Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 13: Servicio general de radio por paquetes

Versión 6.0.0, Rev. 02

Juniper Networks, Inc.
1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000

www.juniper.net
Número de pieza: 530-017779-01-SP, Revisión 02

Copyright Notice
Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

ii

Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de usuario web .............................................. v Convenciones de interfaz de línea de comandos ...................................... vi Convenciones de nomenclatura y conjuntos de caracteres ...................... vii Convenciones para las ilustraciones ....................................................... viii Asistencia y documentación técnica................................................................ ix Capítulo 1 GPRS 1

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .................................................................................................... 2 Interfaces Gp y Gn ..................................................................................... 2 Interfaz Gi.................................................................................................. 3 Modos de funcionamiento ......................................................................... 4 Compatibilidad con el sistema virtual ........................................................ 5 Protocolo de encapsulamiento de GPRS según directivas .................................5 Ejemplo: Configuración de directivas para habilitar la inspección de GTP ..................................................................................................... 6 Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) .......7 Ejemplo: Creación de un objeto de inspección de GTP .............................. 8 Filtrado de mensajes de GTP............................................................................ 8 Comprobación de coherencia del paquete ................................................. 9 Filtrado de la longitud del mensaje ............................................................ 9 Ejemplo: Ajuste de las longitudes del mensaje de GTP ......................10 Filtrado del tipo de mensaje ....................................................................10 Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10 Tipos de mensaje admitidos..............................................................11 Limitación de velocidad de los mensajes .................................................12 Ejemplo: Establecimiento de un límite de velocidad .........................13 Validación del número de secuencia........................................................13 Ejemplo: Habilitación de la validación del número de secuencia.......14 Fragmentación de IP ...............................................................................14 Filtrado de paquetes de GTP-en-GTP........................................................14 Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP ..........14 Deep Inspection ......................................................................................14 Ejemplo: Habilitación de Deep Inspection en la TEID........................15 Elementos de información de GTP .................................................................15 Filtrado del nombre de punto de acceso..................................................16 Ejemplo: Establecimiento de un APN y un modo de selección ..........17 Filtrado del prefijo de IMSI ......................................................................17 Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado .................................................................................18 Tecnología de acceso de radio .................................................................18
iii

Contenido

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Ajuste de un filtro de RAT y APN ........................................18 Identidad de área de enrutamiento e información de ubicación de usuario ..............................................................................................19 Ejemplo: Ajuste de un filtro RAI y APN..............................................19 Ejemplo: Ajuste de un filtro ULI y APN ..............................................19 Restricción de APN ..................................................................................20 IMEI-SV....................................................................................................20 Ejemplo: Ajuste de un filtro IMEI-SV y APN .......................................20 Requisitos de protocolo y señalización ....................................................21 Compatibilidad combinada para filtrado IE .............................................21 Elementos de información R6 compatibles .............................................22 Eliminación de 3GPP R6 IE......................................................................24 Ejemplo: Eliminación de R6 ..............................................................24 Túneles de GTP ..............................................................................................25 Limitación del túnel GTP..........................................................................25 Ejemplo: Establecimiento de los límites de túnel GTP .......................25 Inspección de estado ...............................................................................25 Establecimiento y desmantelamiento del túnel de GTP .....................26 Actualización del área de enrutamiento dentro de SGSN...................26 Conmutación por error del túnel para alta disponibilidad ........................26 Limpieza de túneles de GTP colgados ......................................................27 Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP ............................................................................................27 Redirección de SGSN y GGSN .........................................................................28 Prevención de ataque de sobrefacturación.....................................................28 Descripción del ataque de sobrefacturación ............................................28 Solución del ataque de sobrefacturación..................................................30 Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación ....................................................................31 Supervisión de tráfico de GTP ........................................................................33 Registro de tráfico ...................................................................................33 Ejemplo: Habilitación del registro de paquetes de GTP......................34 Recuento de tráfico .................................................................................35 Ejemplo: Habilitación del recuento de tráfico de GTP........................35 Intercepción legal ....................................................................................36 Ejemplo: Habilitación de intercepción legal.......................................36 Índice ........................................................................................................................IX-I

iv

Contenido

cada página separada por signos de mayor y menor. navegue hacia la página en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el lado izquierdo de la pantalla. Convenciones del documento Este documento utiliza las convenciones que se describen en las secciones siguientes: “Convenciones de la interfaz de usuario web” en esta página “Convenciones de interfaz de línea de comandos” en la página vi “Convenciones de nomenclatura y conjuntos de caracteres” en la página vii “Convenciones para las ilustraciones” en la página viii Convenciones de la interfaz de usuario web En la interfaz de usuario web (WebUI). Convenciones del documento v . Incluye el siguiente capítulo: Capítulo 1. el conjunto de instrucciones de cada tarea se divide en ruta de navegación y establecimientos de configuración. “GPRS.” donde se describen las funciones del protocolo de encapsulamiento de GPRS (GTP) en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks. Para abrir una página de WebUI e introducir parámetros de configuración. su ruta de navegación aparece en la parte superior de la pantalla. luego en los elementos subsiguientes. A medida que avanza. Este volumen describe las funciones de GTP en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks.Acerca de este volumen El Volumen 13: Servicio general de radio por paquetes es para los operadores de red de GPRS que poseen conocimiento avanzado de la tecnología GPRS.

2. El árbol de navegación también proporciona una página de configuración de Help > Config Guide para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). los comandos están en negrita y las variables en cursiva. En ejemplos: Los elementos entre corchetes [ ] son opcionales. haga clic en el signo de interrogación (?) en la parte superior izquierda de la pantalla. Convenciones de interfaz de línea de comandos Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de línea de comandos (CLI) en ejemplos y en texto. 10.Manual de referencia de ScreenOS: Conceptos y ejemplos Lo siguiente muestra los parámetros y ruta de WebUI para la definición de una dirección: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione).2. NOTA: Para introducir palabras clave. Si existen dos o más opciones alternativas. Sin embargo. Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage Las variables aparecen en cursiva: set admin user nombre1 contraseña xyz En el texto. Al escribir set adm u whee j12fmt54 se ingresará el comando set admin user wheezer j12fmt54. Seleccione una opción del menú desplegable y siga las instrucciones en la página. Los elementos entre llaves { } son obligatorios. todos los comandos documentados aquí se encuentran presentes en su totalidad. vi Convenciones del documento . basta con introducir los primeros caracteres para identificar la palabra de forma inequívoca. Haga clic en el carácter ? en la parte superior izquierda para la Ayuda en línea en la Guía de configuración. aparecerán separadas entre sí por barras verticales ( | ).5/32 Zone: Untrust Para abrir la ayuda en línea para los ajustes de configuración.

“ local LAN ” se transformará en “local LAN”. “local LAN” es distinto de “local lan”. Los espacios consecutivos múltiples se tratan como uno solo. europeo y hebreo.1. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). NOTA: Una conexión de consola sólo admite conjuntos SBCS. Convenciones del documento vii . por ejemplo: set address trust “local LAN” 10. túneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o más espacios.0/24 Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina. usuarios administradores. Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII. se encuentran el chino. también conocidos como conjuntos de caracteres de doble byte (DBCS). la cadena completa deberá estar entre comillas dobles. sistemas virtuales. servidores de autenticación. por el contrario. En las cadenas de nombres se distingue entre mayúsculas y minúsculas.Acerca de este volumen Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones. La WebUI admite tanto SBCS como MBCS.1. en muchas palabras clave de CLI pueden utilizarse indistintamente. Entre los conjuntos MBCS. que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. por ejemplo. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff). el coreano y el japonés. Por ejemplo. puertas de enlace IKE. a excepción de las comillas dobles ( “ ). según el conjunto de caracteres que admita el explorador.

Manual de referencia de ScreenOS: Conceptos y ejemplos Convenciones para las ilustraciones La siguiente figura muestra el conjunto básico de imágenes utilizado en las ilustraciones de este volumen: Figura 1: Imágenes de las ilustraciones Sistema autónomo o bien dominio de enrutamiento virtual Red de área local (LAN) con una única subred o bien zona de seguridad Internet Rango dinámico de IP (DIP) Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust) Motor de directivas Dispositivo de red genérico Interfaz de túnel Servidor Túnel VPN Enrutador Dispositivos de seguridad Juniper Networks Conmutador Concentrador viii Convenciones del documento .

Acerca de este volumen Asistencia y documentación técnica Para obtener documentación técnica sobre cualquier producto de Juniper Networks.juniper.net/customers/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.). Si encuentra algún error u omisión en este documento. póngase en contacto con Juniper Networks al techpubs-comments@juniper.juniper.net. Asistencia y documentación técnica ix . Para obtener soporte técnico. abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web http://www.net/techpubs/.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU. visite www.

