Rambler's Top100
 
 
Статьи ИКС № 10 2006
Дмитрий КОСТРОВ  01 октября 2006

Модель угроз системы сигнализации SS7

Конкретика общих понятий

Угрозы готовности и целостности телекоммуникационной сети зависят от ее типа. Понятно, что угрозы, присущие учрежденческим, сотовым и мобильным сетям, и угрозы для сетей фиксированной телефонной связи общего пользования могут существенно различаться. Однако есть опасности, общие для всех сетей, включая системы SS7.

Наиболее критичные угрозы SS7 связаны:

с потерей целостности сигнальных данных и ресурсов;

с подменой («маскарадом») сигнальных сообщений или отдельных параметров и несанкционированным доступом;

с подслушиванием и раскрытием сенситивной или важной для сети и бизнеса информации.

Модель угроз, как известно, содержит описание каждой угрозы, определение (по возможности) ее типа и описание последствий в случае реализации, а также перечень подверженных ей типов информации. Для SS7 – это параметры сигнальных сообщений или эксплуатационные параметры, хранящиеся в базе данных пункта сигнализации, статистическая и учетная информация и др. Кроме того, данные сигнализации могут включать конфиденциальную адресную информацию, а в некоторых случаях и криптографические ключи.

Другое общее понятие – точка атаки, определяющая функциональный компонент, откуда может быть произведена атака (например, эталонная точка в функциональной архитектуре или физическая точка атаки). И, наконец, нарушитель – злоумышленник, реализующий угрозу во внутренней или внешней сети.

Потеря целостности и нарушение данных сигнализации

Целостность данных сигнализации означает, что никакая часть сигнальной единицы или данные, относящиеся к обработке сигнализации и хранящиеся в памяти узла коммутации, не были изменены непредусмотренным образом. В ряде случаев такие нарушения выявляются системой обработки и устраняются путем повторных передач.

Предмет угрозы. Подвержены ей главным образом данные, входящие в структуру сигнальных единиц и сигнальных сообщений протоколов сигнализации. Однако защиты отдельных сигнальных единиц и сообщений явно недостаточно – для управления соединением необходим лишь полный набор сигнальных операций.

Нарушить целостность может и дублирование или изменение порядка следования сигнальных сообщений, а также задержка любого подтверждения, ведущая к нарушению процесса управления коммутацией.

В системе SS7 изначально заложены некоторые механизмы защиты от ошибок, достаточные для обеспечения не очень высокого уровня безопасности. Но они не способны обнаружить намеренную модификацию параметров сигнальных сообщений, а тем более – предотвратить ее. Для предотвращения атак, связанных с несанкционированной модификацией сигнальных единиц, следует применять методы фильтрации, основанные на статистическом анализе сообщений каждой конкретной сети. Такие средства защиты, как управление доступом или обеспечение конфиденциальности, не принесут желаемого результата, поскольку эта угроза может исходить и от авторизованных партнеров.

Заметим, что реализация подобных угроз на сети SS7 довольно сложна и требует значительных вычислительных и экономических ресурсов, поскольку эта сеть по своей природе закрыта для доступа извне. Однако при появлении точек взаимодействия на сетях SS7 и IP вероятность таких угроз резко возрастает.

Последствия же реализации подобных угроз для оператора сети могут быть самыми неожиданными и зависят от характера модификации того или иного параметра. Риск от случайных угроз, как правило, невелик и связан с возможной повторной передачей сигнального сообщения и привлечением дополнительных ресурсов на обработку. Вероятность серьезного ущерба при этом крайне мала. Если цель такой угрозы – получить свободный доступ к услуге или сети, появляется риск потерять часть дохода (хотя и небольшую). Наиболее часто подвергаемые модификации сигнальные единицы – MSU (например, изменение данных ISUP или MAP) и FISU (обеспечение отсутствия положительного подтверждения на определенную сигнальную единицу MSU).

Наибольшую опасность представляет угроза, цель которой – нарушение функционирования всей сети SS7. В этом случае ущерб оператора может «исчисляться» не только в больших суммах, но и в утрате доверия к нему со стороны клиентов. Подобные угрозы реализуются путем модификации сигнальных сообщений, отвечающих за управление сетью SS7 на уровнях MTP или SCCP.

Точка атаки и нарушитель. Атаки с нарушением данных сигнализации возможны как со стороны взаимодействующих операторов и поставщиков контента, так и со стороны внутренних врагов. Теоретически такие угрозы способны осуществить все категории злоумышленников.

«Маскарад» и неавторизованный доступ

Для получения доступа к сети сигнализации или к какой-либо ее процедуре из другой сети-партнера последняя должна «идентифицировать» себя, а механизм сетевой защиты первой – произвести ее аутентификацию (проверку прав доступа). Идентификация и аутентификация выполняются на разных этапах процесса установления соединения или разъединения, при передаче сигнальных сообщений к различным узлам сигнализации в сети и др.

