Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 13: Servicio general de radio por paquetes

Versión 6.0.0, Rev. 02

Juniper Networks, Inc.
1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000

www.juniper.net
Número de pieza: 530-017779-01-SP, Revisión 02

Copyright Notice
Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

ii

Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de usuario web .............................................. v Convenciones de interfaz de línea de comandos ...................................... vi Convenciones de nomenclatura y conjuntos de caracteres ...................... vii Convenciones para las ilustraciones ....................................................... viii Asistencia y documentación técnica................................................................ ix Capítulo 1 GPRS 1

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .................................................................................................... 2 Interfaces Gp y Gn ..................................................................................... 2 Interfaz Gi.................................................................................................. 3 Modos de funcionamiento ......................................................................... 4 Compatibilidad con el sistema virtual ........................................................ 5 Protocolo de encapsulamiento de GPRS según directivas .................................5 Ejemplo: Configuración de directivas para habilitar la inspección de GTP ..................................................................................................... 6 Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) .......7 Ejemplo: Creación de un objeto de inspección de GTP .............................. 8 Filtrado de mensajes de GTP............................................................................ 8 Comprobación de coherencia del paquete ................................................. 9 Filtrado de la longitud del mensaje ............................................................ 9 Ejemplo: Ajuste de las longitudes del mensaje de GTP ......................10 Filtrado del tipo de mensaje ....................................................................10 Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10 Tipos de mensaje admitidos..............................................................11 Limitación de velocidad de los mensajes .................................................12 Ejemplo: Establecimiento de un límite de velocidad .........................13 Validación del número de secuencia........................................................13 Ejemplo: Habilitación de la validación del número de secuencia.......14 Fragmentación de IP ...............................................................................14 Filtrado de paquetes de GTP-en-GTP........................................................14 Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP ..........14 Deep Inspection ......................................................................................14 Ejemplo: Habilitación de Deep Inspection en la TEID........................15 Elementos de información de GTP .................................................................15 Filtrado del nombre de punto de acceso..................................................16 Ejemplo: Establecimiento de un APN y un modo de selección ..........17 Filtrado del prefijo de IMSI ......................................................................17 Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado .................................................................................18 Tecnología de acceso de radio .................................................................18
iii

Contenido

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Ajuste de un filtro de RAT y APN ........................................18 Identidad de área de enrutamiento e información de ubicación de usuario ..............................................................................................19 Ejemplo: Ajuste de un filtro RAI y APN..............................................19 Ejemplo: Ajuste de un filtro ULI y APN ..............................................19 Restricción de APN ..................................................................................20 IMEI-SV....................................................................................................20 Ejemplo: Ajuste de un filtro IMEI-SV y APN .......................................20 Requisitos de protocolo y señalización ....................................................21 Compatibilidad combinada para filtrado IE .............................................21 Elementos de información R6 compatibles .............................................22 Eliminación de 3GPP R6 IE......................................................................24 Ejemplo: Eliminación de R6 ..............................................................24 Túneles de GTP ..............................................................................................25 Limitación del túnel GTP..........................................................................25 Ejemplo: Establecimiento de los límites de túnel GTP .......................25 Inspección de estado ...............................................................................25 Establecimiento y desmantelamiento del túnel de GTP .....................26 Actualización del área de enrutamiento dentro de SGSN...................26 Conmutación por error del túnel para alta disponibilidad ........................26 Limpieza de túneles de GTP colgados ......................................................27 Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP ............................................................................................27 Redirección de SGSN y GGSN .........................................................................28 Prevención de ataque de sobrefacturación.....................................................28 Descripción del ataque de sobrefacturación ............................................28 Solución del ataque de sobrefacturación..................................................30 Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación ....................................................................31 Supervisión de tráfico de GTP ........................................................................33 Registro de tráfico ...................................................................................33 Ejemplo: Habilitación del registro de paquetes de GTP......................34 Recuento de tráfico .................................................................................35 Ejemplo: Habilitación del recuento de tráfico de GTP........................35 Intercepción legal ....................................................................................36 Ejemplo: Habilitación de intercepción legal.......................................36 Índice ........................................................................................................................IX-I

iv

Contenido

Este volumen describe las funciones de GTP en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks.Acerca de este volumen El Volumen 13: Servicio general de radio por paquetes es para los operadores de red de GPRS que poseen conocimiento avanzado de la tecnología GPRS. cada página separada por signos de mayor y menor. navegue hacia la página en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el lado izquierdo de la pantalla. Incluye el siguiente capítulo: Capítulo 1. Convenciones del documento v . luego en los elementos subsiguientes. Para abrir una página de WebUI e introducir parámetros de configuración. “GPRS.” donde se describen las funciones del protocolo de encapsulamiento de GPRS (GTP) en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks. Convenciones del documento Este documento utiliza las convenciones que se describen en las secciones siguientes: “Convenciones de la interfaz de usuario web” en esta página “Convenciones de interfaz de línea de comandos” en la página vi “Convenciones de nomenclatura y conjuntos de caracteres” en la página vii “Convenciones para las ilustraciones” en la página viii Convenciones de la interfaz de usuario web En la interfaz de usuario web (WebUI). A medida que avanza. el conjunto de instrucciones de cada tarea se divide en ruta de navegación y establecimientos de configuración. su ruta de navegación aparece en la parte superior de la pantalla.

2. Si existen dos o más opciones alternativas. NOTA: Para introducir palabras clave. Convenciones de interfaz de línea de comandos Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de línea de comandos (CLI) en ejemplos y en texto. Sin embargo. Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage Las variables aparecen en cursiva: set admin user nombre1 contraseña xyz En el texto. El árbol de navegación también proporciona una página de configuración de Help > Config Guide para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opción del menú desplegable y siga las instrucciones en la página.2. aparecerán separadas entre sí por barras verticales ( | ).Manual de referencia de ScreenOS: Conceptos y ejemplos Lo siguiente muestra los parámetros y ruta de WebUI para la definición de una dirección: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione). basta con introducir los primeros caracteres para identificar la palabra de forma inequívoca. haga clic en el signo de interrogación (?) en la parte superior izquierda de la pantalla.5/32 Zone: Untrust Para abrir la ayuda en línea para los ajustes de configuración. En ejemplos: Los elementos entre corchetes [ ] son opcionales. los comandos están en negrita y las variables en cursiva. Al escribir set adm u whee j12fmt54 se ingresará el comando set admin user wheezer j12fmt54. vi Convenciones del documento . todos los comandos documentados aquí se encuentran presentes en su totalidad. Haga clic en el carácter ? en la parte superior izquierda para la Ayuda en línea en la Guía de configuración. 10. Los elementos entre llaves { } son obligatorios.

Por ejemplo. túneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o más espacios. Convenciones del documento vii . puertas de enlace IKE.0/24 Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina. “ local LAN ” se transformará en “local LAN”. se encuentran el chino. La WebUI admite tanto SBCS como MBCS. en muchas palabras clave de CLI pueden utilizarse indistintamente. la cadena completa deberá estar entre comillas dobles.1. Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII.Acerca de este volumen Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones. según el conjunto de caracteres que admita el explorador. servidores de autenticación. Entre los conjuntos MBCS. usuarios administradores. europeo y hebreo. el coreano y el japonés. “local LAN” es distinto de “local lan”.1. En las cadenas de nombres se distingue entre mayúsculas y minúsculas. por ejemplo. NOTA: Una conexión de consola sólo admite conjuntos SBCS. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). por el contrario. sistemas virtuales. a excepción de las comillas dobles ( “ ). también conocidos como conjuntos de caracteres de doble byte (DBCS). Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff). que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. por ejemplo: set address trust “local LAN” 10. Los espacios consecutivos múltiples se tratan como uno solo.

Manual de referencia de ScreenOS: Conceptos y ejemplos Convenciones para las ilustraciones La siguiente figura muestra el conjunto básico de imágenes utilizado en las ilustraciones de este volumen: Figura 1: Imágenes de las ilustraciones Sistema autónomo o bien dominio de enrutamiento virtual Red de área local (LAN) con una única subred o bien zona de seguridad Internet Rango dinámico de IP (DIP) Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust) Motor de directivas Dispositivo de red genérico Interfaz de túnel Servidor Túnel VPN Enrutador Dispositivos de seguridad Juniper Networks Conmutador Concentrador viii Convenciones del documento .

juniper. Para obtener soporte técnico.). Asistencia y documentación técnica ix .net/customers/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.net/techpubs/. abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web http://www.net.juniper.) o al +1-408-745-9500 (si llama desde fuera de los EE. visite www. Si encuentra algún error u omisión en este documento.UU.UU. póngase en contacto con Juniper Networks al techpubs-comments@juniper.Acerca de este volumen Asistencia y documentación técnica Para obtener documentación técnica sobre cualquier producto de Juniper Networks.

