ProHoster > Blog > podávání > Úvod do bezpečnostní architektury 5G: NFV, klíče a 2 autentizace
Úvod do bezpečnostní architektury 5G: NFV, klíče a 2 autentizace
Převzít vývoj nového komunikačního standardu bez přemýšlení o bezpečnostních mechanismech je zjevně extrémně pochybné a marné úsilí.
5G bezpečnostní architektura — soubor bezpečnostních mechanismů a postupů zavedených v sítě 5. generace a pokrývající všechny síťové komponenty, od jádra až po rádiová rozhraní.
Sítě 5. generace jsou v podstatě evolucí Sítě 4. generace LTE. Nejvýraznějšími změnami prošly technologie rádiového přístupu. Pro sítě 5. generace novinka KRYSA (Radio Access Technology) - 5G nové rádio. Co se týče jádra sítě, nedoznalo tak výrazných změn. V tomto ohledu byla bezpečnostní architektura 5G sítí vyvinuta s důrazem na opětovné použití relevantních technologií přijatých ve standardu 4G LTE.
Je však třeba poznamenat, že přehodnocení známých hrozeb, jako jsou útoky na vzdušná rozhraní a signální vrstvu (signalizace letadlo), útoky DDOS, útoky Man-In-The-Middle atd., přiměly telekomunikační operátory k vývoji nových standardů a integraci zcela nových bezpečnostních mechanismů do sítí 5. generace.
Pozadí
Mezinárodní telekomunikační unie vypracovala v roce 2015 první svého druhu globální plán rozvoje sítí páté generace, proto se otázka rozvoje bezpečnostních mechanismů a postupů v sítích 5G stala obzvlášť akutní.
Nová technologie nabídla skutečně působivé přenosové rychlosti dat (více než 1 Gbps), latenci menší než 1 ms a možnost současného připojení asi 1 milionu zařízení v okruhu 1 km2. Takové nejvyšší požadavky na sítě 5. generace se odrážejí i v principech jejich organizace.
Tím hlavním byla decentralizace, která znamenala umístění mnoha lokálních databází a jejich zpracovatelských center na periferii sítě. To umožnilo minimalizovat zpoždění při M2M-komunikace a odlehčení síťovému jádru díky obsluze velkého množství IoT zařízení. Okraj sítí nové generace se tak rozšířil až k základnovým stanicím, což umožnilo vytváření místních komunikačních center a poskytování cloudových služeb bez rizika kritického zpoždění nebo odmítnutí služby. Změněný přístup k sítím a zákaznickému servisu byl pro útočníky samozřejmě zajímavý, protože jim otevřel nové příležitosti k útoku jak na důvěrné uživatelské informace, tak na samotné síťové komponenty s cílem způsobit odmítnutí služby nebo zabavit výpočetní zdroje operátora.
Hlavní zranitelnosti sítí 5. generace
Velká útočná plocha
vícePři budování telekomunikačních sítí 3. a 4. generace se telekomunikační operátoři obvykle omezovali na spolupráci s jedním nebo několika dodavateli, kteří okamžitě dodali sadu hardwaru a softwaru. To znamená, že vše mohlo fungovat, jak se říká, „z krabice“ - stačilo pouze nainstalovat a nakonfigurovat zařízení zakoupené od prodejce; nebylo potřeba nahrazovat nebo doplňovat proprietární software. Moderní trendy jsou v rozporu s tímto „klasickým“ přístupem a jsou zaměřeny na virtualizaci sítí, multi-vendorový přístup k jejich konstrukci a softwarovou rozmanitost. Technologie jako např SDN (anglicky Software Defined Network) a NFV (English Network Functions Virtualization), což vede k začlenění obrovského množství softwaru postaveného na bázi otevřených zdrojových kódů do procesů a funkcí správy komunikačních sítí. To dává útočníkům příležitost lépe prostudovat síť operátora a identifikovat větší počet zranitelností, což zase zvyšuje útočnou plochu sítí nové generace ve srovnání se současnými.
Velké množství IoT zařízení
víceDo roku 2021 bude asi 57 % zařízení připojených k sítím 5G tvořit zařízení IoT. To znamená, že většina hostitelů bude mít omezené kryptografické schopnosti (viz bod 2), a proto bude zranitelná vůči útokům. Obrovské množství takových zařízení zvýší riziko šíření botnetů a umožní provádět ještě silnější a distribuované DDoS útoky.
