Развитие телекоммуникационных сетей

Что же дает NextGenerationNetwork операторам?

Во-первых, сокращается  себестоимость введения в эксплуатацию новых сетей. Вместо создания нескольких «профильных» коммуникационных сетей  оператор сможет организовать и обслуживать  единую сеть передачи данных, что означает сокращение затрат как на этапе начальных  инвестиций и проектирования, так  и в процессе обслуживания. NGN обеспечивает высокую скорость выхода на рынок  с максимально широким набором  коммуникационных услуг и с высочайшим уровнем оперативности реагирования на запросы клиентов. Клиенты, в свою очередь, получают модульное аппаратное решение, посредством которого легко  активировать и получать необходимую  инфокоммуникационную услугу.

 

. Элементы сетей  NGN

В структуре сетей NGN присутствует несколько элементов, представляющих собой отдельные устройства или  произвольные комбинации в интегрированном  устройстве. Наиболее важными элементами сети NGN являются:

• Медиа-шлюз (MG) терминирует голосовые вызовы из телефонной сети, сжимает и пакетирует голос, передает сжатые голосовые пакеты в сеть IP, а также проводит обратную операцию для голосовых вызовов из сети IP. В случае вызовов ISDN/POTS передает данные сигнализации контроллеру медиа-шлюза или же преобразования сигнализации в сообщения Н.323 производится в самом шлюзе.
• Наряду с вышеописанным медиа-шлюз может также включать функциональность для удаленнного доступа, маршрутизации, виртуальных частных сетей, фильтрования трафика TCP/IP и т.п.
• Шлюз сигнализации (SG) служит для преобразования сигнализации и обеспечивает ее прозрачную передачу между коммутируемой и пакетной сетью. Он терминирует сигнализацию и передает сообщения через сеть IP контроллеру медиа-шлюза или другим шлюзам сигнализации.
• Контроллер медиа-шлюза (MGC) выполняет регистрацию и управляет пропускной способностью медиа-шлюза. Через медиа-шлюз обменивается сообщениями с телефонными станциями.
• На нижеприведенной схеме приводится пример сети NGN, включающей в себя все вышеописанные элементы.

Рисунок 1-1: Пример сети следующего поколения

Наряду с вышеописанными элементами сети NGN также могут включать в себя:

• Сетевые устройства Н.323, служащие для поддержки и использования узкополосных аудио/ видео телефонных услуг в комбинированных коммутируемых и пакетных сетях по стандарту Н.323. К сетевым устройствам Н.323 относятся:

• Терминалы, представляющие собой конечные точки сети. Наиболее часто теминалами

• Н.323 являются персональные компьютеры с соответствующим программным
• обеспечением и телефоны IP, поддерживающие стандарт Н.323.
• Шлюзы Н.323 - это устройства, обеспечивающие функциональность преобразования
• между конечными точками Н.323 на стороне пакетной и коммутируемой сетях. Включают
• преобразование форматов передачи, процедур коммуникации, аудио/видео кодеков и
• осуществляют установление и разъединение соединения.
• Привратник Н.323 - это устройство, обеспечивающее преобразование адресов (IP,
• телефонных номеров), используемых в пакетных и коммутируемых сетях. Наряду с этим он
• позволяет управлять полосой пропускания, например, ограничивать проведение сеансов в
• случае занятости сети. Привратник может быть интегрирован в одном устройстве, в таком
• как, например, терминал, шлюз или многопротокольный контроллер.
• Блок многоточечного управления (MCU) - это устройства, обеспечивающие поддержку
• многоточечной коммуникации (конференции) трех или более конечных точек Н.323. Блоки MCU отвечают за управление коммуникацией и адаптацию потоков.

Для терминалов, шлюзов и  блоков многоточечного управления, управляемых  посредством общего привратника, принято  общее название "зона Н.323" (Н.323 Zone)

На нижеприведенном рисунке  представлена архитектура сети Н.323.

Рисунок 1-2: Элементы сети Н.323

• Сервер RADIUS обеспечивает аутентификацию пользователей и регистрацию данных о сеансах передачи голоса и данных, протекающих в рамках услуги. Обычно данные сохраняются в центральной базе на сервере RADIUS. Более подробное описание протокола RADIUS приведено в книге "Описание системы", раздел "RADIUS".

 

Мультисервисная, мультипротокольная, мультивендорная...

Термин NGN - Next Generation Network (сеть следующего поколения) появился лет пять назад. Основные особенности NGN:

• сервисные функции отделены от транспортных (как в интеллектуальных сетях, концепции которых уже более 30 лет);
• поддержка одновременной передачи голоса, видео, данных; универсальный характер обслуживания разных приложений;
• переход от принципа соединения "точка - точка" к принципу "каждый с каждым";
• коммутация пакетов, использование IP;
• обеспечение заказанного пользователем объема и качества услуг (QoS).