Manual de referencia de ScreenOS: Conceptos y ejemplos x Asistencia y documentación técnica .

establecer los límites de velocidad del tráfico y utilizar la inspección de estado. es posible que se elimine una mayoría de riesgos de seguridad de GTP. Al implementar la seguridad del protocolo de Internet (IPSec) para las conexiones entre los socios de itinerancia. integridad de datos o autenticación. la razón fundamental de las amenazas a la seguridad a la red de un operador es la inherente falta de seguridad del protocolo de encapsulamiento de GPRS (GTP). GTP es el protocolo que se utiliza entre los nodos de soporte de GPRS (GSN). Las características de cortafuegos de GTP en ScreenOS abordan los problemas de seguridad clave en las redes de los operadores móviles. Este capítulo consta de las siguientes secciones: “El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS” en la página 2 “Protocolo de encapsulamiento de GPRS según directivas” en la página 5 “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7 “Filtrado de mensajes de GTP” en la página 8 “Elementos de información de GTP” en la página 15 1 . incluso a aquellas de socios de itinerancia (roaming). NOTA: Únicamente los dispositivos de ISG 2000 son compatibles con la funcionalidad de GTP. En la arquitectura de GPRS. clientes corporativos. Los operadores de red de GPRS se enfrentan al reto de proteger sus redes al mismo tiempo que proporcionan y controlan el acceso hacia y desde estas redes externas. Gn y Gi. Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en las interfaces de Gp. Este capítulo describe las características de GTP que son compatibles con ScreenOS y explica cómo puede configurarlas en un dispositivo de seguridad de Juniper Networks. La comunicación entre las diferentes redes de GPRS no es segura ya que GTP no proporciona ninguna protección de confidencialidad. Juniper Networks proporciona soluciones a varios problemas de seguridad que dificultan el trabajo de los operadores de red de GPRS. proveedores de Intercambio de itinerancia de GPRS (GRX) e Internet pública.Capítulo 1 GPRS Las redes de servicio general de radio por paquetes (GPRS) se conectan a varias redes externas.

se protege una PLMN contra otra PLMN. los SGSN y los GGSN de una PLMN se colocan detrás de un dispositivo de seguridad. por lo tanto todo el tráfico entrante y saliente pasa a través del cortafuegos. Cuando GGSN recibe los paquetes. Gp: La interfaz Gp es la conexión entre dos redes móviles terrestres públicas PLMN. un SGSN y un GGSN. éste los desencapsula y los reenvía al host externo. Interfaces Gp y Gn Los dispositivos de seguridad se implementan en la interfaz Gn para proteger posiciones clave en la red como SGSN y GGSN. Un túnel GTP es un canal seguro entre GSN a través del cual dos hosts pueden intercambiar datos. una interfaz es una conexión o un punto de referencia entre dos componentes de una infraestructura de GPRS. Cuando se implementa un dispositivo de seguridad en la interfaz Gp. Gi: La interfaz Gi es la conexión entre un GGSN e Internet o las redes de destino conectadas a PLMN. el dispositivo de seguridad se coloca entre los SGSN y los GGSN dentro de una PLMN común. una interfaz es como una entrada a una zona de seguridad y permite que el tráfico entre y salga de la zona. En ScreenOS. 2 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS . Un cortafuegos de GTP de Juniper Networks autorizada puede proporcionar seguridad para los siguientes tipos de interfaces de GPRS: Gn: La interfaz Gn es la conexión entre SGSN y GGSN dentro de la misma red móvil terrestre pública (PLMN). En GPRS.Manual de referencia de ScreenOS: Conceptos y ejemplos “Redirección de SGSN y GGSN” en la página 28 “Prevención de ataque de sobrefacturación” en la página 28 “Supervisión de tráfico de GTP” en la página 33 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS El protocolo de encapsulamiento de GPRS (GTP) se utiliza para establecer un túnel GTP para estaciones móviles individuales (MS). Para asegurar los túneles de GTP en la interfaz Gp. NOTA: El término interfaz tiene diferentes significados en ScreenOS y en la tecnología GPRS. entre un nodo de soporte de servidor GPRS (SGSN) y un nodo de soporte de puerta de enlace GPRS (GGSN). SGSN recibe los paquetes de las MS y los encapsula dentro de un encabezado de GTP antes de reenviarlos a GGSN a través del túnel GTP. Para asegurar los túneles de GTP en la interfaz Gn. por ejemplo.

proteger una PLMN contra Internet y redes externas y proteger a los usuarios móviles de Internet y otras redes. El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS 3 . (No obstante. puede controlar a la vez el tráfico de varias redes. El dispositivo de seguridad puede reenviar de manera segura los paquetes a Internet o a redes de destino utilizando el encapsulamiento de protocolo de capa 2 (L2TP) para los túneles de red privada virtual (VPN). Figura 2: Interfaces Gp y Gn Torre de radio SGSN Dispositivo de seguridad MS Interfaces Gn GGSN PLMN 1 PLMN 2 Interfaz Gp Dispositivo de seguridad Interfaces Gn GGSN MS SGSN Torre de radio Interfaz Gi Cuando implementa un dispositivo de seguridad en la interfaz Gi. ScreenOS proporciona un gran número de enrutadores virtuales. permite la separación de tráfico de cada red del cliente.Capítulo 1: GPRS La Figura 2 ilustra la colocación de los dispositivos de seguridad de Juniper Networks para proteger PLMN en las interfaces Gp y Gn. tenga en cuenta que los dispositivos de seguridad de Juniper Networks no son completamente compatibles con L2TP). lo que hace posible que usted utilice un enrutador virtual por red de cliente y por ende. Para obtener más información sobres las características y capacidades de los enrutadores virtuales. consulte el Volumen 7: Enrutamiento.

el dispositivo de seguridad actúa como un conmutador de Capa 2 o un puente y las direcciones de IP de interfaces se establecen en 0.0. Para obtener más información sobre los modos de funcionamiento y alta disponibilidad. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red.Manual de referencia de ScreenOS: Conceptos y ejemplos La Figura 3 ilustra la implementación de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi. En la versión actual de ScreenOS. Para ello es necesario modificar el diseño de la red. ScreenOS admite la Traducción de direcciones de red (NAT) en interfaces y directivas que no tienen activada la inspección de GTP. Figura 3: Interfaz Gi Internet Red A corporativa Red B corporativa Dispositivo de seguridad Torre de radio Interfaz Gi MS PLMN 1 Modos de funcionamiento ScreenOS admite dos modos de funcionamiento de interfaz con GTP: El modo transparente y el modo de rutas. En el modo transparente. que admite tanto HA activa-pasiva como activa-activa. lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente a los usuarios. respectivamente. de forma alterna. a diferencia del modo de rutas. puede ejecutarlo en el modo de rutas.0. Puede implementar el dispositivo de seguridad. 4 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS . en modo transparente en sus redes existentes sin tener que reconfigurar su red completa.0. consulte el Volume 2: Fundamentos y el Volumen 11: Alta Disponibilidad. el modo transparente únicamente admite la alta disponibilidad (HA) activa-pasiva.

Para obtener más información sobre las directivas. para conservar los recursos. El dispositivo de seguridad protege la PLMN en la zona Trust contra cualquier otra PLMN en otras zonas. descartar o encapsular el paquete según dichas directivas. primero debe haber creado un Objeto de inspección de GTP (consulte “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7). debe aplicar una configuración de GTP. le recomendamos que no utilice más de 10 vsys. Al seleccionar el servicio de GTP en una directiva. Un dispositivo de seguridad realiza el filtro de directivas de GTP mediante la comparación de cada paquete de GTP con las directivas que regulan el tráfico de GTP. Protocolo de encapsulamiento de GPRS según directivas De forma predeterminada. deniegan o encapsulan el tráfico. para luego reenviar. Puede colocar todas las PLMN contra las que está protegiendo su PLMN en la zona Untrust o puede crear zonas definidas por el usuario para cada PLMN. usted activa al dispositivo de seguridad para que permita. Debe crear directivas para que el tráfico pueda fluir entre las zonas y las PLMN. Puede aplicar únicamente un objeto de inspección de GTP por directiva. Protocolo de encapsulamiento de GPRS según directivas 5 . Sin embargo. No obstante. consulte el Volume 2: Fundamentos. Con el fin de que el dispositivo de seguridad inspeccione el tráfico de GTP. Una PLMN puede ocupar una zona de seguridad o varias zonas de seguridad. pero puede aplicar un objeto de inspección de GTP a varias directivas. puede permitir o rechazar el establecimiento de túneles de GTP de determinados interlocutores tales como SGSN. esto no activa al dispositivo para inspeccionar el tráfico de GTP. la PLMN que protege al dispositivo de seguridad está en la zona Trust. también denominada Objeto de inspección de GTP. rechace o encapsule el tráfico de GTP.Capítulo 1: GPRS Compatibilidad con el sistema virtual Los dispositivos de seguridad de Juniper Networks son completamente compatibles con la funcionalidad de GTP en sistemas virtuales (vsys). Antes de que pueda aplicar una configuración de GTP a una directiva. Las directivas incluyen reglas que permiten. En las directivas puede habilitar las características tales como el registro de tráfico y recuento de tráfico. Puede configurar las directivas que especifican “Any” (cualquiera) como la zona de origen o destino (de este modo se incluyen todos los hosts de la zona) y puede configurar directivas que especifican múltiples direcciones de origen y destino. Con el uso de directivas. a una directiva.

2. WebUI 1.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Configuración de directivas para habilitar la inspección de GTP En este ejemplo. To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). 10.2.1. local-GGSN Destination Address: Address Book Entry: (seleccione).1/24 3. GTP Name: GPRS1 2. 1.0/24 Zone: Trust Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (seleccione).1. También aplica un objeto de inspección de GTP a las directivas.1.5/32 Zone: Untrust 4. usted configura las interfaces y crea direcciones y dos directivas para permitir que haya tráfico bidireccional entre dos redes dentro de la misma PLMN.1/24 Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.1.1.1. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (seleccione). Interfaces Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10. Directivas Policies > (From: Trust. remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit 6 Protocolo de encapsulamiento de GPRS según directivas . Objeto de inspección GTP Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.