Omezené kryptografické schopnosti zařízení IoT
víceJak již bylo zmíněno, sítě 5. generace aktivně využívají periferní zařízení, která umožňují odstranit část zátěže z jádra sítě a tím snížit latenci. To je nezbytné pro tak důležité služby, jako je řízení bezpilotních vozidel, systém nouzového varování IMS a další, pro které je kritické zajistit minimální zpoždění, protože na něm závisí lidské životy. Díky připojení velkého množství IoT zařízení, která mají vzhledem ke svým malým rozměrům a nízké spotřebě energie velmi omezené výpočetní zdroje, se 5G sítě stávají zranitelnými vůči útokům zaměřeným na zachycení kontroly a následné manipulace s takovými zařízeními. Mohou například nastat scénáře, kdy jsou infikována zařízení IoT, která jsou součástí systému.chytrý dům“, typy malwaru jako např Ransomware a ransomware. Možné jsou i scénáře zachycovacího řízení bezpilotních vozidel, která přijímají příkazy a navigační informace prostřednictvím cloudu. Formálně je tato zranitelnost způsobena decentralizace sítí nové generace, ale další odstavec nastíní problém decentralizace jasněji.
Decentralizace a rozšíření hranic sítě
vícePeriferní zařízení, která plní roli jader lokální sítě, provádějí směrování uživatelského provozu, zpracovávají požadavky a také místní cachování a ukládání uživatelských dat. Hranice sítí 5. generace se tak rozšiřují kromě jádra i na periferii, včetně lokálních databází a rádiových rozhraní 5G-NR (5G New Radio). Vzniká tak možnost zaútočit na výpočetní zdroje lokálních zařízení, která jsou a priori méně chráněna než centrální uzly jádra sítě, s cílem způsobit odmítnutí služby. To může vést k odpojení přístupu k internetu pro celé oblasti, nesprávnému fungování IoT zařízení (například v systému chytré domácnosti) a také nedostupnosti pohotovostní služby IMS.
ETSI a 3GPP však nyní zveřejnily více než 10 standardů pokrývajících různé aspekty zabezpečení sítě 5G. Naprostá většina tam popsaných mechanismů je zaměřena na ochranu před zranitelnostmi (včetně těch popsaných výše). Jedním z hlavních je standard TS 23.501 verze 15.6.0, popisující bezpečnostní architekturu sítí 5. generace.
5G architektura
Nejprve se podívejme na klíčové principy architektury 5G sítě, které dále plně odhalí význam a oblasti odpovědnosti každého softwarového modulu a každé bezpečnostní funkce 5G.
Rozdělení uzlů sítě na prvky, které zajišťují chod protokolů vlastní letadlo (z anglického UP - User Plane) a prvky, které zajišťují chod protokolů řídicí rovina (z anglického CP - Control Plane), což zvyšuje flexibilitu z hlediska škálování a nasazení sítě, tedy je možné centralizované nebo decentralizované umístění jednotlivých komponentních síťových uzlů.
Podpora mechanismu krájení sítě, na základě služeb poskytovaných konkrétním skupinám koncových uživatelů.
Podpora současného přístupu k centralizovaným a lokálním službám, tedy implementace cloudových konceptů (z angl. fog computing) a border (z angl. okrajové výpočty) výpočty.
uskutečnění konvergentní architektura kombinující různé typy přístupových sítí - 3GPP 5G New Radio a non-3GPP (Wi-Fi atd.) - s jedním jádrem sítě.
Podpora jednotných algoritmů a autentizačních procedur bez ohledu na typ přístupové sítě.
Podpora pro bezstavové síťové funkce, ve kterých je vypočítaný prostředek oddělen od úložiště prostředků.
Podpora roamingu se směrováním provozu jak přes domácí síť (z anglického home-routed roaming), tak s lokálním „přistáním“ (z angl. local breakout) v síti pro hosty.
Autorizace přístupu na základě dat profilu (například omezení roamingu).
Správa registrace uživatelů, tedy ukládání obsluhujícího AMF.
Podpora bezproblémových servisních a komunikačních relací, tj. ukládání SMF přiřazeného k aktuální komunikační relaci.
Správa doručování SMS.
Několik různých UDM může sloužit stejnému uživateli v různých transakcích.
