Rambler's Top100
 
Статьи ИКС № 7 2006
Дмитрий КОСТРОВ  01 июля 2006

Защита сети SS7 Осознаём необходимость

Постановка задачи Для противодействия угрозам и повышения безопасности SS7 необходимо оценить риски со стороны процессов, происходящих в системе сигнализации. Угрозы для SS7 ведут к нарушению целостности, устойчивости и эффективности функционирования сети связи в целом и к соответствующим рискам для оператора связи.

Постановка задачи


Для противодействия угрозам и повышения безопасности SS7 необходимо оценить риски со стороны процессов, происходящих в системе сигнализации. Угрозы для SS7 ведут к нарушению целостности, устойчивости и эффективности функционирования сети связи в целом и к соответствующим рискам для оператора связи. Здесь должен учитываться ряд факторов: ценность ресурсов, подверженных рискам, значимость угроз, наличие уязвимостей, характеристики возможных нарушений, эффективность применяемых средств защиты и т.п.

Оценка рисков – элемент процедуры их анализа. Различные риски сопоставляются, чтобы сделать вывод об их допустимом уровне, определить первоочередные меры по повышению защищенности и выбрать средства, обеспечивающие оптимальный режим ИБ. Анализ рисков, таким образом, дает необходимую информацию для системы управления рисками, в которой определяются контрмеры в соответствии со степенью опасности рисков.

К сожалению, пока не существует ни общих методик учета факторов безопасности SS7, ни методик определения конкретных значений этих факторов. Конечно, можно учесть эти факторы и разработать методику анализа рисков на основе экспертных оценок по уровневым значениям. Однако решение комплекса вопросов, связанных с анализом рисков, проблематично в любой информационной системе из-за недостаточного развития методики оценки угроз и ущербов и отсутствия достоверных данных для такой оценки.

Решение этой задачи для системы сигнализации связано с еще бо’льшим кругом неопределенностей, так как SS7, с одной стороны, представляет собой автоматическую систему обработки информации, а с другой – сетевую технологию передачи данных, образующую собственную инфраструктуру – сети каналов SS7, охватывающие множество сетей электросвязи, принадлежащих разным операторам. Но может статься, что базового анализа окажется недостаточно для обеспечения необходимого уровня безопасности и тогда неизбежен детальный анализ рисков конкретной сети.

Сегодня при выработке предложений по противодействию угрозам SS7, как правило, в первую очередь решается задача обеспечения максимальной безопасности штатными средствами сети связи, а дополнительные средства
привлекаются лишь при необходимости.

Черты характера

Особенности информационной безопасности SS7 определяются особенностями безопасности традиционных (телефонных) сетей связи.

Есть и специфические особенности обеспечения ИБ системы SS7, определяемые ее функциональными, структурными и организационными характеристиками. Среди них – методология определения уязвимостей в сообщениях протоколов сигнализации и установление их взаимосвязи с потенциальными угрозами, выявление точек доступа для проведения атак в соответствии с реальными интерфейсами сети и прогноз последствий нарушений.

Первая требует детального знания протоколов и управляемых ими процессов установления соединений и оказания услуг. Следует проанализировать все условия работы и объекты безопасности SS7, чтобы определить, какой именно тип действий представляет угрозу для сети SS7 и при каких операциях эта угроза может возникнуть.

Из совокупности протоколов, которыми оперирует сеть SS7, особое внимание следует обратить на МТР-3 и SCCP, поскольку они содержат информацию, относящуюся к топологии сигнальной сети и маршрутизации сообщений. Другие протоколы не содержат информации, представляющей серьезную угрозу для сети сигнализации, но работают с той, что отвечает за сервисы и может полностью или частично нарушить их предоставление.

Вторая процедура предполагает знание особенностей межсетевых интерфейсов наряду с анализом операторских взаимоотношений. У каждого интерфейса, помимо особенностей технической реализации, есть и собственная политика взаимоотношений с оператором. Третья составляющая требует глубокого знания бизнес-аналитики, вскрывающей многоступенчатую зависимость последствий нарушений сигнальной информации.

Угрозы и принципы организации защиты

На уровень безопасности сети связи в целом влияют пять характеристик системы SS7.

