4. nesil mobil haberleşme sistemlerinde (lte/lte-a) şebeke ve bilgi güvenliği sunumu 2015

[email protected]üseyin ELTUTAN

4. Nesil Mobil Haberleşme(LTE, LTE-A)

Şebekelerinde Şebeke ve Bilgi

Güvenliği27.11.2015Siber Güvenlik

Ankara / Türkiye

İçerik

1. Bazı İstatistikler2. Mobil Haberleşme Şebekeleri3. Güvenlik4. Mevzuat

Bazı İstatistikler-DünyaDünyada Mobil İnternet Trafiği (PByte)

Kaynak: Akamai’s State Report (Q2 2015)

Bazı İstatistikler-Türkiye

Toplam Mobil Abone Sayısı

ve Nüfusa Göre

Penetrasyon

Kaynak: BTK, 2015 2. Çeyrek Pazar Verileri Raporu

Genişbant İnternet Abone

Sayısı

Bazı İstatistikler-TürkiyeToplam Mobil Ses Trafiği (Milyar

dk)Toplam Mobil SMS ve MMS Trafiği

(Milyon Adet)

Toplam Mobil İnternet Trafiği

(TByte)

Kaynak: BTK, 2015 2. Çeyrek Pazar Verileri Raporu

Mobil Haberleşme Şebekeleri

Türkiye’de Güncel Gelişmeler

26 Ağustos 2015 tarihinde BTK tarafından IMT- Advanced (LTE-Advanced) Yetkilendirme İhalesine gerçekleştirildi

• 365,4 MHZ frekans için3 milyar 960 Milyon Avro

ULAK Projesi• ASELSAN, NETAŞ, ARGELA işbirliği• Temel/ticari LTE makrocell baz istasyonu • Kamu güvenliği LTE makrocell baz istasyonu • LTE mobil terminal kripto yazılımı • Tetra-APCO-DMR sistemleri ile LTE baz istasyonu birlikte

çalışabilirliği• 4G tabanlı askeri haberleşme sistemi


Geçmişten Günümüze Mobil Haberleşme Şebekeleri

5G ???


201120102009200820072006200520042003200220012000

R99 R4 R5 R6 R7 R8 R9 R10

2012

R11

2013 2014 2015

R12


Kaynak: 3GPP


201120102009200820072006200520042003200220012000

R99 R4 R5 R6 R7 R8 R9 R10

2012

R11

2013 2014 2015

R12

ITU-R IMT-2000 ITU-R IMT-Advanced (LTE-Advanced)

1 Gbps hotspot / 100 Mbps2 Mbps mobil internet


Kaynak: 3GPP


201120102009200820072006200520042003200220012000

R99 R4 R5 R6 R7 R8 R9 R10

2012

R11

2013 2014 2015

R12




UM

TS

HS

PAD

L

HS

PAU

L LTE

LTE

Adv

HS

PA+

Release 13: Mar 2016Release 14: 2017/2018

Kaynak: 3GPP


201120102009200820072006200520042003200220012000

R99 R4 R5 R6 R7 R8 R9 R10

2012

R11

2013 2014 2015

R12




UM

TS

HS

PAD

L

HS

PAU

L LTE

LTE

Adv

HS

PA+

Release 13: Mar 2016Release 14: 2017/2018

3G: IMT-2000 4G: IMT-Advanced

Kaynak: 3GPP


LTE/LTE-A Kilit Teknolojileri

Dikey Frekans Bölmeli Çoklama (OFDM)

Çoklu Giriş Çoklu Çıkış (MIMO)

Heterojen Şebeke (HetNet, HetHetNet, Relay NB)

Frekans Birleştirme(Carrier Aggregation)

Koordine Edilmiş Çoklu Nokta (CoMP)


Mobil Şebeke Teknolojileri Hızları

Kaynak: http://www.ict-pulse.com/2011/07/edge-wimax-3g-4g-what%E2%80%99s-the-difference/

Güvenlik4G (LTE/LTE-A) Şebeke Yapısı

Kaynak: Nokia System Network (2012)



eNodeB(Evolved Node B)

• Frekans kaynağı yönetimi• IP trafiğinin sıkıştırılması

ve şifrelenmesi• Hangi MME ile iletişime

geçileceği kararını verme• eNodeB’ler kendi içinde

de birbiri ile haberleşir. (IPsec/IKEv2 tabanlı şifreleme ile)



S-GW(Service Gateway)

• Kullanıcı Paketlerini Yönlendirme

• Hand-over (4G-4G,4G-3G)• Kullanıcı IPlerini ve

yönlendirme tablolarını tutma

• Teknik takip için trafiğin çoğullama



MME(Mobility

Management Entity)• Anahtar kontrol

noktasıdır• Kullanıcıyı boşta izleme

yapar• Taşıyıcı aktivasyon ve

deaktivasyonunu gerçekleştirir

• Kullanıcını hangi S-GW’den çıkış yapacağını belirler.

• Kullanıcının doğruluğunu kontrol eder, geçici kullanıcı kimliklerini oluşturur.