UDR (anglicky Unified Data Repository - úložiště sjednocených dat) - poskytuje úložiště různých uživatelských dat a je de facto databází všech účastníků sítě.
UDSF (anglicky Unstructured Data Storage Function - funkce ukládání nestrukturovaných dat) - zajišťuje, že moduly AMF ukládají aktuální kontexty registrovaných uživatelů. Obecně lze tyto informace prezentovat jako data neurčité struktury. Uživatelské kontexty lze využít k zajištění bezproblémových a nepřerušovaných účastnických relací, a to jak během plánovaného vyřazení jednoho z AMF ze služby, tak v případě nouze. V obou případech záložní AMF „vyzvedne“ službu pomocí kontextů uložených v USDF.
Kombinace UDR a UDSF na stejné fyzické platformě je typickou implementací těchto síťových funkcí.
PCF (anglicky: Policy Control Function - policy control function) - vytváří a přiřazuje uživatelům určité zásady služeb, včetně parametrů QoS a pravidel účtování. Například pro přenos jednoho nebo druhého typu provozu lze dynamicky vytvářet virtuální kanály s různými charakteristikami. Současně mohou být zohledněny požadavky služby požadované účastníkem, úroveň přetížení sítě, množství spotřebovaného provozu atd.
NEF (anglicky Network Exposure Function - funkce síťového vystavení) - poskytuje:
Organizace bezpečné interakce externích platforem a aplikací s jádrem sítě.
Spravujte parametry QoS a pravidla účtování pro konkrétní uživatele.
SEAF (anglicky: Security Anchor Function) - společně s AUSF poskytuje autentizaci uživatelů při registraci v síti s jakoukoli přístupovou technologií.
AUSF (anglicky Authentication Server Function - funkce autentizačního serveru) - hraje roli autentizačního serveru, který přijímá a zpracovává požadavky od SEAF a přesměrovává je na ARPF.
ARPF (anglicky: Authentication Credential Repository and Processing Function - funkce ukládání a zpracování autentizačních pověření) - zajišťuje ukládání osobních tajných klíčů (KI) a parametrů kryptografických algoritmů, jakož i generování autentizačních vektorů v souladu s 5G-AKA popř. EAP-AKA. Je umístěn v datovém centru domácího telekomunikačního operátora, chráněn před vnějšími fyzickými vlivy a je zpravidla integrován s UDM.
SCMF (anglicky Security Context Management Function - funkce správy bezpečnostní kontext) – Poskytuje správu životního cyklu pro kontext zabezpečení 5G.
SPCF (anglicky Security Policy Control Function - funkce řízení bezpečnostní politiky) - zajišťuje koordinaci a aplikaci bezpečnostních politik ve vztahu ke konkrétním uživatelům. To zohledňuje možnosti sítě, možnosti uživatelského zařízení a požadavky konkrétní služby (například úrovně ochrany poskytované kritickou komunikační službou a službou bezdrátového širokopásmového přístupu k internetu se mohou lišit). Aplikace bezpečnostních politik zahrnuje: výběr AUSF, výběr autentizačního algoritmu, výběr šifrování dat a algoritmů kontroly integrity, určení délky a životního cyklu klíčů.
SIDF (English Subscription Identifier De-concealing Function - funkce extrakce identifikátoru uživatele) - zajišťuje extrakci trvalého identifikátoru předplatitele (anglicky SUPI) ze skrytého identifikátoru (anglicky SUCI), přijaté jako součást žádosti o autentizační postup „Požadavek na informace o ověření“.
Základní bezpečnostní požadavky na komunikační sítě 5G
víceOvěření uživatele: Obsluhující síť 5G musí ověřit SUPI uživatele v procesu 5G AKA mezi uživatelem a sítí.
Poskytování síťové autentizace: Uživatel musí ověřit ID obslužné sítě 5G, přičemž ověření dosáhne úspěšným použitím klíčů získaných postupem 5G AKA.
Autorizace uživatele: Obslužná síť musí uživatele autorizovat pomocí uživatelského profilu obdrženého ze sítě domácího telekomunikačního operátora.
Autorizace obslužné sítě sítí domovského operátora: Uživateli musí být poskytnuto potvrzení, že je připojen k síti služeb, která je k poskytování služeb autorizována sítí domácího operátora. Autorizace je implicitní v tom smyslu, že je zajištěna úspěšným dokončením postupu 5G AKA.
