Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 13: Servicio general de radio por paquetes

Versión 6.0.0, Rev. 02

Juniper Networks, Inc.
1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000

www.juniper.net
Número de pieza: 530-017779-01-SP, Revisión 02

Copyright Notice
Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

ii

Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de usuario web .............................................. v Convenciones de interfaz de línea de comandos ...................................... vi Convenciones de nomenclatura y conjuntos de caracteres ...................... vii Convenciones para las ilustraciones ....................................................... viii Asistencia y documentación técnica................................................................ ix Capítulo 1 GPRS 1

El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS .................................................................................................... 2 Interfaces Gp y Gn ..................................................................................... 2 Interfaz Gi.................................................................................................. 3 Modos de funcionamiento ......................................................................... 4 Compatibilidad con el sistema virtual ........................................................ 5 Protocolo de encapsulamiento de GPRS según directivas .................................5 Ejemplo: Configuración de directivas para habilitar la inspección de GTP ..................................................................................................... 6 Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) .......7 Ejemplo: Creación de un objeto de inspección de GTP .............................. 8 Filtrado de mensajes de GTP............................................................................ 8 Comprobación de coherencia del paquete ................................................. 9 Filtrado de la longitud del mensaje ............................................................ 9 Ejemplo: Ajuste de las longitudes del mensaje de GTP ......................10 Filtrado del tipo de mensaje ....................................................................10 Ejemplo: Permiso y rechazo de los tipos de mensajes.......................10 Tipos de mensaje admitidos..............................................................11 Limitación de velocidad de los mensajes .................................................12 Ejemplo: Establecimiento de un límite de velocidad .........................13 Validación del número de secuencia........................................................13 Ejemplo: Habilitación de la validación del número de secuencia.......14 Fragmentación de IP ...............................................................................14 Filtrado de paquetes de GTP-en-GTP........................................................14 Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP ..........14 Deep Inspection ......................................................................................14 Ejemplo: Habilitación de Deep Inspection en la TEID........................15 Elementos de información de GTP .................................................................15 Filtrado del nombre de punto de acceso..................................................16 Ejemplo: Establecimiento de un APN y un modo de selección ..........17 Filtrado del prefijo de IMSI ......................................................................17 Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado .................................................................................18 Tecnología de acceso de radio .................................................................18
iii

Contenido

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo: Ajuste de un filtro de RAT y APN ........................................18 Identidad de área de enrutamiento e información de ubicación de usuario ..............................................................................................19 Ejemplo: Ajuste de un filtro RAI y APN..............................................19 Ejemplo: Ajuste de un filtro ULI y APN ..............................................19 Restricción de APN ..................................................................................20 IMEI-SV....................................................................................................20 Ejemplo: Ajuste de un filtro IMEI-SV y APN .......................................20 Requisitos de protocolo y señalización ....................................................21 Compatibilidad combinada para filtrado IE .............................................21 Elementos de información R6 compatibles .............................................22 Eliminación de 3GPP R6 IE......................................................................24 Ejemplo: Eliminación de R6 ..............................................................24 Túneles de GTP ..............................................................................................25 Limitación del túnel GTP..........................................................................25 Ejemplo: Establecimiento de los límites de túnel GTP .......................25 Inspección de estado ...............................................................................25 Establecimiento y desmantelamiento del túnel de GTP .....................26 Actualización del área de enrutamiento dentro de SGSN...................26 Conmutación por error del túnel para alta disponibilidad ........................26 Limpieza de túneles de GTP colgados ......................................................27 Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP ............................................................................................27 Redirección de SGSN y GGSN .........................................................................28 Prevención de ataque de sobrefacturación.....................................................28 Descripción del ataque de sobrefacturación ............................................28 Solución del ataque de sobrefacturación..................................................30 Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación ....................................................................31 Supervisión de tráfico de GTP ........................................................................33 Registro de tráfico ...................................................................................33 Ejemplo: Habilitación del registro de paquetes de GTP......................34 Recuento de tráfico .................................................................................35 Ejemplo: Habilitación del recuento de tráfico de GTP........................35 Intercepción legal ....................................................................................36 Ejemplo: Habilitación de intercepción legal.......................................36 Índice ........................................................................................................................IX-I

iv

Contenido

Para abrir una página de WebUI e introducir parámetros de configuración. luego en los elementos subsiguientes. navegue hacia la página en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el lado izquierdo de la pantalla. “GPRS. cada página separada por signos de mayor y menor. A medida que avanza. Incluye el siguiente capítulo: Capítulo 1. Convenciones del documento v . Este volumen describe las funciones de GTP en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks.Acerca de este volumen El Volumen 13: Servicio general de radio por paquetes es para los operadores de red de GPRS que poseen conocimiento avanzado de la tecnología GPRS. Convenciones del documento Este documento utiliza las convenciones que se describen en las secciones siguientes: “Convenciones de la interfaz de usuario web” en esta página “Convenciones de interfaz de línea de comandos” en la página vi “Convenciones de nomenclatura y conjuntos de caracteres” en la página vii “Convenciones para las ilustraciones” en la página viii Convenciones de la interfaz de usuario web En la interfaz de usuario web (WebUI). el conjunto de instrucciones de cada tarea se divide en ruta de navegación y establecimientos de configuración.” donde se describen las funciones del protocolo de encapsulamiento de GPRS (GTP) en ScreenOS y demuestra cómo configurar la funcionalidad de GTP en un dispositivo de seguridad de Juniper Networks. su ruta de navegación aparece en la parte superior de la pantalla.

En ejemplos: Los elementos entre corchetes [ ] son opcionales. vi Convenciones del documento .Manual de referencia de ScreenOS: Conceptos y ejemplos Lo siguiente muestra los parámetros y ruta de WebUI para la definición de una dirección: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione). Al escribir set adm u whee j12fmt54 se ingresará el comando set admin user wheezer j12fmt54. aparecerán separadas entre sí por barras verticales ( | ).2. Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage Las variables aparecen en cursiva: set admin user nombre1 contraseña xyz En el texto. NOTA: Para introducir palabras clave. Convenciones de interfaz de línea de comandos Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de línea de comandos (CLI) en ejemplos y en texto. 10. Los elementos entre llaves { } son obligatorios. basta con introducir los primeros caracteres para identificar la palabra de forma inequívoca.2. los comandos están en negrita y las variables en cursiva. Si existen dos o más opciones alternativas. Seleccione una opción del menú desplegable y siga las instrucciones en la página. El árbol de navegación también proporciona una página de configuración de Help > Config Guide para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Sin embargo. Haga clic en el carácter ? en la parte superior izquierda para la Ayuda en línea en la Guía de configuración. haga clic en el signo de interrogación (?) en la parte superior izquierda de la pantalla.5/32 Zone: Untrust Para abrir la ayuda en línea para los ajustes de configuración. todos los comandos documentados aquí se encuentran presentes en su totalidad.

según el conjunto de caracteres que admita el explorador. europeo y hebreo. también conocidos como conjuntos de caracteres de doble byte (DBCS). “local LAN” es distinto de “local lan”. Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII. La WebUI admite tanto SBCS como MBCS. por el contrario. servidores de autenticación. En las cadenas de nombres se distingue entre mayúsculas y minúsculas. se encuentran el chino. Por ejemplo. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). a excepción de las comillas dobles ( “ ). NOTA: Una conexión de consola sólo admite conjuntos SBCS. el coreano y el japonés.0/24 Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina. puertas de enlace IKE. por ejemplo. Entre los conjuntos MBCS. que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. Los espacios consecutivos múltiples se tratan como uno solo. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff). por ejemplo: set address trust “local LAN” 10. en muchas palabras clave de CLI pueden utilizarse indistintamente. la cadena completa deberá estar entre comillas dobles. sistemas virtuales. Convenciones del documento vii . usuarios administradores. túneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o más espacios. “ local LAN ” se transformará en “local LAN”.Acerca de este volumen Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones.1.1.

Manual de referencia de ScreenOS: Conceptos y ejemplos Convenciones para las ilustraciones La siguiente figura muestra el conjunto básico de imágenes utilizado en las ilustraciones de este volumen: Figura 1: Imágenes de las ilustraciones Sistema autónomo o bien dominio de enrutamiento virtual Red de área local (LAN) con una única subred o bien zona de seguridad Internet Rango dinámico de IP (DIP) Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust) Motor de directivas Dispositivo de red genérico Interfaz de túnel Servidor Túnel VPN Enrutador Dispositivos de seguridad Juniper Networks Conmutador Concentrador viii Convenciones del documento .

Asistencia y documentación técnica ix .net.Acerca de este volumen Asistencia y documentación técnica Para obtener documentación técnica sobre cualquier producto de Juniper Networks.net/techpubs/.UU.net/customers/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE. póngase en contacto con Juniper Networks al techpubs-comments@juniper. visite www. Para obtener soporte técnico.UU. abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web http://www. Si encuentra algún error u omisión en este documento.juniper.juniper.).) o al +1-408-745-9500 (si llama desde fuera de los EE.

Manual de referencia de ScreenOS: Conceptos y ejemplos x Asistencia y documentación técnica .

clientes corporativos. proveedores de Intercambio de itinerancia de GPRS (GRX) e Internet pública. En la arquitectura de GPRS. integridad de datos o autenticación. es posible que se elimine una mayoría de riesgos de seguridad de GTP. Este capítulo describe las características de GTP que son compatibles con ScreenOS y explica cómo puede configurarlas en un dispositivo de seguridad de Juniper Networks. Los dispositivos de seguridad de Juniper Networks mitigan una amplia variedad de ataques en las interfaces de Gp. Las características de cortafuegos de GTP en ScreenOS abordan los problemas de seguridad clave en las redes de los operadores móviles. La comunicación entre las diferentes redes de GPRS no es segura ya que GTP no proporciona ninguna protección de confidencialidad. establecer los límites de velocidad del tráfico y utilizar la inspección de estado. la razón fundamental de las amenazas a la seguridad a la red de un operador es la inherente falta de seguridad del protocolo de encapsulamiento de GPRS (GTP). Juniper Networks proporciona soluciones a varios problemas de seguridad que dificultan el trabajo de los operadores de red de GPRS. NOTA: Únicamente los dispositivos de ISG 2000 son compatibles con la funcionalidad de GTP.Capítulo 1 GPRS Las redes de servicio general de radio por paquetes (GPRS) se conectan a varias redes externas. GTP es el protocolo que se utiliza entre los nodos de soporte de GPRS (GSN). Al implementar la seguridad del protocolo de Internet (IPSec) para las conexiones entre los socios de itinerancia. Gn y Gi. Los operadores de red de GPRS se enfrentan al reto de proteger sus redes al mismo tiempo que proporcionan y controlan el acceso hacia y desde estas redes externas. incluso a aquellas de socios de itinerancia (roaming). Este capítulo consta de las siguientes secciones: “El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS” en la página 2 “Protocolo de encapsulamiento de GPRS según directivas” en la página 5 “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7 “Filtrado de mensajes de GTP” en la página 8 “Elementos de información de GTP” en la página 15 1 .

