Management und Wissen / Non-Public 5G Networks

Private 5G-Networks

Sicherer Betrieb von nicht-öffentlichen 5G-Campusnetzen

Die neue, fünfte Mobilfunkgeneration bringt relativ einfache Möglichkeiten mit sich, hochperformante lokale und mehr oder minder abgeschlossene 5G-Netzwerke aufzubauen – sogenannte Campusnetze, Private beziehungsweise Non-Public Networks (NPN). So verlockend deren Betrieb auch ist: Auch hier kann mangelnde Sicherheit schnell zum „Spaßverderber“ werden!

Von Udo Schneider, Garching

Private 5G-Netze, auch Campusnetze oder Non- Public Networks (NPN) genannt, erfahren zunehmende Aufmerksamkeit. Die sich bietenden Vorteile klingen für viele fantastisch: hohe Geschwindigkeit, niedrige Latenz, Datenschutz (da alle Komponenten „on Premises“ sind) und Skalierbarkeit ermöglichen Einsatzszenarien, bei denen funkgebundene Technik bisher schlichtweg nicht einsetzbar war.

Anders als bei älteren Verfahren wie 3G oder 4G, die primär auf die Nutzung durch Menschen ausgelegt sind, war bei 5G die effiziente Kommunikation von Geräten untereinander von vornherein ein Designziel. Das zeigt sich zum Beispiel an der extrem niedrigen Latenz in reinen 5G-Netzen (5G SA – stand-alone, vgl. Tab. 1), welche die Nutzung in zeitkritischen Anwendungsfällen überhaupt erst möglich macht. Aber selbst in gemischten 4G/5G-Umgebungen (5G NSA – non stand-alone), in denen das Funkzugangsnetz über 4G/LTE abgebildet wird und „nur“ das Kernnetz mit 5G läuft, bieten sich viele Vorteile: Die Latenz mag zwar höher sein, dafür lassen sich jedoch auch Altgeräte problemlos einbinden, was eine nahtlose Transition ermöglicht.

Tabelle 1: 4G/5G-Netze können als reine oder Misch-Umgebung implementiert werden

Die grundsätzliche Struktur von Mobilnetzen hat sich seit der ersten Generation (1G / analoge Netze) kaum verändert: Das erste Element sind Nutzergeräte (User-Equipment – UE), worunter heute Smartphones und andere Geräte mit SIM-Karte fallen. Im Zeitalter von 5G ist damit zu rechnen, dass neben Smartphones eine breite Palette von Geräten an Bedeutung gewinnen wird, etwa industrielle Anlagen, Autos, Sicherheitskameras, Sensoren und andere Geräte des Internet of Things (IoT).

Diese Geräte kommunizieren über Antennen drahtlos mit nahegelegenen Basisstationen, die zusammen das Funkzugangsnetz (Radio-Access-Network – RAN) bilden. Die über das RAN gewonnenen Informationen werden dann an das Kernnetz (Core-Network – CN) weitergeleitet. Das CN dient als „Gehirn“ für das gesamte Mobilfunknetz, indem es die Benutzerregistrierung und -bewegung sowie die Datenverarbeitung verwaltet. Alle drei Ebenen arbeiten organisch zusammen, damit Benutzer kommunizieren können, während sie sich bewegen. Diese grundlegende Anordnung bleibt auch in der fünften Generation von Mobilfunknetzen (5G) erhalten – das Basissystem besteht auch hier aus Nutzergeräten (UE), Funkzugangsnetz (RAN) und Kernnetz (CN, vgl. Abb. 1).

Abbildung 1: Das Basissystem im Mobilfunk besteht aus Nutzergeräten (User-Equipment – UE), Funkzugangsnetzen (Radio-Access-Network – RAN) und Kernnetz (Core-Network –CN)
Abbildung 2a: Gebräuchliche Optionen für 5G-Campusnetze
Abbildung 2b: Gebräuchliche Optionen für 5G-Campusnetze

Campusnetze

Grundsätzlich gibt es mehrere Möglichkeiten, ein 5G-Campusnetzwerk zu betreiben – gebräuchliche Optionen sind (vgl. Abb. 2a und 2b):