• Teknik takip için güvenlik anahtarlarını yönetir.

• 2G/3G şebekelerini SGSN ile birlikte kontrol eder.



PDN GW(Packet Data

Network Gateway)• Kullanıcının şebeke dışı

paket verisinin giriş ve çıkışını gerçekleştirir.

• Bir kullanıcı aynı anda birden fazla PDN-GW ile bağlanabilir.

• Her bir kullanıcı için paket filtreleme, ücretlendirme, site engelleme ve teknik takip yapar.

• Kullanıcı IP’sinin ve irtibata girdiği IP’lerin takibini yapar.

• Diğer teknolojiler ile birlikte kullanım durumunda görev alır.



HSS(Home Subscriber

Server)• Kullanıcı abonelik

bilgilerini tutar.• Abonenin ses, sms, data

vb. durumuna göre izinleri düzenler.

• Aboneye özel iletişim anahtarları burada tutulur. (en az 128 bit şifreleme ile 5 bağımsız anahtar çeşidi üretmekte



EIR(Equipment Identity

Register)Mobil telefon

cihazının kimlik (IMEI) kontrolünü yaparak, kayıp, çalıntı, klon vb

cihaz olup olmadığını kontrol

eder



4G Baz (eNB) İstasyonu Güvenliği

Güvenlik4G (LTE/LTE-A) Şebekesinde Riskler Yapılabilecek

Ataklar


1- SGi (security Gateway

Interface) arayüzü üzerinden IP

seviyesinde DoS veya DDoS

ataklarıKaynak: Fortinet, 4G Security


Ataklar


2- SGi arayüzü üserinden 3G’de

olduğu gibi faturala ile

oynama (overbilling)

atakları Kaynak: Fortinet, 4G Security


Ataklar


3- Açık ve güvenli

olmayan IP arayüzleri üzerinden

yapılan erişim

atakları(Kaynak: Fortinet, 4G

Security)


Ataklar


4- Akış kontrolü iletim protokolü (SCTP) tabanlı

veritabanı girişlerini

manipüle etme atağı

(Kaynak: Fortinet, 4G Security)


Ataklar


5- 4G Roaming esnasında, akış kontrolü iletim

protokolü (SCTP) veya GPRS Tunnel Protokolü (GTP) tabanlı ataklar

(Kaynak: Fortinet, 4G Security)


Ataklar


6- Akış kontrolü iletim protokolü

tabanlı MME fonksiyonlarının manipüle etme

atakları(Kaynak: Fortinet, 4G

Security)



7- Servis Gateway’i

GPRS Tünel Protokolü

tabanlı manipüle

etme atakları(Kaynak: Fortinet, 4G

Security)



8- IMS seviyesinde yapılan VoLTE – VoIP

manipülasyon atakları(Kaynak: Fortinet, 4G Security)

Güvenlik

• Şebekeyi 3GPP güvenlik tavsiyelerine göre dizayn etmek

• IP şebeke güvenlik mekanizmasını kullanmak

• Şebekeyi güvenlik risklerini de hesaba katarak tasarlamak

• Periyodik güvenlik ölçümlerini yapmak

• Şebekeyi sürekli izlemek (network security vulnerability monitoring)

• Şebeke ekipmanları için tehdit ve risk analizlerini yapmak

• Şebeke güvenlik testlerini periyodik olarak yapmak

• Trafikleri çeşidine göre ayrı ayrı izlemek

• Tehdit senaryolarına karşı tatbikatlar yapmak

• Gerekli durumlarda paket denetleme (packet inspector), saldırı tehdit (intrusion detection) sistemlerini kullanmak

• IP tabanlı baz istasyonları antivirüs, antiphishing, ebeveyn koruması gibi güvenlik uygulamaları ile desteklemek

4G (LTE/LTE-A) Güvenlik Önlemleri

İlgili Mevzuat5809 Sayılı Elektronik Haberleşme Kanunu

Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği

• 2014 yılında Siber Güvenlik Kurulu kurulması eklendi.

Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik• Kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik

haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esaslar düzenlenmiştir.Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin

Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik

• TS ISO/IEC 27001 standartları temelinde işletmecilere güvenlik standartları zorunlu hale getirilmiştir.

• Kamu güvenliği birimlerince (asker, polis, jandarma, itfaiye vb.) kullanılan frekans tahsisi gerektiren cihazlara ilişkin kriptolu haberleşme usul ve esasları düzenlenmiştir.

Telsiz ve Telekomünikasyon Terminal Ekipmanları Yönetmeliği

• Telsiz ve telekomünikasyon terminal ekipmanlarının sahip olması gereken asgari güvenlik koşullarına ilişkin usul ve esasları düzenlenmiştir.

33

Sorular?Teşekkürler

İlave Bilgi

ELEKTRONİK HABERLEŞME SEKTÖRÜNDE ŞEBEKE VEBİLGİ GÜVENLİĞİ YÖNETMELİĞİ

Resmi Gazete Tarihi: 13.07.2014

Resmi Gazete Sayısı: 29059

Bu Yönetmeliğin amacı, şebeke ve bilgi güvenliğinin sağlanmasına yönelik olarak işletmecilerin uyacakları usul ve esasları düzenlemektir.