Manual de referencia de ScreenOS: Conceptos y ejemplos x Asistencia y documentación técnica .

proveedores de Intercambio de itinerancia de GPRS (GRX) e Internet pública. La comunicación entre las diferentes redes de GPRS no es segura ya que GTP no proporciona ninguna protección de confidencialidad. Al implementar la seguridad del protocolo de Internet (IPSec) para las conexiones entre los socios de itinerancia. GTP es el protocolo que se utiliza entre los nodos de soporte de GPRS (GSN). Juniper Networks proporciona soluciones a varios problemas de seguridad que dificultan el trabajo de los operadores de red de GPRS. es posible que se elimine una mayoría de riesgos de seguridad de GTP.Capítulo 1 GPRS Las redes de servicio general de radio por paquetes (GPRS) se conectan a varias redes externas. Gn y Gi. clientes corporativos. Las características de cortafuegos de GTP en ScreenOS abordan los problemas de seguridad clave en las redes de los operadores móviles. la razón fundamental de las amenazas a la seguridad a la red de un operador es la inherente falta de seguridad del protocolo de encapsulamiento de GPRS (GTP). Los operadores de red de GPRS se enfrentan al reto de proteger sus redes al mismo tiempo que proporcionan y controlan el acceso hacia y desde estas redes externas. Este capítulo describe las características de GTP que son compatibles con ScreenOS y explica cómo puede configurarlas en un dispositivo de seguridad de Juniper Networks. incluso a aquellas de socios de itinerancia (roaming). establecer los límites de velocidad del tráfico y utilizar la inspección de estado. Este capítulo consta de las siguientes secciones: “El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS” en la página 2 “Protocolo de encapsulamiento de GPRS según directivas” en la página 5 “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7 “Filtrado de mensajes de GTP” en la página 8 “Elementos de información de GTP” en la página 15 1 . NOTA: Únicamente los dispositivos de ISG 2000 son compatibles con la funcionalidad de GTP. Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en las interfaces de Gp. integridad de datos o autenticación. En la arquitectura de GPRS.

por lo tanto todo el tráfico entrante y saliente pasa a través del cortafuegos. un SGSN y un GGSN. Gp: La interfaz Gp es la conexión entre dos redes móviles terrestres públicas PLMN. Cuando GGSN recibe los paquetes. por ejemplo. entre un nodo de soporte de servidor GPRS (SGSN) y un nodo de soporte de puerta de enlace GPRS (GGSN).Manual de referencia de ScreenOS: Conceptos y ejemplos “Redirección de SGSN y GGSN” en la página 28 “Prevención de ataque de sobrefacturación” en la página 28 “Supervisión de tráfico de GTP” en la página 33 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS El protocolo de encapsulamiento de GPRS (GTP) se utiliza para establecer un túnel GTP para estaciones móviles individuales (MS). Interfaces Gp y Gn Los dispositivos de seguridad se implementan en la interfaz Gn para proteger posiciones clave en la red como SGSN y GGSN. el dispositivo de seguridad se coloca entre los SGSN y los GGSN dentro de una PLMN común. Cuando se implementa un dispositivo de seguridad en la interfaz Gp. Un túnel GTP es un canal seguro entre GSN a través del cual dos hosts pueden intercambiar datos. los SGSN y los GGSN de una PLMN se colocan detrás de un dispositivo de seguridad. Para asegurar los túneles de GTP en la interfaz Gp. Un cortafuegos de GTP de Juniper Networks autorizada puede proporcionar seguridad para los siguientes tipos de interfaces de GPRS: Gn: La interfaz Gn es la conexión entre SGSN y GGSN dentro de la misma red móvil terrestre pública (PLMN). 2 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS . una interfaz es una conexión o un punto de referencia entre dos componentes de una infraestructura de GPRS. En ScreenOS. SGSN recibe los paquetes de las MS y los encapsula dentro de un encabezado de GTP antes de reenviarlos a GGSN a través del túnel GTP. NOTA: El término interfaz tiene diferentes significados en ScreenOS y en la tecnología GPRS. En GPRS. Gi: La interfaz Gi es la conexión entre un GGSN e Internet o las redes de destino conectadas a PLMN. éste los desencapsula y los reenvía al host externo. Para asegurar los túneles de GTP en la interfaz Gn. se protege una PLMN contra otra PLMN. una interfaz es como una entrada a una zona de seguridad y permite que el tráfico entre y salga de la zona.

ScreenOS proporciona un gran número de enrutadores virtuales. proteger una PLMN contra Internet y redes externas y proteger a los usuarios móviles de Internet y otras redes. (No obstante. El dispositivo de seguridad puede reenviar de manera segura los paquetes a Internet o a redes de destino utilizando el encapsulamiento de protocolo de capa 2 (L2TP) para los túneles de red privada virtual (VPN). Para obtener más información sobres las características y capacidades de los enrutadores virtuales.Capítulo 1: GPRS La Figura 2 ilustra la colocación de los dispositivos de seguridad de Juniper Networks para proteger PLMN en las interfaces Gp y Gn. consulte el Volumen 7: Enrutamiento. permite la separación de tráfico de cada red del cliente. Figura 2: Interfaces Gp y Gn Torre de radio SGSN Dispositivo de seguridad MS Interfaces Gn GGSN PLMN 1 PLMN 2 Interfaz Gp Dispositivo de seguridad Interfaces Gn GGSN MS SGSN Torre de radio Interfaz Gi Cuando implementa un dispositivo de seguridad en la interfaz Gi. puede controlar a la vez el tráfico de varias redes. tenga en cuenta que los dispositivos de seguridad de Juniper Networks no son completamente compatibles con L2TP). lo que hace posible que usted utilice un enrutador virtual por red de cliente y por ende. El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS 3 .

consulte el Volume 2: Fundamentos y el Volumen 11: Alta Disponibilidad. lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente a los usuarios. el modo transparente únicamente admite la alta disponibilidad (HA) activa-pasiva. que admite tanto HA activa-pasiva como activa-activa. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red. puede ejecutarlo en el modo de rutas.Manual de referencia de ScreenOS: Conceptos y ejemplos La Figura 3 ilustra la implementación de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi. respectivamente. el dispositivo de seguridad actúa como un conmutador de Capa 2 o un puente y las direcciones de IP de interfaces se establecen en 0. Figura 3: Interfaz Gi Internet Red A corporativa Red B corporativa Dispositivo de seguridad Torre de radio Interfaz Gi MS PLMN 1 Modos de funcionamiento ScreenOS admite dos modos de funcionamiento de interfaz con GTP: El modo transparente y el modo de rutas. Para ello es necesario modificar el diseño de la red. En el modo transparente. Puede implementar el dispositivo de seguridad. a diferencia del modo de rutas. 4 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .0. de forma alterna.0. ScreenOS admite la Traducción de direcciones de red (NAT) en interfaces y directivas que no tienen activada la inspección de GTP. En la versión actual de ScreenOS.0. Para obtener más información sobre los modos de funcionamiento y alta disponibilidad. en modo transparente en sus redes existentes sin tener que reconfigurar su red completa.

Un dispositivo de seguridad realiza el filtro de directivas de GTP mediante la comparación de cada paquete de GTP con las directivas que regulan el tráfico de GTP. Protocolo de encapsulamiento de GPRS según directivas De forma predeterminada. Para obtener más información sobre las directivas. puede permitir o rechazar el establecimiento de túneles de GTP de determinados interlocutores tales como SGSN. a una directiva. El dispositivo de seguridad protege la PLMN en la zona Trust contra cualquier otra PLMN en otras zonas. la PLMN que protege al dispositivo de seguridad está en la zona Trust. Puede configurar las directivas que especifican “Any” (cualquiera) como la zona de origen o destino (de este modo se incluyen todos los hosts de la zona) y puede configurar directivas que especifican múltiples direcciones de origen y destino. esto no activa al dispositivo para inspeccionar el tráfico de GTP. Una PLMN puede ocupar una zona de seguridad o varias zonas de seguridad. le recomendamos que no utilice más de 10 vsys. Antes de que pueda aplicar una configuración de GTP a una directiva. usted activa al dispositivo de seguridad para que permita. también denominada Objeto de inspección de GTP. No obstante. Al seleccionar el servicio de GTP en una directiva. deniegan o encapsulan el tráfico. rechace o encapsule el tráfico de GTP. Con el fin de que el dispositivo de seguridad inspeccione el tráfico de GTP. Puede aplicar únicamente un objeto de inspección de GTP por directiva. para luego reenviar.Capítulo 1: GPRS Compatibilidad con el sistema virtual Los dispositivos de seguridad de Juniper Networks son completamente compatibles con la funcionalidad de GTP en sistemas virtuales (vsys). En las directivas puede habilitar las características tales como el registro de tráfico y recuento de tráfico. Con el uso de directivas. primero debe haber creado un Objeto de inspección de GTP (consulte “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7). pero puede aplicar un objeto de inspección de GTP a varias directivas. debe aplicar una configuración de GTP. Protocolo de encapsulamiento de GPRS según directivas 5 . descartar o encapsular el paquete según dichas directivas. Las directivas incluyen reglas que permiten. Sin embargo. para conservar los recursos. Puede colocar todas las PLMN contra las que está protegiendo su PLMN en la zona Untrust o puede crear zonas definidas por el usuario para cada PLMN. consulte el Volume 2: Fundamentos. Debe crear directivas para que el tráfico pueda fluir entre las zonas y las PLMN.

1.0/24 Zone: Trust Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (seleccione). También aplica un objeto de inspección de GTP a las directivas.1. Interfaces Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Configuración de directivas para habilitar la inspección de GTP En este ejemplo. 10.1.1/24 Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1. local-GGSN Destination Address: Address Book Entry: (seleccione). 1. WebUI 1.1. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (seleccione).2.2. GTP Name: GPRS1 2. usted configura las interfaces y crea direcciones y dos directivas para permitir que haya tráfico bidireccional entre dos redes dentro de la misma PLMN.5/32 Zone: Untrust 4.1. Directivas Policies > (From: Trust. remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit 6 Protocolo de encapsulamiento de GPRS según directivas . To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). Objeto de inspección GTP Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.1/24 3.1.

