03Carrier Security 소개와 배포Carrier Security 소개와 배포
Carrier Security(옛 이름 Firewall-1 GX)는 무선 사업자를 위해 설계된, GTP를 완전히 인식하는 보안 솔루션입니다. 이 장은 왜 필요한지와 어떻게 배포하는지를 정리합니다.
GPRS/UMTS 망에 보안이 필요한 이유
개요에서 봤듯, 망이 폐쇄형에서 개방형 IP로 전환 되면서 단말과 망 모두가 인터넷의 온갖 위협과, 무선 망을 노린 특수 공격 에 노출됐습니다 — DoS, IP spoofing, Overbilling(과금 조작), tunnel hijacking, flooding, DNS cache poisoning 등입니다.
GTP — 설계상 보안이 없다
핵심 문제는 GTP 자체에 보안이 없 다는 것입니다. GTP 명세조차 이렇게 인정합니다.
즉 망이 알아서 보안을 제공해 주길 기대하지 말고, 직접 보안을 마련 해야 합니다.
Check Point의 해법
Carrier Security 는 2001년부터 GPRS·UMTS·LTE(2.5/3/4세대) 망을 보호해 왔습니다. 핵심은 Check Point의 특허 Stateful Inspection에 GTP 인식(GTP-awareness)을 결합 한 것입니다 — GTP 터널의 모든 필드를 패킷과 터널 양쪽 맥락에서 검사 해, 부적합한 트래픽을 "문 앞에서" 차단 합니다. 모든 GTP 버전에 대해 맞춤형·세밀한 "GTP-aware" 정책 을 정의·집행합니다.
배포
Carrier Security는 전용 라이선스 가 필요하며, Security Gateway에 얹어 배포합니다. 배포 위치가 중요한데, 개요에서 본 망의 접점에 둡니다 — Gn 인터페이스(SGSN↔GGSN), Gp(사업자망 간), Go, LTE의 S1·S5·S11 입니다. 게이트웨이를 이 접점에 두면, Gn/S5에서는 APN 기반 정책, Go에서는 GSM-SIP·SCTP·Diameter 인식 방화벽 같은 추가 보안을 쓸 수 있습니다(UMTS/LTE 보안).
정리하면, GTP는 설계상 무방비이므로 사업자가 직접 보안을 마련해야 하고, Carrier Security가 Stateful Inspection + GTP 인식으로 그 역할 을 합니다. 실제 보호 방식은 UMTS/LTE 네트워크 보안에서 이어집니다.