--- title: Lab Meeting Minutes 2022/4/22 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間:111 年 4 月 22 日 10:00 (預計) - 地點:TC 321 - 出席者:吳坤熹老師、謝萬霖、周以恆、吳騰然、劉怡君、田蕙瑜、洪胤勛、丘世宇、莊才賢 - 會議主題: [Network Separation and IPsec CA CertificatesBased Security Management for 4G Network](https://ms15.voip.edu.tw/~tobywu/meeting/PPT/Network%20separation%20and%20IPsec%20CA%20certificates-based%20security%20management%20for%204G%20networks_V2.pptx) - 主講者: 吳騰然 - 主記: 劉怡君 ## 會議內容 ### Motivation - Challenge of 3G Network - Confidentiality - Authentication - Network Separation - Network Planning - 在 4G Network 建立 IPsec,實現 Network Separation ### Structure ![](https://i.imgur.com/PMo4WxJ.png) - ME: Management Element - 管理 RAC 跟 BS - RAC: Radio Network Access Controller - 控管 BS - BS: Base Station - 手機網路基地台 - NE: Network Element - 一台設備 ### Set up #### Security Agent(SA) - SA 做什麼事 - 資料傳送 - BSSA -> MESA -> BSSA - EDR 端點防禦功能 - 安裝 SA 在 ME、 RAC、 BS - 以 ME 為主要管理中心 - 控制對象: RAC、BS - 透過 SSH 傳遞 CA Certificate - 層級較高者為單向傳輸 - 在每個設備(EN)之間建立 IPsec 連線、CA Certificate ![](https://i.imgur.com/LY44RiM.png) #### SSH vs IPsec <table> <tr> <td>SSH</td> <td>IPsec</td> </tr> <tr> <td>Application Layer</td> <td>Network Layer</td> </tr> <tr> <td>具有傳輸功能</td> <td>不具有傳輸功能</td> </tr> <tr> <td>只能針對特定 traffic 進行加密</td> <td>可對任何 traffic 進行加密</td> </tr> </table> :::danger 對第二點及第三點修正: - IPsec 在 Network Layer 也可傳輸資料 - SSH 及 IPsec 皆包在現有 Protocol header 外面(對原封包內容進行加密) - Tunnel 為一 virtual interface ::: ### 建議&問題 1. p.4 的網路分離是為了解決甚麼問題而變成一種挑戰?為什麼 3G 做不到 4G 才行?[name=Edgar] Ans: 2. 闡述架構時需要解釋每個 component 的功能[name=Solomon] 3. p.10 三種連線個別負責的功能?SA 之間的 proprietary messaging protocol 是走哪條 (SSH / IPsec)?[name=Edgar] 4. 為什麼 p.10 有 ME 到 RAC/BS 的 IPsec 連線,但 p.11 的 IPsec 連線建立只有在 BS 和 RAC 之間?[name=Edgar] 5. p.9 中間的兩條連線是透過什麼協定傳送 key 的?[name=Edgar] 6. p.12 SSH 及 IPsec 兩者的比較應以水平方式呈現(一左一右)[name=Solomon] 7. p.12 IPsec 不具有傳輸功能是什麼意思?[name=Chofin] 8. 別人問問題時不要急著應付過去,要藉此反思[name=Solomon] 9. p.15 可以自己重畫,全部疊在一起會看不懂。[name=Edgar] 10. p.15 圖不正確[name=Solomon] 11. p. 7 ME 直接管理 BS 就行,為什麼還要多一層 RAC?[name=Chofin] Ans: 通常 RAC 會幫忙處理 local 端就能完成的工作(handover),分散 ME 負擔。[name=Solomon] 12. 建立 IPsec 連線前要透過 SSH 傳遞 CA Certificate,但要怎麼確保安全認證 [name=Jerry] Ans: 作者有提到 ssh 用來傳送 CA certificate,但是 ssh 的 fingerprint 卻是用 out-of-band 的方式去傳,既然有 out-of-band 的方式為什麼不用這個方式去傳送 CA certificate?[name=Solomon] 13. p. 8 為甚麼 BS 會直接連到 ME 而不是 RAC?[name=Branko] 14. p.14 network seqaration 在 4G 有什麼用處 Ans: - vlan: 可以只在一個 vlan 把一些重要的地方區隔開來 - 是為了完成 p7 階層式的架構 15. 若不透過 SSH,要如何傳遞 CA Certificate? Ans: 一般靜態的 Tunnel 可直接在工程師佈置各個 NE 時將 CA Certificate 從隨身碟複製到設備上。[name=Solomon] ## 待追蹤事項 1. [name=] Ans : [name=] ## 臨時動議 1. 實驗室會議要開始遠距進行嗎?[name=Solomon] Ans : 表決結果為繼續實體。 --- 散會結束時間: 11:45 a.m.