Manual de referencia de ScreenOS: Conceptos y ejemplos “Redirección de SGSN y GGSN” en la página 28 “Prevención de ataque de sobrefacturación” en la página 28 “Supervisión de tráfico de GTP” en la página 33 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS El protocolo de encapsulamiento de GPRS (GTP) se utiliza para establecer un túnel GTP para estaciones móviles individuales (MS). se protege una PLMN contra otra PLMN. Gi: La interfaz Gi es la conexión entre un GGSN e Internet o las redes de destino conectadas a PLMN. Interfaces Gp y Gn Los dispositivos de seguridad se implementan en la interfaz Gn para proteger posiciones clave en la red como SGSN y GGSN. el dispositivo de seguridad se coloca entre los SGSN y los GGSN dentro de una PLMN común. NOTA: El término interfaz tiene diferentes significados en ScreenOS y en la tecnología GPRS. Un cortafuegos de GTP de Juniper Networks autorizada puede proporcionar seguridad para los siguientes tipos de interfaces de GPRS: Gn: La interfaz Gn es la conexión entre SGSN y GGSN dentro de la misma red móvil terrestre pública (PLMN). entre un nodo de soporte de servidor GPRS (SGSN) y un nodo de soporte de puerta de enlace GPRS (GGSN). En GPRS. En ScreenOS. una interfaz es una conexión o un punto de referencia entre dos componentes de una infraestructura de GPRS. por ejemplo. 2 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS . éste los desencapsula y los reenvía al host externo. SGSN recibe los paquetes de las MS y los encapsula dentro de un encabezado de GTP antes de reenviarlos a GGSN a través del túnel GTP. Un túnel GTP es un canal seguro entre GSN a través del cual dos hosts pueden intercambiar datos. Cuando se implementa un dispositivo de seguridad en la interfaz Gp. Para asegurar los túneles de GTP en la interfaz Gn. Cuando GGSN recibe los paquetes. los SGSN y los GGSN de una PLMN se colocan detrás de un dispositivo de seguridad. por lo tanto todo el tráfico entrante y saliente pasa a través del cortafuegos. Gp: La interfaz Gp es la conexión entre dos redes móviles terrestres públicas PLMN. Para asegurar los túneles de GTP en la interfaz Gp. un SGSN y un GGSN. una interfaz es como una entrada a una zona de seguridad y permite que el tráfico entre y salga de la zona.

tenga en cuenta que los dispositivos de seguridad de Juniper Networks no son completamente compatibles con L2TP). puede controlar a la vez el tráfico de varias redes. El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS 3 . El dispositivo de seguridad puede reenviar de manera segura los paquetes a Internet o a redes de destino utilizando el encapsulamiento de protocolo de capa 2 (L2TP) para los túneles de red privada virtual (VPN). proteger una PLMN contra Internet y redes externas y proteger a los usuarios móviles de Internet y otras redes. Para obtener más información sobres las características y capacidades de los enrutadores virtuales.Capítulo 1: GPRS La Figura 2 ilustra la colocación de los dispositivos de seguridad de Juniper Networks para proteger PLMN en las interfaces Gp y Gn. consulte el Volumen 7: Enrutamiento. lo que hace posible que usted utilice un enrutador virtual por red de cliente y por ende. (No obstante. ScreenOS proporciona un gran número de enrutadores virtuales. permite la separación de tráfico de cada red del cliente. Figura 2: Interfaces Gp y Gn Torre de radio SGSN Dispositivo de seguridad MS Interfaces Gn GGSN PLMN 1 PLMN 2 Interfaz Gp Dispositivo de seguridad Interfaces Gn GGSN MS SGSN Torre de radio Interfaz Gi Cuando implementa un dispositivo de seguridad en la interfaz Gi.

Puede implementar el dispositivo de seguridad.0. consulte el Volume 2: Fundamentos y el Volumen 11: Alta Disponibilidad. Figura 3: Interfaz Gi Internet Red A corporativa Red B corporativa Dispositivo de seguridad Torre de radio Interfaz Gi MS PLMN 1 Modos de funcionamiento ScreenOS admite dos modos de funcionamiento de interfaz con GTP: El modo transparente y el modo de rutas.0. el modo transparente únicamente admite la alta disponibilidad (HA) activa-pasiva. en modo transparente en sus redes existentes sin tener que reconfigurar su red completa. Para obtener más información sobre los modos de funcionamiento y alta disponibilidad. 4 El dispositivo de seguridad como cortafuegos del protocolo de encapsulamiento de GPRS . ScreenOS admite la Traducción de direcciones de red (NAT) en interfaces y directivas que no tienen activada la inspección de GTP. de forma alterna. Si desea que el dispositivo de seguridad participe en la infraestructura de enrutamiento de su red. En la versión actual de ScreenOS. respectivamente. Para ello es necesario modificar el diseño de la red. En el modo transparente. puede ejecutarlo en el modo de rutas.0.Manual de referencia de ScreenOS: Conceptos y ejemplos La Figura 3 ilustra la implementación de un dispositivo de seguridad para proteger una PLMN en la interfaz Gi. a diferencia del modo de rutas. lo que hace que la presencia del dispositivo de seguridad sea invisible o transparente a los usuarios. el dispositivo de seguridad actúa como un conmutador de Capa 2 o un puente y las direcciones de IP de interfaces se establecen en 0. que admite tanto HA activa-pasiva como activa-activa.

Puede configurar las directivas que especifican “Any” (cualquiera) como la zona de origen o destino (de este modo se incluyen todos los hosts de la zona) y puede configurar directivas que especifican múltiples direcciones de origen y destino. Las directivas incluyen reglas que permiten. En las directivas puede habilitar las características tales como el registro de tráfico y recuento de tráfico. rechace o encapsule el tráfico de GTP. para conservar los recursos. Una PLMN puede ocupar una zona de seguridad o varias zonas de seguridad. Antes de que pueda aplicar una configuración de GTP a una directiva. Protocolo de encapsulamiento de GPRS según directivas 5 . Protocolo de encapsulamiento de GPRS según directivas De forma predeterminada. Sin embargo. usted activa al dispositivo de seguridad para que permita. pero puede aplicar un objeto de inspección de GTP a varias directivas. Con el fin de que el dispositivo de seguridad inspeccione el tráfico de GTP. Puede aplicar únicamente un objeto de inspección de GTP por directiva.Capítulo 1: GPRS Compatibilidad con el sistema virtual Los dispositivos de seguridad de Juniper Networks son completamente compatibles con la funcionalidad de GTP en sistemas virtuales (vsys). a una directiva. le recomendamos que no utilice más de 10 vsys. también denominada Objeto de inspección de GTP. primero debe haber creado un Objeto de inspección de GTP (consulte “Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP)” en la página 7). No obstante. deniegan o encapsulan el tráfico. consulte el Volume 2: Fundamentos. Al seleccionar el servicio de GTP en una directiva. debe aplicar una configuración de GTP. Debe crear directivas para que el tráfico pueda fluir entre las zonas y las PLMN. Con el uso de directivas. puede permitir o rechazar el establecimiento de túneles de GTP de determinados interlocutores tales como SGSN. Para obtener más información sobre las directivas. Un dispositivo de seguridad realiza el filtro de directivas de GTP mediante la comparación de cada paquete de GTP con las directivas que regulan el tráfico de GTP. la PLMN que protege al dispositivo de seguridad está en la zona Trust. para luego reenviar. esto no activa al dispositivo para inspeccionar el tráfico de GTP. El dispositivo de seguridad protege la PLMN en la zona Trust contra cualquier otra PLMN en otras zonas. Puede colocar todas las PLMN contra las que está protegiendo su PLMN en la zona Untrust o puede crear zonas definidas por el usuario para cada PLMN. descartar o encapsular el paquete según dichas directivas.

1.1.1. local-GGSN Destination Address: Address Book Entry: (seleccione).1/24 3.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Configuración de directivas para habilitar la inspección de GTP En este ejemplo.1.1.5/32 Zone: Untrust 4. Directivas Policies > (From: Trust. 1. WebUI 1. Objeto de inspección GTP Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply.2.2. Interfaces Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10. usted configura las interfaces y crea direcciones y dos directivas para permitir que haya tráfico bidireccional entre dos redes dentro de la misma PLMN.1.1/24 Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust IP Address/Netmask: 1.0/24 Zone: Trust Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: remote-SGSN IP Address/Domain Name: IP/Netmask: (seleccione). To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). 10. GTP Name: GPRS1 2. También aplica un objeto de inspección de GTP a las directivas. remote-SGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit 6 Protocolo de encapsulamiento de GPRS según directivas . Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: local-GGSN IP Address/Domain Name: IP/Netmask: (seleccione).

debe crear un objeto de inspección de GTP y luego aplicarlo a una directiva. local-GGSN Service: GTP GTP Inspection Object: GPRS1 (seleccione) Action: Permit CLI 1.1.1.1. Interfaces set interface ethernet1/1 zone trust set interface ethernet1/1 ip 10. Para configurar las características de GTP. Para guardar sus configuraciones. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). Puede configurar el dispositivo de seguridad para controlar el tráfico de GTP con una base diferente en las direcciones y zonas de origen y destino. acción. Direcciones set address trust local-ggsn 10. Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) 7 . Objeto de inspección GTP set gtp configuration gprs1 (gtp:gprs1)-> exit save 2. set policy id 5 gtp gprs1 save Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) Para habilitar el dispositivo de seguridad para que realice la inspección del tráfico del Protocolo de encapsulamiento de GPRS (GTP). etc.Capítulo 1: GPRS Policies > (From: Untrust. set policy id 4 gtp gprs1 set policy from untrust to trust remote-sgsn local-ggsn gtp permit El sistema devuelve una Identificación de directiva.1. pues permiten configurar las múltiples directivas que permiten las diferentes configuraciones de GTP.0/32 set address untrust remote-sgsn 2.5/32 4. por ejemplo: policy id = 4.1. Los objetos de inspección de GTP proporcionan más flexibilidad.2. primero debe salir de la configuración de GTP y luego escribir el comando save. Directivas set policy from trust to untrust local-ggsn remote-sgsn gtp permit El sistema devuelve una Identificación de directiva.1. remote-SGSN Destination Address: Address Book Entry: (seleccione). por ejemplo: policy id = 5.2. debe escribir el contexto de una configuración de GTP.1/24 set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 1.1/24 3.