set policy id 4 gtp gprs1 set policy from untrust to trust remote-sgsn local-ggsn gtp permit El sistema devuelve una Identificación de directiva.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.2. etc.1.1. Para guardar sus configuraciones.Capítulo 1: GPRS Policies > (From: Untrust. set policy id 5 gtp gprs1 save Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) Para habilitar el dispositivo de seguridad para que realice la inspección del tráfico del Protocolo de encapsulamiento de GPRS (GTP). acción.1. Direcciones set address trust local-ggsn 10. pues permiten configurar las múltiples directivas que permiten las diferentes configuraciones de GTP. Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) 7 .1.0/32 set address untrust remote-sgsn 2.2.1.5/32 4. por ejemplo: policy id = 5. Objeto de inspección GTP set gtp configuration gprs1 (gtp:gprs1)-> exit save 2. Directivas set policy from trust to untrust local-ggsn remote-sgsn gtp permit El sistema devuelve una Identificación de directiva. remote-SGSN Destination Address: Address Book Entry: (seleccione). Interfaces set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10. Los objetos de inspección de GTP proporcionan más flexibilidad. primero debe salir de la configuración de GTP y luego escribir el comando save. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione).1/24 3. local-GGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit CLI 1. por ejemplo: policy id = 4. Puede configurar el dispositivo de seguridad para controlar el tráfico de GTP con una base diferente en las direcciones y zonas de origen y destino. debe escribir el contexto de una configuración de GTP.1. Para configurar las características de GTP. debe crear un objeto de inspección de GTP y luego aplicarlo a una directiva.

el dispositivo inspecciona entonces el paquete de acuerdo con la configuración de GTP aplicada a la directiva.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Creación de un objeto de inspección de GTP En este ejemplo. pero se habilitan las características de validación de número de secuencia y rechazo de GTP en GTP. Si el paquete coincide con una directiva. Esta sección describe las características que constituyen una configuración de GTP que el dispositivo de seguridad utiliza para realizar la inspección de tráfico de GTP. WebUI Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply. GTP Name: LA-NY Sequence Number Validation: (seleccione) GTP-in-GTP Denied: (seleccione) CLI set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save Filtrado de mensajes de GTP Cuando un dispositivo de seguridad recibe un paquete de GTP. Contiene las siguientes secciones: “Comprobación de coherencia del paquete” en la página 9 “Filtrado de la longitud del mensaje” en la página 9 “Filtrado del tipo de mensaje” en la página 10 “Limitación de velocidad de los mensajes” en la página 12 “Validación del número de secuencia” en la página 13 “Fragmentación de IP” en la página 14 “Filtrado de paquetes de GTP-en-GTP” en la página 14 “Deep Inspection” en la página 14 8 Filtrado de mensajes de GTP . Se preservan la mayoría de los valores predeterminados. se crea un objeto de inspección de GTP denominado LA-NY. Si el paquete no cumple con ninguno de los parámetros de configuración de GTP. el dispositivo de seguridad descarta el paquete. se comprueba el paquete con las directivas configuradas en el dispositivo.

No incluye la longitud del encabezado de GTP en sí. respectivamente.0 (2002-03) Filtrado de la longitud del mensaje Puede configurar el dispositivo de seguridad para descartar los paquetes que no cumplen con las longitudes mínimas o máximas de mensajes que usted especifique. el dispositivo de seguridad examina si el encabezado de cada paquete de GTP tiene lo siguiente: Número de versión de GTP: ScreenOS es compatible con las versiones 0 y 1 (incluso con GTP). evitando así que el dispositivo de seguridad reenvíe tráfico mal formado o falsificado. el dispositivo de seguridad lo descarta.9.060 v3. Para obtener más información sobre estos estándares. no es necesario configurar esta característica. En el encabezado de GTP.8.9. El dispositivo de seguridad realiza la comprobación de coherencia del paquete de GTP de manera automática. Las longitudes predeterminadas mínimas y máximas del mensaje de GTP son 0 y 1452. Cuando realiza la comprobación de coherencia del paquete de GTP.Capítulo 1: GPRS Comprobación de coherencia del paquete El dispositivo de seguridad realiza una comprobación de coherencia del paquete de GTP para determinar si el paquete es un paquete válido de UDP y GTP. en octetos. el encabezado de UDP o el encabezado de IP. de la carga de GTP.015 v3.0 (2000-09) 3GPP TS 29.0 (2001-03) 3GPP TS 32. Si el paquete no cumple con los estándares de UDP y GTP. el campo de longitud del mensaje indica la longitud. Longitud del paquete de UDP/TCP. NOTA: Juniper Networks cumple con los Estándares de GTP establecidos por 3GPP (Proyecto de sociedad de 3ra Generación). Tipo de protocolo: para la versión 1 (incluso con GTP). La comprobación de coherencia protege los recursos del nodo de soporte GPRS (GSN) al evitar que intenten procesar paquetes GTP mal formados.60 v6. Ajuste apropiado de los bits predefinidos: el número de versión de GTP determina qué bits predefinidos se examinan. consulte los siguientes documentos de especificación técnica: 3GPP TS 09. Filtrado de mensajes de GTP 9 .

permite o rechaza automáticamente todos los mensajes del tipo especificado. sgsn context response y sgsn context acknowledge. también se rechazarán los mensajes sgsn context request. ambos para la versión 1. si selecciona rechazar el tipo de mensaje sgsn-context. WebUI Objects > GTP > Edit (GPRS1) > Message Drop: Seleccione los siguientes datos en la columna de la versión 1. De forma predeterminada. configura la longitud mínima del mensaje de GTP para que sea de 8 octetos y la longitud máxima del mensaje de GTP para que sea de 1200 octetos para el objeto de inspección de GTP GPRS. Usted permite o rechaza los tipos de mensajes según el número de versión de GTP. Un tipo de mensaje de GTP incluye uno o muchos mensajes. el dispositivo de seguridad permite todos los tipos de mensaje de GTP. Cuando permite o rechaza un tipo de mensaje. y al mismo tiempo permitir los de otra versión. puede rechazar tipos de mensajes de una versión.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Ajuste de las longitudes del mensaje de GTP En este ejemplo. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Minimum Message Length: 8 Maximum Message Length: 1200 CLI set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-message-length 1200 (gtp:gprs1)-> exit save Filtrado del tipo de mensaje Puede configurar el dispositivo de seguridad para filtrar los paquetes de GTP y permitirlos o rechazarlos según sus tipos de mensajes. se configura el dispositivo de seguridad para rechazar los tipos de mensaje de informe de fallo e indicación de error. Para obtener más información sobre los tipos de mensajes. Ejemplo: Permiso y rechazo de los tipos de mensajes En este ejemplo. para la configuración de GTP GPRS1. Por ejemplo. luego haga clic en Apply: Tunnel Management: Error Indication: (seleccione) Location Management: Failure Report Request/Response: (seleccione) 10 Filtrado de mensajes de GTP . consulte “Tipos de mensaje admitidos” en la página 11. Por ejemplo.

Tabla 1: Mensajes de protocolo de encapsulamiento de GPRS (GTP) Mensaje create AA pdp context request create AA pdp context response create pdp context request create pdp context response Data record request Data record response delete AA pdp context request delete AA pdp context response delete pdp context request delete pdp context response echo request echo response error indication failure report request failure report response forward relocation request forward relocation response forward relocation complete forward relocation complete acknowledge forward SRNS context forward SRNS context acknowledge identification request identification response node alive request Tipo de mensaje create-aa-pdp create-aa-pdp create-pdp create-pdp data-record data-record delete-aa-pdp delete-aa-pdp delete-pdp delete-pdp echo echo error-indication failure-report failure-report fwd-relocation fwd-relocation fwd-relocation fwd-relocation fwd-srns-context fwd-srns-context identification identification node-alive Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b 11 b b b b Filtrado de mensajes de GTP .Capítulo 1: GPRS CLI set gtp configuration gprs1 (gtp:gprs1)-> set drop error-indication (gtp:gprs1)-> set drop failure-report (gtp:gprs1)-> exit save Tipos de mensaje admitidos La Tabla 1 enumera los mensajes del protocolo de encapsulamiento de GPRS (GTP) admitidos en las versiones de GTP 1997 y 1999 (incluso los mensajes de carga para GTP) y los tipos de mensaje que puede utilizar para configurar el filtrado del tipo de mensaje de GTP.

para los mensajes de GTP-Control (GTP-C). en paquetes por segundo. 12 Filtrado de mensajes de GTP . puede proteger su GSN de posibles ataques de denegación de servicio (DoS) tales como los siguientes: Saturación de ancho de banda de la puerta de enlace fronteriza: Un operador malicioso conectado al mismo GRX que su PLMN puede generar suficiente tráfico de red dirigido a su puerta de enlace fronteriza.Manual de referencia de ScreenOS: Conceptos y ejemplos Mensaje node alive response note MS GPRS present request note MS GPRS present response pdu notification request pdu notification response pdu notification reject request pdu notification reject response RAN info relay redirection request redirection response relocation cancel request relocation cancel response send route info request send route info response sgsn context request sgsn context response sgsn context acknowledge supported extension headers notification g-pdu update pdp context request updated pdp context response version not supported Tipo de mensaje node-alive note-ms-present note-ms-present pdu-notification pdu-notification pdu-notification pdu-notification ran-info redirection redirection relocation-cancel relocation-cancel send-route send-route sgsn-context sgsn-context sgsn-context supported-extension gtp-pdu update-pdp update-pdp version-not-supported Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b Limitación de velocidad de los mensajes Puede configurar el dispositivo de seguridad para limitar la velocidad del tráfico de red que va al GSN. Al establecer un límite de velocidad en los mensajes de GTP-C. Debido a que los mensajes GTP-C requieren procesamiento y respuesta. Puede establecer umbrales separados. para que el tráfico legítimo se quede sin ancho de banda de entrada o salida de su PLMN y de esa manera rechace el acceso de itinerancia hacia o desde su red. pueden llegar a saturar un GSN.