1.1. Direcciones set address trust local-ggsn 10. Puede configurar el dispositivo de seguridad para controlar el tráfico de GTP con una base diferente en las direcciones y zonas de origen y destino. Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) 7 . acción. remote-SGSN Destination Address: Address Book Entry: (seleccione). Los objetos de inspección de GTP proporcionan más flexibilidad.0/32 set address untrust remote-sgsn 2. set policy id 5 gtp gprs1 save Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) Para habilitar el dispositivo de seguridad para que realice la inspección del tráfico del Protocolo de encapsulamiento de GPRS (GTP). Directivas set policy from trust to untrust local-ggsn remote-sgsn gtp permit El sistema devuelve una Identificación de directiva.2. Interfaces set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10. pues permiten configurar las múltiples directivas que permiten las diferentes configuraciones de GTP. debe crear un objeto de inspección de GTP y luego aplicarlo a una directiva.1.1.2. debe escribir el contexto de una configuración de GTP. primero debe salir de la configuración de GTP y luego escribir el comando save. por ejemplo: policy id = 5.1/24 3.1. Objeto de inspección GTP set gtp configuration gprs1 (gtp:gprs1)-> exit save 2. local-GGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit CLI 1. Para configurar las características de GTP.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). etc.5/32 4.Capítulo 1: GPRS Policies > (From: Untrust. por ejemplo: policy id = 4. set policy id 4 gtp gprs1 set policy from untrust to trust remote-sgsn local-ggsn gtp permit El sistema devuelve una Identificación de directiva.1. Para guardar sus configuraciones.

pero se habilitan las características de validación de número de secuencia y rechazo de GTP en GTP. se comprueba el paquete con las directivas configuradas en el dispositivo.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Creación de un objeto de inspección de GTP En este ejemplo. Si el paquete coincide con una directiva. el dispositivo de seguridad descarta el paquete. se crea un objeto de inspección de GTP denominado LA-NY. el dispositivo inspecciona entonces el paquete de acuerdo con la configuración de GTP aplicada a la directiva. GTP Name: LA-NY Sequence Number Validation: (seleccione) GTP-in-GTP Denied: (seleccione) CLI set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save Filtrado de mensajes de GTP Cuando un dispositivo de seguridad recibe un paquete de GTP. WebUI Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply. Esta sección describe las características que constituyen una configuración de GTP que el dispositivo de seguridad utiliza para realizar la inspección de tráfico de GTP. Se preservan la mayoría de los valores predeterminados. Contiene las siguientes secciones: “Comprobación de coherencia del paquete” en la página 9 “Filtrado de la longitud del mensaje” en la página 9 “Filtrado del tipo de mensaje” en la página 10 “Limitación de velocidad de los mensajes” en la página 12 “Validación del número de secuencia” en la página 13 “Fragmentación de IP” en la página 14 “Filtrado de paquetes de GTP-en-GTP” en la página 14 “Deep Inspection” en la página 14 8 Filtrado de mensajes de GTP . Si el paquete no cumple con ninguno de los parámetros de configuración de GTP.

el encabezado de UDP o el encabezado de IP. Para obtener más información sobre estos estándares. En el encabezado de GTP.Capítulo 1: GPRS Comprobación de coherencia del paquete El dispositivo de seguridad realiza una comprobación de coherencia del paquete de GTP para determinar si el paquete es un paquete válido de UDP y GTP.8. No incluye la longitud del encabezado de GTP en sí.0 (2002-03) Filtrado de la longitud del mensaje Puede configurar el dispositivo de seguridad para descartar los paquetes que no cumplen con las longitudes mínimas o máximas de mensajes que usted especifique. Ajuste apropiado de los bits predefinidos: el número de versión de GTP determina qué bits predefinidos se examinan.9. en octetos. de la carga de GTP. Las longitudes predeterminadas mínimas y máximas del mensaje de GTP son 0 y 1452.060 v3. Tipo de protocolo: para la versión 1 (incluso con GTP). no es necesario configurar esta característica. el campo de longitud del mensaje indica la longitud. El dispositivo de seguridad realiza la comprobación de coherencia del paquete de GTP de manera automática. NOTA: Juniper Networks cumple con los Estándares de GTP establecidos por 3GPP (Proyecto de sociedad de 3ra Generación). consulte los siguientes documentos de especificación técnica: 3GPP TS 09. evitando así que el dispositivo de seguridad reenvíe tráfico mal formado o falsificado. el dispositivo de seguridad lo descarta.60 v6.0 (2001-03) 3GPP TS 32.0 (2000-09) 3GPP TS 29. Cuando realiza la comprobación de coherencia del paquete de GTP. Si el paquete no cumple con los estándares de UDP y GTP. el dispositivo de seguridad examina si el encabezado de cada paquete de GTP tiene lo siguiente: Número de versión de GTP: ScreenOS es compatible con las versiones 0 y 1 (incluso con GTP).015 v3. La comprobación de coherencia protege los recursos del nodo de soporte GPRS (GSN) al evitar que intenten procesar paquetes GTP mal formados. Longitud del paquete de UDP/TCP. respectivamente. Filtrado de mensajes de GTP 9 .9.

consulte “Tipos de mensaje admitidos” en la página 11. se configura el dispositivo de seguridad para rechazar los tipos de mensaje de informe de fallo e indicación de error. y al mismo tiempo permitir los de otra versión. Un tipo de mensaje de GTP incluye uno o muchos mensajes. puede rechazar tipos de mensajes de una versión. WebUI Objects > GTP > Edit (GPRS1) > Message Drop: Seleccione los siguientes datos en la columna de la versión 1.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Ajuste de las longitudes del mensaje de GTP En este ejemplo. Para obtener más información sobre los tipos de mensajes. luego haga clic en Apply: Tunnel Management: Error Indication: (seleccione) Location Management: Failure Report Request/Response: (seleccione) 10 Filtrado de mensajes de GTP . Por ejemplo. Por ejemplo. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Minimum Message Length: 8 Maximum Message Length: 1200 CLI set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-message-length 1200 (gtp:gprs1)-> exit save Filtrado del tipo de mensaje Puede configurar el dispositivo de seguridad para filtrar los paquetes de GTP y permitirlos o rechazarlos según sus tipos de mensajes. Cuando permite o rechaza un tipo de mensaje. para la configuración de GTP GPRS1. también se rechazarán los mensajes sgsn context request. Usted permite o rechaza los tipos de mensajes según el número de versión de GTP. permite o rechaza automáticamente todos los mensajes del tipo especificado. configura la longitud mínima del mensaje de GTP para que sea de 8 octetos y la longitud máxima del mensaje de GTP para que sea de 1200 octetos para el objeto de inspección de GTP GPRS. el dispositivo de seguridad permite todos los tipos de mensaje de GTP. Ejemplo: Permiso y rechazo de los tipos de mensajes En este ejemplo. ambos para la versión 1. si selecciona rechazar el tipo de mensaje sgsn-context. De forma predeterminada. sgsn context response y sgsn context acknowledge.

Capítulo 1: GPRS CLI set gtp configuration gprs1 (gtp:gprs1)-> set drop error-indication (gtp:gprs1)-> set drop failure-report (gtp:gprs1)-> exit save Tipos de mensaje admitidos La Tabla 1 enumera los mensajes del protocolo de encapsulamiento de GPRS (GTP) admitidos en las versiones de GTP 1997 y 1999 (incluso los mensajes de carga para GTP) y los tipos de mensaje que puede utilizar para configurar el filtrado del tipo de mensaje de GTP. Tabla 1: Mensajes de protocolo de encapsulamiento de GPRS (GTP) Mensaje create AA pdp context request create AA pdp context response create pdp context request create pdp context response Data record request Data record response delete AA pdp context request delete AA pdp context response delete pdp context request delete pdp context response echo request echo response error indication failure report request failure report response forward relocation request forward relocation response forward relocation complete forward relocation complete acknowledge forward SRNS context forward SRNS context acknowledge identification request identification response node alive request Tipo de mensaje create-aa-pdp create-aa-pdp create-pdp create-pdp data-record data-record delete-aa-pdp delete-aa-pdp delete-pdp delete-pdp echo echo error-indication failure-report failure-report fwd-relocation fwd-relocation fwd-relocation fwd-relocation fwd-srns-context fwd-srns-context identification identification node-alive Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b 11 b b b b Filtrado de mensajes de GTP .

Puede establecer umbrales separados. puede proteger su GSN de posibles ataques de denegación de servicio (DoS) tales como los siguientes: Saturación de ancho de banda de la puerta de enlace fronteriza: Un operador malicioso conectado al mismo GRX que su PLMN puede generar suficiente tráfico de red dirigido a su puerta de enlace fronteriza. Debido a que los mensajes GTP-C requieren procesamiento y respuesta. para que el tráfico legítimo se quede sin ancho de banda de entrada o salida de su PLMN y de esa manera rechace el acceso de itinerancia hacia o desde su red.Manual de referencia de ScreenOS: Conceptos y ejemplos Mensaje node alive response note MS GPRS present request note MS GPRS present response pdu notification request pdu notification response pdu notification reject request pdu notification reject response RAN info relay redirection request redirection response relocation cancel request relocation cancel response send route info request send route info response sgsn context request sgsn context response sgsn context acknowledge supported extension headers notification g-pdu update pdp context request updated pdp context response version not supported Tipo de mensaje node-alive note-ms-present note-ms-present pdu-notification pdu-notification pdu-notification pdu-notification ran-info redirection redirection relocation-cancel relocation-cancel send-route send-route sgsn-context sgsn-context sgsn-context supported-extension gtp-pdu update-pdp update-pdp version-not-supported Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b Limitación de velocidad de los mensajes Puede configurar el dispositivo de seguridad para limitar la velocidad del tráfico de red que va al GSN. pueden llegar a saturar un GSN. Al establecer un límite de velocidad en los mensajes de GTP-C. 12 Filtrado de mensajes de GTP . en paquetes por segundo. para los mensajes de GTP-Control (GTP-C).