Si el paquete no cumple con ninguno de los parámetros de configuración de GTP. se comprueba el paquete con las directivas configuradas en el dispositivo. WebUI Objects > GTP > New: Introduzca los siguientes datos y haga clic en Apply. Contiene las siguientes secciones: “Comprobación de coherencia del paquete” en la página 9 “Filtrado de la longitud del mensaje” en la página 9 “Filtrado del tipo de mensaje” en la página 10 “Limitación de velocidad de los mensajes” en la página 12 “Validación del número de secuencia” en la página 13 “Fragmentación de IP” en la página 14 “Filtrado de paquetes de GTP-en-GTP” en la página 14 “Deep Inspection” en la página 14 8 Filtrado de mensajes de GTP . Esta sección describe las características que constituyen una configuración de GTP que el dispositivo de seguridad utiliza para realizar la inspección de tráfico de GTP. Se preservan la mayoría de los valores predeterminados. GTP Name: LA-NY Sequence Number Validation: (seleccione) GTP-in-GTP Denied: (seleccione) CLI set gtp configuration la-ny (gtp:la-ny)-> set seq-number-validated (gtp:la-ny)-> set gtp-in-gtp-denied (gtp:la-ny)-> exit save Filtrado de mensajes de GTP Cuando un dispositivo de seguridad recibe un paquete de GTP. el dispositivo de seguridad descarta el paquete. el dispositivo inspecciona entonces el paquete de acuerdo con la configuración de GTP aplicada a la directiva.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Creación de un objeto de inspección de GTP En este ejemplo. Si el paquete coincide con una directiva. se crea un objeto de inspección de GTP denominado LA-NY. pero se habilitan las características de validación de número de secuencia y rechazo de GTP en GTP.

consulte los siguientes documentos de especificación técnica: 3GPP TS 09.Capítulo 1: GPRS Comprobación de coherencia del paquete El dispositivo de seguridad realiza una comprobación de coherencia del paquete de GTP para determinar si el paquete es un paquete válido de UDP y GTP. El dispositivo de seguridad realiza la comprobación de coherencia del paquete de GTP de manera automática. el campo de longitud del mensaje indica la longitud. Cuando realiza la comprobación de coherencia del paquete de GTP.0 (2002-03) Filtrado de la longitud del mensaje Puede configurar el dispositivo de seguridad para descartar los paquetes que no cumplen con las longitudes mínimas o máximas de mensajes que usted especifique.9.060 v3. Tipo de protocolo: para la versión 1 (incluso con GTP).9. Filtrado de mensajes de GTP 9 . respectivamente. el dispositivo de seguridad lo descarta.0 (2001-03) 3GPP TS 32. NOTA: Juniper Networks cumple con los Estándares de GTP establecidos por 3GPP (Proyecto de sociedad de 3ra Generación).015 v3. Si el paquete no cumple con los estándares de UDP y GTP. en octetos. Longitud del paquete de UDP/TCP. evitando así que el dispositivo de seguridad reenvíe tráfico mal formado o falsificado.8. La comprobación de coherencia protege los recursos del nodo de soporte GPRS (GSN) al evitar que intenten procesar paquetes GTP mal formados. el encabezado de UDP o el encabezado de IP.0 (2000-09) 3GPP TS 29. el dispositivo de seguridad examina si el encabezado de cada paquete de GTP tiene lo siguiente: Número de versión de GTP: ScreenOS es compatible con las versiones 0 y 1 (incluso con GTP). Para obtener más información sobre estos estándares. No incluye la longitud del encabezado de GTP en sí. de la carga de GTP. Ajuste apropiado de los bits predefinidos: el número de versión de GTP determina qué bits predefinidos se examinan.60 v6. En el encabezado de GTP. no es necesario configurar esta característica. Las longitudes predeterminadas mínimas y máximas del mensaje de GTP son 0 y 1452.

Ejemplo: Permiso y rechazo de los tipos de mensajes En este ejemplo. luego haga clic en Apply: Tunnel Management: Error Indication: (seleccione) Location Management: Failure Report Request/Response: (seleccione) 10 Filtrado de mensajes de GTP . permite o rechaza automáticamente todos los mensajes del tipo especificado. y al mismo tiempo permitir los de otra versión. para la configuración de GTP GPRS1. ambos para la versión 1. el dispositivo de seguridad permite todos los tipos de mensaje de GTP. se configura el dispositivo de seguridad para rechazar los tipos de mensaje de informe de fallo e indicación de error. también se rechazarán los mensajes sgsn context request. Para obtener más información sobre los tipos de mensajes. Un tipo de mensaje de GTP incluye uno o muchos mensajes. consulte “Tipos de mensaje admitidos” en la página 11. sgsn context response y sgsn context acknowledge. configura la longitud mínima del mensaje de GTP para que sea de 8 octetos y la longitud máxima del mensaje de GTP para que sea de 1200 octetos para el objeto de inspección de GTP GPRS. Por ejemplo. Por ejemplo. Usted permite o rechaza los tipos de mensajes según el número de versión de GTP. si selecciona rechazar el tipo de mensaje sgsn-context. Cuando permite o rechaza un tipo de mensaje. De forma predeterminada. puede rechazar tipos de mensajes de una versión. WebUI Objects > GTP > Edit (GPRS1) > Message Drop: Seleccione los siguientes datos en la columna de la versión 1. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Minimum Message Length: 8 Maximum Message Length: 1200 CLI set gtp configuration gprs1 (gtp:gprs1)-> set min-message-length 8 (gtp:gprs1)-> set max-message-length 1200 (gtp:gprs1)-> exit save Filtrado del tipo de mensaje Puede configurar el dispositivo de seguridad para filtrar los paquetes de GTP y permitirlos o rechazarlos según sus tipos de mensajes.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Ajuste de las longitudes del mensaje de GTP En este ejemplo.

Capítulo 1: GPRS CLI set gtp configuration gprs1 (gtp:gprs1)-> set drop error-indication (gtp:gprs1)-> set drop failure-report (gtp:gprs1)-> exit save Tipos de mensaje admitidos La Tabla 1 enumera los mensajes del protocolo de encapsulamiento de GPRS (GTP) admitidos en las versiones de GTP 1997 y 1999 (incluso los mensajes de carga para GTP) y los tipos de mensaje que puede utilizar para configurar el filtrado del tipo de mensaje de GTP. Tabla 1: Mensajes de protocolo de encapsulamiento de GPRS (GTP) Mensaje create AA pdp context request create AA pdp context response create pdp context request create pdp context response Data record request Data record response delete AA pdp context request delete AA pdp context response delete pdp context request delete pdp context response echo request echo response error indication failure report request failure report response forward relocation request forward relocation response forward relocation complete forward relocation complete acknowledge forward SRNS context forward SRNS context acknowledge identification request identification response node alive request Tipo de mensaje create-aa-pdp create-aa-pdp create-pdp create-pdp data-record data-record delete-aa-pdp delete-aa-pdp delete-pdp delete-pdp echo echo error-indication failure-report failure-report fwd-relocation fwd-relocation fwd-relocation fwd-relocation fwd-srns-context fwd-srns-context identification identification node-alive Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b 11 b b b b Filtrado de mensajes de GTP .

Manual de referencia de ScreenOS: Conceptos y ejemplos Mensaje node alive response note MS GPRS present request note MS GPRS present response pdu notification request pdu notification response pdu notification reject request pdu notification reject response RAN info relay redirection request redirection response relocation cancel request relocation cancel response send route info request send route info response sgsn context request sgsn context response sgsn context acknowledge supported extension headers notification g-pdu update pdp context request updated pdp context response version not supported Tipo de mensaje node-alive note-ms-present note-ms-present pdu-notification pdu-notification pdu-notification pdu-notification ran-info redirection redirection relocation-cancel relocation-cancel send-route send-route sgsn-context sgsn-context sgsn-context supported-extension gtp-pdu update-pdp update-pdp version-not-supported Versión 0 Versión 1 b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b Limitación de velocidad de los mensajes Puede configurar el dispositivo de seguridad para limitar la velocidad del tráfico de red que va al GSN. para que el tráfico legítimo se quede sin ancho de banda de entrada o salida de su PLMN y de esa manera rechace el acceso de itinerancia hacia o desde su red. Al establecer un límite de velocidad en los mensajes de GTP-C. pueden llegar a saturar un GSN. Puede establecer umbrales separados. para los mensajes de GTP-Control (GTP-C). en paquetes por segundo. Debido a que los mensajes GTP-C requieren procesamiento y respuesta. puede proteger su GSN de posibles ataques de denegación de servicio (DoS) tales como los siguientes: Saturación de ancho de banda de la puerta de enlace fronteriza: Un operador malicioso conectado al mismo GRX que su PLMN puede generar suficiente tráfico de red dirigido a su puerta de enlace fronteriza. 12 Filtrado de mensajes de GTP .