cada vez que el GGSN de recepción recibe un G-PDU válido. Posteriormente. El encabezado de un paquete de GTP contiene un campo de número de secuencia. Si son distintos. GGSN envía el paquete.Capítulo 1: GPRS Inundación de GTP: El tráfico de GTP puede inundar un GSN hasta el punto de obligarle a ampliar sus ciclos de CPU para procesar datos ilegítimos. el GGSN de recepción compara el número de secuencia en los paquetes que recibe con el número de secuencia de su contador. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Control Plane Traffic Rate Limit: 300 CLI set gtp config gprs1 (gtp:gprs1)-> set limit rate 300 (gtp:gprs1)-> exit save Validación del número de secuencia Puede configurar un dispositivo de seguridad para realizar la validación del número de secuencia. un GGSN de envío utiliza cero (0) como el valor del número de secuencia para el primer G-PDU que envía a través de un túnel a otro GGSN. el GGSN de recepción establece su contador en cero. El contador se restablece en cero cuando llega a 65535. el dispositivo puede realizar esta validación para GGSN y descartar los paquetes que lleguen fuera de secuencia. Este número indica al GGSN que recibe los paquetes de GTP el orden de los paquetes. El valor se restablece en cero cuando llega a 65535. Si los números se corresponden. Esto puede evitar que los abonados utilicen la itinerancia. el GGSN incrementa en uno su contador. El GGSN de envío incrementa el valor del número de secuencia para cada G-PDU siguiente que envía. Esta característica limita la velocidad del tráfico enviado a cada GSN desde el cortafuegos de Juniper Networks. se limita la velocidad de los mensajes entrantes de GTP-C a 300 paquetes por segundo. Durante la etapa de activación del contexto de PDP. La velocidad predeterminada es ilimitada. Ejemplo: Establecimiento de un límite de velocidad En el siguiente ejemplo. reenvío de datos a redes externas o evitar un ataque de GPRS a la red. Esta característica ayuda a conservar los recursos de GGSN al evitar el procesamiento innecesario de paquetes no válidos. GGSN descarta el paquete Al implementar un dispositivo de seguridad entre los GGSN. Normalmente. Durante la etapa de activación del contexto de protocolo de datos de paquete (PDP). Filtrado de mensajes de GTP 13 .

WebUI Objects > GTP > Edit (GPRS1): Seleccione GTP-in-GTP Denied. 14 Filtrado de mensajes de GTP . Filtrado de paquetes de GTP-en-GTP Puede configurar un dispositivo de seguridad para detectar y descartar un paquete de GTP que contiene otro paquete de GTP en su cuerpo del mensaje. usted habilita la característica de validación del número de secuencia. CLI set gtp config gprs1 (gtp:gprs1)-> set gtp-in-gtp-denied (gtp:gprs1)-> exit save Deep Inspection Puede configurar el dispositivo de seguridad para que realice una inspección a fondo (Deep Inspection) en la ID de punto final de túnel (TEID) en mensajes de datos G-PDU. un dispositivo de seguridad almacena en búfer los fragmentos de IP hasta que recibe un mensaje completo de GTP y luego realiza la inspección del mensaje de GTP. habilita el dispositivo de seguridad para detectar y descartar los paquetes de GTP que contienen un paquete de GTP en el cuerpo del mensaje. Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP En este ejemplo. CLI set gtp config gprs1 (gtp:gprs1)-> set seq-number-validated (gtp:gprs1)-> exit save Fragmentación de IP Un paquete GTP consta de cuerpo de mensajes y tres encabezados: GTP. UDP e IP.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Habilitación de la validación del número de secuencia En este ejemplo. WebUI Objects > GTP > Edit (GPRS1): Seleccione Sequence Number Validation. luego haga clic en Apply. Si el paquete de IP resultante es más grande que la unidad de transmisión de mensaje (MTU) en el enlace de transferencia. el SGSN o GGSN de envío realiza una fragmentación de IP. luego haga clic en Apply. De forma predeterminada.

modificación. Los IE proporcionan información sobre los túneles GTP. CLI set gtp config gprs1 (gtp:gprs1)-> set teid-di (gtp:gprs1)-> exit save Elementos de información de GTP Los elementos de información (IE) se incluyen en todos los paquetes de mensaje de control GTP. se permite que el dispositivo de seguridad realice el procedimiento DI (Deep Inspection) de mensajes de datos G-PDU en TEID. ScreenOS es compatible con los IE conformes a la versión 6 de 3GPP.Capítulo 1: GPRS Ejemplo: Habilitación de Deep Inspection en la TEID En este ejemplo. Contiene las siguientes secciones: “Filtrado del nombre de punto de acceso” en la página 16 “Filtrado del prefijo de IMSI” en la página 17 “Tecnología de acceso de radio” en la página 18 “Identidad de área de enrutamiento e información de ubicación de usuario” en la página 19 “Restricción de APN” en la página 20 “IMEI-SV” en la página 20 “Requisitos de protocolo y señalización” en la página 21 “Compatibilidad combinada para filtrado IE” en la página 21 “Elementos de información R6 compatibles” en la página 22 “Eliminación de 3GPP R6 IE” en la página 24 Elementos de información de GTP 15 . La DI sólo puede configurarse desde la interfaz CLI. Esta sección describe los IE incluidos en mensajes de control en los que puede configurar el dispositivo de seguridad para que filtre según los IE. como creación. Si está ejecutando una versión anterior o tiene acuerdos o contratos con operadores que ejecutan versiones anteriores de 3GPP puede reducir los gastos generales de red mediante la restricción de los mensajes de control que contienen IE no compatibles. eliminación y estado.

Entre los modos posibles de selección se incluyen los siguientes: Estación móvil: APN que proporciona la MS. Red: APN que proporciona la red. se verifica si el usuario es un abonado Este modo de selección indica que la MS o la red proporcionó el APN y que el HLR verificó la suscripción del usuario a la red.com”) y la ID del operador. el dispositivo de seguridad permite todos los APN. El modo de selección se establece conforme a las necesidades de seguridad de la red. Ya que la parte del nombre de dominio (ID de red) de un APN es posiblemente muy larga e incluye muchos caracteres. También debe establecer el modo de selección para el APN. no se comprueba si el usuario es abonado Este modo de selección indica que la red proporcionó un APN predeterminado ya que la MS no especificó uno y que el HLR no verificó si el usuario estaba abonado a la red. Para establecer un APN.com”. no se comprueba si el usuario es abonado Este modo de selección indica que la estación móvil (MS) proporcionó el APN y que el HLR no verificó si el usuario estaba abonado a la red. puede utilizar el comodín “*” como el primer carácter de APN. 16 Elementos de información de GTP . Un APN incluye dos elementos: ID de red: Identifica el nombre de una red externa.000 APN. El comodín indica que el APN no se limita únicamente a “mobiphone. puede configurar el dispositivo para realizar el filtrado de APN para restringir el acceso a la itinerancia de los abonados a redes externas. como “mobiphone. Puede configurar hasta 2. El modo de selección indica el origen del APN y si el registro de ubicación local (HLR) verificó o no que el usuario era un abonado.com” Una ID del operador: que identifica de manera única la PLMN del operador como “mnc123. Verificado: APN que proporcionó la MS o la red. es necesario que conozca el nombre de dominio de la red (por ejemplo.Manual de referencia de ScreenOS: Conceptos y ejemplos Filtrado del nombre de punto de acceso Un Nombre de punto de acceso (APN) es un IE que se incluye en el encabezado de un paquete de GTP que proporciona información sobre cómo acceder a una red. sino también incluye todos los caracteres que pueden precederle.mcc456” De forma predeterminada. No obstante. Para habilitar el filtrado de APN. debe especificar uno o más APN. “mobiphone.

com. establece mobiphone. El dispositivo de seguridad rechaza automáticamente todos los otros APN que no coinciden. un dispositivo de seguridad puede filtrar los paquetes de GTP según la combinación de un prefijo de identidad de abonado móvil (IMSI) y un APN.mcc456. Puede configurar hasta 1. Elementos de información de GTP 17 . Ejemplo: Establecimiento de un APN y un modo de selección En este ejemplo. un dispositivo de seguridad no realiza el filtrado de prefijo de IMSI en los paquetes de GTP. puede configurar el dispositivo de seguridad para filtrar los mensajes create pdp request y únicamente permitir los paquetes de GTP con los prefijos de IMSI que coincidan con los que usted estableció. el dispositivo de seguridad verifica entonces el modo de selección y reenvía únicamente el paquete de GTP si tanto el APN como el modo de selección coinciden con el APN y el modo de selección que usted especificó. También establece la Red como el modo de selección. el dispositivo de seguridad inspecciona los paquetes de GTP en busca de APN que coincidan con los APN que estableció. Al establecer los prefijos de IMSI. Al configurar los prefijos IMSI puede configurar el dispositivo de seguridad para rechazar el tráfico de GTP que viene de los socios que no tienen itinerancia.gprs Selection Mode: Network (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set apn *mobiphone.gprs selection net (gtp:gprs1)-> exit save Filtrado del prefijo de IMSI Un Nodo de soporte de GPRS (GSN) identifica una estación móvil (MS) por su Identidad de estación móvil internacional (IMSI). Una IMSI abarca tres elementos: el MCC (Código móvil del país).mcc456. Para bloquear los paquetes GTP con prefijos IMSI que no coinciden con ninguno de los prefijos IMSI que estableció. drop debe ser la última directiva de filtrado de prefijos IMSI.gprs como un APN y utiliza el comodín “*”. El dispositivo de seguridad permite los paquetes de GPT con los prefijos de IMSI que no coinciden con alguno de los prefijos de IMSI que usted estableció. el uso del comodín “*” cuando establece un sufijo de APN puede evitar la exclusión accidental de los APN que de otra manera autorizaría.mnc123.Capítulo 1: GPRS El filtrado de APN se aplica únicamente a los mensajes create pdp request. Cuando realiza el filtrado de APN. utilice un comodín explícito para el filtro IMSI y la acción.mnc123.mnc123.mcc456. Ya que el filtrado de APN se basa en coincidencias perfectas. El MCC y el MNC combinados constituyen el prefijo de IMSI e identifican la red local móvil del abonado o la Red móvil terrestre pública (PLMN). De forma predeterminada. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI > New: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone.000 prefijos de IMSI. Además. Si el APN de un paquete de GTP coincide con un APN que especificó.com. el Código de red móvil (MNC) y el Número de identificación móvil del abonado (MSIN).com.