Первая – связность сети (одна из составных частей ее устойчивости) – определяет возможность организации прямых и обходных маршрутов. Вторая – доступность, т.е. мера потерь сигнальных сообщений из-за занятости звеньев сигнализации. Третья – время обмена сигнальными сообщениями, которое определяется числом промежуточных пунктов сигнализации и задержками в обработке на каждом из них. Четвертая – количество и тип взаимодействующих сетей как с точки зрения применяемых на них технологий, так и с точки зрения бизнес политики их операторов. Наконец, пятая – вид протоколов сигнализации, используемых на сети.

Типовая сеть оператора международной и междугородной связи имеет трехуровневую иерархическую структуру. Верхний уровень образуют международные центры коммутации, связанные друг с другом цифровыми каналами по принципу «каждый с каждым», средний – транзитные центры, а нижний уровень формируется локальными центрами коммутации. Обычно используются три или четыре «подмножества» коммутационных станций: Ericsson AB, Siemens AG, Alcatel и др.

Для организации связи между различными узлами на всех участках служит система SS7, построенная на базе пунктов сигнализации SP/STP. Для предоставления международного роуминга на центрах коммутации организуются пункты SPR, обеспечивающие трансляцию глобальных заголовков в подсистеме SCCP на границе взаимодействующих сетей. На локальных центрах коммутации также могут быть реализованы функции SPR.

Транзитные центры коммутации обычно имеют несколько подсистем SS7: MTP, SCCP, ISUP-R, TCAP, MUP, MAP. При этом MUP и MAP используются только для обеспечения процедур оптимальной маршрутизации для сетей NMT-450 и GSM соответственно. На локальных центрах устанавливаются подсистемы MTP, SCCP, ISUP-R. Последняя лишь в том случае, если SS7 будет обеспечивать доступ к услугам интеллектуальной сети.

В целях учета сигнального трафика и обеспечения функций безопасности системы SS7 все станции сети оператора обычно (но необязательно) имеют функции мониторинга и полисинга* сигнальных сообщений.

Причем станции некоторых производителей позволяют осуществлять полисинг на уровне не только подсистемы MTP (поля OPC, DPC, SI), но и SCCP (поле GT) – это принципиальный момент, если учесть специфику в передаче сигнального трафика управления роумингом и трафика SMS/MMS.

Для контроля за проводимыми на узлах коммутации операциями оборудование узлов имеет встроенные функции записи действий при технической эксплуатации в специальные файлы – так называемые функции журналирования.

Необходимо отметить, что по информации, предоставленной автору разными операторами, в их сетях недостаточно полно используются заложенные в оборудовании возможности разграничения прав доступа сотрудников к системе техобслуживания. По этой причине сегодня наиболее актуально для обеспечения безопасности функционирования сети SS7 ввести разграничение прав доступа для обслуживающего персонала в соответствии с конкретными обязанностями каждого сотрудника.

Нормативная база

Политику государства в области ИБ определяет Федеральная служба по техническому и экспортному контролю (ФСТЭК) России, выпускающая руководящие документы (РД) в области ИБ и занимающаяся стандартами безопасности. В методическом плане для нас интересны РД, выпущенные после 2001 г. и касающиеся разработки профилей защиты и заданий по безопасности.

Самый полный оценочный стандарт – ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» (называемый также «Общие критерии») – определяет инструменты оценки безопасности ИС и порядок их использования. «Общие критерии» можно считать набором библиотек, помогающих писать задания по безопасности, типовые профили защиты и т.п. Но, к сожалению, в нем отсутствуют архитектурные требования. А без интерфейсных аспектов системы выглядят нерасширяемыми и изолированными.

Кроме того, для оценки такой узкоспециализированной системы, как SS7, ГОСТ Р ИСО/МЭК 15408 не применим: объем работ велик, а нужный результат достигается не всегда. Ведь оценка необходима для сравнения и выбора лучшего варианта, а рекомендаций по повышению безопасности в рамках конкретной оцениваемой системы она не дает. В то же время у специалистов, работающих с SS7, есть четкие представления о вероятных угрозах и, соответственно, могут быть предложены новые инженерные методы противодействия им.