Durante la etapa de activación del contexto de PDP. cada vez que el GGSN de recepción recibe un G-PDU válido. Esta característica limita la velocidad del tráfico enviado a cada GSN desde el cortafuegos de Juniper Networks. El contador se restablece en cero cuando llega a 65535. el GGSN incrementa en uno su contador. GGSN envía el paquete.Capítulo 1: GPRS Inundación de GTP: El tráfico de GTP puede inundar un GSN hasta el punto de obligarle a ampliar sus ciclos de CPU para procesar datos ilegítimos. La velocidad predeterminada es ilimitada. Si los números se corresponden. El valor se restablece en cero cuando llega a 65535. Ejemplo: Establecimiento de un límite de velocidad En el siguiente ejemplo. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Control Plane Traffic Rate Limit: 300 CLI set gtp config gprs1 (gtp:gprs1)-> set limit rate 300 (gtp:gprs1)-> exit save Validación del número de secuencia Puede configurar un dispositivo de seguridad para realizar la validación del número de secuencia. Este número indica al GGSN que recibe los paquetes de GTP el orden de los paquetes. Posteriormente. reenvío de datos a redes externas o evitar un ataque de GPRS a la red. Esto puede evitar que los abonados utilicen la itinerancia. Esta característica ayuda a conservar los recursos de GGSN al evitar el procesamiento innecesario de paquetes no válidos. Normalmente. El GGSN de envío incrementa el valor del número de secuencia para cada G-PDU siguiente que envía. se limita la velocidad de los mensajes entrantes de GTP-C a 300 paquetes por segundo. Durante la etapa de activación del contexto de protocolo de datos de paquete (PDP). el dispositivo puede realizar esta validación para GGSN y descartar los paquetes que lleguen fuera de secuencia. Filtrado de mensajes de GTP 13 . Si son distintos. GGSN descarta el paquete Al implementar un dispositivo de seguridad entre los GGSN. El encabezado de un paquete de GTP contiene un campo de número de secuencia. un GGSN de envío utiliza cero (0) como el valor del número de secuencia para el primer G-PDU que envía a través de un túnel a otro GGSN. el GGSN de recepción establece su contador en cero. el GGSN de recepción compara el número de secuencia en los paquetes que recibe con el número de secuencia de su contador.

CLI set gtp config gprs1 (gtp:gprs1)-> set gtp-in-gtp-denied (gtp:gprs1)-> exit save Deep Inspection Puede configurar el dispositivo de seguridad para que realice una inspección a fondo (Deep Inspection) en la ID de punto final de túnel (TEID) en mensajes de datos G-PDU. De forma predeterminada.Manual de referencia de ScreenOS: Conceptos y ejemplos Ejemplo: Habilitación de la validación del número de secuencia En este ejemplo. un dispositivo de seguridad almacena en búfer los fragmentos de IP hasta que recibe un mensaje completo de GTP y luego realiza la inspección del mensaje de GTP. CLI set gtp config gprs1 (gtp:gprs1)-> set seq-number-validated (gtp:gprs1)-> exit save Fragmentación de IP Un paquete GTP consta de cuerpo de mensajes y tres encabezados: GTP. UDP e IP. usted habilita la característica de validación del número de secuencia. WebUI Objects > GTP > Edit (GPRS1): Seleccione GTP-in-GTP Denied. habilita el dispositivo de seguridad para detectar y descartar los paquetes de GTP que contienen un paquete de GTP en el cuerpo del mensaje. Filtrado de paquetes de GTP-en-GTP Puede configurar un dispositivo de seguridad para detectar y descartar un paquete de GTP que contiene otro paquete de GTP en su cuerpo del mensaje. luego haga clic en Apply. 14 Filtrado de mensajes de GTP . Ejemplo: Habilitación del filtrado de paquetes de GTP-en-GTP En este ejemplo. Si el paquete de IP resultante es más grande que la unidad de transmisión de mensaje (MTU) en el enlace de transferencia. el SGSN o GGSN de envío realiza una fragmentación de IP. luego haga clic en Apply. WebUI Objects > GTP > Edit (GPRS1): Seleccione Sequence Number Validation.

se permite que el dispositivo de seguridad realice el procedimiento DI (Deep Inspection) de mensajes de datos G-PDU en TEID. modificación.Capítulo 1: GPRS Ejemplo: Habilitación de Deep Inspection en la TEID En este ejemplo. CLI set gtp config gprs1 (gtp:gprs1)-> set teid-di (gtp:gprs1)-> exit save Elementos de información de GTP Los elementos de información (IE) se incluyen en todos los paquetes de mensaje de control GTP. eliminación y estado. Contiene las siguientes secciones: “Filtrado del nombre de punto de acceso” en la página 16 “Filtrado del prefijo de IMSI” en la página 17 “Tecnología de acceso de radio” en la página 18 “Identidad de área de enrutamiento e información de ubicación de usuario” en la página 19 “Restricción de APN” en la página 20 “IMEI-SV” en la página 20 “Requisitos de protocolo y señalización” en la página 21 “Compatibilidad combinada para filtrado IE” en la página 21 “Elementos de información R6 compatibles” en la página 22 “Eliminación de 3GPP R6 IE” en la página 24 Elementos de información de GTP 15 . La DI sólo puede configurarse desde la interfaz CLI. Esta sección describe los IE incluidos en mensajes de control en los que puede configurar el dispositivo de seguridad para que filtre según los IE. Si está ejecutando una versión anterior o tiene acuerdos o contratos con operadores que ejecutan versiones anteriores de 3GPP puede reducir los gastos generales de red mediante la restricción de los mensajes de control que contienen IE no compatibles. Los IE proporcionan información sobre los túneles GTP. como creación. ScreenOS es compatible con los IE conformes a la versión 6 de 3GPP.

puede configurar el dispositivo para realizar el filtrado de APN para restringir el acceso a la itinerancia de los abonados a redes externas. no se comprueba si el usuario es abonado Este modo de selección indica que la red proporcionó un APN predeterminado ya que la MS no especificó uno y que el HLR no verificó si el usuario estaba abonado a la red.mcc456” De forma predeterminada. el dispositivo de seguridad permite todos los APN.000 APN. como “mobiphone. es necesario que conozca el nombre de dominio de la red (por ejemplo. puede utilizar el comodín “*” como el primer carácter de APN. Para establecer un APN. Verificado: APN que proporcionó la MS o la red. Un APN incluye dos elementos: ID de red: Identifica el nombre de una red externa. se verifica si el usuario es un abonado Este modo de selección indica que la MS o la red proporcionó el APN y que el HLR verificó la suscripción del usuario a la red. 16 Elementos de información de GTP .com”) y la ID del operador. debe especificar uno o más APN. sino también incluye todos los caracteres que pueden precederle. Entre los modos posibles de selección se incluyen los siguientes: Estación móvil: APN que proporciona la MS. También debe establecer el modo de selección para el APN. El modo de selección se establece conforme a las necesidades de seguridad de la red.com” Una ID del operador: que identifica de manera única la PLMN del operador como “mnc123. No obstante. Ya que la parte del nombre de dominio (ID de red) de un APN es posiblemente muy larga e incluye muchos caracteres. Red: APN que proporciona la red. Para habilitar el filtrado de APN. no se comprueba si el usuario es abonado Este modo de selección indica que la estación móvil (MS) proporcionó el APN y que el HLR no verificó si el usuario estaba abonado a la red. El modo de selección indica el origen del APN y si el registro de ubicación local (HLR) verificó o no que el usuario era un abonado. Puede configurar hasta 2. “mobiphone. El comodín indica que el APN no se limita únicamente a “mobiphone.Manual de referencia de ScreenOS: Conceptos y ejemplos Filtrado del nombre de punto de acceso Un Nombre de punto de acceso (APN) es un IE que se incluye en el encabezado de un paquete de GTP que proporciona información sobre cómo acceder a una red.com”.

el dispositivo de seguridad verifica entonces el modo de selección y reenvía únicamente el paquete de GTP si tanto el APN como el modo de selección coinciden con el APN y el modo de selección que usted especificó.Capítulo 1: GPRS El filtrado de APN se aplica únicamente a los mensajes create pdp request. De forma predeterminada.com. el Código de red móvil (MNC) y el Número de identificación móvil del abonado (MSIN). WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI > New: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone.com. un dispositivo de seguridad no realiza el filtrado de prefijo de IMSI en los paquetes de GTP. utilice un comodín explícito para el filtro IMSI y la acción.mnc123. Al establecer los prefijos de IMSI. Ejemplo: Establecimiento de un APN y un modo de selección En este ejemplo. Si el APN de un paquete de GTP coincide con un APN que especificó. El dispositivo de seguridad permite los paquetes de GPT con los prefijos de IMSI que no coinciden con alguno de los prefijos de IMSI que usted estableció. el uso del comodín “*” cuando establece un sufijo de APN puede evitar la exclusión accidental de los APN que de otra manera autorizaría. drop debe ser la última directiva de filtrado de prefijos IMSI. Puede configurar hasta 1.gprs selection net (gtp:gprs1)-> exit save Filtrado del prefijo de IMSI Un Nodo de soporte de GPRS (GSN) identifica una estación móvil (MS) por su Identidad de estación móvil internacional (IMSI). Una IMSI abarca tres elementos: el MCC (Código móvil del país). Cuando realiza el filtrado de APN. Elementos de información de GTP 17 . También establece la Red como el modo de selección.mcc456. Ya que el filtrado de APN se basa en coincidencias perfectas. El MCC y el MNC combinados constituyen el prefijo de IMSI e identifican la red local móvil del abonado o la Red móvil terrestre pública (PLMN).mnc123.mcc456.mcc456.gprs como un APN y utiliza el comodín “*”. Además. Para bloquear los paquetes GTP con prefijos IMSI que no coinciden con ninguno de los prefijos IMSI que estableció. Al configurar los prefijos IMSI puede configurar el dispositivo de seguridad para rechazar el tráfico de GTP que viene de los socios que no tienen itinerancia. el dispositivo de seguridad inspecciona los paquetes de GTP en busca de APN que coincidan con los APN que estableció. El dispositivo de seguridad rechaza automáticamente todos los otros APN que no coinciden.com. un dispositivo de seguridad puede filtrar los paquetes de GTP según la combinación de un prefijo de identidad de abonado móvil (IMSI) y un APN. puede configurar el dispositivo de seguridad para filtrar los mensajes create pdp request y únicamente permitir los paquetes de GTP con los prefijos de IMSI que coincidan con los que usted estableció.mnc123. establece mobiphone.000 prefijos de IMSI.gprs Selection Mode: Network (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set apn *mobiphone.