mcc456. se autoriza el paso del tráfico de todos los modos de selección del APN especificado. sin embargo. Cuando se ajusta un IE de RAT.mnc123. Consulte “Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado.gprs como un APN y utiliza el comodín “*”. Con la introducción de 2G/3G combinadas.gprs Mobile Country-Network Code: 246565 Selection Mode: Mobile Station. también se debe especificar un APN.com. Usted permite todos los modos de selección para este APN.” Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado En este ejemplo.mnc123. también debe especificar un APN. establece mobiphone. Al utilizar esta variable. El par MCC-MNC puede tener cinco o seis dígitos.com.” Ejemplo: Ajuste de un filtro de RAT y APN En este ejemplo. que es 246565.com. Network.mcc456. Anteriormente.mnc123.Manual de referencia de ScreenOS: Conceptos y ejemplos Cuando filtra los paquetes GTP según el prefijo IMSI.mcc456.gprs pass (gtp:gprs1)-> exit save NOTA: Seleccionar la variable pass en CLI es igual a seleccionar los tres modos de selección en WebUI.com. establece mobiphone. debe configurar el elemento de información de RAT para activar el dispositivo de seguridad con el fin de que haga esta distinción. También establece el prefijo IMSI para una PLMN conocida. Tecnología de acceso de radio El elemento de información de Tecnología de acceso de radio (RAT) proporciona una manera de estimular el acceso múltiple de división de código de banda ancha (WCDMA) y la elaboración de informes por medio de sistemas de información de facturación. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone. la dirección IP SGSN se utilizaba para distinguir entre los sistemas de tecnología de comunicación móvil inalámbrica de tercera generación (3G) y los sistemas de tecnología de comunicación móvil inalámbrica de segunda generación (2G).mnc123.mcc456. Verified (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set mcc-mnc 246565 apn *mobiphone. Usted permite todos los modos de selección para este APN. Consulte “Ejemplo: Ajuste de un filtro de RAT y APN.gprs como un APN y utiliza el comodín “*”. Usted configura el dispositivo de seguridad para que descarte el mensaje GTP si el valor de IE de RAT coincide con el valor de cadena 123 18 Elementos de información de GTP .

mcc456.Capítulo 1: GPRS WebUI Actualmente usted puede ajustar una combinación RAT y APN solo desde la Interfaz de línea de comandos (CLI).” Ejemplo: Ajuste de un filtro RAI y APN En este ejemplo. establece mobiphone. Consulte “Ejemplo: Ajuste de un filtro RAI y APN” y “Ejemplo: Ajuste de un filtro ULI y APN. CLI set gtp config gprs1 (gtp:gprs1)-> set rai 12345* *mobiphone. ScreenOS proporciona a los operadores de red la capacidad de filtrar el contenido según los IE de identidad de área de enrutamiento (AIR) y de información de ubicación de usuario (ULI). WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). establece mobiphone. ScreenOS proporciona a los operadores de red la capacidad de filtrar mensajes de control según RAI y ULI: cuando ajusta el IE de RAT o de ULI. los sistemas de facturación y carga deben buscar las direcciones SGSN IP para determinar a los socios de itinerancia para la liquidación y cargos del usuario final. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de ULI coincide con el valor de cadena 123456. WebUI Actualmente usted puede ajustar una combinación ULI y APN solo desde la Interfaz de línea de comandos (CLI).mcc456.com drop (gtp:gprs1)-> exit save Identidad de área de enrutamiento e información de ubicación de usuario Algunos países restringen el acceso de los abonados a determinados tipos de contenido de red. también debe especificarse un APN.gprs como un APN y utiliza el comodín “*”.com. CLI set gtp config gprs1 (gtp:gprs1)-> set rat 123 apn *mobiphone.mnc123. los operadores de red deben poder supervisar el contenido solicitado por el abonado antes de permitir una descarga de contenido.gprs como un APN y utiliza el comodín “*”. Usted permite todos los modos de selección para este APN. Usted permite todos los modos de selección para este APN. Debido a que los formatos de registro de detalle de llamadas 3GPP (CDR) y las interfaces de carga en tiempo real no tienen estos atributos.mnc123.com.com drop (gtp:gprs1)-> exit save Ejemplo: Ajuste de un filtro ULI y APN En este ejemplo. Para cumplir con estas demandas reguladoras. Elementos de información de GTP 19 . Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de RAI coincide con el valor de cadena 12345*.

com drop (gtp:gprs1)-> exit save Restricción de APN Los contextos del protocolo de datos de paquete (PDP) primarios concurrentes y un MS/UE capaz de enrutarse entre estos dos puntos de acceso. agregado al mensaje de respuesta GTP create PDP context.Manual de referencia de ScreenOS: Conceptos y ejemplos CLI set gtp config gprs1 (gtp:gprs1)-> set uli 123456 apn mobiphone. que puede ser peligroso para el tráfico GPRS o el tráfico de itinerancia GPRS.mnc123. Configure el dispositivo de seguridad para que pase el mensaje GTP si el IE de IMEI-SV coincide con la cadena 87652.SV. Este IE también es útil para informes generados de GGSN. El dispositivo de seguridad de detección de GTP es compatible con la restricción de RAT. APN e IMEI-SV en atributos de GTP para evitar el tratamiento o categorización como tráfico inequívoco. también debe especificar un APN. IMEI-SV El IE de la identidad de equipo móvil internacional.” Ejemplo: Ajuste de un filtro IMEI-SV y APN En este ejemplo. RAI. Consulte “Ejemplo: Ajuste de un filtro IMEI-SV y APN.com pass (gtp:gprs1)-> exit save 20 Elementos de información de GTP . evitando de esta manera la amenaza a la seguridad. establece mobiphone.mcc456. El IE de restricción de APN. AAA o puerta de enlace de protocolo de aplicación inalámbrica (WAP GW). asegura la exclusividad mutua de un contexto PDP si lo solicita GGSN (o lo rechaza si esta condición no se puede cumplir). Cuando ajusta el IE de IMEI. CLI set gtp config gprs1 (gtp:gprs1)-> set imei-sv 87652* apn mobiphone. Se permiten todos los modos de selección para este APN.gprs como un APN y utiliza el comodín “*”. pueden poner en riesgo la seguridad de IP para los usuarios corporativos que tienen APN tanto públicos como privados. Estos atributos se incluyen en el conjunto de atributos útiles de filtro que se utilizan para bloquear el tráfico GPRS o el tráfico de itinerancia GPRS.com. versión de software (IMEI-SV) proporciona maneras de adaptar el contenido al tipo de terminal y aplicación del cliente cada vez que no esté presente un servidor proxy para este propósito. WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). ULI.

los atributos están interconectados en el siguiente orden de precedencia: 1. En cada línea de comandos. RAI Elementos de información de GTP 21 . de la siguiente manera: Pasar de manera transparente Bloqueo basado en (individualmente) RAT RAI (con rangos como 123*) ULI (con rangos) IMEI-SV (con rangos) Compatibilidad combinada para filtrado IE Para la compatibilidad combinada del filtrado R6 en elementos de información (IE) se aplican las siguientes reglas: De forma predeterminada. RAT 2. un dispositivo de seguridad no realiza el filtrado de IE en los paquetes de GTP.Capítulo 1: GPRS Requisitos de protocolo y señalización El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Create PDP Context Request: RAT RAI ULI APN Restriction IMEI-SV El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Update PDP Context Request: RAT RAI ULI El dispositivo de seguridad es compatible con el atributo de restricción de APN en el mensaje de GTP Update PDP Context Response: Puede configurar los mensajes de señalización GTP anteriores en el dispositivo de seguridad.

se debe especificar también un APN: Por ejemplo. RAI 567* y MCC-MNC 56789 o que pase mensajes con RAI 123*. pero de forma predeterminada descarte los paquetes con cualquier valor APN. utilice la siguiente configuración: set rat 1 rai 567* mcc-mnc 56789 apn * pass set rai 123* apn * pass set apn * drop La primera línea de configuración ocasiona que el dispositivo de seguridad pase los mensajes GTP que contienen RAT 1. Elementos de información R6 compatibles ScreenOS es compatible con todos los 3GPP R6 IE para GTP que se enumeran en la Tabla 2. La tercera línea ocasiona que el dispositivo descarte todos los APN. RAI 567*. IMEI 5. ULI 4. MCC-MNC Siempre que se ajusta una restricción de atributos.Manual de referencia de ScreenOS: Conceptos y ejemplos 3. La segunda línea de la configuración ocasiona que el dispositivo pase los mensajes que contienen RAI 123* y cualquier APN. y cualquier APN. MCC-MNC 56789. si desea que el dispositivo de seguridad pase los mensajes GTP que contienen RAT1. Tabla 2: Elementos de información compatibles Valor de tipo IE Elemento de información 1 2 3 4 5 8 9 11 12 13 14 15 16 17 18 19 20 Causa Identidad de abonado móvil internacional (IMSI) Identidad de área de enrutamiento (REI) Identidad de vínculo lógico temporal (TLLI) Paquete TMSI (P-TMSI) Reordenamiento requerido Triple confirmación Causa MAP Firma P-TMSI Validado por MS Recuperación Modo de selección Datos I de identificador de punto final de túnel Plano de control de identificador de punto final de túnel Datos II de identificador de punto final de túnel ID de desmantelación NSAPI 22 Elementos de información de GTP .