МСЭ-Т были разработаны рекомендации серии X.800 – «Сети данных и взаимосвязь открытых систем. Безопасность». Открывает серию рекомендация Х.800, определяющая архитектуру безопасности. В ней описаны специфические сетевые функции (сервисы) безопасности и необходимые для их реализации защитные механизмы, а также роли и позиции этих механизмов и сервисов в рамках эталонной модели. Рекомендации Х.800 в своем концептуальном и методическом значении, безусловно, должны быть приняты во внимание при любом исследовании сетевой безопасности, хотя с прикладной точки зрения они больше применимы к предоставлению услуг безопасности пользователям сети.

Способы защиты

Система SS7 обеспечивает эффективное функционирование, целостность сети связи и доступность предоставляемых на ней услуг, а потому ее защита – неотъемлемая функция системы ИБ этой сети.

Систем ИБ, защищающих от информационных атак как ресурсы операторских сетей, так и SS7, сегодня не очень много. Однако реализация защиты в них сводится в основном к включению в оборудование узлов коммутации новых функций: мониторинга, скрининга и полисинга сигнального трафика, выполняемых с помощью встроенных программных средств.

Мониторинг в простейшем случае заключается в контроле уровня сигнального трафика по звеньям сигнализации или в обнаружении определенных сообщений, задержек и т.п. с выдачей сигнальных сообщений обслуживающему персоналу.

Скрининг (экранирование) ограничен контролем входящих сообщений с целью проверки их допустимости на наблюдаемом звене сигнализации и, при необходимости, задержки непредусмотренных сообщений.

Полисинг представлен контролем допустимости действий, инициированных со стороны внешних сетей и способных оказать влияние на работу защищаемой сети.

Реализованные в коммутационном оборудовании функции мониторинга, скрининга и полисинга практически не поддаются развитию. В силу этого (а также во избежание перегрузки управляющих устройств) некоторые операторы устанавливают внешнее специальное оборудование для контроля сигнального трафика.

Мониторинг звеньев сигнализации используется в настоящее время на сетях связи главным образом для анализа нагрузки и контроля исправности оборудования. Однако с его помощью (при определенной доработке ПО) можно обнаруживать несанкционированные искажения передаваемых сигнальных сообщений и посылку ложных.

Известны случаи применения в сетях связи зарубежных операторов сетевых экранов, которые не только выявляют и регистрируют подозрительные сигнальные сообщения SS7, но и задерживают их, предотвращая дальнейшее распространение и возможное нарушение работы сети. Такие сетевые экраны разрабатываются в виде дополнительного программного продукта или внешней программно-аппаратной платформы.

Использование сетевых экранов для SS7 приводит к задержкам в получении ответных сообщений. Для минимизации этих задержек необходимо максимально сократить время анализа сигнальных сообщений в сетевом экране и ограничить количество экранов в тракте «из конца в конец».

На данный момент известно только одно достаточно серьезное исследование безопасности SS7, проведенное группой специалистов EURESCOM – Европейского института стратегических исследований по телекоммуникациям. На первом этапе собиралась информация по сетевым угрозам, используемым протоколам, сетевой архитектуре, применяемым процедурам контроля перегрузки, маршрутизации и предоставляемым услугам. Собранные данные определили три направления дальнейших исследований: контроль доступа, контроль перегрузок и автоматическое восстановление звеньев сигнализации.

На втором этапе проводилось изучение этих тем. На основе анализа используемых протоколов разработаны тесты для проверки целостности и устойчивости сети. К сожалению, результаты исследования «труднодоступны» российским специалистам из-за его высокой цены.

Уязвимости

В системе SS7 можно выделить три группы уязвимостей:

уязвимости стека протоколов SS7;

уязвимости системы обработки сигнальной информации;

организационно-технологические уязвимости службы технической эксплуатации.

Уязвимости протоколов обусловлены их слабой кодовой (криптографической) и структурной защищенностью, что может нарушать целостность сигнальных единиц или сигнальных сообщений без возможности обнаружения штатными средствами протоколов.

Уязвимости системы обработки сигнальных единиц и сигнальных сообщений всех уровней определяются технологическими особенностями обработки информации в пунктах сигнализации. Каждый параметр протокола несет специфическую информацию об управлении соединением или сетью сигнализации, которая в случае нарушения может привести к нежелательному результату, если система обработки не проверяет эти параметры на допустимость полученных значений и их логическую совместимость между собой.