Usted permite todos los modos de selección para este APN. Usted permite todos los modos de selección para este APN. Verified (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set mcc-mnc 246565 apn *mobiphone.mnc123. Con la introducción de 2G/3G combinadas. debe configurar el elemento de información de RAT para activar el dispositivo de seguridad con el fin de que haga esta distinción. WebUI Objects > GTP > Edit (GPRS1) > APN+IMSI: Introduzca los siguientes datos y haga clic en OK: Access Point Name: *mobiphone.mnc123.com.gprs Mobile Country-Network Code: 246565 Selection Mode: Mobile Station. También establece el prefijo IMSI para una PLMN conocida.mcc456. también debe especificar un APN.mnc123.com.gprs como un APN y utiliza el comodín “*”. Network. se autoriza el paso del tráfico de todos los modos de selección del APN especificado.gprs como un APN y utiliza el comodín “*”. Consulte “Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado.” Ejemplo: Ajuste de un filtro de RAT y APN En este ejemplo. Usted configura el dispositivo de seguridad para que descarte el mensaje GTP si el valor de IE de RAT coincide con el valor de cadena 123 18 Elementos de información de GTP . establece mobiphone. El par MCC-MNC puede tener cinco o seis dígitos. Consulte “Ejemplo: Ajuste de un filtro de RAT y APN.com. que es 246565. Cuando se ajusta un IE de RAT. Al utilizar esta variable. sin embargo.” Ejemplo: Configuración de un filtro APN y prefijo de IMSI combinado En este ejemplo.Manual de referencia de ScreenOS: Conceptos y ejemplos Cuando filtra los paquetes GTP según el prefijo IMSI. establece mobiphone. Tecnología de acceso de radio El elemento de información de Tecnología de acceso de radio (RAT) proporciona una manera de estimular el acceso múltiple de división de código de banda ancha (WCDMA) y la elaboración de informes por medio de sistemas de información de facturación.mcc456.mcc456.gprs pass (gtp:gprs1)-> exit save NOTA: Seleccionar la variable pass en CLI es igual a seleccionar los tres modos de selección en WebUI. Anteriormente.mnc123. también se debe especificar un APN. la dirección IP SGSN se utilizaba para distinguir entre los sistemas de tecnología de comunicación móvil inalámbrica de tercera generación (3G) y los sistemas de tecnología de comunicación móvil inalámbrica de segunda generación (2G).com.mcc456.

Usted permite todos los modos de selección para este APN. también debe especificarse un APN.” Ejemplo: Ajuste de un filtro RAI y APN En este ejemplo.mcc456. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de RAI coincide con el valor de cadena 12345*. Elementos de información de GTP 19 . WebUI Actualmente usted puede ajustar una combinación ULI y APN solo desde la Interfaz de línea de comandos (CLI). WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). establece mobiphone. CLI set gtp config gprs1 (gtp:gprs1)-> set rai 12345* *mobiphone. CLI set gtp config gprs1 (gtp:gprs1)-> set rat 123 apn *mobiphone.mnc123.gprs como un APN y utiliza el comodín “*”.mcc456. Consulte “Ejemplo: Ajuste de un filtro RAI y APN” y “Ejemplo: Ajuste de un filtro ULI y APN. Usted permite todos los modos de selección para este APN. Para cumplir con estas demandas reguladoras.com. los operadores de red deben poder supervisar el contenido solicitado por el abonado antes de permitir una descarga de contenido. Configure el dispositivo de seguridad para descartar el mensaje GTP si el IE de ULI coincide con el valor de cadena 123456. ScreenOS proporciona a los operadores de red la capacidad de filtrar mensajes de control según RAI y ULI: cuando ajusta el IE de RAT o de ULI.gprs como un APN y utiliza el comodín “*”. los sistemas de facturación y carga deben buscar las direcciones SGSN IP para determinar a los socios de itinerancia para la liquidación y cargos del usuario final.Capítulo 1: GPRS WebUI Actualmente usted puede ajustar una combinación RAT y APN solo desde la Interfaz de línea de comandos (CLI).mnc123.com drop (gtp:gprs1)-> exit save Ejemplo: Ajuste de un filtro ULI y APN En este ejemplo.com. establece mobiphone.com drop (gtp:gprs1)-> exit save Identidad de área de enrutamiento e información de ubicación de usuario Algunos países restringen el acceso de los abonados a determinados tipos de contenido de red. Debido a que los formatos de registro de detalle de llamadas 3GPP (CDR) y las interfaces de carga en tiempo real no tienen estos atributos. ScreenOS proporciona a los operadores de red la capacidad de filtrar el contenido según los IE de identidad de área de enrutamiento (AIR) y de información de ubicación de usuario (ULI).

evitando de esta manera la amenaza a la seguridad.” Ejemplo: Ajuste de un filtro IMEI-SV y APN En este ejemplo. también debe especificar un APN.gprs como un APN y utiliza el comodín “*”.com drop (gtp:gprs1)-> exit save Restricción de APN Los contextos del protocolo de datos de paquete (PDP) primarios concurrentes y un MS/UE capaz de enrutarse entre estos dos puntos de acceso. Cuando ajusta el IE de IMEI.Manual de referencia de ScreenOS: Conceptos y ejemplos CLI set gtp config gprs1 (gtp:gprs1)-> set uli 123456 apn mobiphone.SV. Consulte “Ejemplo: Ajuste de un filtro IMEI-SV y APN. establece mobiphone. pueden poner en riesgo la seguridad de IP para los usuarios corporativos que tienen APN tanto públicos como privados. versión de software (IMEI-SV) proporciona maneras de adaptar el contenido al tipo de terminal y aplicación del cliente cada vez que no esté presente un servidor proxy para este propósito. WebUI Actualmente usted puede ajustar una combinación RAI y APN solo desde la Interfaz de línea de comandos (CLI). Se permiten todos los modos de selección para este APN. RAI. AAA o puerta de enlace de protocolo de aplicación inalámbrica (WAP GW). asegura la exclusividad mutua de un contexto PDP si lo solicita GGSN (o lo rechaza si esta condición no se puede cumplir). ULI.com. APN e IMEI-SV en atributos de GTP para evitar el tratamiento o categorización como tráfico inequívoco. Este IE también es útil para informes generados de GGSN.mnc123. agregado al mensaje de respuesta GTP create PDP context.mcc456. El dispositivo de seguridad de detección de GTP es compatible con la restricción de RAT. Configure el dispositivo de seguridad para que pase el mensaje GTP si el IE de IMEI-SV coincide con la cadena 87652. CLI set gtp config gprs1 (gtp:gprs1)-> set imei-sv 87652* apn mobiphone. que puede ser peligroso para el tráfico GPRS o el tráfico de itinerancia GPRS. IMEI-SV El IE de la identidad de equipo móvil internacional. Estos atributos se incluyen en el conjunto de atributos útiles de filtro que se utilizan para bloquear el tráfico GPRS o el tráfico de itinerancia GPRS. El IE de restricción de APN.com pass (gtp:gprs1)-> exit save 20 Elementos de información de GTP .

RAT 2. los atributos están interconectados en el siguiente orden de precedencia: 1. un dispositivo de seguridad no realiza el filtrado de IE en los paquetes de GTP. de la siguiente manera: Pasar de manera transparente Bloqueo basado en (individualmente) RAT RAI (con rangos como 123*) ULI (con rangos) IMEI-SV (con rangos) Compatibilidad combinada para filtrado IE Para la compatibilidad combinada del filtrado R6 en elementos de información (IE) se aplican las siguientes reglas: De forma predeterminada. En cada línea de comandos. RAI Elementos de información de GTP 21 .Capítulo 1: GPRS Requisitos de protocolo y señalización El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Create PDP Context Request: RAT RAI ULI APN Restriction IMEI-SV El dispositivo de seguridad es compatible con los siguientes atributos en el mensaje de GTP Update PDP Context Request: RAT RAI ULI El dispositivo de seguridad es compatible con el atributo de restricción de APN en el mensaje de GTP Update PDP Context Response: Puede configurar los mensajes de señalización GTP anteriores en el dispositivo de seguridad.

IMEI 5. utilice la siguiente configuración: set rat 1 rai 567* mcc-mnc 56789 apn * pass set rai 123* apn * pass set apn * drop La primera línea de configuración ocasiona que el dispositivo de seguridad pase los mensajes GTP que contienen RAT 1. se debe especificar también un APN: Por ejemplo.Manual de referencia de ScreenOS: Conceptos y ejemplos 3. Elementos de información R6 compatibles ScreenOS es compatible con todos los 3GPP R6 IE para GTP que se enumeran en la Tabla 2. ULI 4. si desea que el dispositivo de seguridad pase los mensajes GTP que contienen RAT1. La tercera línea ocasiona que el dispositivo descarte todos los APN. y cualquier APN. RAI 567*. pero de forma predeterminada descarte los paquetes con cualquier valor APN. MCC-MNC Siempre que se ajusta una restricción de atributos. La segunda línea de la configuración ocasiona que el dispositivo pase los mensajes que contienen RAI 123* y cualquier APN. RAI 567* y MCC-MNC 56789 o que pase mensajes con RAI 123*. MCC-MNC 56789. Tabla 2: Elementos de información compatibles Valor de tipo IE Elemento de información 1 2 3 4 5 8 9 11 12 13 14 15 16 17 18 19 20 Causa Identidad de abonado móvil internacional (IMSI) Identidad de área de enrutamiento (REI) Identidad de vínculo lógico temporal (TLLI) Paquete TMSI (P-TMSI) Reordenamiento requerido Triple confirmación Causa MAP Firma P-TMSI Validado por MS Recuperación Modo de selección Datos I de identificador de punto final de túnel Plano de control de identificador de punto final de túnel Datos II de identificador de punto final de túnel ID de desmantelación NSAPI 22 Elementos de información de GTP .