Capítulo 1: GPRS Valor de tipo IE Elemento de información 21 22 23 24 25 26 27 28 29 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 Causa RANAP Contexto RAB Prioridad de radio SMS Prioridad de radio ID de flujo de paquetes Características de carga Referencia de seguimiento Tipo de seguimiento Razón de MS no accesible ID de carga Dirección de usuario final Contexto MM Contexto PDP Nombre de punto de acceso Opciones de configuración de protocolo Dirección GSN Número internacional PSTN/ISDN de MS (MSISDN) Calidad del perfil de servicio Quinteto de confirmación Plantilla de flujo de tráfico Identificación de objetivo Contenedor transparente UTRAN Información de ajuste RAB Lista de tipo de encabezado de extensión Id de activador Identidad OMC Contenedor transparente RAN Dar prioridad al contexto PDP Información adicional de ajuste RAB Número SGSN Indicadores comunes Restricción de APN LCS de prioridad de radio Tipo RAT Información de ubicación de usuario Huso horario MS IMEI-SV Contenedor de información de carga CAMEL Contexto MBMS UE Elementos de información de GTP 23 .

IMEI-SV de IE de los mensajes GTP antes de reenviar estos mensajes a GGSN. ULI. Ejemplo: Eliminación de R6 En este ejemplo. Puede configurar el dispositivo de seguridad para que elimine la restricción RAT. que se aloja en el extremo de PLMN y GRX y que funciona como un cortafuegos Gp. Puede configurar el dispositivo de seguridad de detección de GTP. IMEI-SV y APN) del mensaje GTP. ULI. RAI. WebUI Objects > GTP > New: Seleccione los siguientes datos y haga clic en Apply: Remove R6 EI: (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set remove-r6 (gtp:gprs1)-> exit save 24 Elementos de información de GTP . puede configurar la interfaz Gp del dispositivo de seguridad para que elimine los IE de R6 nuevos que se agreguen (restricciones RAT.Manual de referencia de ScreenOS: Conceptos y ejemplos Valor de tipo IE Elemento de información 157 158 159 160 161 162 163 164 165 166 167 168 169 251 255 Identidad de grupo móvil temporal (TMGI) Dirección de enrutamiento RIM Opciones de configuración de protocolo MBMS Área de servicio MBMS Información de contexto TNC PDCP origen Información adicional de seguimiento Contador de saltos ID de PLMN seleccionada Identificador de sesión MBMS Indicador MBMS2G/3G NSAPI mejorado Duración de sesión MBMS Información adicional de seguimiento de MBMS Dirección de puerta de enlace de carga Extensión privada Eliminación de 3GPP R6 IE La característica de eliminación de 3GPP R6 IE le permite retener la interoperabilidad en itinerancia entre redes 2GPP y 3GPP. para que elimine los atributos específicos 3GPP del título del paquete GTP cuando el paquete pasa a una red 2GPP.

Básicamente. así que si el dispositivo de seguridad recibe un mensaje create pdp context response cuando no recibió previamente un mensaje create pdp context request.Capítulo 1: GPRS Túneles de GTP Un túnel GTP habilita la transmisión del tráfico de GTP entre los GSN con el Protocolo de encapsulamiento de GPRS (GTP). el dispositivo de seguridad verifica el paquete de GTP con el estado actual del túnel de GTP. si éste recibe un paquete de GTP que no pertenece al modelo de estado actual de GTP. 800 CLI set gtp config gprs1 (gtp:gprs1)-> set limit tunnel 800 (gtp:gprs1)-> exit save Inspección de estado Tras una serie de verificaciones de paquete de GTP (consulte “Filtrado de mensajes de GTP” en la página 8). WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Maximum Number of Tunnels Limited to tunnels: (seleccione). Los GSN a los cuales se aplica esta limitación se especifican en la directiva a la cual adjunta el objeto de inspección de GTP. Hay dos tipos de túneles: uno para los mensajes de GTP-U (datos del usuario) y uno para los mensajes de GTP-C (señalización y control). Lo siguiente son ejemplos simplificados de los modelos de estado de GTP. Esta característica evita que se exceda la capacidad de los GSN. el dispositivo de seguridad descarta el mensaje de respuesta. Ejemplo: Establecimiento de los límites de túnel GTP En el siguiente ejemplo. el dispositivo de seguridad descarta el paquete. Por ejemplo. Túneles de GTP 25 . usted limita el número de túneles de GTP itinerancia a 800 para el objeto de inspección de GTP GPRS1. El dispositivo de seguridad basa su acción de reenvío o descarte de un paquete de GTP en paquetes de GTP anteriores que recibió. un mensaje de petición precede un mensaje de respuesta. Limitación del túnel GTP Puede configurar el dispositivo de seguridad para limitar el número de túneles de GTP.

El SGSN anterior responde con un mensaje “sgsn context response” y envía al nuevo SGSN toda la información que tiene sobre la MS. incluso los túneles de GTP existentes y está listo para hacerse cargo de las responsabilidades del dispositivo maestro si éste llegara a fallar. El dispositivo de respaldo refleja la configuración del maestro. Un dispositivo de seguridad puede recibir varias peticiones para establecer túneles de GTP para diferentes GSN de manera simultánea. Para ayudar a dar seguimiento a todos los túneles (estado del túnel y mensajes de registros de los diferentes túneles). un dispositivo de seguridad asigna un índice único a cada túnel en el momento de su creación. asignación de recursos. únicamente el mensaje “update pdp context request/response” se dirige a través del dispositivo de seguridad. si la hubiera. el nuevo SGSN debe enviar un mensaje “update pdp context request” al GGSN al cual GGSN responde con un mensaje “update pdp context response”. GGSN responde con un mensaje “delete pdp context response” y elimina el túnel de GTP de sus registros. garantías de calidad de servicio (QoS)). responde con un mensaje create pdp context response. Al recibir la respuesta e información. SGSN envía un mensaje create pdp context request a GGSN. En el caso de que los dos SGSN están en la misma PLMN y el GSN está en una PLMN diferente. De aquí en adelante. también elimina el túnel de GTP de sus registros. Para terminar la comunicación. Ese índice de túnel aparece para cada mensaje de túnel de GTP registrado. el nuevo SGSN envía “sgsn context request” al SGSN anterior donde solicita la transferencia de toda la información que tiene sobre la MS. SGSN envía un mensaje “delete pdp context request” a GGSN.com) y realiza una conexión de GPRS con un SGSN para iniciar el establecimiento de un túnel de GTP.buygadgets. 26 Túneles de GTP . los dos dispositivos de seguridad en una configuración HA actúan como dispositivos maestro y de respaldo. Para completar este procedimiento de “entrega”. En el caso de que los SGSN se encuentren en diferentes PLMN. el nuevo SGSN confirma la recepción enviando un mensaje “sgsn context acknowledge” al SGSN anterior. el SGSN anterior reenviará al SGSN nuevo cualquier T-PDU nuevo que reciba para la MS. la MS realiza una desconexión de GPRS con el SGSN para iniciar el desmantelamiento del túnel de GTP. La conmutación por error entre el dispositivo maestro y de respaldo es rápida e invisible al usuario. En esencia. Si GGSN puede aceptar con éxito la conexión (confirmación.Manual de referencia de ScreenOS: Conceptos y ejemplos Establecimiento y desmantelamiento del túnel de GTP Una estación móvil (MS) desea llegar a una red externa (www. todos los mensajes de GTP se dirigen a través del dispositivo de seguridad. Este intercambio de mensajes entre SGSN y GGSN establece un túnel de GTP a través del cual la MS puede enviar mensajes de usuario de GTP-U a la red externa. Actualización del área de enrutamiento dentro de SGSN Cuando una MS se mueve fuera del rango del SGSN actual e ingresa a una nueva área de SGSN. Cuando SGSN recibe la respuesta. Conmutación por error del túnel para alta disponibilidad ScreenOS admite dos modos de HA (alta disponibilidad): activo-activo cuando el dispositivo de seguridad está en el modo de rutas y activo-pasivo cuando el dispositivo de seguridad está en el modo de rutas o en el modo transparente.

por ejemplo.Capítulo 1: GPRS Durante la conmutación por error. consulte Volumen 11: Alta Disponibilidad. Cuando se establece un valor de tiempo de espera del túnel de GTP. el dispositivo de seguridad automáticamente identifica como “colgado” cualquier túnel de GTP que esté libre durante el período de tiempo especificado por el valor de tiempo de espera y lo elimina. Para obtener más información sobre HA y para aprender sobre cómo configurar los dispositivos de seguridad para alta disponibilidad. Puede configurar el dispositivo de seguridad para que elimine los túneles de GTP en espera. esperando la confirmación de eliminación. Con relación a la HA. debe reiniciar el establecimiento del túnel de GTP después de la conmutación por error. Los túneles de GTP pueden quedarse colgados debido a varias razones. los túneles de GTP establecidos permanecen activos e intactos. pero los túneles de GTP en el proceso de establecimiento se pierden. consulte “Limpieza de túneles de GTP colgados” en la página 27. La espera de los túneles de GTP puede ocurrir por varias razones. Para obtener más información. se establece el tiempo de espera del túnel de GTP para el objeto de inspección de GTP “GPRS1” a 12 horas. Para estos. un túnel de GTP en espera ocurre cuando el GSN en un extremo del túnel envía GSN al otro extremo del túnel un mensaje “delete pdp context request” y mientras espera la respuesta ocurre un fallo que interrumpe la comunicación y evita que GSN reciba el mensaje “delete pdp context response” (que confirma la eliminación) del otro GSN. Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP En este ejemplo. El GSN que envía el mensaje de confirmación elimina de manera simultánea su contexto de pdp mientras que el GSN en el otro extremo del túnel de GTP queda en espera. También es posible que los túneles de GTP en el proceso de desmontaje (o terminación) pierdan el mensaje de confirmación y queden a la espera en el dispositivo de seguridad. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Tunnel Inactivity Timeout: 12 CLI set gtp config gprs1 (gtp:gprs1)-> set timeout 12 (gtp:gprs1)-> exit save Túneles de GTP 27 . El valor de tiempo de espera del túnel de GTP predeterminado es de 24 horas. Puede configurar el dispositivo de seguridad para que detecte y elimine automáticamente los túneles de GTP que se quedan colgados. Limpieza de túneles de GTP colgados Esta característica elimina los túneles de GTP que se quedan colgados en el dispositivo de seguridad. el mensaje “delete pdp context response” puede perderse en una red o un GSN puede no cerrarse correctamente.

