ptsecurity Mar 3 2014 at 15:23

Безопасность сетей доступа 3G/4G

2 min

17K

Positive Technologies corporate blogInformation Security*Development of communication systems*

+22

Comments 13

olku Mar 3 2014 at 17:12

Эволюция прошла путь от ATM-подключений до SDH/SONET, DSL, IP/MPLS и metro Ethernet. Сегодня весь трафик ходит в IP-пакетах.

Ересь

-4

Darka Mar 3 2014 at 17:17

На самом деле нет. Весь трафик инкапсулируется в IP.

Только я не понял о чем этот пост =)

olku Mar 3 2014 at 17:21

еще одна. Жечь вас, еретики! :)

-4

kvo Mar 4 2014 at 12:54

А вы, наверное, связист старой закалки? :)

olku Mar 4 2014 at 22:11

Да как скажете. :)
И телефонный трафик от сельской АТС до бабушки в пакетах ходит. И рилтаймовые трансляции между континетами, тоже, видимо в них, еще 4 версии, поди :)
В общем, буду краток. А жаждущий знаний о сетях завсегда найдет себе Олиферов, на много часов. И плакатс протоколами — огромаааадный!
SDH/SONET — глобальная сеть физического уровня. ATM и MPLS — глобальные сети канального уровня. Вот эти как раз эволюционировали, первая во вторую (если оператор был не скуп. Гуглите QoS и TE). IP — глобальная сеть сетевого уровня.
Все 3 живее всех живых. xDSL тоже, хоть не глобальны. И все это у нас инкапсулируется, инкапсулируется… в сервисы, в 7ой. Внезапно.

GAS_85 Mar 3 2014 at 17:35

Если телекоммуникационная компания использует оборудование со стандартными настройками, или отдает все сделать вендору и ни куда не смотрит — то она сама себе буратина.
Там все не так просто, помимо передачи MML по SSH существует также IPSec и при инициализации eNB только один раз проорет на всю сеть (кстати, только в своем vlane) что он поднялся и больше не шифрованного трафика вы не увидите, опять же при нормальной настройке.
Куча vlan-ов и IPSec там не с проста, а именно чтоб отделить трафик от «обывательского» и сделать такое простое проникновение невозможным.
Локальный пользователь и его стандартный пароль — меняется одной MML командой с batch поддержкой.
То что описано в статье — игра с не настроенным оборудованием, даже представить не могу кто так делает.

ptsecurity Mar 4 2014 at 13:07

Вы говорите исключительно правильные вещи. Проблема в том, что всегда есть разница между тем, что должно быть, и тем, что имеем на самом деле. Как вам, например, развертывание сети LTE без использования SeGW и IPsec соответственно?
Нарушение рекомендаций? Пожалуй, но так делают, например, в ожидании IPv6.

GAS_85 Mar 4 2014 at 13:18

А что его ждать? Он уже давно пришел. SGW никак не влияет на IPv6 это лишь конфигурация (я не говорю про древние релизы), если хотят на сети сэкономить не включив пару коробок, то пусть, но даже без этого eNB может быть настроен достаточно правильно и безопасно. Оставлять стандартный локальный пароль — не комильфо, MML через telnet — тоже. Даже без IPSec, если не изменяет память, можно зашифровать траффик через транспортную сеть.

vsarakoff Mar 4 2014 at 00:07

Если честно — то глупость какая-то написана. SOHO пользователю не видать ни управляющего трафика, ни пользовательского трафика как ушей своих. Это же банальное нарушение любых мыслимых правил безопасности.

ptsecurity Mar 4 2014 at 13:08

Коллега, в операторской среде можно и не такие нарушения встретить. Но работают же, вопреки всему :)

GAS_85 Mar 4 2014 at 13:21

Ну тогда эти коллеги некомпетентны, или с моего комментария выше — «отдает все сделать вендору и ни куда не смотрит», вывод смотри там же.

vsarakoff Mar 4 2014 at 18:34

С такой некомпетентностью первый раз встречаюсь за 15 лет работы с мобильными операторами… Хотя, Вашему бизнесу такая ужасная безалаберность только на руку :-)

kdaniel Mar 5 2014 at 17:08

Так и не понял о чем пост. О сетевых инженерах, не обладающих минимальной логикой? Или об операторах в Вышнеюганске (да простят меня операторы в этом городе, если он существует), обладающих одной базовой станцией на весь город?