Capítulo 1: GPRS Valor de tipo IE Elemento de información 21 22 23 24 25 26 27 28 29 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 Causa RANAP Contexto RAB Prioridad de radio SMS Prioridad de radio ID de flujo de paquetes Características de carga Referencia de seguimiento Tipo de seguimiento Razón de MS no accesible ID de carga Dirección de usuario final Contexto MM Contexto PDP Nombre de punto de acceso Opciones de configuración de protocolo Dirección GSN Número internacional PSTN/ISDN de MS (MSISDN) Calidad del perfil de servicio Quinteto de confirmación Plantilla de flujo de tráfico Identificación de objetivo Contenedor transparente UTRAN Información de ajuste RAB Lista de tipo de encabezado de extensión Id de activador Identidad OMC Contenedor transparente RAN Dar prioridad al contexto PDP Información adicional de ajuste RAB Número SGSN Indicadores comunes Restricción de APN LCS de prioridad de radio Tipo RAT Información de ubicación de usuario Huso horario MS IMEI-SV Contenedor de información de carga CAMEL Contexto MBMS UE Elementos de información de GTP 23 .

Manual de referencia de ScreenOS: Conceptos y ejemplos Valor de tipo IE Elemento de información 157 158 159 160 161 162 163 164 165 166 167 168 169 251 255 Identidad de grupo móvil temporal (TMGI) Dirección de enrutamiento RIM Opciones de configuración de protocolo MBMS Área de servicio MBMS Información de contexto TNC PDCP origen Información adicional de seguimiento Contador de saltos ID de PLMN seleccionada Identificador de sesión MBMS Indicador MBMS2G/3G NSAPI mejorado Duración de sesión MBMS Información adicional de seguimiento de MBMS Dirección de puerta de enlace de carga Extensión privada Eliminación de 3GPP R6 IE La característica de eliminación de 3GPP R6 IE le permite retener la interoperabilidad en itinerancia entre redes 2GPP y 3GPP. para que elimine los atributos específicos 3GPP del título del paquete GTP cuando el paquete pasa a una red 2GPP. que se aloja en el extremo de PLMN y GRX y que funciona como un cortafuegos Gp. Ejemplo: Eliminación de R6 En este ejemplo. ULI. puede configurar la interfaz Gp del dispositivo de seguridad para que elimine los IE de R6 nuevos que se agreguen (restricciones RAT. WebUI Objects > GTP > New: Seleccione los siguientes datos y haga clic en Apply: Remove R6 EI: (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> set remove-r6 (gtp:gprs1)-> exit save 24 Elementos de información de GTP . Puede configurar el dispositivo de seguridad para que elimine la restricción RAT. IMEI-SV de IE de los mensajes GTP antes de reenviar estos mensajes a GGSN. IMEI-SV y APN) del mensaje GTP. ULI. RAI. Puede configurar el dispositivo de seguridad de detección de GTP.

WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Maximum Number of Tunnels Limited to tunnels: (seleccione). El dispositivo de seguridad basa su acción de reenvío o descarte de un paquete de GTP en paquetes de GTP anteriores que recibió. el dispositivo de seguridad verifica el paquete de GTP con el estado actual del túnel de GTP. Túneles de GTP 25 . 800 CLI set gtp config gprs1 (gtp:gprs1)-> set limit tunnel 800 (gtp:gprs1)-> exit save Inspección de estado Tras una serie de verificaciones de paquete de GTP (consulte “Filtrado de mensajes de GTP” en la página 8). un mensaje de petición precede un mensaje de respuesta. Limitación del túnel GTP Puede configurar el dispositivo de seguridad para limitar el número de túneles de GTP. Ejemplo: Establecimiento de los límites de túnel GTP En el siguiente ejemplo. Los GSN a los cuales se aplica esta limitación se especifican en la directiva a la cual adjunta el objeto de inspección de GTP. Lo siguiente son ejemplos simplificados de los modelos de estado de GTP. si éste recibe un paquete de GTP que no pertenece al modelo de estado actual de GTP. el dispositivo de seguridad descarta el paquete. así que si el dispositivo de seguridad recibe un mensaje create pdp context response cuando no recibió previamente un mensaje create pdp context request. usted limita el número de túneles de GTP itinerancia a 800 para el objeto de inspección de GTP GPRS1. Básicamente.Capítulo 1: GPRS Túneles de GTP Un túnel GTP habilita la transmisión del tráfico de GTP entre los GSN con el Protocolo de encapsulamiento de GPRS (GTP). Por ejemplo. Hay dos tipos de túneles: uno para los mensajes de GTP-U (datos del usuario) y uno para los mensajes de GTP-C (señalización y control). el dispositivo de seguridad descarta el mensaje de respuesta. Esta característica evita que se exceda la capacidad de los GSN.

Si GGSN puede aceptar con éxito la conexión (confirmación. Cuando SGSN recibe la respuesta.buygadgets. SGSN envía un mensaje create pdp context request a GGSN. Conmutación por error del túnel para alta disponibilidad ScreenOS admite dos modos de HA (alta disponibilidad): activo-activo cuando el dispositivo de seguridad está en el modo de rutas y activo-pasivo cuando el dispositivo de seguridad está en el modo de rutas o en el modo transparente. El SGSN anterior responde con un mensaje “sgsn context response” y envía al nuevo SGSN toda la información que tiene sobre la MS.com) y realiza una conexión de GPRS con un SGSN para iniciar el establecimiento de un túnel de GTP. el nuevo SGSN envía “sgsn context request” al SGSN anterior donde solicita la transferencia de toda la información que tiene sobre la MS. En el caso de que los SGSN se encuentren en diferentes PLMN. asignación de recursos. El dispositivo de respaldo refleja la configuración del maestro. Para terminar la comunicación. responde con un mensaje create pdp context response. Al recibir la respuesta e información. incluso los túneles de GTP existentes y está listo para hacerse cargo de las responsabilidades del dispositivo maestro si éste llegara a fallar. Un dispositivo de seguridad puede recibir varias peticiones para establecer túneles de GTP para diferentes GSN de manera simultánea. Para completar este procedimiento de “entrega”. únicamente el mensaje “update pdp context request/response” se dirige a través del dispositivo de seguridad. Este intercambio de mensajes entre SGSN y GGSN establece un túnel de GTP a través del cual la MS puede enviar mensajes de usuario de GTP-U a la red externa. Actualización del área de enrutamiento dentro de SGSN Cuando una MS se mueve fuera del rango del SGSN actual e ingresa a una nueva área de SGSN. En esencia. un dispositivo de seguridad asigna un índice único a cada túnel en el momento de su creación. la MS realiza una desconexión de GPRS con el SGSN para iniciar el desmantelamiento del túnel de GTP. De aquí en adelante. GGSN responde con un mensaje “delete pdp context response” y elimina el túnel de GTP de sus registros. La conmutación por error entre el dispositivo maestro y de respaldo es rápida e invisible al usuario. En el caso de que los dos SGSN están en la misma PLMN y el GSN está en una PLMN diferente. el nuevo SGSN confirma la recepción enviando un mensaje “sgsn context acknowledge” al SGSN anterior. los dos dispositivos de seguridad en una configuración HA actúan como dispositivos maestro y de respaldo. si la hubiera. SGSN envía un mensaje “delete pdp context request” a GGSN.Manual de referencia de ScreenOS: Conceptos y ejemplos Establecimiento y desmantelamiento del túnel de GTP Una estación móvil (MS) desea llegar a una red externa (www. todos los mensajes de GTP se dirigen a través del dispositivo de seguridad. el SGSN anterior reenviará al SGSN nuevo cualquier T-PDU nuevo que reciba para la MS. 26 Túneles de GTP . Para ayudar a dar seguimiento a todos los túneles (estado del túnel y mensajes de registros de los diferentes túneles). garantías de calidad de servicio (QoS)). también elimina el túnel de GTP de sus registros. el nuevo SGSN debe enviar un mensaje “update pdp context request” al GGSN al cual GGSN responde con un mensaje “update pdp context response”. Ese índice de túnel aparece para cada mensaje de túnel de GTP registrado.

El GSN que envía el mensaje de confirmación elimina de manera simultánea su contexto de pdp mientras que el GSN en el otro extremo del túnel de GTP queda en espera. Limpieza de túneles de GTP colgados Esta característica elimina los túneles de GTP que se quedan colgados en el dispositivo de seguridad. los túneles de GTP establecidos permanecen activos e intactos. consulte “Limpieza de túneles de GTP colgados” en la página 27. el dispositivo de seguridad automáticamente identifica como “colgado” cualquier túnel de GTP que esté libre durante el período de tiempo especificado por el valor de tiempo de espera y lo elimina. debe reiniciar el establecimiento del túnel de GTP después de la conmutación por error. consulte Volumen 11: Alta Disponibilidad. Para estos. Puede configurar el dispositivo de seguridad para que detecte y elimine automáticamente los túneles de GTP que se quedan colgados. esperando la confirmación de eliminación. Con relación a la HA. WebUI Objects > GTP > Edit (GPRS1): Introduzca los siguientes datos y haga clic en Apply: Tunnel Inactivity Timeout: 12 CLI set gtp config gprs1 (gtp:gprs1)-> set timeout 12 (gtp:gprs1)-> exit save Túneles de GTP 27 . por ejemplo. Cuando se establece un valor de tiempo de espera del túnel de GTP. El valor de tiempo de espera del túnel de GTP predeterminado es de 24 horas. También es posible que los túneles de GTP en el proceso de desmontaje (o terminación) pierdan el mensaje de confirmación y queden a la espera en el dispositivo de seguridad. pero los túneles de GTP en el proceso de establecimiento se pierden. Puede configurar el dispositivo de seguridad para que elimine los túneles de GTP en espera.Capítulo 1: GPRS Durante la conmutación por error. Ejemplo: Establecimiento del tiempo de espera para los túneles de GTP En este ejemplo. Los túneles de GTP pueden quedarse colgados debido a varias razones. Para obtener más información sobre HA y para aprender sobre cómo configurar los dispositivos de seguridad para alta disponibilidad. se establece el tiempo de espera del túnel de GTP para el objeto de inspección de GTP “GPRS1” a 12 horas. La espera de los túneles de GTP puede ocurrir por varias razones. Para obtener más información. un túnel de GTP en espera ocurre cuando el GSN en un extremo del túnel envía GSN al otro extremo del túnel un mensaje “delete pdp context request” y mientras espera la respuesta ocurre un fallo que interrumpe la comunicación y evita que GSN reciba el mensaje “delete pdp context response” (que confirma la eliminación) del otro GSN. el mensaje “delete pdp context response” puede perderse en una red o un GSN puede no cerrarse correctamente.