  • Isoliertes Netzwerk: ein lokales Netzwerk, das vom Unternehmen selbst oder einem Telekommunikationsanbieter in seinem Auftrag verwaltet wird.
  • Geteiltes Funkzugangsnetz (Shared RAN): Bei dieser Option wird das Kernnetz lokal betrieben, das Funkzugangsnetz aber vom Telekommunikationsanbieter bereitgestellt und ist unter Umständen mit anderen Kunden zu teilen.
  • Geteiltes Funkzugangsnetz und Kontrollebene (Shared RAN and Control- Plane): Hierbei stellt der Telekommunikationsanbieter zusätzlich zu einem großen Teil auch das Kernnetz bereit – Domänendaten bleiben aber weiterhin lokal.
  • Campusnetz als Overlay (NPNDeployment in Public Network): Diese Option ist auch als „Custom APN“ bekannt – sämtliche Netzkomponenten kommen vom Telekommunikationsanbieter und sind geteilt. Im Gegensatz zur Nutzung von 4G und Access-Point-Names (APNs) bietet 5G mit Network-Slicing aber eine echte Trennung der Netze.

Mit all diesen Möglichkeiten kommt eine große Verantwortung. Leider zeigt sich aber auch hier wieder, dass Sicherheit, wenn überhaupt, nur sporadisch bedacht wird. Entgegen der landläufigen Meinung sind Campusnetze nämlich nicht automatisch immun gegenüber Angriffen – Sicherheit sollte (wie schon im IT- und OT-Umfeld) von Anfang an und über die gesamte Betriebszeit bedacht und umgesetzt werden!

Problematisch ist leider, dass der sichere Betrieb von 5GInstallationen Erfahrungen und technische Verfahren erfordert, die bei den üblicherweise beteiligten Verantwortlichen, sowohl aus dem IT- als auch aus dem OT-Bereich, in der Regel nicht vorhanden sind. Vielmehr ist hier Erfahrung aus dem Telekommunikationsbereich (Communication-Technology – CT) gefragt -– natürlich zusätzlich zum IT- und OT-Wissen. Dies gilt auch für Fälle, bei denen das Campusnetzwerk von einem Telekommunikationsbetreiber autark oder als „Network-Slice“ betrieben wird. Oft wird der Aufwand für den Betrieb massiv unterschätzt oder das Campusnetz als „nur ein weiteres IP-Netz“ wahrgenommen!

Die Sicherheitsanforderungen lassen sich dabei grob auf vier Bereiche aufteilen: Absicherung des Kernnetzes (5G Core), des Edge- Computings (MEC), des Funkzugangsnetzes (5G RAN) sowie der Endpunkte.

5G-Kernnetzsicherheit

Virtualisierung

Virtualisierung ist eines der zentralen Verfahren bei der Implementierung und dem Betrieb von 5G-Kernnetzen. Dies umfasst sowohl die „klassische“ Virtualisierung in Form von Virtual Machines (VMs), Containern und Storage als auch zu einem großen Maße die Virtualisierung von Netzwerk (Software- Defined Networking – SDN) und Netzwerkfunktionen (Network- Function-Virtualization – NFV).

Der sichere Betrieb dieser grundlegenden Ebenen ist ein absolutes Muss – ein simples „Installand- forget“ funktioniert nicht! Vielmehr sind hier eine saubere Trennung der verschiedenen Ebenen (z. B. zwischen Control- und User-Plane) sowie ein geordneter Betrieb, inklusive Einbindung in Strukturen von Network- (NOC) oder Security-Operations-Centern (SOC), zwingend notwendig. Ein nicht funktionierendes Kernnetz, aus welchem Grund auch immer, gefährdet die gesamte Wertschöpfung der von ihm abhängigen Geräte.

Offene Hardware und Betriebssysteme

Im Gegensatz zu Equipment aus der 4G-Ära, das aus herstellerspezifischen, geschlossenen Hardwareplattformen bestand, wird im 5G-Umfeld primär „offene“ (Commercial off-the-Shelf – COTS) Serverhardware (x86) genutzt. Vor allem die Nutzung von OCP-basierten Servern ist im Aufwind (Open Compute Project, www.opencompute.org). All diesen Systemen ist gemein, dass auf ihnen fast ausschließlich Linux zum Betrieb von VMs oder Containern eingesetzt wird. Haupttreiber für diese Architekturänderung ist die immer stärkere Nutzung von IT-Verfahren, wie Containern, SDN, NFV, sowie letztendlich auch die saubere Trennung von Nutzer- und Managementebene (Control- and User-Plane-Separation – CUPS).