Esta característica ayuda a conservar los recursos de GGSN al evitar el procesamiento innecesario de paquetes no válidos. GGSN envía el paquete. Durante la etapa de activación del contexto de protocolo de datos de paquete (PDP). GGSN descarta el paquete Al implementar un dispositivo de seguridad entre los GGSN. el GGSN incrementa en uno su contador. Ejemplo: Establecimiento de un límite de velocidad En el siguiente ejemplo. Esto puede evitar que los abonados utilicen la itinerancia. cada vez que el GGSN de recepción recibe un G-PDU válido. Esta característica limita la velocidad del tráfico enviado a cada GSN desde el cortafuegos de Juniper Networks. Este número indica al GGSN que recibe los paquetes de GTP el orden de los paquetes. El encabezado de un paquete de GTP contiene un campo de número de secuencia. se limita la velocidad de los mensajes entrantes de GTP-C a 300 paquetes por segundo. el GGSN de recepción compara el número de secuencia en los paquetes que recibe con el número de secuencia de su contador. Filtrado de mensajes de GTP 13 . La velocidad predeterminada es ilimitada. el GGSN de recepción establece su contador en cero. El valor se restablece en cero cuando llega a 65535. un GGSN de envío utiliza cero (0) como el valor del número de secuencia para el primer G-PDU que envía a través de un túnel a otro GGSN. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Control Plane Traffic Rate Limit: 300 CLI set gtp config gprs1 (gtp:gprs1)-> set limit rate 300 (gtp:gprs1)-> exit save Validación del número de secuencia Puede configurar un dispositivo de seguridad para realizar la validación del número de secuencia. Normalmente. El GGSN de envío incrementa el valor del número de secuencia para cada G-PDU siguiente que envía. El contador se restablece en cero cuando llega a 65535. reenvío de datos a redes externas o evitar un ataque de GPRS a la red. Si son distintos.Capítulo 1: GPRS Inundación de GTP: El tráfico de GTP puede inundar un GSN hasta el punto de obligarle a ampliar sus ciclos de CPU para procesar datos ilegítimos. el dispositivo puede realizar esta validación para GGSN y descartar los paquetes que lleguen fuera de secuencia. Posteriormente. Durante la etapa de activación del contexto de PDP. Si los números se corresponden.

habilita el dispositivo de seguridad para detectar y descartar los paquetes de GTP que contienen un paquete de GTP en el cuerpo del mensaje. luego haga clic en Apply. usted habilita la característica de validación del número de secuencia. 14 Filtrado de mensajes de GTP . Filtrado de paquetes de GTP-en-GTP Puede configurar un dispositivo de seguridad para detectar y descartar un paquete de GTP que contiene otro paquete de GTP en su cuerpo del mensaje. Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP En este ejemplo. luego haga clic en Apply. WebUI Objects > GTP > Edit (GPRS1): Seleccione GTP-in-GTP Denied. CLI set gtp config gprs1 (gtp:gprs1)-> set gtp-in-gtp-denied (gtp:gprs1)-> exit save Deep Inspection Puede configurar el dispositivo de seguridad para que realice una inspección a fondo (Deep Inspection) en la ID de punto final de túnel (TEID) en mensajes de datos G-PDU. CLI set gtp config gprs1 (gtp:gprs1)-> set seq-number-validated (gtp:gprs1)-> exit save Fragmentación de IP Un paquete GTP consta de cuerpo de mensajes y tres encabezados: GTP. WebUI Objects > GTP > Edit (GPRS1): Seleccione Sequence Number Validation.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Habilitación de la validación del número de secuencia En este ejemplo. De forma predeterminada. Si el paquete de IP resultante es más grande que la unidad de transmisión de mensaje (MTU) en el enlace de transferencia. UDP e IP. el SGSN o GGSN de envío realiza una fragmentación de IP. un dispositivo de seguridad almacena en búfer los fragmentos de IP hasta que recibe un mensaje completo de GTP y luego realiza la inspección del mensaje de GTP.

CLI set gtp config gprs1 (gtp:gprs1)-> set teid-di (gtp:gprs1)-> exit save Elementos de información de GTP Los elementos de información (IE) se incluyen en todos los paquetes de mensaje de control GTP. eliminación y estado.Capítulo 1: GPRS Ejemplo: Habilitación de Deep Inspection en la TEID En este ejemplo. se permite que el dispositivo de seguridad realice el procedimiento DI (Deep Inspection) de mensajes de datos G-PDU en TEID. La DI sólo puede configurarse desde la interfaz CLI. Los IE proporcionan información sobre los túneles GTP. ScreenOS es compatible con los IE conformes a la versión 6 de 3GPP. Si está ejecutando una versión anterior o tiene acuerdos o contratos con operadores que ejecutan versiones anteriores de 3GPP puede reducir los gastos generales de red mediante la restricción de los mensajes de control que contienen IE no compatibles. modificación. Contiene las siguientes secciones: “Filtrado del nombre de punto de acceso” en la página 16 “Filtrado del prefijo de IMSI” en la página 17 “Tecnología de acceso de radio” en la página 18 “Identidad de área de enrutamiento e información de ubicación de usuario” en la página 19 “Restricción de APN” en la página 20 “IMEI-SV” en la página 20 “Requisitos de protocolo y señalización” en la página 21 “Compatibilidad combinada para filtrado IE” en la página 21 “Elementos de información R6 compatibles” en la página 22 “Eliminación de 3GPP R6 IE” en la página 24 Elementos de información de GTP 15 . Esta sección describe los IE incluidos en mensajes de control en los que puede configurar el dispositivo de seguridad para que filtre según los IE. como creación.

no se comprueba si el usuario es abonado Este modo de selección indica que la estación móvil (MS) proporcionó el APN y que el HLR no verificó si el usuario estaba abonado a la red. sino también incluye todos los caracteres que pueden precederle. debe especificar uno o más APN.000 APN.Manual de referencia de ScreenOS: Conceptos y ejemplos Filtrado del nombre de punto de acceso Un Nombre de punto de acceso (APN) es un IE que se incluye en el encabezado de un paquete de GTP que proporciona información sobre cómo acceder a una red. Verificado: APN que proporcionó la MS o la red. como “mobiphone. Ya que la parte del nombre de dominio (ID de red) de un APN es posiblemente muy larga e incluye muchos caracteres. puede utilizar el comodín “*” como el primer carácter de APN. Un APN incluye dos elementos: ID de red: Identifica el nombre de una red externa. El modo de selección indica el origen del APN y si el registro de ubicación local (HLR) verificó o no que el usuario era un abonado. es necesario que conozca el nombre de dominio de la red (por ejemplo.com”) y la ID del operador. Red: APN que proporciona la red.com” Una ID del operador: que identifica de manera única la PLMN del operador como “mnc123. se verifica si el usuario es un abonado Este modo de selección indica que la MS o la red proporcionó el APN y que el HLR verificó la suscripción del usuario a la red. no se comprueba si el usuario es abonado Este modo de selección indica que la red proporcionó un APN predeterminado ya que la MS no especificó uno y que el HLR no verificó si el usuario estaba abonado a la red. Puede configurar hasta 2. el dispositivo de seguridad permite todos los APN. El modo de selección se establece conforme a las necesidades de seguridad de la red.mcc456” De forma predeterminada. 16 Elementos de información de GTP . Para establecer un APN.com”. “mobiphone. El comodín indica que el APN no se limita únicamente a “mobiphone. No obstante. Entre los modos posibles de selección se incluyen los siguientes: Estación móvil: APN que proporciona la MS. Para habilitar el filtrado de APN. También debe establecer el modo de selección para el APN. puede configurar el dispositivo para realizar el filtrado de APN para restringir el acceso a la itinerancia de los abonados a redes externas.

gprs selection net (gtp:gprs1)-> exit save Filtrado del prefijo de IMSI Un Nodo de soporte de GPRS (GSN) identifica una estación móvil (MS) por su Identidad de estación móvil internacional (IMSI).000 prefijos de IMSI. el Código de red móvil (MNC) y el Número de identificación móvil del abonado (MSIN). De forma predeterminada.mcc456.com. el uso del comodín “*” cuando establece un sufijo de APN puede evitar la exclusión accidental de los APN que de otra manera autorizaría. El MCC y el MNC combinados constituyen el prefijo de IMSI e identifican la red local móvil del abonado o la Red móvil terrestre pública (PLMN). Ejemplo: Establecimiento de un APN y un modo de selección En este ejemplo. Ya que el filtrado de APN se basa en coincidencias perfectas.Capítulo 1: GPRS El filtrado de APN se aplica únicamente a los mensajes create pdp request. Puede configurar hasta 1. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI > New: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone.com. establece mobiphone.mnc123.mnc123. un dispositivo de seguridad puede filtrar los paquetes de GTP según la combinación de un prefijo de identidad de abonado móvil (IMSI) y un APN.gprs como un APN y utiliza el comodín “*”. Además. Al establecer los prefijos de IMSI. puede configurar el dispositivo de seguridad para filtrar los mensajes create pdp request y únicamente permitir los paquetes de GTP con los prefijos de IMSI que coincidan con los que usted estableció. También establece la Red como el modo de selección. Al configurar los prefijos IMSI puede configurar el dispositivo de seguridad para rechazar el tráfico de GTP que viene de los socios que no tienen itinerancia. Elementos de información de GTP 17 . Si el APN de un paquete de GTP coincide con un APN que especificó.com.mcc456. Para bloquear los paquetes GTP con prefijos IMSI que no coinciden con ninguno de los prefijos IMSI que estableció. drop debe ser la última directiva de filtrado de prefijos IMSI. El dispositivo de seguridad permite los paquetes de GPT con los prefijos de IMSI que no coinciden con alguno de los prefijos de IMSI que usted estableció. el dispositivo de seguridad verifica entonces el modo de selección y reenvía únicamente el paquete de GTP si tanto el APN como el modo de selección coinciden con el APN y el modo de selección que usted especificó. el dispositivo de seguridad inspecciona los paquetes de GTP en busca de APN que coincidan con los APN que estableció. El dispositivo de seguridad rechaza automáticamente todos los otros APN que no coinciden. utilice un comodín explícito para el filtro IMSI y la acción.mnc123.gprs Selection Mode: Network (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set apn *mobiphone. un dispositivo de seguridad no realiza el filtrado de prefijo de IMSI en los paquetes de GTP. Una IMSI abarca tres elementos: el MCC (Código móvil del país).mcc456. Cuando realiza el filtrado de APN.