sin que se detecte ni se informe de la situación. El tráfico iniciado por la MS anterior se puede reenviar a la nueva MS. en lugar de X. que puede ocurrir cuando un abonado legítimo devuelve su dirección IP a un conjunto de IP. en lugar de A. es importante conocer que una estación móvil (MS) obtiene su dirección IP de un conjunto de IP. Esto indica que un ataque de sobrefacturación puede ocurrir de varias maneras. Es decir. el agresor puede descargar datos de manera gratuita (o con más exactitud. La siguiente sección describe el ataque de sobrefacturación y luego explica la solución. Desvío de GGSN: Un GGSN (X) puede enviar respuestas create-pdp-context en las cuales puede especificar diferentes direcciones IP de GGSN (GGSN Y y GGSN Z) para mensajes subsecuentes de GTP-C y GTP-U. Por lo tanto. Prevención de ataque de sobrefacturación Puede configurar los dispositivos de seguridad para evitar los ataques de sobrefacturación de GPRS. GGSN envía mensajes subsecuentes de GTP-C y GTP-U a SGSN B y C. SGSN envía los mensajes subsecuentes GTP-C y GTP-U a GGSN Y y Z. que es vulnerable ya que la sesión continúa abierta. Descripción del ataque de sobrefacturación Con el fin de saber un ataque de sobrefacturación. La Figura 4. lo que ocasiona que a la nueva MS se le facture tráfico no solicitado. Redirección de SGSN: Un SGSN (A) puede enviar solicitudes create-pdp-context en las que puede especificar diferentes direcciones IP de SGSN (SGSN B y SGSN C) para mensajes subsecuentes de GTP-C y GTP-U. Por lo tanto. en cuyo punto un agresor puede secuestrar la dirección IP. Un ataque de sobrefacturación puede ocurrir también cuando una dirección IP se encuentra disponible y se reasigna a otra MS. a expensas del abonado legítimo) o enviar datos a otros abonados. 28 Redirección de SGSN y GGSN . la Figura 5 y la Figura 6 ilustran esta situación en detalle. Cuando el agresor toma control de la dirección IP.Manual de referencia de ScreenOS: Conceptos y ejemplos Redirección de SGSN y GGSN Los dispositivos de seguridad de Juniper Networks admiten la redirección del tráfico de GTP entre SGSN y GGSN.

SGSN crea un nuevo túnel GTP a GGSN. una nueva estación móvil.2.Capítulo 1: GPRS En la Figura 4.2. El servidor continúa el envío de paquetes a GGSN. MS1 inicia una sesión con el servidor. Prevención de ataque de sobrefacturación 29 . GGSN descarta los paquetes ya que el túnel GTP ya no existe.1. envía una solicitud a SGSN por un túnel GTP a GGSN y recibe la dirección IP de 2. El cortafuegos de GI no sabe que el túnel GTP se eliminó y reenvía los paquetes a GGSN. Figura 4: Inicio de sesión PLMN 1 MS maliciosa (MS1: 2.2. ahora reenvía estos paquetes a MS2. SGSN crea un túnel GTP por petición de MS1. MS1 envía simultáneamente una petición a SGSN para eliminar el túnel GTP pero deja abierta la sesión al servidor. a medida que el servidor empieza a enviar paquetes a MS1.2/32) Cortafuegos de GTP SGSN Túnel GTP Servidor GGSN Cortafuegos de Gi Internet En la Figura 5.1. se cobra a MS2 por esto.2.1. MS2 (la víctima). Aunque MS2 no solicitó este tráfico dirigido a MS1. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Servidor Internet En la Figura 6. Al detectar el nuevo túnel GTP para la dirección IP de destino 2. que recibía los paquetes para la sesión anterior con la misma dirección IP de destino pero diferente MS (MS1). GGSN. Figura 5: Eliminación de un túnel de GTP PLMN 1 MS1 solicita la eliminación del túnel GTP y sale de la sesión. MS1 obtiene una dirección de IP y solicita un túnel GTP para GGSN.2/32 (la misma dirección IP que utilizó MS1).

1.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Túnel GTP Internet Servidor Solución del ataque de sobrefacturación Para proteger a los abonados de una PLMN de ataques de sobrefacturación es necesario contar con dos dispositivos de seguridad y utilizar el protocolo de equipo selector NetScreen (NSGP) y el módulo de NSGP.0 GPRS. debe utilizar la misma ID de contexto en cada dispositivo. el cortafuegos de Gi detiene el tráfico no solicitado. El dispositivo de seguridad que actúa como cortafuegos de Gi (el servidor) debe ejecutar el firmware ScreenOS 5.1.0 NSGP y el otro dispositivo que actúa como cortafuegos de GTP (el cliente) debe ejecutar el firmware ScreenOS 5. está unido a una zona de seguridad y se identifica por un número único (ID de contexto). Al recibir el mensaje de “borrar sesión”. MS1 envía una solicitud a SGSN para eliminar el túnel GTP y salir de la sesión. Cuando configure NSGP en los dispositivos del cliente y servidor. Usted configura NSGP en el cortafuegos de GTP para activarlo y así notificar al cortafuegos de Gi cuando se elimina un túnel de GTP y configura NSGP en el cortafuegos de Gi para activarlo y así borrar automáticamente las sesiones cada vez que el cortafuegos de Gi obtenga una notificación del cortafuegos de GTP acerca de que se eliminó un túnel de GTP.0. El cliente se conecta al servidor y envía las peticiones.2. la petición debe incluir la ID de contexto y la dirección IP del servidor. Después de iniciar una sesión con el servidor y a medida que el servidor empieza a enviar paquetes a MS1.0 o ScreenOS 5. 30 Prevención de ataque de sobrefacturación .Manual de referencia de ScreenOS: Conceptos y ejemplos Figura 6: Recepción de datos no solicitados PLMN 1 Nueva estación móvil (MS2: 2. el cual es un espacio que retiene la información de la sesión del usuario. Tanto el cliente como el servidor admiten varias conexiones entre sí y con otros de manera simultánea. Al borrar las sesiones. NSGP utiliza el protocolo de control de transmisión (TCP) y supervisa la conectividad entre el cliente y el servidor al enviar los mensajes de saludo en intervalos establecidos. el servidor hace coincidir la ID de contexto y luego borra la sesión de su tabla. Cuando el cliente envía una petición de “borrar sesión” al servidor.0. NSGP actualmente sólo admite el tipo de “sesión” de contexto. que procesa el servidor. El módulo NSGP incluye dos componentes: el cliente y el servidor.

0 o ScreenOS 5. Este ejemplo asume que configuró el objeto de inspección de GTP “GPRS1” tanto en el cortafuegos de GTP como de Gi.0 GPRS. PLMN 1 El cortafuegos de GTP notifica al cortafuegos de Gi acerca de la eliminación del túnel GTP. El cortafuegos de Gi ejecuta el firmware ScreenOS 5. Posteriormente. una nueva MS.0.0 NSGP. GGSN Servidor Internet Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación En este ejemplo configura NSGP tanto en el cortafuegos de GTP (cliente) como en el cortafuegos de Gi (servidor). Figura 7: Notificación de eliminación del túnel GTP MS1 solicita la eliminación del túnel GTP y sale de la sesión.5/24 Cortafuegos de Gi 2. El cortafuegos de Gi elimina la sesión de su tabla.1. Figura 8: Configuración de los cortafuegos de GTP y Gi Cortafuegos de GTP 1. Como resultado. cuando el servidor intenta enviar paquetes a GGSN.Capítulo 1: GPRS Al eliminar el túnel.1. no puede recibir datos y se le facturará tráfico que no ha iniciado. el cortafuegos de Gi los intercepta y los descarta. SGSN X El cortafuegos de GTP ejecuta el firmware ScreenOS 5. incluso si utiliza la misma dirección IP que la MS anterior.2.1.2.4/24 Servidor Internet Prevención de ataque de sobrefacturación 31 . el cortafuegos de GTP notifica inmediatamente al cortafuegos de Gi acerca de la eliminación del túnel GTP.1.

2.Manual de referencia de ScreenOS: Conceptos y ejemplos Cortafuegos de GTP (cliente) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 1. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione).1.1. Any Service: Any GTP Inspection Object: GPRS1 Action: Permit CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 1.5/24 Management Services: Telnet (seleccione) Objects > GTP > Edit (GPRS1) > Overbilling: Introduzca los siguientes datos y haga clic en Apply: Overbilling Notify: (seleccione) Destination IP: 2.2.4 src-interface ethernet1/2 context 2 (gtp:gprs1)-> exit save set policy from untrust to trust any any any permit El sistema devuelve una identificación de directiva.2.1.1. Any Destination Address: Address Book Entry: (seleccione). por ejemplo: policy id = 2 set policy id 2 gtp gprs1 save Cortafuegos de Gi (servidor) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 2.4 Source Interface: ethernet1/2 Destination Context: 2 Policies > (From: Untrust.2.2.1.5/24 set interface ethernet1/2 manage telnet set gtp config gprs1 (gtp:gprs1)-> set notify 2.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione) 32 Prevención de ataque de sobrefacturación .