Obwohl dieses Vorgehen die Kosten für Hardware massiv gesenkt hat, ist der Wandel nicht völlig unproblematisch: Durch die Nutzung offener Hard- und Software ist auch das Kernnetz anfällig für normale IT-Verwundbarkeiten – Lücken wie Spectre, Meltdown oder Angriffe auf BMC-Module (Baseboard-Management- Controller, früher: Intelligent Platform-Management-Interface – IPMI) betreffen nun auch das Kernnetz, ebenso Schwachstellen in Linux und verwendeter (Netzwerk-) Software.

Vereinfacht zusammengefasst gilt es also folgende Komponenten zu schützen:

  • Server: Da es sich bei den Servern um Standard-COTS-x86- Systeme handelt, könnte ein Angreifer die Schwachstellen des Hosting- Betriebssystems (in der Regel eine Linux-Distribution), der herstellerspezifischen Verwaltungsschnittstelle, des Orchestrierungsmechanismus und der Betriebs-, Verwaltungs- und Managementnetzwerke (Operations- Administration and -Maintenance – OAM) ausnutzen. Bei diesen kann es sich um Zero-Day-Schwachstellen, nicht gepatchte N-Day-Schwachstellen oder auch einfach nur um schwache Passwörter handeln. Sobald ein Angreifer Root-Rechte erhält, können Netzwerkpakete bis zu einem gewissen Grad abgefangen werden. Eine richtig konfigurierte Single-Root-Input/Output-Virtualisierung (SR-IOV) und ein Data-Plane- Development-Kit (DPDK) können es Angreifern jedoch schwerer machen, den Inhalt von Paketen abzufangen und zu verändern.
  • VMs/Container: Virtuelle Maschinen (VMs) sind in der Regel gut abgesichert und geben im Idealfall nur die notwendigen Ports frei. Wenn VMs oder Container regelmäßig gepatcht werden, beschränkt sich die Angriffsfläche auf offene Ports, OAM-Dienste und vorab freigegebene Secure-Shell-(SSH)-Schlüssel – viele VMs und Container werden jedoch leider nicht regelmäßig gepatcht. Außerdem kommt es immer wieder zu Fehlkonfigurationen, die zum Beispiel VNC- oder RDPZugänge in einem lokalen Netzwerk mit angemeldeten Sitzungen oder Konten beziehungsweise schwachen Passwörtern zugänglich machen. Fälle, bei denen Angriffe von mobilen Geräten gegen einen Dienst im Kernnetz möglich waren, sind ebenfalls bekannt. Und die Rechteausweitung von VMs oder Containern kann zur missbräuchlichen Verwendung (Impersonisation) maschineller Netzwerk-Identitäten sowie der Exfiltration oder Veränderung von kritischen Daten innerhalb einer VM führen. Darüber hinaus können die bekannten Spectre- und Meltdown-Schwachstellen genutzt werden, um wichtige Daten in einer VM zu exfiltrieren.
  • Netzwerk-Infrastruktur: Router, Switches, Firewalls oder sogar Cybersecurity-Appliances lassen sich dazu verwenden, um Pakete abzufangen, weiterzuleiten, zu überprüfen und die Ausbreitung von Malware zu stoppen. Wie erfahrene IT-Mitarbeiter wissen, werden Infrastruktur-Anwendungen jedoch oft übersehen und nicht gepatcht – in einem solchen Zustand können diese Geräte ebenso zum Einschleusen in ein Unternehmensnetzwerk missbraucht werden. Das Kernnetz ist ebenfalls eine Netzinfrastruktur und daher anfällig für die gleiche Art von Angriffen.

MEC-Sicherheit

Multiaccess-Edge-Computing (MEC) bezeichnet die Verlagerung von Verarbeitungskapazitäten „an den Rand“ – in diesem Fall den Rand des Funknetzes. Solche Funktionen werden in der Regel nahe der Basisstation virtualisiert (mittels VM oder Container) bereitgestellt. Auch für sie ist Security nicht verhandelbar, sondern muss Bestandteil der Betriebsstrategie sein!