Autorizace přístupové sítě sítí domácího operátora: Uživateli musí být poskytnuto potvrzení, že je připojen k přístupové síti, která je autorizována sítí domovského operátora k poskytování služeb. Autorizace je implicitní v tom smyslu, že je vynucována úspěšným vytvořením zabezpečení přístupové sítě. Tento typ autorizace musí být použit pro jakýkoli typ přístupové sítě.
Neověřené pohotovostní služby: Aby byly splněny regulační požadavky v některých regionech, musí sítě 5G poskytovat tísňovým službám neověřený přístup.
Jádro sítě a rádiová přístupová síť: Jádro sítě 5G a síť rádiového přístupu 5G musí podporovat použití 128bitového šifrování a algoritmů integrity, aby byla zajištěna bezpečnost AS и NAS. Síťová rozhraní musí podporovat 256bitové šifrovací klíče.
Základní bezpečnostní požadavky na uživatelské zařízení
více
Uživatelské zařízení musí podporovat šifrování, ochranu integrity a ochranu proti útokům opakovaného přehrávání uživatelských dat přenášených mezi ním a sítí s rádiovým přístupem.
Uživatelské zařízení musí aktivovat šifrování a mechanismy ochrany integrity dat podle pokynů sítě s rádiovým přístupem.
Uživatelské vybavení musí podporovat šifrování, ochranu integrity a ochranu před útoky opakovaného přehrávání pro signalizační provoz RRC a NAS.
Uživatelské vybavení musí podporovat následující kryptografické algoritmy: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
Uživatelské vybavení může podporovat následující kryptografické algoritmy: 128-NEA3, 128-NIA3.
Uživatelské zařízení musí podporovat následující kryptografické algoritmy: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2, pokud podporuje připojení k rádiové přístupové síti E-UTRA.
Ochrana důvěrnosti uživatelských dat přenášených mezi uživatelským zařízením a rádiovou přístupovou sítí je volitelná, ale musí být zajištěna vždy, když to povoluje předpis.
Ochrana soukromí pro signalizační provoz RRC a NAS je volitelná.
Trvalý klíč uživatele musí být chráněn a uložen v dobře zabezpečených součástech uživatelského zařízení.
Stálý identifikátor předplatitele by neměl být přenášen jako prostý text přes rádiovou přístupovou síť kromě informací nezbytných pro správné směrování (např. MCC и MNC).
Veřejný klíč sítě domácího operátora, identifikátor klíče, identifikátor bezpečnostního schématu a směrovací identifikátor musí být uloženy v USIM.
Každý šifrovací algoritmus je spojen s binárním číslem:
"0000": NEA0 - Nullový šifrovací algoritmus
"0001": 128-NEA1 - 128-bit SNÍH Algoritmus založený na 3G
Základní bezpečnostní požadavky pro funkce sítě 5G
více
AMF musí podporovat primární ověřování pomocí SUCI.
SEAF musí podporovat primární ověřování pomocí SUCI.
UDM a ARPF musí uchovávat trvalý klíč uživatele a zajistit, aby byl chráněn před krádeží.
AUSF poskytne SUPI místní obslužné síti pouze po úspěšné počáteční autentizaci pomocí SUCI.
NEF nesmí předávat skryté informace o základní síti mimo doménu zabezpečení operátora.
Základní bezpečnostní postupy
Důvěřovat doménám
V sítích 5. generace důvěra v síťové prvky klesá, jak se prvky vzdalují od jádra sítě. Tento koncept ovlivňuje rozhodnutí implementovaná v bezpečnostní architektuře 5G. Můžeme tedy mluvit o důvěryhodném modelu sítí 5G, který určuje chování mechanismů zabezpečení sítě.
Na straně uživatele je důvěryhodná doména tvořena UICC a USIM.
Na straně sítě má důvěryhodná doména složitější strukturu.