Kişisel verilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır.


• Altyapı işletmeciliği hizmeti.• Çeşitli telekomünikasyon hizmetleri (imtiyaz sözleşmesi).• GMPCS mobil telefon hizmeti.• GSM/IMT-2000/UMTS (imtiyaz sözleşmesi).• Hava taşıtlarında GSM 1800 mobil telefon hizmeti.• İnternet servis sağlayıcılığı.• Sabit telefon hizmeti.• Sanal mobil şebeke hizmeti.• Uydu haberleşme hizmeti.• Uydu ve kablo tv hizmetleri (görev sözleşmesi)

Yükümlü İşletmeciler:

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler1- İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kurar.

Bilgi güvenliği yönetim sistemi (BGYS): TS ISO/IEC 27001Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, işletmecinin yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününü

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler2- İş sürekliliği

Her bir faaliyetten sorumlu personel, planın devreye alınması için gerekli koşullar, plan kapsamında kullanılacak ekipman ve malzeme yer alır.Planlar tatbikat, simülasyon gibi tekniklerle her yıl test edilir

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler3- Risk değerlendirme ve işleme

İşletmeci, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapar.

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler4- İç denetim

• İki yılda en az bir defa5- Eğitim

6- Fiziksel Erişim• İki yılda en az bir defa

• Sadece yetkili kişilerle sınırlandırma • Yetkiler düzenli olarak gözden geçirilmesi • Kritik alanlara giriş ve çıkış bilgileri takibi ve

kayıt edilmesi • Kayıtların en az 2 yıl süreyle muhafaza

edilmesi

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler7- Şebeke Güvenliği

8- Abonelere Yönelik Tedbirler

• İşletmeci, kendisine tahsisli bir IP adresi kullanılarak şebekesine dışarıdan paket gönderilmesini engellemeye yönelik gerekli önlemleri alır.

• İşletmeci, abonelerinin kendisine atanmamış bir IP adresi kullanarak paket göndermelerini engellemeye yönelik gerekli önlemleri alır.

• İşletmeci, abonelerini bilinçlendirmek ve gerekli önlemlerin alınmasını sağlamak amacıyla zararlı yazılımlar, köle bilgisayar ağları ve muhtemel siber tehditler ile ilgili olarak bilgilendirir.

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler9- Zararlı kodlara karşı korunma

10- Yedekleme

11- Parola Yönetimi

İlave Bilgi


Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler12- Sistem kayıt dosyalarının tutulması

İşletmeci kayıt dosyalarını en az 2 yıl süreyle tutar• Kullanıcı kimlikleri.• Oturum açma/kapatma, veri

ekleme/silme/değiştirme gibi işlemlerin tarihi, zamanı ve açıklamaları.

• Bağlantı sağlanan ekipmanın kimliği ve yeri.

• Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları.

• Sistem ayarlarındaki değişiklikleri.• Kullanılan özel izinleri ve ayrıcalıkları.• Sistem araçlarının ve uygulamalarının

kullanımı.

• Erişilen dosyalar ve erişimin tipi.• Ağ adresleri.• Erişim kontrol sistemi tarafından üretilen

alarmlar.• Anti virüs yazılımı, güvenlik duvarı gibi

güvenlik sistemlerinin aktif ve pasif hale getirilmeleri.

• Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri.

• Sistem yöneticileri tarafından yapılan işlemler.

• Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar.

İlave Bilgi


Siber saldırılara yönelik tedbirler:

1- İşletmeciler, bünyelerinde SOME kurar• SOME: Siber olaylara müdahale ekibi

2- İşletmeci, sunucular, yönlendiriciler ve diğer şebeke elemanlarının Dos/DDos saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde; • Sinyal işleme kontrolü

• Kullanıcı doğrulama • Erişim kontrolleri gibi mekanizmalar kurar ve • Talep edilmesi halinde siber saldırılara karşı

koruma hizmeti sunar.

İlave Bilgi


Siber saldırılara yönelik tedbirler:

3- İşletmeci, USOM tarafından bildirilen siber saldırı kaynağının;

USOM: Ulusal Siber Olaylara Müdahale Merkezi

• Kendi abonesi olması durumunda ilgili abonenin bilgilendirilmesi ve abone tarafından talep edilmesi halinde sunulan elektronik haberleşme hizmetinin askıya alınmasını sağlar. İşletmeci tarafından aboneye yapılan bildirim ve bildirim türü USOM’a bildirilir.

• Başka bir işletmecinin abonesi olması durumunda, gerekli önlemlerin alınması için ilgili işletmecinin ve USOM’un bilgilendirilmesini sağlar.

İlave Bilgi

4. nesil mobil haberleşme sistemlerinde (lte/lte-a) şebeke ve bilgi güvenliği sunumu 2015

Mobile