Je nach Einsatzszenario werden die MEC-Funktionen dynamisch provisioniert, was aber auch bedeutet, dass jegliche Konfigurations- und Sicherheitseinstellungen automatisiert aufgebracht werden sollten. Das manuelle „Herumfrickeln“ an Instanzen ist nicht mehr sinnvoll – und wenn man nicht mit rein statischen Konfigurations- und Sicherheitseinstellungen Vorlieb nehmen möchte, ist man ganz schnell im Bereich von „Infrastructure as Code“ (IaC) beziehungsweise „Security as Code“ (SaC).

MEC-Lösungen können aber auch dazu dienen, um an anderer Stelle die Sicherheit des Stacks zu erhöhen. Ein Beispiel sind MECLösungen, die in Kombination mit Apps auf den Subscriber-Identity- Modules (SIMs – egal, ob physisch oder als eSIM) die Vertraulichkeit und Integrität der Kommunikation unabhängig von Endgerät sicherstellen.

RAN-Sicherheit

Das Funkzugangsnetz (RAN) verbindet Endgeräte mit dem eigentlichen Kernnetz. Im Gegensatz zu früheren Implementationen, bei denen die Hersteller verschiedene Komponenten so verwoben hatten, dass diese nicht getrennt zu betreiben waren, setzt sich im 5G-Bereich ein Open-RAN-Ansatz durch, bei dem verschiedene Komponenten wie Radio-Unit (RU), Distributed- Unit (DU) und Centralized-Unit (CU) durch definierte Schnittstellen verbunden sind und sich damit potenziell von verschiedenen Herstellern mischen lassen.

Je nach Einsatzszenario können diese Komponenten frei verteilt werden: Ist niedrige Latenz gefordert, ist es unter Umständen sinnvoll, die Funktionen jeweils direkt in den Basisstationen bereitzustellen. Möchte man hingegen eine möglichst einfache Installation, wird man so viele Funktionen wie möglich zentralisiert und damit fernab der Basisstationen realisieren. Die zugrunde liegenden Plattformen sind auch hier bekannte Virtualisierungs- und Betriebssystemplattformen, die natürlich auch entsprechende Verwundbarkeiten enthalten können. Ein solides Vulnerability- Management ist also auch hier zwingend notwendig, um die Sicherheit des Funkzugangsnetzes zu gewährleisten.

Zugangspunkte (APN)

Obwohl es sich dabei streng genommen um keine reine Funktionalität des Funkzugangsnetzes handelt, wird Network-Slicing doch als Möglichkeit postuliert, getrennte (logische) Netze über geteilte Basisstationen zu realisieren. Bei 5G ist diese Funktion quasi über den gesamten Stack implementiert und die Netze sind auf allen Ebenen getrennt – gerade in gemischten 4G/5G-Netzen (5G NSA) wird aber oft noch auf Access-Point-Names (APNs) zurückgegriffen.

Der Name eines Zugangspunkts (APN) dient dabei zur Identifizierung des Gateways zwischen dem Netz eines mobilen Geräts und einem anderen Netz, im Regelfall dem Internet. Es ist ein weit verbreiteter Irrglaube, dass die Nutzung eines APN die Bindung an ein Netzwerk impliziert, das vollständig von anderen Netzen getrennt ist. APN-Nutzer sollten sich daher bei ihrem jeweiligen Netzbetreiber über die konkrete Situation informieren: Einige Netzbetreiber stellen Industriekunden aus Gründen der Dienstqualität (QoS), der Netzisolierung und der angeblich erhöhten Sicherheit einen eigenen APN zur Verfügung. Wenn sich ein Benutzergerät (wie ein Industrierouter) an das Funknetz anschließt, wird dann eine Identifizierung (IMSI/ SUCI) oder eine temporäre Identifizierung (TMSI/5GGUTI) übertragen, beispielsweise um Verschlüsselungsschlüssel auszutauschen.