Rádiová přístupová síť je rozdělena na dvě složky − DU (z anglického Distributed Units - distribuované síťové jednotky) a CU (z anglického Central Units - centrální jednotky sítě). Společně tvoří gNB — rádiové rozhraní základnové stanice sítě 5G. Následní uživatelé nemají přímý přístup k uživatelským datům, protože je lze nasadit na nechráněné segmenty infrastruktury. CU musí být nasazeny v chráněných segmentech sítě, protože jsou zodpovědné za ukončení provozu z bezpečnostních mechanismů AS. V jádru sítě se nachází AMF, který ukončí provoz z bezpečnostních mechanismů NAS. Současná specifikace 3GPP 5G Phase 1 popisuje kombinaci AMF s bezpečnostní funkcí SEAF, obsahující kořenový klíč (také známý jako "kotevní klíč") navštívené (obsluhující) sítě. AUSF je zodpovědný za uložení klíče získaného po úspěšné autentizaci. Je nezbytné pro opětovné použití v případech, kdy je uživatel současně připojen k několika sítím rádiového přístupu. ARPF ukládá přihlašovací údaje uživatele a je analogem USIM pro předplatitele. UDR и UDM ukládat informace o uživateli, které se používají k určení logiky pro generování přihlašovacích údajů, ID uživatelů, zajištění kontinuity relace atd.
Hierarchie klíčů a jejich distribuční schémata
V sítích 5. generace, na rozdíl od sítí 4G-LTE, má autentizační procedura dvě složky: primární a sekundární autentizaci. Primární ověření je vyžadováno pro všechna uživatelská zařízení připojující se k síti. Sekundární autentizaci lze provést na vyžádání z externích sítí, pokud se k nim účastník připojí.
Po úspěšném dokončení primární autentizace a vytvoření sdíleného klíče K mezi uživatelem a sítí je KSEAF extrahován z klíče K - speciálního kotevního (kořenového) klíče obsluhující sítě. Následně jsou z tohoto klíče generovány klíče, aby byla zajištěna důvěrnost a integrita signálních provozních dat RRC a NAS.
Schéma s vysvětlivkami Zápis: CK Šifrovací klíč IK (anglicky: Integrity Key) – klíč používaný v mechanismech ochrany integrity dat. CK' (angl. Cipher Key) - další kryptografický klíč vytvořený z CK pro mechanismus EAP-AKA. IK' (English Integrity Key) – další klíč používaný v mechanismech ochrany integrity dat pro EAP-AKA. KAUSF - generované funkcí ARPF a uživatelským zařízením z CK и IK během 5G AKA a EAP-AKA. KSEAF - kotevní klíč získaný funkcí AUSF z klíče KAMFAUSF. KAMF — klíč získaný funkcí SEAF z klíče KSEAF. KNASint, KNASenc — klíče získané funkcí AMF z klíče KAMF k ochraně signalizačního provozu NAS. KRRCint, KRRCenc — klíče získané funkcí AMF z klíče KAMF k ochraně RRC signalizačního provozu. KUPint, KUPenc — klíče získané funkcí AMF z klíče KAMF k ochraně signalizačního provozu AS. NH — meziklíč získaný funkcí AMF z klíče KAMF pro zajištění bezpečnosti dat při předávání. KgNB — klíč získaný funkcí AMF z klíče KAMF k zajištění bezpečnosti pohyblivých mechanismů.
Schémata pro generování SUCI ze SUPI a naopak
Schémata pro získání SUPI a SUCI
Výroba SUCI od SUPI a SUPI od SUCI:
Ověřování
Primární autentizace
V sítích 5G jsou standardní primární ověřovací mechanismy EAP-AKA a 5G AKA. Rozdělme primární autentizační mechanismus do dvou fází: první je zodpovědná za zahájení autentizace a výběr autentizační metody, druhá je zodpovědná za vzájemnou autentizaci mezi uživatelem a sítí.
Zahájení
Uživatel odešle do SEAF žádost o registraci, která obsahuje skryté ID předplatného uživatele SUCI.
SEAF odešle do AUSF zprávu s požadavkem na ověření (Nausf_UEAuthentication_Authenticate Request) obsahující SNN (Serving Network Name) a SUPI nebo SUCI.
AUSF zkontroluje, zda má žadatel o ověření SEAF povoleno používat dané SNN. Pokud obsluhující síť není oprávněna používat toto SNN, AUSF odpoví chybovou zprávou o autorizaci „Poskytující síť není autorizována“ (Nausf_UEAuthentication_Authenticate Response).
Ověřovací údaje požaduje AUSF pro UDM, ARPF nebo SIDF prostřednictvím SUPI nebo SUCI a SNN.