Anteriormente.mcc456.gprs Mobile Country-Network Code: 246565 Selection Mode: Mobile Station.com. establece mobiphone.mcc456.mnc123.gprs pass (gtp:gprs1)-> exit save NOTA: Seleccionar la variable pass en CLI es igual a seleccionar los tres modos de selección en WebUI.com.mnc123. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone. que es 246565. También establece el prefijo IMSI para una PLMN conocida.com. Network. Consulte “Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado.mcc456.Manual de referencia de ScreenOS: Conceptos y ejemplos Cuando filtra los paquetes GTP según el prefijo IMSI. Verified (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set mcc-mnc 246565 apn *mobiphone.com.mnc123. también se debe especificar un APN. Consulte “Ejemplo: Ajuste de un filtro de RAT y APN. Con la introducción de 2G/3G combinadas.mnc123. Al utilizar esta variable.gprs como un APN y utiliza el comodín “*”.” Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado En este ejemplo. Usted permite todos los modos de selección para este APN. la dirección IP SGSN se utilizaba para distinguir entre los sistemas de tecnología de comunicación móvil inalámbrica de tercera generación (3G) y los sistemas de tecnología de comunicación móvil inalámbrica de segunda generación (2G). se autoriza el paso del tráfico de todos los modos de selección del APN especificado. Usted configura el dispositivo de seguridad para que descarte el mensaje GTP si el valor de IE de RAT coincide con el valor de cadena 123 18 Elementos de información de GTP . también debe especificar un APN. Usted permite todos los modos de selección para este APN. sin embargo. El par MCC-MNC puede tener cinco o seis dígitos. debe configurar el elemento de información de RAT para activar el dispositivo de seguridad con el fin de que haga esta distinción.gprs como un APN y utiliza el comodín “*”. establece mobiphone. Tecnología de acceso de radio El elemento de información de Tecnología de acceso de radio (RAT) proporciona una manera de estimular el acceso múltiple de división de código de banda ancha (WCDMA) y la elaboración de informes por medio de sistemas de información de facturación. Cuando se ajusta un IE de RAT.mcc456.” Ejemplo: Ajuste de un filtro de RAT y APN En este ejemplo.

Capítulo 1: GPRS WebUI Actualmente usted puede ajustar una combinación RAT y APN solo desde la Interfaz de línea de comandos (CLI).gprs como un APN y utiliza el comodín “*”. CLI set gtp config gprs1 (gtp:gprs1)-> set rai 12345* *mobiphone. establece mobiphone.mnc123.com drop (gtp:gprs1)-> exit save Identidad de área de enrutamiento e información de ubicación de usuario Algunos países restringen el acceso de los abonados a determinados tipos de contenido de red.mnc123. también debe especificarse un APN. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de ULI coincide con el valor de cadena 123456. ScreenOS proporciona a los operadores de red la capacidad de filtrar mensajes de control según RAI y ULI: cuando ajusta el IE de RAT o de ULI. Debido a que los formatos de registro de detalle de llamadas 3GPP (CDR) y las interfaces de carga en tiempo real no tienen estos atributos.com. CLI set gtp config gprs1 (gtp:gprs1)-> set rat 123 apn *mobiphone. ScreenOS proporciona a los operadores de red la capacidad de filtrar el contenido según los IE de identidad de área de enrutamiento (AIR) y de información de ubicación de usuario (ULI). establece mobiphone. Usted permite todos los modos de selección para este APN.com drop (gtp:gprs1)-> exit save Ejemplo: Ajuste de un filtro ULI y APN En este ejemplo. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de RAI coincide con el valor de cadena 12345*. WebUI Actualmente usted puede ajustar una combinación ULI y APN solo desde la Interfaz de línea de comandos (CLI). Elementos de información de GTP 19 . WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). Para cumplir con estas demandas reguladoras. Usted permite todos los modos de selección para este APN.” Ejemplo: Ajuste de un filtro RAI y APN En este ejemplo.com.mcc456. los sistemas de facturación y carga deben buscar las direcciones SGSN IP para determinar a los socios de itinerancia para la liquidación y cargos del usuario final.mcc456. Consulte “Ejemplo: Ajuste de un filtro RAI y APN” y “Ejemplo: Ajuste de un filtro ULI y APN.gprs como un APN y utiliza el comodín “*”. los operadores de red deben poder supervisar el contenido solicitado por el abonado antes de permitir una descarga de contenido.

evitando de esta manera la amenaza a la seguridad. Estos atributos se incluyen en el conjunto de atributos útiles de filtro que se utilizan para bloquear el tráfico GPRS o el tráfico de itinerancia GPRS. El IE de restricción de APN.” Ejemplo: Ajuste de un filtro IMEI-SV y APN En este ejemplo. versión de software (IMEI-SV) proporciona maneras de adaptar el contenido al tipo de terminal y aplicación del cliente cada vez que no esté presente un servidor proxy para este propósito. Este IE también es útil para informes generados de GGSN. CLI set gtp config gprs1 (gtp:gprs1)-> set imei-sv 87652* apn mobiphone. asegura la exclusividad mutua de un contexto PDP si lo solicita GGSN (o lo rechaza si esta condición no se puede cumplir).gprs como un APN y utiliza el comodín “*”.com. Consulte “Ejemplo: Ajuste de un filtro IMEI-SV y APN. APN e IMEI-SV en atributos de GTP para evitar el tratamiento o categorización como tráfico inequívoco.Manual de referencia de ScreenOS: Conceptos y ejemplos CLI set gtp config gprs1 (gtp:gprs1)-> set uli 123456 apn mobiphone. pueden poner en riesgo la seguridad de IP para los usuarios corporativos que tienen APN tanto públicos como privados.SV. que puede ser peligroso para el tráfico GPRS o el tráfico de itinerancia GPRS. ULI.com drop (gtp:gprs1)-> exit save Restricción de APN Los contextos del protocolo de datos de paquete (PDP) primarios concurrentes y un MS/UE capaz de enrutarse entre estos dos puntos de acceso. WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). AAA o puerta de enlace de protocolo de aplicación inalámbrica (WAP GW). IMEI-SV El IE de la identidad de equipo móvil internacional.mnc123. también debe especificar un APN. agregado al mensaje de respuesta GTP create PDP context. El dispositivo de seguridad de detección de GTP es compatible con la restricción de RAT. Se permiten todos los modos de selección para este APN.com pass (gtp:gprs1)-> exit save 20 Elementos de información de GTP . Cuando ajusta el IE de IMEI. establece mobiphone. Configure el dispositivo de seguridad para que pase el mensaje GTP si el IE de IMEI-SV coincide con la cadena 87652.mcc456. RAI.

En cada línea de comandos. RAT 2.Capítulo 1: GPRS Requisitos de protocolo y señalización El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Create PDP Context Request: RAT RAI ULI APN Restriction IMEI-SV El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Update PDP Context Request: RAT RAI ULI El dispositivo de seguridad es compatible con el atributo de restricción de APN en el mensaje de GTP Update PDP Context Response: Puede configurar los mensajes de señalización GTP anteriores en el dispositivo de seguridad. de la siguiente manera: Pasar de manera transparente Bloqueo basado en (individualmente) RAT RAI (con rangos como 123*) ULI (con rangos) IMEI-SV (con rangos) Compatibilidad combinada para filtrado IE Para la compatibilidad combinada del filtrado R6 en elementos de información (IE) se aplican las siguientes reglas: De forma predeterminada. un dispositivo de seguridad no realiza el filtrado de IE en los paquetes de GTP. RAI Elementos de información de GTP 21 . los atributos están interconectados en el siguiente orden de precedencia: 1.

Elementos de información R6 compatibles ScreenOS es compatible con todos los 3GPP R6 IE para GTP que se enumeran en la Tabla 2. si desea que el dispositivo de seguridad pase los mensajes GTP que contienen RAT1. pero de forma predeterminada descarte los paquetes con cualquier valor APN. IMEI 5. ULI 4. MCC-MNC Siempre que se ajusta una restricción de atributos.Manual de referencia de ScreenOS: Conceptos y ejemplos 3. La segunda línea de la configuración ocasiona que el dispositivo pase los mensajes que contienen RAI 123* y cualquier APN. RAI 567* y MCC-MNC 56789 o que pase mensajes con RAI 123*. Tabla 2: Elementos de información compatibles Valor de tipo IE Elemento de información 1 2 3 4 5 8 9 11 12 13 14 15 16 17 18 19 20 Causa Identidad de abonado móvil internacional (IMSI) Identidad de área de enrutamiento (REI) Identidad de vínculo lógico temporal (TLLI) Paquete TMSI (P-TMSI) Reordenamiento requerido Triple confirmación Causa MAP Firma P-TMSI Validado por MS Recuperación Modo de selección Datos I de identificador de punto final de túnel Plano de control de identificador de punto final de túnel Datos II de identificador de punto final de túnel ID de desmantelación NSAPI 22 Elementos de información de GTP . La tercera línea ocasiona que el dispositivo descarte todos los APN. MCC-MNC 56789. se debe especificar también un APN: Por ejemplo. y cualquier APN. utilice la siguiente configuración: set rat 1 rai 567* mcc-mnc 56789 apn * pass set rai 123* apn * pass set apn * drop La primera línea de configuración ocasiona que el dispositivo de seguridad pase los mensajes GTP que contienen RAT 1. RAI 567*.