Leider lässt sich die angebliche Sicherheit von APNs relativ leicht aushebeln: Beim Zugriff auf ein Gerät (siehe auch „SIMSwapping“ bei Nutzergeräten) lässt sich der Name des APNs einfach herausfinden. Bei fehlender IMSI/ IMEI-Bindung kann ein Angreifer so möglicherweise einfach durch Kenntnis des APN in das „geschlossene“ logische Netz vordringen. Auch der umgekehrte Fall, in dem ein Angreifer die SIM im Gerät durch eine eigene SIM austauscht und dann einen passenden APN bereitstellt, ist möglich: Damit sendet das Gerät dann Daten über den APN des Angreifers, ohne sich dessen bewusst zu sein.

„APN“ ist daher nicht gleichbedeutend mit Verschlüsselung oder allgemein Sicherheit – zwischen Basisstation und Kernnetz sollte man deshalb IPsec/VPNs nutzen. Bei der Nutzung eines öffentlichen Netzes ist es nicht ratsam, dem Telekommunikationsanbieter zu vertrauen – vielmehr wird empfohlen ein Firmen-VPN im Industrierouter einzurichten, ebenso wie für etwaige Funkverbindungen.

GTP-Angriffe

Das GPRS-Tunneling-Protocol (GTP) dient dazu, verschiedene Netze durch IP-basierte Tunnel zwischen Geräten und Mobilfunknetz zu verbinden. Es wurde für GPRSoder 2,5G-Netze entwickelt, ist aber auch in 3G-, 4G- und jetzt 5G-Netzen im Einsatz.

Wenn ein Campusnetz ordnungsgemäß abgetrennt und mit einer Firewall versehen ist, kann ein Angreifer keine Pakete mit einer gefälschten Quell-IP von außerhalb senden: Layer-3-Switches könnten ein gefälschtes Paket nur an das Standard-Gateway weiterleiten. Wenn sich das Kernnetz und das Datennetz in verschiedenen VLANs befinden, wird ein gefälschtes Paket niemals das Ziel erreichen.

Unter Umständen kann ein Angreifer aber dennoch GTP-Pakete an Serving-Gateway (SGW), User- Plane-Function (UPF) und Basisstationen senden, wo sie entkapselt und an das Datennetz gesendet werden. Um GTP-Pakete senden zu können, muss der Angreifer dazu die Tunnel- Endpunkt-ID (TEID) kennen – ein Tunnel-Identifikator oder die ID des Kommunikationskanals, der vom Packet-Gateway (PGW) und einer Basisstation einem Benutzergerät zugewiesen wird. Uplink (also Daten, die vom Benutzergerät zum Kernnetz übertragen werden) und Downlink sind unterschiedlichen TEIDs zugewiesen – außerdem erhält jeder APN unterschiedliche TEIDs. Die Beobachtung von Brute-Force- Versuchen gegenüber TEIDs ist daher ein deutlicher Indikator für die Kompromittierung des Kernnetzes.

Es wird daher empfohlen, ein Intrusion-Detection-/-Prevention- System (IDS/IPS) zu installieren, das GTP versteht und TEID-Brute-Forcing erkennt. Ebenso ist es ratsam, IPsec oder VPN zu verwenden, um die Verbindung zwischen Basisstationen und Kernnetz zu schützen.

Basisstationen

Auch wenn der 5G-Standard HTTP/2 und optional TLS sowie Zertifikate zwischen den Diensten vorschreibt, verwenden einige Kernnetze entweder noch Klartext oder prüfen Zertifikate nur unzureichend. Dies macht sie zu einem guten Ziel für Bedrohungsakteure, die dadurch einfach Man-in-the-Middle-Angriffe zwischen den Basisstationen und dem Kernnetz durchführen können. Darüber hinaus würde jeder kritische Patch die Planung von Ausfallzeiten erforderlich machen. Da die Verfügbarkeit in vielen Umgebungen der wichtigste Faktor ist, ist es somit unwahrscheinlich, dass Patches rechtzeitig eingespielt werden.

Abbildung 3: Beim Betrieb von 5G-Campusnetzen gilt es, vier Bereiche sorgsam zu schützen, um technische Innovationen sicher für das eigene Unternehmen nutzbar zu machen.

Nutzergeräte

5G-Nutzergeräte können in verschiedensten Ausgestaltungen daherkommen – zum Beispiel auch als autonome Flurförderfahrzeuge, Roboter, Drohnen oder einfach nur Aktoren und Sensoren. Allen gemein ist, dass sie gegen Angreifer geschützt werden müssen. Am offensichtlichsten ist sicherlich das Austauschen von SIMKarten – auch SIM-Swapping genannt.