При отсутствии аутентификации или подмене идентификаторов злоумышленник может попытаться замаскироваться под авторизованного пользователя (атака типа «маскарад») и осуществить несанкционированный доступ (НСД) к сети. Правда, не всякий допущенный к ресурсам пользователь получает право неограниченного их использования. Авторизация четко определяет тип разрешенного к использованию ресурса и перечень допустимых операций.

Предмет угрозы. Поскольку сеть SS7 обеспечивает передачу сигнальных единиц и содержащихся в них сигнальных сообщений, то практически любое их искажение может в той или иной степени нарушить процесс предоставления услуг связи. Однако основную угрозу представляют изменения в сообщениях управления сетью сигнализации – MTP3 и SCCP. Хотя модификация сообщения управления соединением путем маскирования кода ОРС в этикетке маршрутизации тоже малоприятна: недобросовестный оператор получает возможность передавать свой трафик под видом чужого.

Еще одна серьезная опасность – неавторизованный доступ пользователей к данным, содержащим установочные эксплуатационные параметры системы SS7 в пунктах сигнализации, особенно если атака осуществляется через систему управления сетью. Подмена полей OPC, DPC и SLS в этикетке маршрутизации обычно имеет целью несанкционированное использование оборудования сети SS7 или получение несанкционированного доступа к сенситивной сигнальной информации. В первом случае это грозит оператору потерей доходов и возникновением перегрузок на сети SS7 вследствие «лишних» объемов сигнального трафика, во втором – может нарушить конфиденциальность либо целостность информации.

Атака на систему управления сетью способна изменить состояние звена (пучка звеньев) сигнализации между двумя смежными пунктами как на сети SS7 основного оператора, так и на участках взаимодействия с другими сетями. Для противодействия такой атаке в системе управления должны быть предусмотрены следующие процедуры: активация и деактивация звена (пучка звеньев) сигнализации; запрещение ввода звена сигнализации с целью сделать его недоступным (и поддерживать в этом состоянии) для сигнального трафика, генерируемого подсистемами пользователей (сохраняя при этом возможность передачи сообщений тестирования и техобслуживания). Несанкционированный доступ к этим процедурам чреват потерей некоторых сообщений, что может нанести немалый экономический ущерб.

Предотвратить угрозы этого типа помогут аутентификация и управление доступом (разграничение прав доступа), причем последнее должно начать «работать» сразу же после выполнения успешной аутентификации. Меры противодействия: установка системы мониторинга SS7 и системы FMS; разработка процедур отслеживания нелегитимного трафика и нештатных ситуаций; установка межсетевых экранов при подключении к внешним сетям (входящий и исходящий трафик); полисинг; организация пунктов сигнализации с функцией переприема SCCP (SPR), обеспечивающих трансляцию (пересчет) глобальных заголовков в подсистеме SCCP для исключения нелегитимного трафика.

Точка атаки и нарушитель. Точкой атаки может стать любой пограничный пункт сигнализации в сети входящего оператора или поставщика услуг (контента), а в роли злоумышленника выступить собственный персонал. Нечаянное или умышленное воздействие возможно на любом узле коммутации.

Раскрытие конфиденциальных данных

Конфиденциальность данных SS7 означает, что они не должны быть использованы (ни в процессе передачи, ни при хранении) никакими иными способами, кроме предусмотренных протоколами и операциями SS7. Однако в реальной жизни возможен НСД к передаваемым в сигнальных сообщениях или хранимым данным, причем обнаружить подобный инцидент чаще всего не удается.

Предмет угрозы: параметры сигнальных сообщений, содержащие информацию об абонентах или операторе. К конфиденциальным данным абонентов относятся, в частности, номер вызывающего абонента в сообщениях IAM и ACM подсистемы ISUP, данные о регистрации местоположения абонента или короткие сообщения в протоколе МАР. Аналогичные операторские данные – информация об управлении конфигурацией сети. Конфиденциальными можно считать и данные мониторинга сети сигнализации как содержащие информацию о структуре, качестве и особенностях работы сети.

Кроме информации, содержащейся в сигнальных сообщениях, к сенситивным данным относятся таблицы маршрутизации, хранимые в памяти узлов коммутации, коды взаимодействующих пунктов сигнализации и т.п.

Точка атаки и нарушитель. Эти угрозы могут исходить только от внутреннего злоумышленника, имеющего доступ к терминалам систем техобслуживания и мониторингу сети сигнализации. Но иногда перехват сигнальных сообщений осуществляется подключением к линейному оборудованию сети. Обычно подобные нарушения организуют конкуренты оператора с целью подрыва доверия к его деятельности либо кто-то заинтересованный в дискредитации влиятельного (известного) лица. Как правило, такой организатор не стеснен в средствах и может завербовать сотрудника, имеющего авторизацию на доступ к соответствующей информации.

Между тем даже случайно раскрытая информация может привести к нежелательным последствиям, особенно если она получит широкое распространение, да еще со ссылкой на источник утечки.