Capítulo 1: GPRS Valor de tipo IE Elemento de información 21 22 23 24 25 26 27 28 29 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 Causa RANAP Contexto RAB Prioridad de radio SMS Prioridad de radio ID de flujo de paquetes Características de carga Referencia de seguimiento Tipo de seguimiento Razón de MS no accesible ID de carga Dirección de usuario final Contexto MM Contexto PDP Nombre de punto de acceso Opciones de configuración de protocolo Dirección GSN Número internacional PSTN/ISDN de MS (MSISDN) Calidad del perfil de servicio Quinteto de confirmación Plantilla de flujo de tráfico Identificación de objetivo Contenedor transparente UTRAN Información de ajuste RAB Lista de tipo de encabezado de extensión Id de activador Identidad OMC Contenedor transparente RAN Dar prioridad al contexto PDP Información adicional de ajuste RAB Número SGSN Indicadores comunes Restricción de APN LCS de prioridad de radio Tipo RAT Información de ubicación de usuario Huso horario MS IMEI-SV Contenedor de información de carga CAMEL Contexto MBMS UE Elementos de información de GTP 23 .

que se aloja en el extremo de PLMN y GRX y que funciona como un cortafuegos Gp.Manual de referencia de ScreenOS: Conceptos y ejemplos Valor de tipo IE Elemento de información 157 158 159 160 161 162 163 164 165 166 167 168 169 251 255 Identidad de grupo móvil temporal (TMGI) Dirección de enrutamiento RIM Opciones de configuración de protocolo MBMS Área de servicio MBMS Información de contexto TNC PDCP origen Información adicional de seguimiento Contador de saltos ID de PLMN seleccionada Identificador de sesión MBMS Indicador MBMS2G/3G NSAPI mejorado Duración de sesión MBMS Información adicional de seguimiento de MBMS Dirección de puerta de enlace de carga Extensión privada Eliminación de 3GPP R6 IE La característica de eliminación de 3GPP R6 IE le permite retener la interoperabilidad en itinerancia entre redes 2GPP y 3GPP. IMEI-SV y APN) del mensaje GTP. puede configurar la interfaz Gp del dispositivo de seguridad para que elimine los IE de R6 nuevos que se agreguen (restricciones RAT. Puede configurar el dispositivo de seguridad para que elimine la restricción RAT. ULI. para que elimine los atributos específicos 3GPP del título del paquete GTP cuando el paquete pasa a una red 2GPP. WebUI Objects > GTP > New: Seleccione los siguientes datos y haga clic en Apply: Remove R6 EI: (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set remove-r6 (gtp:gprs1)-> exit save 24 Elementos de información de GTP . ULI. Ejemplo: Eliminación de R6 En este ejemplo. RAI. IMEI-SV de IE de los mensajes GTP antes de reenviar estos mensajes a GGSN. Puede configurar el dispositivo de seguridad de detección de GTP.

el dispositivo de seguridad descarta el paquete. Por ejemplo. El dispositivo de seguridad basa su acción de reenvío o descarte de un paquete de GTP en paquetes de GTP anteriores que recibió. el dispositivo de seguridad verifica el paquete de GTP con el estado actual del túnel de GTP. si éste recibe un paquete de GTP que no pertenece al modelo de estado actual de GTP. así que si el dispositivo de seguridad recibe un mensaje create pdp context response cuando no recibió previamente un mensaje create pdp context request. Ejemplo: Establecimiento de los límites de túnel GTP En el siguiente ejemplo. Limitación del túnel GTP Puede configurar el dispositivo de seguridad para limitar el número de túneles de GTP. Esta característica evita que se exceda la capacidad de los GSN. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Maximum Number of Tunnels Limited to tunnels: (seleccione). Básicamente. Lo siguiente son ejemplos simplificados de los modelos de estado de GTP. el dispositivo de seguridad descarta el mensaje de respuesta. un mensaje de petición precede un mensaje de respuesta.Capítulo 1: GPRS Túneles de GTP Un túnel GTP habilita la transmisión del tráfico de GTP entre los GSN con el Protocolo de encapsulamiento de GPRS (GTP). 800 CLI set gtp config gprs1 (gtp:gprs1)-> set limit tunnel 800 (gtp:gprs1)-> exit save Inspección de estado Tras una serie de verificaciones de paquete de GTP (consulte “Filtrado de mensajes de GTP” en la página 8). Los GSN a los cuales se aplica esta limitación se especifican en la directiva a la cual adjunta el objeto de inspección de GTP. Hay dos tipos de túneles: uno para los mensajes de GTP-U (datos del usuario) y uno para los mensajes de GTP-C (señalización y control). Túneles de GTP 25 . usted limita el número de túneles de GTP itinerancia a 800 para el objeto de inspección de GTP GPRS1.

Para terminar la comunicación. Cuando SGSN recibe la respuesta. En el caso de que los SGSN se encuentren en diferentes PLMN. todos los mensajes de GTP se dirigen a través del dispositivo de seguridad. Para ayudar a dar seguimiento a todos los túneles (estado del túnel y mensajes de registros de los diferentes túneles). SGSN envía un mensaje “delete pdp context request” a GGSN. 26 Túneles de GTP . también elimina el túnel de GTP de sus registros. Al recibir la respuesta e información. garantías de calidad de servicio (QoS)). la MS realiza una desconexión de GPRS con el SGSN para iniciar el desmantelamiento del túnel de GTP. responde con un mensaje create pdp context response. el nuevo SGSN debe enviar un mensaje “update pdp context request” al GGSN al cual GGSN responde con un mensaje “update pdp context response”. De aquí en adelante. El SGSN anterior responde con un mensaje “sgsn context response” y envía al nuevo SGSN toda la información que tiene sobre la MS.com) y realiza una conexión de GPRS con un SGSN para iniciar el establecimiento de un túnel de GTP. En el caso de que los dos SGSN están en la misma PLMN y el GSN está en una PLMN diferente. SGSN envía un mensaje create pdp context request a GGSN. el SGSN anterior reenviará al SGSN nuevo cualquier T-PDU nuevo que reciba para la MS. el nuevo SGSN confirma la recepción enviando un mensaje “sgsn context acknowledge” al SGSN anterior. Conmutación por error del túnel para alta disponibilidad ScreenOS admite dos modos de HA (alta disponibilidad): activo-activo cuando el dispositivo de seguridad está en el modo de rutas y activo-pasivo cuando el dispositivo de seguridad está en el modo de rutas o en el modo transparente. un dispositivo de seguridad asigna un índice único a cada túnel en el momento de su creación. asignación de recursos. Si GGSN puede aceptar con éxito la conexión (confirmación. incluso los túneles de GTP existentes y está listo para hacerse cargo de las responsabilidades del dispositivo maestro si éste llegara a fallar. Un dispositivo de seguridad puede recibir varias peticiones para establecer túneles de GTP para diferentes GSN de manera simultánea. GGSN responde con un mensaje “delete pdp context response” y elimina el túnel de GTP de sus registros. el nuevo SGSN envía “sgsn context request” al SGSN anterior donde solicita la transferencia de toda la información que tiene sobre la MS. La conmutación por error entre el dispositivo maestro y de respaldo es rápida e invisible al usuario.Manual de referencia de ScreenOS: Conceptos y ejemplos Establecimiento y desmantelamiento del túnel de GTP Una estación móvil (MS) desea llegar a una red externa (www. únicamente el mensaje “update pdp context request/response” se dirige a través del dispositivo de seguridad. Ese índice de túnel aparece para cada mensaje de túnel de GTP registrado. Este intercambio de mensajes entre SGSN y GGSN establece un túnel de GTP a través del cual la MS puede enviar mensajes de usuario de GTP-U a la red externa. En esencia. Actualización del área de enrutamiento dentro de SGSN Cuando una MS se mueve fuera del rango del SGSN actual e ingresa a una nueva área de SGSN. El dispositivo de respaldo refleja la configuración del maestro. Para completar este procedimiento de “entrega”. si la hubiera.buygadgets. los dos dispositivos de seguridad en una configuración HA actúan como dispositivos maestro y de respaldo.

También es posible que los túneles de GTP en el proceso de desmontaje (o terminación) pierdan el mensaje de confirmación y queden a la espera en el dispositivo de seguridad. el mensaje “delete pdp context response” puede perderse en una red o un GSN puede no cerrarse correctamente. debe reiniciar el establecimiento del túnel de GTP después de la conmutación por error. se establece el tiempo de espera del túnel de GTP para el objeto de inspección de GTP “GPRS1” a 12 horas. un túnel de GTP en espera ocurre cuando el GSN en un extremo del túnel envía GSN al otro extremo del túnel un mensaje “delete pdp context request” y mientras espera la respuesta ocurre un fallo que interrumpe la comunicación y evita que GSN reciba el mensaje “delete pdp context response” (que confirma la eliminación) del otro GSN. Con relación a la HA. Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP En este ejemplo. el dispositivo de seguridad automáticamente identifica como “colgado” cualquier túnel de GTP que esté libre durante el período de tiempo especificado por el valor de tiempo de espera y lo elimina. Para estos. pero los túneles de GTP en el proceso de establecimiento se pierden. Puede configurar el dispositivo de seguridad para que elimine los túneles de GTP en espera. El GSN que envía el mensaje de confirmación elimina de manera simultánea su contexto de pdp mientras que el GSN en el otro extremo del túnel de GTP queda en espera. Los túneles de GTP pueden quedarse colgados debido a varias razones. esperando la confirmación de eliminación. El valor de tiempo de espera del túnel de GTP predeterminado es de 24 horas. Cuando se establece un valor de tiempo de espera del túnel de GTP. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Tunnel Inactivity Timeout: 12 CLI set gtp config gprs1 (gtp:gprs1)-> set timeout 12 (gtp:gprs1)-> exit save Túneles de GTP 27 .Capítulo 1: GPRS Durante la conmutación por error. Puede configurar el dispositivo de seguridad para que detecte y elimine automáticamente los túneles de GTP que se quedan colgados. consulte “Limpieza de túneles de GTP colgados” en la página 27. Para obtener más información. por ejemplo. Para obtener más información sobre HA y para aprender sobre cómo configurar los dispositivos de seguridad para alta disponibilidad. los túneles de GTP establecidos permanecen activos e intactos. Limpieza de túneles de GTP colgados Esta característica elimina los túneles de GTP que se quedan colgados en el dispositivo de seguridad. consulte Volumen 11: Alta Disponibilidad. La espera de los túneles de GTP puede ocurrir por varias razones.