en lugar de A. Es decir. 28 Redirección de SGSN y GGSN .Manual de referencia de ScreenOS: Conceptos y ejemplos Redirección de SGSN y GGSN Los dispositivos de seguridad de Juniper Networks admiten la redirección del tráfico de GTP entre SGSN y GGSN. en lugar de X. GGSN envía mensajes subsecuentes de GTP-C y GTP-U a SGSN B y C. La Figura 4. Redirección de SGSN: Un SGSN (A) puede enviar solicitudes create-pdp-context en las que puede especificar diferentes direcciones IP de SGSN (SGSN B y SGSN C) para mensajes subsecuentes de GTP-C y GTP-U. Un ataque de sobrefacturación puede ocurrir también cuando una dirección IP se encuentra disponible y se reasigna a otra MS. la Figura 5 y la Figura 6 ilustran esta situación en detalle. SGSN envía los mensajes subsecuentes GTP-C y GTP-U a GGSN Y y Z. Descripción del ataque de sobrefacturación Con el fin de saber un ataque de sobrefacturación. que puede ocurrir cuando un abonado legítimo devuelve su dirección IP a un conjunto de IP. Por lo tanto. que es vulnerable ya que la sesión continúa abierta. Desvío de GGSN: Un GGSN (X) puede enviar respuestas create-pdp-context en las cuales puede especificar diferentes direcciones IP de GGSN (GGSN Y y GGSN Z) para mensajes subsecuentes de GTP-C y GTP-U. sin que se detecte ni se informe de la situación. a expensas del abonado legítimo) o enviar datos a otros abonados. en cuyo punto un agresor puede secuestrar la dirección IP. es importante conocer que una estación móvil (MS) obtiene su dirección IP de un conjunto de IP. el agresor puede descargar datos de manera gratuita (o con más exactitud. Por lo tanto. lo que ocasiona que a la nueva MS se le facture tráfico no solicitado. Prevención de ataque de sobrefacturación Puede configurar los dispositivos de seguridad para evitar los ataques de sobrefacturación de GPRS. La siguiente sección describe el ataque de sobrefacturación y luego explica la solución. Cuando el agresor toma control de la dirección IP. El tráfico iniciado por la MS anterior se puede reenviar a la nueva MS. Esto indica que un ataque de sobrefacturación puede ocurrir de varias maneras.

que recibía los paquetes para la sesión anterior con la misma dirección IP de destino pero diferente MS (MS1). Figura 4: Inicio de sesión PLMN 1 MS maliciosa (MS1: 2. MS2 (la víctima).2/32 (la misma dirección IP que utilizó MS1). Al detectar el nuevo túnel GTP para la dirección IP de destino 2.1.2.1. El cortafuegos de GI no sabe que el túnel GTP se eliminó y reenvía los paquetes a GGSN.2. se cobra a MS2 por esto. una nueva estación móvil. MS1 obtiene una dirección de IP y solicita un túnel GTP para GGSN. MS1 inicia una sesión con el servidor. SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Servidor Internet En la Figura 6. GGSN descarta los paquetes ya que el túnel GTP ya no existe. a medida que el servidor empieza a enviar paquetes a MS1. ahora reenvía estos paquetes a MS2. Figura 5: Eliminación de un túnel de GTP PLMN 1 MS1 solicita la eliminación del túnel GTP y sale de la sesión.2. envía una solicitud a SGSN por un túnel GTP a GGSN y recibe la dirección IP de 2. El servidor continúa el envío de paquetes a GGSN. SGSN crea un túnel GTP por petición de MS1.2/32) Cortafuegos de GTP SGSN Túnel GTP Servidor GGSN Cortafuegos de Gi Internet En la Figura 5. MS1 envía simultáneamente una petición a SGSN para eliminar el túnel GTP pero deja abierta la sesión al servidor.1.Capítulo 1: GPRS En la Figura 4. GGSN. Prevención de ataque de sobrefacturación 29 . Aunque MS2 no solicitó este tráfico dirigido a MS1.2. SGSN crea un nuevo túnel GTP a GGSN.

NSGP utiliza el protocolo de control de transmisión (TCP) y supervisa la conectividad entre el cliente y el servidor al enviar los mensajes de saludo en intervalos establecidos. MS1 envía una solicitud a SGSN para eliminar el túnel GTP y salir de la sesión.0 NSGP y el otro dispositivo que actúa como cortafuegos de GTP (el cliente) debe ejecutar el firmware ScreenOS 5.0. El cliente se conecta al servidor y envía las peticiones.0.Manual de referencia de ScreenOS: Conceptos y ejemplos Figura 6: Recepción de datos no solicitados PLMN 1 Nueva estación móvil (MS2: 2. Usted configura NSGP en el cortafuegos de GTP para activarlo y así notificar al cortafuegos de Gi cuando se elimina un túnel de GTP y configura NSGP en el cortafuegos de Gi para activarlo y así borrar automáticamente las sesiones cada vez que el cortafuegos de Gi obtenga una notificación del cortafuegos de GTP acerca de que se eliminó un túnel de GTP. Después de iniciar una sesión con el servidor y a medida que el servidor empieza a enviar paquetes a MS1. Tanto el cliente como el servidor admiten varias conexiones entre sí y con otros de manera simultánea.1. El dispositivo de seguridad que actúa como cortafuegos de Gi (el servidor) debe ejecutar el firmware ScreenOS 5. la petición debe incluir la ID de contexto y la dirección IP del servidor. debe utilizar la misma ID de contexto en cada dispositivo. el cortafuegos de Gi detiene el tráfico no solicitado. Cuando el cliente envía una petición de “borrar sesión” al servidor. El módulo NSGP incluye dos componentes: el cliente y el servidor.1. Cuando configure NSGP en los dispositivos del cliente y servidor. 30 Prevención de ataque de sobrefacturación . NSGP actualmente sólo admite el tipo de “sesión” de contexto.0 o ScreenOS 5.0 GPRS. está unido a una zona de seguridad y se identifica por un número único (ID de contexto).2.2/32) SGSN Cortafuegos de GTP GGSN Cortafuegos de Gi Túnel GTP Internet Servidor Solución del ataque de sobrefacturación Para proteger a los abonados de una PLMN de ataques de sobrefacturación es necesario contar con dos dispositivos de seguridad y utilizar el protocolo de equipo selector NetScreen (NSGP) y el módulo de NSGP. que procesa el servidor. Al borrar las sesiones. Al recibir el mensaje de “borrar sesión”. el cual es un espacio que retiene la información de la sesión del usuario. el servidor hace coincidir la ID de contexto y luego borra la sesión de su tabla.

0. PLMN 1 El cortafuegos de GTP notifica al cortafuegos de Gi acerca de la eliminación del túnel GTP. Figura 8: Configuración de los cortafuegos de GTP y Gi Cortafuegos de GTP 1. el cortafuegos de GTP notifica inmediatamente al cortafuegos de Gi acerca de la eliminación del túnel GTP. no puede recibir datos y se le facturará tráfico que no ha iniciado.4/24 Servidor Internet Prevención de ataque de sobrefacturación 31 . el cortafuegos de Gi los intercepta y los descarta. Figura 7: Notificación de eliminación del túnel GTP MS1 solicita la eliminación del túnel GTP y sale de la sesión. Posteriormente. una nueva MS.0 o ScreenOS 5. GGSN Servidor Internet Ejemplo: Configuración de la característica de prevención de ataque de sobrefacturación En este ejemplo configura NSGP tanto en el cortafuegos de GTP (cliente) como en el cortafuegos de Gi (servidor).Capítulo 1: GPRS Al eliminar el túnel.1. incluso si utiliza la misma dirección IP que la MS anterior. SGSN X El cortafuegos de GTP ejecuta el firmware ScreenOS 5.0 GPRS.1.2. cuando el servidor intenta enviar paquetes a GGSN.5/24 Cortafuegos de Gi 2.0 NSGP.1. El cortafuegos de Gi elimina la sesión de su tabla. El cortafuegos de Gi ejecuta el firmware ScreenOS 5. Este ejemplo asume que configuró el objeto de inspección de GTP “GPRS1” tanto en el cortafuegos de GTP como de Gi.2. Como resultado.1.

2.5/24 Management Services: Telnet (seleccione) Objects > GTP > Edit (GPRS1) > Overbilling: Introduzca los siguientes datos y haga clic en Apply: Overbilling Notify: (seleccione) Destination IP: 2.4 Source Interface: ethernet1/2 Destination Context: 2 Policies > (From: Untrust.4/24 Management Services: Telnet (seleccione) Other Services: Overbilling (seleccione) 32 Prevención de ataque de sobrefacturación . Any Destination Address: Address Book Entry: (seleccione).2.2.1.2.5/24 set interface ethernet1/2 manage telnet set gtp config gprs1 (gtp:gprs1)-> set notify 2. Any Service: Any GTP Inspection Object: GPRS1 Action: Permit CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 1.1.Manual de referencia de ScreenOS: Conceptos y ejemplos Cortafuegos de GTP (cliente) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 1.1.2. por ejemplo: policy id = 2 set policy id 2 gtp gprs1 save Cortafuegos de Gi (servidor) WebUI Network > Interface > Edit (ethernet1/2): Introduzca los siguientes datos y haga clic en Apply: Zone Name: Untrust (seleccione) IP Address/Netmask: 2.1.4 src-interface ethernet1/2 context 2 (gtp:gprs1)-> exit save set policy from untrust to trust any any any permit El sistema devuelve una identificación de directiva. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione).1.