1. syslog y WebUI para ver los registros de tráfico.4/24 set interface ethernet1/2 manage telnet set interface ethernet1/2 nsgp set nsgp context 2 type session zone untrust save Supervisión de tráfico de GTP Los dispositivos de seguridad de Juniper Networks proporcionan herramientas completas para la supervisión del flujo de tráfico en tiempo real. Para el tráfico de GTP. El estado de un paquete de GTP puede ser alguno de los siguientes: Reenviado: Un paquete que transmite el dispositivo de seguridad ya que la directiva de GTP lo permite. Estado no válido: Un paquete que descarta el dispositivo de seguridad ya que falló la inspección de estado. luego haga clic en OK: Context ID: 2 Zone: Untrust CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 2. Puede utilizar la consola. Limitado por velocidad: Un paquete que descarta el dispositivo de seguridad ya que excede el límite máximo de velocidad del GSN de destino. desea sobre cada paquete. el registro de tráfico está inhabilitado en un dispositivo de seguridad de Juniper Networks. Registro de tráfico Con la característica de registro de tráfico de GTP.Capítulo 1: GPRS NSGP: Introduzca los siguientes datos y haga clic en Add.2. Limitado por túneles: Un paquete que descarta el dispositivo de seguridad ya que se llegó al límite máximo de túneles de GTP para el GSN de destino. NOTA: De forma predeterminada. puede supervisar el tráfico utilizando el registro del tráfico de GTP y las características de recuento del tráfico de GTP. También puede especificar cuánta información. puede configurar el dispositivo de seguridad para registrar los paquetes de GTP según sus estados. básica o extensa. Cada entrada de registro en su forma básica contiene la siguiente información: Marca de hora Dirección IP de origen Supervisión de tráfico de GTP 33 . Prohibido: Un paquete que descarta el dispositivo de seguridad ya que la directiva de GTP lo rechaza.

limitado por velocidad o limitado por túneles Nombre de vrouter.Manual de referencia de ScreenOS: Conceptos y ejemplos Dirección IP destino Identificador del túnel (TID) o Identificador del punto final del túnel (TEID) Tipo de mensaje Estado del paquete: reenviado. 34 Supervisión de tráfico de GTP . si establece el valor de frecuencia en 10. estado no válido. con un valor de frecuencia de 10 para los paquetes de velocidad limitada y registro para paquetes de estado no válido. ayuda a conservar los recursos en el servidor syslog y en el dispositivo de seguridad y puede evitar el desbordamiento de registro de los mensajes. consulte “Supervisión de dispositivos de seguridad” en la página 3-59. Al establecer una frecuencia de registro. Ejemplo: Habilitación del registro de paquetes de GTP En este ejemplo. Usted opta por un inicio de sesión básico de paquetes prohibidos y velocidad limitada. también puede especificar una frecuencia de inicio de sesión para controlar el intervalo en el cual el dispositivo de seguridad registra estos mensajes. Por ejemplo. velocidad limitada y prohibidos. usted configura el dispositivo de seguridad para registrar los paquetes GTP de estado no válido. el dispositivo de seguridad únicamente registra cada décimo mensaje sobre el límite de velocidad establecido. prohibido. vsys o interfaz (si corresponde) Red móvil terrestre pública (PLMN) o nombre de zona Cada entrada del registro en su forma extendida incluye la siguiente información además de la información “básica”: IMSI MSISDN APN Modo de selección Dirección de SGSN para señalización Dirección de SGSN para datos de usuario Dirección de GGSN para señalización Dirección de GGSN para datos de usuario NOTA: Para obtener más información sobre las características de supervisión. Cuando habilita el inicio de sesión de los paquetes de GTP con un estado de limitado por velocidad del paquete. para la inspección de objeto de GTP “GPRS1”.

puede configurar el dispositivo de seguridad para contar el número de mensajes de control y datos de usuario (o bytes de datos). Ejemplo: Habilitación del recuento de tráfico de GTP En este ejemplo. el registro de tráfico se deshabilita en los dispositivos de seguridad de Juniper Networks.Capítulo 1: GPRS WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Packet Prohibited: Basic (seleccione) Packet State-invalid: Extended (seleccione) Packet Rate-Limited: Basic (seleccione) When Packet Rate Limit is exceeded. Supervisión de tráfico de GTP 35 . se habilita el recuento de tráfico de GTP por mensajes en el objeto de inspección de GTP “GPRS1”. El dispositivo de seguridad cuenta el tráfico para cada túnel de GTP por separado y lo diferencia de los mensajes de GTP-Usuario y GTP-Control. La entrada de registro para la eliminación de un túnel contiene la siguiente información: Marca de hora Nombre de interfaz (si aplica) Dirección IP de SGSN Dirección IP de GGSN TID Tiempo de duración del túnel en segundos Número de mensajes enviados a SGSN Número de mensajes enviados a GGSN NOTA: De forma predeterminada. el dispositivo de seguridad cuenta y registra el número total de mensajes o bytes de datos que se recibieron de y se reenviaron a SGSN o GGSN. Cuando se elimina un túnel. log every other messages: 10 CLI set gtp config gprs1 (gtp:gprs1)-> set prohibited basic (gtp:gprs1)-> set state-invalid extended (gtp:gprs1)-> set rate-limited basic 10 (gtp:gprs1)-> exit save Recuento de tráfico Con la característica de recuento de tráfico de GTP. recibidos de y reenviados a GGSN y SGSN al cual protege.

escriba 123456789012345. habilita el dispositivo de seguridad para dar seguimiento a un abonado con 345678 como un prefijo de IMSI en el objeto de inspección de GTP “GPRS1”. luego haga clic en Add. El dispositivo de seguridad envía los paquetes registrados a un servidor externo (como Syslog) dedicado para las operaciones de Intercepción legal. CLI set gtp config gprs1 (gtp:gprs1)-> set trace imsi 123456789012345 (gtp:gprs1)-> set trace max-active 2 save-length 1064 (gtp:gprs1)-> exit save 36 Supervisión de tráfico de GTP . Para los paquetes de GTP que contienen datos del usuario. Puede registrar los paquetes parciales o completos. El valor predeterminado es cero. También puede establecer el número de seguimientos activos en 2 y el número de bytes a registrar en 1064. WebUI Objects > GTP > Edit (GPRS1) > Subscriber Trace: Introduzca los siguientes datos y haga clic en Apply: Maximum Simultaneous Active Trace: 2 Trace Message: 1064 Subscribers identified by: Seleccione IMSI. El número predeterminado de seguimientos activos simultáneos es tres. Puede identificar los abonados por sus IMSI o MS-ISDN y registrar el contenido de datos del usuario y mensajes de control que se dirigen al o provienen del abonado.Manual de referencia de ScreenOS: Conceptos y ejemplos WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Traffic counters: Count by Message (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> log traffic-counters (gtp:gprs1)-> exit save Intercepción legal Puede configurar un dispositivo de seguridad para identificar y registrar el contenido de mensajes de GTP-U o GTP-C según los prefijos de IMSI o identificación de red de datos de servicios integrados de estación móvil (MS-ISDN). Puede configurar el número de abonados a los que el dispositivo de seguridad puede dar seguimiento de manera activa y simultánea. puede especificar el número de bytes de datos a registrar. Ejemplo: Habilitación de intercepción legal En este ejemplo. lo que significa que el dispositivo de seguridad no registra ningún contenido de un paquete de GTP-U.

.................................................................................................................5 Índice IX-I ..................................... filtrar por .....................9 estándares ...........16 F filtrado del prefijo de IMSI ............................................................................................................................................................................................................................16 estación móvil (MS) .................................................................................................................................................................................................................................12 C comodines ..............................................5 directivas........................... 16 a 17 modo de selección ....2 Gn ........................................................31 soluciones..........2 L L2TP ........................................................................2 según directivas .........................................................................................................................................................4 modo transparente ....4 transparente.......................16 red ...............................................................................3 limitación de velocidad................. tráfico ...........16 modos de funcionamiento NAT ....................... 28 a 33 prevención.......................................................27 N Nombre de punto de acceso véase APN P Protocolo de encapsulamiento de GPRS (GTP) véase GTP R registro....................................................................................................................................10 a 11 velocidad................................. limitación por ..............................................4 G Gi........5 M mensajes GTP ..............4 Ruta .................................................. 26 APN filtrado ........16 filtrado del paquete de GTP-en-GTP .................................................2 Gp ...............Índice A alta disponibilidad (HA) ..........9 filtrado del nombre de punto de acceso (APN) ................. configuración ..................................16 compatibilidad con el sistema virtual ............................................................11 longitud..........5 tiempo de espera del túnel .............................................................16 modo de rutas .10 tipos .28 prevención ..........................6 E estación móvil (MS) ..... mensajes GTP-C ...................................2 Gp.............................4.........30 I intercepción legal.................................................... 5 a 7 protocolo .............4 modo NAT ...........................................................................16 verificado .........................17 funcionamiento..................36 Interfaces Gi ................................................4 Ruta ..........................................................................................4 modos de selección APN ....................14 filtrado del prefijo de IMSI .....................................12 versiones 0 y 1 ................................9 tipo............ configuración ........................................25 objetos de inspección ................. interfaz .............................................................................................................4 modo verificado . filtrar por ...................................................2 Gn...........................................................................................14 inspección de estado .......................................................................11 modo de red .16 Ataques de sobrefacturación ...............2 GTP comprobación de coherencia del paquete ............................................................. 28 a 30 descripción ........................................................................................................................4 transparente .......17 fragmentación de IP ......16 D directivas .................................................................................. interfaz ............................... interfaz ........................................................... modos de NAT ..............................................................................................................................................................................

........................................................................................... 27 V validación del número de secuencia .....................................................................................................................................................Manual de referencia de ScreenOS: Conceptos y ejemplos S selección....................................................................... 35 túnel de GTP en espera ....... 16 verificado ........................... 27 túneles GTP conmutación por error ........................... 16 estación móvil (MS) ............................................................ 27 túneles de GTP colgados ........... 26 límite .................................................... 27 tráfico recuento ................................................................ 5 tráfico GTP iniciar sesión ......... 25 tiempo de espera .......................... 16 T tiempo de espera ............... modos APN .............................................................................................................................................. 16 red ................................ 33 recuento ....................................... 13 IX-II Índice .................................... 5 registro .........................