Manual de referencia de ScreenOS: Conceptos y ejemplos Redirección de SGSN y GGSN Los dispositivos de seguridad de Juniper Networks admiten la redirección del tráfico de GTP entre SGSN y GGSN. que es vulnerable ya que la sesión continúa abierta. La siguiente sección describe el ataque de sobrefacturación y luego explica la solución. Un ataque de sobrefacturación puede ocurrir también cuando una dirección IP se encuentra disponible y se reasigna a otra MS. en lugar de A. a expensas del abonado legítimo) o enviar datos a otros abonados. Desvío de GGSN: Un GGSN (X) puede enviar respuestas create-pdp-context en las cuales puede especificar diferentes direcciones IP de GGSN (GGSN Y y GGSN Z) para mensajes subsecuentes de GTP-C y GTP-U. lo que ocasiona que a la nueva MS se le facture tráfico no solicitado. Cuando el agresor toma control de la dirección IP. en lugar de X. Esto indica que un ataque de sobrefacturación puede ocurrir de varias maneras. sin que se detecte ni se informe de la situación. El tráfico iniciado por la MS anterior se puede reenviar a la nueva MS. GGSN envía mensajes subsecuentes de GTP-C y GTP-U a SGSN B y C. Prevención de ataque de sobrefacturación Puede configurar los dispositivos de seguridad para evitar los ataques de sobrefacturación de GPRS. Descripción del ataque de sobrefacturación Con el fin de saber un ataque de sobrefacturación. el agresor puede descargar datos de manera gratuita (o con más exactitud. Por lo tanto. SGSN envía los mensajes subsecuentes GTP-C y GTP-U a GGSN Y y Z. Por lo tanto. Redirección de SGSN: Un SGSN (A) puede enviar solicitudes create-pdp-context en las que puede especificar diferentes direcciones IP de SGSN (SGSN B y SGSN C) para mensajes subsecuentes de GTP-C y GTP-U. que puede ocurrir cuando un abonado legítimo devuelve su dirección IP a un conjunto de IP. es importante conocer que una estación móvil (MS) obtiene su dirección IP de un conjunto de IP. la Figura 5 y la Figura 6 ilustran esta situación en detalle. en cuyo punto un agresor puede secuestrar la dirección IP. Es decir. 28 Redirección de SGSN y GGSN . La Figura 4.

MS2 (la víctima).2. envía una solicitud a SGSN por un túnel GTP a GGSN y recibe la dirección IP de 2.1. MS1 envía simultáneamente una petición a SGSN para eliminar el túnel GTP pero deja abierta la sesión al servidor.2. SGSN crea un nuevo túnel GTP a GGSN. SGSN crea un túnel GTP por petición de MS1. MS1 inicia una sesión con el servidor. MS1 obtiene una dirección de IP y solicita un túnel GTP para GGSN. ahora reenvía estos paquetes a MS2. GGSN descarta los paquetes ya que el túnel GTP ya no existe. se cobra a MS2 por esto. El cortafuegos de GI no sabe que el túnel GTP se eliminó y reenvía los paquetes a GGSN.2. GGSN. Prevención de ataque de sobrefacturación 29 .2/32 (la misma dirección IP que utilizó MS1). que recibía los paquetes para la sesión anterior con la misma dirección IP de destino pero diferente MS (MS1). una nueva estación móvil.1. Al detectar el nuevo túnel GTP para la dirección IP de destino 2.2. Aunque MS2 no solicitó este tráfico dirigido a MS1.1.2/32) Cortafuegos de GTP SGSN Túnel GTP Servidor GGSN Cortafuegos de Gi Internet En la Figura 5.Capítulo 1: GPRS En la Figura 4. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Servidor Internet En la Figura 6. Figura 4: Inicio de sesión PLMN 1 MS maliciosa (MS1: 2. El servidor continúa el envío de paquetes a GGSN. a medida que el servidor empieza a enviar paquetes a MS1. Figura 5: Eliminación de un túnel de GTP PLMN 1 MS1 solicita la eliminación del túnel GTP y sale de la sesión.

que procesa el servidor.0 GPRS. Cuando el cliente envía una petición de “borrar sesión” al servidor. El módulo NSGP incluye dos componentes: el cliente y el servidor. El dispositivo de seguridad que actúa como cortafuegos de Gi (el servidor) debe ejecutar el firmware ScreenOS 5. Al borrar las sesiones. la petición debe incluir la ID de contexto y la dirección IP del servidor.1. el servidor hace coincidir la ID de contexto y luego borra la sesión de su tabla.2.Manual de referencia de ScreenOS: Conceptos y ejemplos Figura 6: Recepción de datos no solicitados PLMN 1 Nueva estación móvil (MS2: 2. MS1 envía una solicitud a SGSN para eliminar el túnel GTP y salir de la sesión. El cliente se conecta al servidor y envía las peticiones. Tanto el cliente como el servidor admiten varias conexiones entre sí y con otros de manera simultánea. Al recibir el mensaje de “borrar sesión”. Usted configura NSGP en el cortafuegos de GTP para activarlo y así notificar al cortafuegos de Gi cuando se elimina un túnel de GTP y configura NSGP en el cortafuegos de Gi para activarlo y así borrar automáticamente las sesiones cada vez que el cortafuegos de Gi obtenga una notificación del cortafuegos de GTP acerca de que se eliminó un túnel de GTP.1. Después de iniciar una sesión con el servidor y a medida que el servidor empieza a enviar paquetes a MS1.0 o ScreenOS 5.0. NSGP actualmente sólo admite el tipo de “sesión” de contexto. debe utilizar la misma ID de contexto en cada dispositivo.0. está unido a una zona de seguridad y se identifica por un número único (ID de contexto). el cual es un espacio que retiene la información de la sesión del usuario. el cortafuegos de Gi detiene el tráfico no solicitado. Cuando configure NSGP en los dispositivos del cliente y servidor. NSGP utiliza el protocolo de control de transmisión (TCP) y supervisa la conectividad entre el cliente y el servidor al enviar los mensajes de saludo en intervalos establecidos.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Túnel GTP Internet Servidor Solución del ataque de sobrefacturación Para proteger a los abonados de una PLMN de ataques de sobrefacturación es necesario contar con dos dispositivos de seguridad y utilizar el protocolo de equipo selector NetScreen (NSGP) y el módulo de NSGP.0 NSGP y el otro dispositivo que actúa como cortafuegos de GTP (el cliente) debe ejecutar el firmware ScreenOS 5. 30 Prevención de ataque de sobrefacturación .

Este ejemplo asume que configuró el objeto de inspección de GTP “GPRS1” tanto en el cortafuegos de GTP como de Gi. SGSN X El cortafuegos de GTP ejecuta el firmware ScreenOS 5. Figura 7: Notificación de eliminación del túnel GTP MS1 solicita la eliminación del túnel GTP y sale de la sesión. el cortafuegos de GTP notifica inmediatamente al cortafuegos de Gi acerca de la eliminación del túnel GTP.5/24 Cortafuegos de Gi 2. el cortafuegos de Gi los intercepta y los descarta.1.0. incluso si utiliza la misma dirección IP que la MS anterior.1. no puede recibir datos y se le facturará tráfico que no ha iniciado.0 GPRS. Figura 8: Configuración de los cortafuegos de GTP y Gi Cortafuegos de GTP 1.1.4/24 Servidor Internet Prevención de ataque de sobrefacturación 31 .0 NSGP.Capítulo 1: GPRS Al eliminar el túnel.0 o ScreenOS 5.1. GGSN Servidor Internet Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación En este ejemplo configura NSGP tanto en el cortafuegos de GTP (cliente) como en el cortafuegos de Gi (servidor). cuando el servidor intenta enviar paquetes a GGSN.2. Posteriormente.2. Como resultado. El cortafuegos de Gi ejecuta el firmware ScreenOS 5. PLMN 1 El cortafuegos de GTP notifica al cortafuegos de Gi acerca de la eliminación del túnel GTP. una nueva MS. El cortafuegos de Gi elimina la sesión de su tabla.

To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). Any Destination Address: Address Book Entry: (seleccione).2.2.1.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione) 32 Prevención de ataque de sobrefacturación .2.1. por ejemplo: policy id = 2 set policy id 2 gtp gprs1 save Cortafuegos de Gi (servidor) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 2.1.1.Manual de referencia de ScreenOS: Conceptos y ejemplos Cortafuegos de GTP (cliente) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 1.2.1.5/24 set interface ethernet1/2 manage telnet set gtp config gprs1 (gtp:gprs1)-> set notify 2.2.5/24 Management Services: Telnet (seleccione) Objects > GTP > Edit (GPRS1) > Overbilling: Introduzca los siguientes datos y haga clic en Apply: Overbilling Notify: (seleccione) Destination IP: 2.4 src-interface ethernet1/2 context 2 (gtp:gprs1)-> exit save set policy from untrust to trust any any any permit El sistema devuelve una identificación de directiva. Any Service: Any GTP Inspection Object: GPRS1 Action: Permit CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 1.4 Source Interface: ethernet1/2 Destination Context: 2 Policies > (From: Untrust.

