是，我們始終相信，不管2/3/4G，還是5G，移動蜂窩網(wǎng)絡的安全性永遠是No.1。

目前，3GPP工作組SA3負責5G網(wǎng)絡安全構架，其關注的領域如下：