4/24 set interface ethernet1/2 manage telnet set interface ethernet1/2 nsgp set nsgp context 2 type session zone untrust save Supervisión de tráfico de GTP Los dispositivos de seguridad de Juniper Networks proporcionan herramientas completas para la supervisión del flujo de tráfico en tiempo real. puede configurar el dispositivo de seguridad para registrar los paquetes de GTP según sus estados. el registro de tráfico está inhabilitado en un dispositivo de seguridad de Juniper Networks. NOTA: De forma predeterminada. Estado no válido: Un paquete que descarta el dispositivo de seguridad ya que falló la inspección de estado. Para el tráfico de GTP. puede supervisar el tráfico utilizando el registro del tráfico de GTP y las características de recuento del tráfico de GTP. Prohibido: Un paquete que descarta el dispositivo de seguridad ya que la directiva de GTP lo rechaza.Capítulo 1: GPRS NSGP: Introduzca los siguientes datos y haga clic en Add. Limitado por túneles: Un paquete que descarta el dispositivo de seguridad ya que se llegó al límite máximo de túneles de GTP para el GSN de destino. El estado de un paquete de GTP puede ser alguno de los siguientes: Reenviado: Un paquete que transmite el dispositivo de seguridad ya que la directiva de GTP lo permite. Registro de tráfico Con la característica de registro de tráfico de GTP.1. desea sobre cada paquete. También puede especificar cuánta información.2. Cada entrada de registro en su forma básica contiene la siguiente información: Marca de hora Dirección IP de origen Supervisión de tráfico de GTP 33 . básica o extensa. luego haga clic en OK: Context ID: 2 Zone: Untrust CLI set interface ethernet1/2 zone Untrust set interface ethernet1/2 ip 2. syslog y WebUI para ver los registros de tráfico. Puede utilizar la consola. Limitado por velocidad: Un paquete que descarta el dispositivo de seguridad ya que excede el límite máximo de velocidad del GSN de destino.

velocidad limitada y prohibidos. si establece el valor de frecuencia en 10. ayuda a conservar los recursos en el servidor syslog y en el dispositivo de seguridad y puede evitar el desbordamiento de registro de los mensajes. estado no válido. Ejemplo: Habilitación del registro de paquetes de GTP En este ejemplo. para la inspección de objeto de GTP “GPRS1”. con un valor de frecuencia de 10 para los paquetes de velocidad limitada y registro para paquetes de estado no válido. prohibido. consulte “Supervisión de dispositivos de seguridad” en la página 3-59.Manual de referencia de ScreenOS: Conceptos y ejemplos Dirección IP destino Identificador del túnel (TID) o Identificador del punto final del túnel (TEID) Tipo de mensaje Estado del paquete: reenviado. también puede especificar una frecuencia de inicio de sesión para controlar el intervalo en el cual el dispositivo de seguridad registra estos mensajes. limitado por velocidad o limitado por túneles Nombre de vrouter. Por ejemplo. Cuando habilita el inicio de sesión de los paquetes de GTP con un estado de limitado por velocidad del paquete. 34 Supervisión de tráfico de GTP . vsys o interfaz (si corresponde) Red móvil terrestre pública (PLMN) o nombre de zona Cada entrada del registro en su forma extendida incluye la siguiente información además de la información “básica”: IMSI MSISDN APN Modo de selección Dirección de SGSN para señalización Dirección de SGSN para datos de usuario Dirección de GGSN para señalización Dirección de GGSN para datos de usuario NOTA: Para obtener más información sobre las características de supervisión. Al establecer una frecuencia de registro. Usted opta por un inicio de sesión básico de paquetes prohibidos y velocidad limitada. usted configura el dispositivo de seguridad para registrar los paquetes GTP de estado no válido. el dispositivo de seguridad únicamente registra cada décimo mensaje sobre el límite de velocidad establecido.

Supervisión de tráfico de GTP 35 . se habilita el recuento de tráfico de GTP por mensajes en el objeto de inspección de GTP “GPRS1”.Capítulo 1: GPRS WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Packet Prohibited: Basic (seleccione) Packet State-invalid: Extended (seleccione) Packet Rate-Limited: Basic (seleccione) When Packet Rate Limit is exceeded. recibidos de y reenviados a GGSN y SGSN al cual protege. el registro de tráfico se deshabilita en los dispositivos de seguridad de Juniper Networks. Ejemplo: Habilitación del recuento de tráfico de GTP En este ejemplo. La entrada de registro para la eliminación de un túnel contiene la siguiente información: Marca de hora Nombre de interfaz (si aplica) Dirección IP de SGSN Dirección IP de GGSN TID Tiempo de duración del túnel en segundos Número de mensajes enviados a SGSN Número de mensajes enviados a GGSN NOTA: De forma predeterminada. puede configurar el dispositivo de seguridad para contar el número de mensajes de control y datos de usuario (o bytes de datos). log every other messages: 10 CLI set gtp config gprs1 (gtp:gprs1)-> set prohibited basic (gtp:gprs1)-> set state-invalid extended (gtp:gprs1)-> set rate-limited basic 10 (gtp:gprs1)-> exit save Recuento de tráfico Con la característica de recuento de tráfico de GTP. El dispositivo de seguridad cuenta el tráfico para cada túnel de GTP por separado y lo diferencia de los mensajes de GTP-Usuario y GTP-Control. Cuando se elimina un túnel. el dispositivo de seguridad cuenta y registra el número total de mensajes o bytes de datos que se recibieron de y se reenviaron a SGSN o GGSN.

WebUI Objects > GTP > Edit (GPRS1) > Subscriber Trace: Introduzca los siguientes datos y haga clic en Apply: Maximum Simultaneous Active Trace: 2 Trace Message: 1064 Subscribers identified by: Seleccione IMSI. habilita el dispositivo de seguridad para dar seguimiento a un abonado con 345678 como un prefijo de IMSI en el objeto de inspección de GTP “GPRS1”. Puede configurar el número de abonados a los que el dispositivo de seguridad puede dar seguimiento de manera activa y simultánea. Para los paquetes de GTP que contienen datos del usuario. luego haga clic en Add. El número predeterminado de seguimientos activos simultáneos es tres. Puede identificar los abonados por sus IMSI o MS-ISDN y registrar el contenido de datos del usuario y mensajes de control que se dirigen al o provienen del abonado. Ejemplo: Habilitación de intercepción legal En este ejemplo. El valor predeterminado es cero. El dispositivo de seguridad envía los paquetes registrados a un servidor externo (como Syslog) dedicado para las operaciones de Intercepción legal.Manual de referencia de ScreenOS: Conceptos y ejemplos WebUI Objects > GTP > Edit (GPRS1) > Log: Introduzca los siguientes datos y haga clic en Apply: Traffic counters: Count by Message (seleccione) CLI set gtp config gprs1 (gtp:gprs1)-> log traffic-counters (gtp:gprs1)-> exit save Intercepción legal Puede configurar un dispositivo de seguridad para identificar y registrar el contenido de mensajes de GTP-U o GTP-C según los prefijos de IMSI o identificación de red de datos de servicios integrados de estación móvil (MS-ISDN). lo que significa que el dispositivo de seguridad no registra ningún contenido de un paquete de GTP-U. CLI set gtp config gprs1 (gtp:gprs1)-> set trace imsi 123456789012345 (gtp:gprs1)-> set trace max-active 2 save-length 1064 (gtp:gprs1)-> exit save 36 Supervisión de tráfico de GTP . Puede registrar los paquetes parciales o completos. También puede establecer el número de seguimientos activos en 2 y el número de bytes a registrar en 1064. escriba 123456789012345. puede especificar el número de bytes de datos a registrar.

.................................................28 prevención .........................................................9 tipo......2 GTP comprobación de coherencia del paquete ...................................................................4 Ruta ..................................................................................... configuración ...............12 versiones 0 y 1 ...................................................................................................................... filtrar por .........................17 funcionamiento..... 26 APN filtrado ............................................................................................................14 inspección de estado .............................................................................................5 directivas.............................................2 según directivas .25 objetos de inspección ....................................... 28 a 33 prevención........................................................................................................................................ interfaz ...................................2 Gn.....................................................................................4 modos de selección APN ..................................... interfaz ......................................................................................3 limitación de velocidad.........................................................................16 F filtrado del prefijo de IMSI .............................. limitación por .......................... configuración ...................................................................4 transparente..........4 transparente ...................4 modo verificado .................................................................... tráfico ............................... interfaz .....................................................................................................9 estándares .........................................5 Índice IX-I ........................................................................................................................................2 Gp.... mensajes GTP-C .................................................................................... 16 a 17 modo de selección ............... 5 a 7 protocolo ........................................................... modos de NAT ......................4........................................................................................14 filtrado del prefijo de IMSI .................5 tiempo de espera del túnel .............................................................................................2 Gp .......................................12 C comodines ........16 Ataques de sobrefacturación ..................................................................................................................10 a 11 velocidad....16 filtrado del paquete de GTP-en-GTP .............16 compatibilidad con el sistema virtual .....................................................................11 longitud...................................................Índice A alta disponibilidad (HA) ..................................................16 D directivas .........4 Ruta ....................................................... 28 a 30 descripción ...............................................................................30 I intercepción legal................................................31 soluciones.......................16 estación móvil (MS) ......................16 modo de rutas .............................11 modo de red .................................... filtrar por .....................................2 Gn ...........10 tipos ...............2 L L2TP ...................................................................................................9 filtrado del nombre de punto de acceso (APN) ...27 N Nombre de punto de acceso véase APN P Protocolo de encapsulamiento de GPRS (GTP) véase GTP R registro........................................16 red ............................4 modo transparente .4 G Gi..........................................6 E estación móvil (MS) ...............4 modo NAT .....................................5 M mensajes GTP .........36 Interfaces Gi ........................................16 verificado .............................17 fragmentación de IP .................16 modos de funcionamiento NAT ......................................................................

......................................... 16 estación móvil (MS) ..................................................................................................................................................... 5 registro ............................................................. 16 red ..... 5 tráfico GTP iniciar sesión ................................................... 35 túnel de GTP en espera . modos APN .... 16 verificado ....................... 13 IX-II Índice .. 27 túneles GTP conmutación por error ....................................................... 27 túneles de GTP colgados .............................................................................................................. 33 recuento ............................................................................................................................. 25 tiempo de espera ..............................Manual de referencia de ScreenOS: Conceptos y ejemplos S selección..................................................................... 27 V validación del número de secuencia ...................... 26 límite ................ 16 T tiempo de espera ...................................................... 27 tráfico recuento .................................................................