Puede utilizar la consola. Limitado por velocidad: Un paquete que descarta el dispositivo de seguridad ya que excede el límite máximo de velocidad del GSN de destino. Cada entrada de registro en su forma básica contiene la siguiente información: Marca de hora Dirección IP de origen Supervisión de tráfico de GTP 33 . luego haga clic en OK: Context ID: 2 Zone: Untrust CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 2.1. También puede especificar cuánta información. Limitado por túneles: Un paquete que descarta el dispositivo de seguridad ya que se llegó al límite máximo de túneles de GTP para el GSN de destino. Estado no válido: Un paquete que descarta el dispositivo de seguridad ya que falló la inspección de estado. Registro de tráfico Con la característica de registro de tráfico de GTP. Para el tráfico de GTP.Capítulo 1: GPRS NSGP: Introduzca los siguientes datos y haga clic en Add.4/24 set interface ethernet1/2 manage telnet set interface ethernet1/2 nsgp set nsgp context 2 type session zone untrust save Supervisión de tráfico de GTP Los dispositivos de seguridad de Juniper Networks proporcionan herramientas completas para la supervisión del flujo de tráfico en tiempo real. Prohibido: Un paquete que descarta el dispositivo de seguridad ya que la directiva de GTP lo rechaza. NOTA: De forma predeterminada.2. El estado de un paquete de GTP puede ser alguno de los siguientes: Reenviado: Un paquete que transmite el dispositivo de seguridad ya que la directiva de GTP lo permite. syslog y WebUI para ver los registros de tráfico. puede supervisar el tráfico utilizando el registro del tráfico de GTP y las características de recuento del tráfico de GTP. puede configurar el dispositivo de seguridad para registrar los paquetes de GTP según sus estados. el registro de tráfico está inhabilitado en un dispositivo de seguridad de Juniper Networks. desea sobre cada paquete. básica o extensa.

usted configura el dispositivo de seguridad para registrar los paquetes GTP de estado no válido. 34 Supervisión de tráfico de GTP .Manual de referencia de ScreenOS: Conceptos y ejemplos Dirección IP destino Identificador del túnel (TID) o Identificador del punto final del túnel (TEID) Tipo de mensaje Estado del paquete: reenviado. para la inspección de objeto de GTP “GPRS1”. Usted opta por un inicio de sesión básico de paquetes prohibidos y velocidad limitada. Al establecer una frecuencia de registro. consulte “Supervisión de dispositivos de seguridad” en la página 3-59. limitado por velocidad o limitado por túneles Nombre de vrouter. Ejemplo: Habilitación del registro de paquetes de GTP En este ejemplo. Por ejemplo. con un valor de frecuencia de 10 para los paquetes de velocidad limitada y registro para paquetes de estado no válido. Cuando habilita el inicio de sesión de los paquetes de GTP con un estado de limitado por velocidad del paquete. vsys o interfaz (si corresponde) Red móvil terrestre pública (PLMN) o nombre de zona Cada entrada del registro en su forma extendida incluye la siguiente información además de la información “básica”: IMSI MSISDN APN Modo de selección Dirección de SGSN para señalización Dirección de SGSN para datos de usuario Dirección de GGSN para señalización Dirección de GGSN para datos de usuario NOTA: Para obtener más información sobre las características de supervisión. prohibido. velocidad limitada y prohibidos. si establece el valor de frecuencia en 10. estado no válido. también puede especificar una frecuencia de inicio de sesión para controlar el intervalo en el cual el dispositivo de seguridad registra estos mensajes. ayuda a conservar los recursos en el servidor syslog y en el dispositivo de seguridad y puede evitar el desbordamiento de registro de los mensajes. el dispositivo de seguridad únicamente registra cada décimo mensaje sobre el límite de velocidad establecido.

Capítulo 1: GPRS WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Packet Prohibited: Basic (seleccione) Packet State-invalid: Extended (seleccione) Packet Rate-Limited: Basic (seleccione) When Packet Rate Limit is exceeded. El dispositivo de seguridad cuenta el tráfico para cada túnel de GTP por separado y lo diferencia de los mensajes de GTP-Usuario y GTP-Control. Supervisión de tráfico de GTP 35 . log every other messages: 10 CLI set gtp config gprs1 (gtp:gprs1)-> set prohibited basic (gtp:gprs1)-> set state-invalid extended (gtp:gprs1)-> set rate-limited basic 10 (gtp:gprs1)-> exit save Recuento de tráfico Con la característica de recuento de tráfico de GTP. puede configurar el dispositivo de seguridad para contar el número de mensajes de control y datos de usuario (o bytes de datos). Cuando se elimina un túnel. se habilita el recuento de tráfico de GTP por mensajes en el objeto de inspección de GTP “GPRS1”. La entrada de registro para la eliminación de un túnel contiene la siguiente información: Marca de hora Nombre de interfaz (si aplica) Dirección IP de SGSN Dirección IP de GGSN TID Tiempo de duración del túnel en segundos Número de mensajes enviados a SGSN Número de mensajes enviados a GGSN NOTA: De forma predeterminada. recibidos de y reenviados a GGSN y SGSN al cual protege. Ejemplo: Habilitación del recuento de tráfico de GTP En este ejemplo. el dispositivo de seguridad cuenta y registra el número total de mensajes o bytes de datos que se recibieron de y se reenviaron a SGSN o GGSN. el registro de tráfico se deshabilita en los dispositivos de seguridad de Juniper Networks.

El dispositivo de seguridad envía los paquetes registrados a un servidor externo (como Syslog) dedicado para las operaciones de Intercepción legal. WebUI Objects > GTP > Edit (GPRS1) > Subscriber Trace: Introduzca los siguientes datos y haga clic en Apply: Maximum Simultaneous Active Trace: 2 Trace Message: 1064 Subscribers identified by: Seleccione IMSI. Para los paquetes de GTP que contienen datos del usuario. Puede configurar el número de abonados a los que el dispositivo de seguridad puede dar seguimiento de manera activa y simultánea. El número predeterminado de seguimientos activos simultáneos es tres. También puede establecer el número de seguimientos activos en 2 y el número de bytes a registrar en 1064. El valor predeterminado es cero. Puede identificar los abonados por sus IMSI o MS-ISDN y registrar el contenido de datos del usuario y mensajes de control que se dirigen al o provienen del abonado. CLI set gtp config gprs1 (gtp:gprs1)-> set trace imsi 123456789012345 (gtp:gprs1)-> set trace max-active 2 save-length 1064 (gtp:gprs1)-> exit save 36 Supervisión de tráfico de GTP . habilita el dispositivo de seguridad para dar seguimiento a un abonado con 345678 como un prefijo de IMSI en el objeto de inspección de GTP “GPRS1”. luego haga clic en Add. Puede registrar los paquetes parciales o completos. puede especificar el número de bytes de datos a registrar.Manual de referencia de ScreenOS: Conceptos y ejemplos WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Traffic counters: Count by Message (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> log traffic-counters (gtp:gprs1)-> exit save Intercepción legal Puede configurar un dispositivo de seguridad para identificar y registrar el contenido de mensajes de GTP-U o GTP-C según los prefijos de IMSI o identificación de red de datos de servicios integrados de estación móvil (MS-ISDN). Ejemplo: Habilitación de intercepción legal En este ejemplo. escriba 123456789012345. lo que significa que el dispositivo de seguridad no registra ningún contenido de un paquete de GTP-U.

......4 Ruta ...............................................11 modo de red ......................9 estándares ....................... 28 a 30 descripción ..36 Interfaces Gi .........................................................................................2 según directivas .......................................................................................................................................................................... configuración .5 tiempo de espera del túnel ............27 N Nombre de punto de acceso véase APN P Protocolo de encapsulamiento de GPRS (GTP) véase GTP R registro......4 transparente .......................................................................17 fragmentación de IP ....................................................4 modos de selección APN ...............................10 tipos ....................................... interfaz ................12 C comodines ...................................................31 soluciones............. 28 a 33 prevención................ 5 a 7 protocolo ........................... tráfico ....28 prevención ................................................................................................................................................................................ 26 APN filtrado ............................17 funcionamiento........................................16 modo de rutas ......................................................30 I intercepción legal....... interfaz .16 D directivas ......................................6 E estación móvil (MS) ....10 a 11 velocidad.............................................................................................................5 Índice IX-I ..................16 verificado ...............................16 F filtrado del prefijo de IMSI ..........3 limitación de velocidad...............................................2 Gp ........................................................................................................16 estación móvil (MS) ...................... modos de NAT ..............................................................................................................................................................................................................4.........................................................................................................16 compatibilidad con el sistema virtual ...................... filtrar por .......16 modos de funcionamiento NAT ............................ mensajes GTP-C .....................................................................4 modo transparente ................................................................................14 inspección de estado ..............................................2 L L2TP ................4 modo verificado .......................................2 GTP comprobación de coherencia del paquete ... filtrar por .......................................................................11 longitud.........................................................16 Ataques de sobrefacturación .............................25 objetos de inspección ....4 transparente............................................................................................................................................................................5 directivas.................................................Índice A alta disponibilidad (HA) ............ configuración ..............................................2 Gn ......................................................... interfaz ........2 Gp...............................4 modo NAT ...................................9 filtrado del nombre de punto de acceso (APN) ............................14 filtrado del prefijo de IMSI ............ limitación por ..........................................................................................................16 red ........................................4 Ruta .............................................................4 G Gi...................................................................................9 tipo........ 16 a 17 modo de selección ...............................................................................................................................................................................2 Gn..................12 versiones 0 y 1 ..........................................................................................16 filtrado del paquete de GTP-en-GTP .................5 M mensajes GTP .

.. 27 túneles GTP conmutación por error ................. 27 túneles de GTP colgados ...................................................................................................... 16 verificado ........... 35 túnel de GTP en espera ................................................................Manual de referencia de ScreenOS: Conceptos y ejemplos S selección............................................................................................................................ 33 recuento ............................................................................ 16 T tiempo de espera ................................................................................................. 27 tráfico recuento ............................... 25 tiempo de espera ......................................................................................................................... modos APN ....................................................................................................... 26 límite ............... 5 registro . 13 IX-II Índice ..... 5 tráfico GTP iniciar sesión .................................................. 27 V validación del número de secuencia .. 16 red ..................................................... 16 estación móvil (MS) .........