SIM-Swapping

Für SIM-Swapping gibt es zwei mögliche Definitionen: Bei der ersten wird eine SIM-Karte aus dem Nutzergerät entnommen und durch eine neue SIM-Karte (oder keine SIM-Karte) ersetzt. Bei der zweiten Möglichkeit wird die „Mobile-Subscriber-Integrated-Services- Digital-Network-Number“ (MSISDN – besser bekannt als „Telefonnummer“) einer anderen SIM-Karte zugewiesen, sodass Anrufe und SMS-Nachrichten vom ursprünglichen MSISDN-Besitzer umgeleitet werden.

In den meisten Campusnetzen werden Datendienste häufiger genutzt als Sprachdienste, sodass die erste Definition relevanter ist. Eine SIM-Karte kann aus einem Gerät gestohlen oder etwa aus abgestürzten Drohnen oder sogar ausgemusterten Geräten entnommen werden. Ein Angreifer kann dann die SIM-Karte in einem eigenen Gerät installieren, um Zugang zum Campusnetz zu erhalten, nach Schwachstellen zu scannen oder die oben genannten Techniken für Angriffe auf andere Geräte zu nutzen. Selbst wenn ein Angreifer keinen physischen Zugriff auf die SIM-Karte hat, könnte ein unvorsichtiger Mitarbeiter eine SIM-Karte, die im Campusnetzwerk verwendet wird, in sein eigenes Gerät einlegen, das möglicherweise bereits durch einen erfolgreichen Angriff kompromittiert ist.

Das Szenario der physisch ausgetauschten SIMKarten lässt sich verhindern, indem ein Gerät immer an eine bestimmte SIM-Karte gebunden wird (sog. IMEI- bzw. IMSI-Bindung). Manche kommerzielle Mobile-Security- Lösungen können zudem verdächtige Aktivitäten erkennen und den Zugang sperren, wenn die Bindung nicht mit der Bestandsliste übereinstimmt.

Fazit

Immer mehr Unternehmen setzen auf Campusnetzwerke, um den Anforderungen der heutigen Zeit gerecht zu werden – das hat jedoch große Auswirkungen auf die Sicherheit! Die Grenzen zwischen den Zuständigkeiten von IT, OT und CT verschwimmen immer mehr, wenn es um Sicherheit geht. Die Kosten für die Instandhaltung eines Campusnetzes können daher enorm sein – und das IT/OT-Personal muss mit Telekommunikations-(CT)- Kenntnissen ausgestattet sein, um es wirklich schützen zu können.

Sichere Praktiken und Maßnahmen sind ebenfalls essenziell zum Schutz eines Campusnetzes. Einige Maßnahmen, mit denen eine Organisationen beginnen kann, lauten:

  • Verwenden Sie VPNs oder IPsec zum Schutz von Remote-Kommunikationskanälen, einschließlich Remote- Standorten und Basisstationen – LTE und 5G sind nicht „automagisch“ verschlüsselt!
  • Verwenden Sie Cybersicherheits-Tools, die 5GKernnetzprotokolle verstehen.
  • Verwenden Sie Lösungen zu Endpoint-/Extended/ Managed-Detection and -Response (EDR/XDR oder MDR), um mögliche Angriffe und „Seitwärts“-Bewegungen (Lateral Movements) innerhalb des Campusnetzes sowie auch innerhalb des containerisierten Kernnetzes zu erkennen.
  • Sorgen Sie für eine ordnungsgemäße Netzwerktrennung mit VLANs oder SDN.
  • Patchen Sie Server, Router und Basisstationen in angemessener Zeit – da viele Komponenten im Kernnetz auf Linux laufen, achten Sie besonders auf Hinweise auf Linux-Schwachstellen.
  • Investieren Sie in Produkte zur Erkennung von Anomalien in Campusnetzwerken, die eine robuste Möglichkeit bieten, nicht-gelistete Geräte/SIM-Karten-Paare auszuschalten.
  • Verstehen Sie die Grenzen der APN- oder Netzwerk- Slicing-Lösung Ihres Anbieters und wenden Sie bei Bedarf zusätzliche Abwehrtechniken an.

Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro.