Mögliche Sicherheitslücke bei 5G Network Slicing

AdaptiveMobile Security hat das Whitepaper „A Slice in Time: Slicing Security in 5G Core Networks“ veröffentlicht. Das Whitepaper erläutert, wie 5G Slicing funktioniert und welche Sicherheit es bietet. Dabei werden auch Details zu einer großen Sicherheitslücke in der Architektur von 5G Network Slicing und Virtualized Network Functions aufgedeckt.

Einige Erkenntnisse im Überblick:

5G hat aus vielen Sicherheitsaspekten der früheren Netzwerkgenerationen gelernt und Maßnahmen ergriffen, um die Sicherheit zu verbessern. Beispiele für neue Sicherheitsfunktionen in 5G sind die Einführung eines Secure Edge Protection Proxy (SEPP), der das Netzwerk vor Angriffen schützt, die über das Roaming-Netz eintreffen, ein einheitliches Authentifizierungs-Framework für die verschiedenen 5G-Zugangstechnologien und Geräte, der Schutz der Privatsphäre der Benutzer, erweiterte Heimnetzkontrolle für Roaming-Nutzer sowie die Einführung der NRF-Autorisierungsfunktion in die Netzarchitektur.

Network Slicing ermöglicht das flexible Hochfahren von Netzfunktionen, die schnelle und dynamische Bereitstellung von Diensten, die logische Trennung und die Gruppierung von Netzfunktionen. Zudem ermöglicht es die Unterstützung verschiedener Anwendungsfälle und Geschäftsmodelle.

Das Konzept der Sicherheitszonierung ist ein wichtiges 5G-Sicherheitsthema, das es einzuführen gilt. AdaptiveMobile Security glaubt, dass für eine echte Sicherheitszonierung des 5G-Kernnetzes die folgenden wichtigen Schutzpunkte gesichert werden sollten:

• zwischen dem Netzwerk und dem Interconnection-Netzwerk,
• zwischen Netzwerk-Slices (Inter-Slice-Kommunikation),
• zwischen gemeinsam genutzten und nicht gemeinsam genutzten Netzwerkfunktionen,
• zwischen den dedizierten Netzwerkfunktionen und der gemeinsam genutzten Infrastruktur und
• zwischen den 5G-Netzfunktionen und Elementen älterer Generationen wie 2G, 3G und 4G.

Das 3rd Generation Partnership Project (3GPP) definiert derzeit die folgenden vier Arten von Netzwerk-Slice-Typen, basierend auf ihren Quality-of-Service-Merkmalen:

1. massive Machine Type Communication (mMTC)
2. Enhanced Mobile Broadband (eMBB)
3. Ultra-Reliable Low Latency Communications (URLLC)
4. Fahrzeug zu X (V2X)

Im 5G-SBA kann jede Netzwerkfunktion mit jeder anderen Netzwerkfunktion kommunizieren, anders als bei 4G, wo jede Schnittstelle einzeln „angeschaltet“ werden musste. Aus diesem Grund wurde die Autorisierungsfunktion, genannt NRF, eingeführt. Sie hilft den Verbrauchern der Netzwerkfunktion, Dienste zu entdecken, autorisiert Anfragen und stellt „Zugriffstoken“ für Dienste aus. Die neue Architektur kann auch einige Szenarien für das Load-Handling hervorrufen, die behandelt werden müssen, wie die Fragen, wie das Netzwerk mit Fehlkonfigurationen umgeht und wie es die Gesamtverfügbarkeit von Dienste in den Systemen koordiniert. Aus diesem Grund hat 3GPP kürzlich in Release 16 das Konzept des Service Communication Proxy (SCP) eingeführt.

Authentifizierung und Autorisierung auf Slice-Levels sind vorhanden, aber es gibt noch viele offene Sicherheitsprobleme, u. a. beim Schutz vor fehlkonfigurierten, fehlverhaltenden oder kompromittierten Slices, bei der Informationsextraktion durch eine Slice aus einer anderen Slice, z. B. über gemeinsam genutzte Elemente, der Sicherheit der Interslice-Kommunikation, der Roaming- und Slicing-Sicherheit auf der Ebene der Informationselemente, der Interaktion mit Legacy-Netzwerkknoten, der API-Sicherheit mit externen Drittanbietern, der Kreuzkorrelation zwischen Schichten sowie der Kreuzkorrelation von Angriffen zwischen verschiedenen Protokollen.

In 5G werden die Mobilfunknetze offen für neue Partner sein, aber diese Partner bringen neue Risiken für das Kernnetz mit sich.

AdaptiveMobile Security empfiehlt die Verwendung eines erweiterten Filter- und Validierungsansatzes, der Informationen aus verschiedenen Schichten und Protokollen kombiniert und externe Bedrohungsinformationen einbezieht. Diese Art von Filter- und Validierungsansatz ermöglicht die Aufteilung des Netzwerks in Sicherheitszonen und die Absicherung des 5G-Kernnetzes. Die Kreuzkorrelation von Angriffsinformationen zwischen diesen Sicherheitsnetzwerkfunktionen maximiert den Schutz vor hochentwickelten Angreifern und ermöglicht bessere Mitigationsmaßnahmen und eine schnellere Erkennung bei gleichzeitiger Minimierung von Fehlalarmen.

Diese verbesserten Sicherheitsnetzwerkfunktionen sollten dem Betriebspersonal im MNO eine einheitliche, ganzheitliche Sicht auf den Sicherheitsstatus des Netzwerks und eine einfache Integration der neuesten Bedrohungsinformationen bieten, was bedeutet, dass die Teilnehmer und die zugrunde liegenden Netzwerke sicher sind, egal wie komplex das Netzwerk durch Slicing wird.

Das Whitepaper sowie weitere Informationen finden Sie hier: AdaptiveMobile Security.