Az 5G új horizontjaival a hálózatok védelme is egyre fontosabb lesz

Az 5G hálózatok egyre inkább a mindennapok részét képezik, azokkal már a „mezei” végfelhasználók, saját, arra alkalmas eszközeiken is találkozhatnak – az újgenerációs hálózatok terjeszkedésben persze korántsem az okostelefonok jelentik a legizgalmasabb szegmenst, sokkal inkább a még szárnyaikat bontogató felhasználási területek, mint például az IoT (Internet of Things), az önvezető autózás, az ipari automatizáció vagy éppen a távoli orvoslás/távműtétek.

A hálózatvédelem egyébként is kritikus fontosságú, az új területek esetében ugyanakkor ez hatványozottan igaz, hiszen egy műtét vagy épp egy jármű navigálása során a szó szoros értelmében emberéletek függhetnek tőle. A robusztus védvonalak felhúzásában az Ericsson magyarországi szakemberei is aktívan részt vesznek: a vállalat 5G biztonsági fejlesztéseinek jelentős részéért a hazai csapat felel, akik az Ericsson Packet Core nemzetközi gárdájából mintegy 120 főt tesznek ki - ebből pedig harmincan dedikáltan a biztonsági fejlesztésekkel foglalkoznak.

SZÁZ SZÁZALÉK FELHŐ

Az 5G hálózatok és szolgáltatások egyik alapkövét jelentő Cloud Packet Core igen sokrétű feladatokat lát el, a hálózatra csatlakozó eszközökből érkező adatok begyűjtésétől a felhasználók és készülékek azonosításán át az aktuális hálózati irányelvek érvényesítéséig, majd a forgalom továbbirányításáig az adott szolgáltató igényeinek megfelelően – mindezt felhős környezetben.

A felhős, konténerizált, szolgáltatásalapú architektúrára épülő Cloud Packet Core-t két fő komponens a, a Packet Core Controller illetve a Packet Core Gateway alkotja - utóbbi nevének megfelelően a gateway funkciókat, illetve az adatforgalom-feldolgozást látja el a Cloud Packet Core-on belül. A Packet Core Gateway fejlesztése, illetve annak védelme jelenti a budapesti csapat fő fókuszát is. A megfelelő biztonság garantálása persze nem kis feladat, főként miután egy olyan termékről van szó, amelyen világszerte több ezer mérnök dolgozik és amely emberek millióinak életére van hatással.

Nem meglepő módon már a termékfejlesztés nulladik percétől szem előtt kell tartani a megfelelő biztonságot, azt a legfontosabb rendszerkövetelmények között kezelve, illetve annak rendelve alá a későbbiekben definiált további kritériumokat, funkciókat. A fejlesztést folyamatos tesztelés kíséri, amely persze a termékek élesedésével sem zárul le. Az Ericsson szakértői folyamatosan vizsgálják, hogy egy-egy terméken hol akadhat támadási felület – amennyiben pedig ilyet találnak, azt elemzik és rövid úton orvosolják is.

A KÜLSŐ SZOFTVEREK HIBÁIRA IS UGRANAK A FEJLESZTŐK

Mint Keil Péter, az Ericsson Packet Core termékfejlesztésének magyarországi vezetője elmondta, az egyik tipikusan előforduló problémát a nyitott, kifelé hallgatózó TCP/IP portoknál kell keresni – míg utóbbiak a zárt rendszereknél nem feltétlenül okoznak gondot, addig felhős környezetben már jóval komolyabb biztonsági kockázatot jelenthetnek. Javarészt TCP/IP portokon keresztül zajlik a rendszerüzenetek, státuszjelentéseinek kommunikációja, ha pedig egy ilyen port a rendszeren kívülről is elérhető, hozzáférést adhat a potenciális támadóknak a terméken belüli érzékeny információkhoz, sőt, rosszabb esetben az üzenetek meghamisítására is módot adhat – vagy épp a rendszeralkalmazások közötti kommunikáció ellehetetlenítésére, a kommunikációs csatorna irreleváns üzenetekkel való lefoglalásával. Ez a példa szerencsére egy tűzfallal egyszerűen orvosolható, ugyanakkor jobb, ha a támadási felületek kigyomlálása már a tervezőasztalon megkezdődik.

Erre persze nincs minden esetben lehetőség, például a külső felek, közösségek által fejlesztett, a cég termékeiben is használt szoftverek potenciális sérülékenységei esetében sem. Az ilyen, külső termékekben felbukkanó sebezhetőségekkel kapcsolatban a cég nem csak a használt szoftvert fejlesztő céggel vagy közösséggel tartja a kapcsolatot, de a szoftvercsomagokat maga is tüzetesen ellenőrzi. Ha pedig a csapat biztonsági rést talál, a közösség által biztosított patch-csel rögtön javítja - vagy ha nem született még rá javítás, saját mérnökeivel készíti el azt, amelyet aztán később az adott közösséggel is megoszt, az érvényes licenckonstrukcióknak megfelelően.

Természetesen a fejlesztés során, illetve a védelmi vonalak utólagos gondozásakor is követni kell a legfrissebb biztonsági szabványokat, az ügyfelek egyedi, speciális igényeinek is meg kell felelni, sokszor pedig az is nehézséget jelent, hogy a különböző régiókban alkalmazott biztonsági szabványok eltérnek egymástól. Ennek jellegzetes példája a jelszavak megfelelő összetettsége. Az erős jelszó kritikus fontosságú a következtetéses támadások, illetve az automatizált belépési próbálkozásokkal bombázó brute force módszerek kivédésére. A különböző kormányzati előírások azonban más-más elvárásokat szabnak meg a megfelelően erős jelszavak létrehozására: míg az amerikai NIST (National Institute of Standards and Technology) a jelszavak hosszúságára teszi a hangsúlyt, és nem javasolja a speciális karakterek használatát, addig az indiai ITSAR (Indian Telecom Security Assurance Requirements) szabályzata négyféle karaktertípust (kisbetű, nagybetű, számjegy, speciális) követel meg. Ez utóbbi problémát éppen a magyarországi csapat oldotta fel azáltal, hogy a Packet Core rendszerét az egyes országok követelményeinek megfelelően konfigurálhatóvá tette – tehát az ügyfél állíthatja be magának, mely szabályozásoknak kell, hogy megfeleljen az adott beállítás.

A fenti biztonsági fejlesztések az 5G egyre gyorsabb térnyerésével maguk is egyre nagyobb jelentőséggel bírnak, ahogy az infrastruktúra egyre inkább a mindennapok alapkövévé válik, a személyes kommunikációtól, a közlekedésen át egészen az egészségügyig és az ipari környezetek működéséig. A megfelelő védelem kialakítása a fejlesztés valamennyi pontjának szerves részét képezi, amiben a magyar szakemberek is kulcsszerepet vállalnak.

[Az Ericsson megbízásából készített, fizetett anyag.]