Na základě SUPI nebo SUCI a informací o uživateli vybere UDM/ARPF metodu ověřování, která se má použít jako další, a vydá přihlašovací údaje uživatele.
Vzájemná autentizace
Při použití jakékoli autentizační metody musí síťové funkce UDM/ARPF generovat autentizační vektor (AV).
EAP-AKA: UDM/ARPF nejprve vygeneruje autentizační vektor s oddělujícím bitem AMF = 1, poté vygeneruje CK' и IK' z CK, IK a SNN a představuje nový AV autentizační vektor (RAND, AUTN, XRES*, CK', IK'), který je odeslán do AUSF s pokyny k použití pouze pro EAP-AKA.
5G AKA: UDM/ARPF získá klíč KAUSF z CK, IK a SNN, načež generuje 5G HE AV. Vektor pro ověřování domácího prostředí 5G). 5G HE AV autentizační vektor (RAND, AUTN, XRES, KAUSF) je odeslána do AUSF s pokyny k použití pouze pro 5G AKA.
Po tomto AUSF je získán kotevní klíč KSEAF z klíče KAUSF a odešle požadavek SEAF „Challenge“ ve zprávě „Nausf_UEAuthentication_Authenticate Response“, která také obsahuje RAND, AUTN a RES*. Dále jsou RAND a AUTN přenášeny do uživatelského zařízení pomocí zabezpečené signalizační zprávy NAS. USIM uživatele vypočítá RES* z přijatých RAND a AUTN a odešle je do SEAF. SEAF předá tuto hodnotu AUSF k ověření.
AUSF porovnává XRES* v něm uložené a RES* přijaté od uživatele. Pokud existuje shoda, AUSF a UDM v domovské síti operátora jsou informovány o úspěšné autentizaci a uživatel a SEAF nezávisle vygenerují klíč KAMF z KSEAF a SUPI pro další komunikaci.
Sekundární autentizace
Standard 5G podporuje volitelnou sekundární autentizaci založenou na EAP-AKA mezi uživatelským zařízením a externí datovou sítí. V tomto případě SMF hraje roli EAP autentizátora a spoléhá na práci AAA-externí síťový server, který ověřuje a autorizuje uživatele.
Probíhá povinná počáteční autentizace uživatele v domácí síti a s AMF je vyvinut společný bezpečnostní kontext NAS.
Uživatel odešle AMF požadavek na vytvoření relace.
AMF odešle požadavek na vytvoření relace do SMF s uvedením SUPI uživatele.
SMF ověřuje přihlašovací údaje uživatele v UDM pomocí poskytnutého SUPI.
SMF odešle odpověď na požadavek z AMF.
SMF zahájí proceduru ověřování EAP, aby získal oprávnění k vytvoření relace ze serveru AAA v externí síti. K tomu si SMF a uživatel vyměňují zprávy, aby zahájili proceduru.
Uživatel a externí síťový AAA server si pak vyměňují zprávy za účelem ověření a autorizace uživatele. V tomto případě uživatel posílá zprávy do SMF, který si vyměňuje zprávy s externí sítí přes UPF.
Závěr
Přestože je bezpečnostní architektura 5G založena na opětovném použití stávajících technologií, přináší zcela nové výzvy. Obrovské množství zařízení IoT, rozšířené hranice sítě a prvky decentralizované architektury jsou jen některé z klíčových principů standardu 5G, které dávají průchod fantazii kyberzločinců.
Základním standardem pro architekturu zabezpečení 5G je TS 23.501 verze 15.6.0 — obsahuje klíčové body fungování bezpečnostních mechanismů a postupů. Zejména popisuje roli každého VNF při zajišťování ochrany uživatelských dat a síťových uzlů, při generování šifrovacích klíčů a při implementaci autentizační procedury. Ani tato norma však neposkytuje odpovědi na naléhavé bezpečnostní problémy, se kterými se telekomunikační operátoři potýkají tím častěji, čím intenzivněji se vyvíjejí a uvádějí do provozu sítě nové generace.
V tomto ohledu bych rád věřil, že potíže s provozováním a ochranou sítí 5. generace se nijak nedotknou běžných uživatelů, kterým jsou slíbeny přenosové rychlosti a odezvy jako u syna maminčiny kamarádky a už teď touží vyzkoušet všechny deklarované schopnosti sítí nové generace.