Использование альтернативных каналов для передачи управляющей информации

В случае передачи сигнальной информации SS7 по сети IP вероятность реализации описанных выше угроз резко возрастает.

Доступ к закрытой сети SS7, как правило, имеет только обслуживающий персонал оператора. Вероятность альтернативного доступа крайне мала, поскольку он трудно реализуем с технической точки зрения. Этот факт подтверждается и статистическими данными, согласно которым бо’льшая часть угроз для сети SS7 исходит от обслуживающего ее персонала.

Однако при появлении сигнальных маршрутов, использующих в качестве транспорта сеть IP, картина резко меняется: наряду с традиционными для сети SS7 угрозами возникают новые опасности, ранее характерные для таких сетей, как, например, Интернет (атаки хакеров, вирусы и т.д.). В результате процентное соотношение внутренних (со стороны обслуживающего персонала оператора) и внешних угроз начинает выравниваться, что приводит к изменению политики безопасности оператора в отношении сети SS7.

В традиционной закрытой сети SS7 политика безопасности оператора строилась в основном на предотвращении возможных внутренних угроз (случайных или умышленных). Ставка делалась на использование различных паролей, прав доступа, инструктаж обслуживающего персонала и т.д., а фактическая безопасность передаваемой и хранящейся информации SS7 не удостаивалась столь пристального внимания.

Однако с появлением точек взаимодействия сетей SS7 и открытых сетей на основе IP теоретически становится возможным проникновение пользователей сети IP в сеть SS7. Этот аспект безопасности еще нуждается в изучении, поскольку данных по нему пока нет. Многообразие применяемых в IP-сети протоколов и использование общих транспортных ресурсов делает этот вопрос намного сложнее, нежели безопасность SS7 в традиционных телефонных сетях.

При передаче сигнальной информации SS7 через сеть IP безопасность обеспечивается традиционными для IP-сети средствами, такими как использование технологий VPN, семейства протоколов IPsec, межсетевых экранов и т.д.

Наиболее чувствительные точки

Из всех каналов связи, по которым осуществляется обмен между оборудованием связи одного или разных операторов, сигнальные каналы наиболее чувствительны к нарушениям ИБ. Фактически последствия атак на каналы, передающие пользовательский трафик, не оказывают конкретного влияния на целостность и устойчивость функционирования всей сети. В то же время элементы сигнализации, и особенно SS7, являются главными точками доступа для нарушителя (вольного или невольного), способного негативно повлиять на работу сети или причинить оператору серьезный ущерб.

При определении угроз безопасности должен быть исследован как интерфейс между узлами, принадлежащими различным сетям сигнализации, так и интерфейс между узлами одной и той же сигнальной сети.

Сигнальный интерфейс между двумя узлами или оборудованием одной сети характеризуется тем, что доступ к нему весьма затруднен для нарушителя, не относящегося к персоналу данной сети. Для нападения извне требуется высокий уровень технической подготовки и зачастую специальное оборудование. Однако для сотрудников данной сети эта задача достаточно проста.

Основная точка доступа – терминал техобслуживания, позволяющий осуществлять все виды угроз. Другая точка в сети оператора – система мониторинга. Используется также доступ с подключением к физическим цепям передачи сигналов, хотя он требует специального оборудования, возможности скрытного его подключения и более высокой подготовки нарушителя.

Сигнальный интерфейс между узлами или оборудованием, принадлежащим сетям разных операторов, является одновременно и интерфейсом между двумя различными сетями. Этот интерфейс очень важен для сети сигнализации транзитной сети крупного оператора, поскольку последняя имеет большое количество взаимодействующих оконечных сетей. Каждый взаимодействующий оператор связи имеет свою бизнес-политику и политику безопасности. Именно через этот интерфейс может быть произведена атака из сети другого оператора или от оборудования поставщика контента (с открытого доступа). В ближайшем будущем число таких интерфейсов, по-видимому, будет расти. Вместе с тем анализ возможных угроз со стороны многочисленных партнеров по предоставлению услуг связи – весьма сложная и затратная задача.

Отсюда следует, что основное внимание необходимо уделить контролю сигнальной информации на пограничных узлах коммутации и в точках доступа поставщиков контента, особенно если последние взаимодействуют с транзитной сетью по открытым IP-протоколам. В собственной сети должно быть обеспечено строгое управление правами доступа с ведением журнала (истории) доступа, а также активный контроль лояльности персонала.

Общие угрозы для сетей
  • Неавторизованное использование, неправильное применение информации, ресурсов, доступ к ресурсам без разрешения: – модификация данных или потеря их целостности, в том числе удаление или изменение информации; – добавление неверной информации.
  • Задержка передаваемой информации и ответов на запросы.
  • Изменение направления передачи информации.
  • Отказ в обслуживании.

Способы реализации угроз
  • искусственное создание перегрузки сетевых элементов или систем;
  • модификация данных в пользовательской части базы данных станции;
  • нелегальный анализ трафика (тип, объем, время, источник и назначение) для раскрытия информации;
  • конфликты взаимодействия.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!