Один из видов уязвимостей системы обработки обусловлен слабой защищенностью протокольной информации. Так, при нарушении любого единственного бита в сигнальной единице произойдет ошибка приема и начнет действовать механизм исправления ошибок.

При технической эксплуатации персоналу разрешено устанавливать различные режимы выполнения функций, связанных с обработкой пунктами сигнализации сигнальных сообщений разных уровней, и выполнять конфигурирование и переконфигурирование сети сигнализации. Это тоже уязвимость, которая состоит в возможности случайного или намеренного изменения установочных параметров нарушителем из числа персонала, в результате чего может быть изменена маршрутизация, нарушены права доступа, изменены системные таймеры, параметры тарификации и анализа.

***

К сожалению, постоянно растущие угрозы информационной безопасности со стороны системы сигнализации пока не осознаны операторами связи. Опыт защиты информации систем SS7 крайне незначителен и не позволяет дать практические рекомендации (кроме пассивного контроля доступа) для создания действенной политики ИБ. Общие рекомендации и РД в большинстве случаев использовать сложно из-за специфики системы SS7 как объекта безопасности.

Но выход есть. Прежде всего необходимо разработать и создать базовый уровень безопасности системы SS7. На этом уровне путем объективных измерений и на основе их статистического анализа должны быть получены достоверные сведения о реальных угрозах. Только на основании этих данных можно сделать вывод о достаточности или недостаточности средств базового уровня и принимать решения об усилении защиты.

А необходимость разработки методик обеспечения ИБ сети операторов, использующих SS7, которые должны учитывать подсистемы и протоколы, применяемые «во всех случаях жизни», назрела давно.



*Полисинг – фильтрация по определенной политике, например «не пускать с такого-то адреса».



Угрозы для SS7 ведут к нарушению целостности, устойчивости и эффективности функционирования сети связи в целом и рискам для оператора связи

Рекомендации

Для SS7 необходимо прежде всего реализовать в полной мере средства ИБ базового уровня.

Первейшая задача – организационные мероприятия. Затем нужно провести анализ имевших место нарушений режима ИБ и выявить угрозы со стороны взаимодействующих операторов и поставщиков контента. Необходимо построить полноценные средства управления правами доступа собственного персонала к информационным ресурсам пунктов сигнализации и контроля за доступом. Наконец, следует организовать мониторинг и полисинг трафика SS7.


Особенности сети SS7
  1. Передаваемая информация является внутренней (технологической). Ее ценность – в значении для технологического процесса взаимодействия сетевых объектов при оказании услуг связи (основных или дополнительных) и влиянии через него на бизнес оператора.
  2. Применение известных механизмов защиты в силу особенностей процесса и использования стандартизованных протоколов ограничено.
  3. Система имеет ограничения по доступности для организации атак извне, но ущерб от успешного проведения таких атак весьма значителен.
  4. Система ориентирована на массовый обмен информацией, что затрудняет или делает невозможным обнаружение распределенных атак при целенаправленном использовании нарушителем синергического эффекта.
  5. Законодательная и нормативная база (в части ИБ) заметно отстает от быстро меняющихся условий – технологической и бизнес-практики сетей связи.


Есть понимание – нет определения

Анализ отечественной и зарубежной нормативной документации показывает:
  • существующие правовые нормы напрямую не относят информацию технологических систем (в том числе и систем сигнализации сетей связи) к категории информации, защищенной законом;
  • любая информационная инфраструктура защищается законом: ущерб, нанесенный сети связи в результате любых действий, включая и непредусмотренное воздействие на систему сигнализации, наказуем;
  • действующая нормативная база дает методические основы для проведения работ, связанных с ИБ системы сигнализации, но эти методики напрямую не адресуются к системам сигнализации и не всегда согласуются между собой, что требует серьезного дополнительного анализа;
  • существует богатый нормативный материал международных организаций в области связи, но в нем отсутствуют нормы для ИБ сети связи операторского класса с целью обеспечения целостности, устойчивости и доступности последней (хотя в ряде документов соответствующие разделы предусмотрены, но оставлены пустыми);
  • вопросы безопасности сети SS7 напрямую не затрагиваются и не упоминаются ни в одном из нормативных или руководящих документов
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!