Как видно из этого  перечисления, большая часть особенностей NGN сходны с характеристиками современного Интернета. Однако NGN должна поддерживать гораздо большее количество протоколов производителей различного оборудования - как "старого", так и перспективного.

Одним из подводных  камней на пути корабля NGN является повышенный риск, связанный с переводом всей телекоммуникационной индустрии на такой достаточно уязвимый протокол, как IP. Причем значительные риски могут  быть не только у операторов связи, но и у других пользователей NGN - провайдеров  контента, провайдеров прикладных сервисов, провайдеров сети и провайдеров  систем электронных платежей. Поэтому  вопросам безопасности NGN уделяется  самое пристальное внимание.

Рабочая группа по безопасности NGN

В 2004 г. под эгидой МСЭ была создана NGN Focus Group. Основная ее задача - изучение потребностей телекоммуникационной индустрии для реализации в NGN. В  составе FGNGN было создано 7 рабочих групп, которые учитывают поступающие  предложения и выполняют стандартизацию по различным аспектам NGN. В состав этих групп вошли представители  компаний из различных стран мира. Вопросами безопасности NGN занимается компания Security Capability Group (WG5), которую  возглавляет представитель Lucent Technologies [1].

В настоящее время этой группой разрабатываются документы "Guidelines for NGN Security" и "NGN Security Requirements for Release 1". В "Guidelines" будет рассмотрена  модель угроз для сетей NGN (основанная на рекомендациях Х.800 и Х.805), будут  приведены риски различных пользователей NGN, даны рекомендации по размещению механизмов и сервисов безопасности на различных  уровнях эталонной модели взаимодействия открытых систем. Для достижения конфиденциальности, целостности, доступности информации, неотказуемости авторства и обеспечения  приватности в NGN предполагается рассмотреть  аспекты безопасности:

• доступа (аутентификация, авторизация, регистрация действий пользователей);
• мобильных абонентов;
• на уровне соединения;
• домашних сетей;
• передачи информации "из конца в конец";
• устойчивости к атакам NGN.Компонентами безопасности NGN являются подсистемы безопасности:
• IP-CAN;
• сетевых доменов;
• доступа к IP Multimedia Subsystem (на основе использования универсальных смарт-карт UICC);
• приложений;
• открытых интерфейсов.

Требования, приведенные  в "NGN Security Requirements...", основаны на рекомендациях  Х.805. Next Generation Network рассматривается  не как монолит, но как структура, состоящая из нескольких слоев (уровней). Например, можно выделить следующие  уровни: приложений и сервисов (абонентский), инфраструктуры (коммутации каналов  и/или пакетов), программного управления коммутацией и эксплуатационного  управления сетью. Взаимодействие элементов, принадлежащих к одному уровню, поддерживают стандартные протоколы, а взаимодействие элементов, принадлежащих к разным уровням, - открытые интерфейсы.

В Х.805 приведено 8 "измерений" безопасности: контроль доступа, аутентификация, неотказуемость авторства, конфиденциальность, целостность и доступность данных, безопасность связи, обеспечение приватности. Наибольший ущерб (как операторам связи, так и потребителям) может быть нанесен от такого вида угроз, как  мошенничество.

Фрод, или мошенничество

Мошенники наносят операторам связи существенные убытки - по некоторым  оценкам, до 10% годового дохода, или  более $13 млрд в год. Значительный ущерб  наносит фрод и законопослушным  потребителям - одной из целей мошенников является добыча конфиденциальной информации и продажа ее на сторону, в том  числе и криминальным структурам.

В NGN нарушители получают новые  возможности для мошенничества  по сравнению с обычными телефонными  сетями. В табл. 1 приведены некоторые  типы фрода, которые используют мошенники  для различных сетей [2]. Основной особенностью сетей NGN с точки зрения безопасности по сравнению с "традиционными" сетями, как уже упоминалось, является использование IP-протоколов и разнородных  сред доступа.

Проблемы безопасности IP и разнородного доступа В NGN

Так как все шлюзы NGN будут  подсоединены к Интернету, то для  этих сетей будут актуальными  все угрозы, имеющиеся в других IP-сетях. Например, мошенник может выполнить  атаку подмены IP-адреса.

В традиционных телекоммуникационных сетях используются, как правило, про приетарные алгоритмы и протоколы. Это затрудняет нарушителю достижение его целей, требуя наличия определенной инсайдерской информации. В отличие  от этой ситуации протоколы IP-сетей  хорошо известны и документированы.

Телефонная сеть общего пользования  имеет централизованную архитектуру, "интеллект" сети сосредоточен в  АТС, а телефоны не обладают большой  функциональностью. В противоположность  этому IP-сети децентрализованы по своей  природе, абонентскими терминалами  являются, по сути, компьютеры, используя  которые мошенники могут создавать  многочисленные угрозы.

Пользовательские терминалы  находятся в том же пространстве IP-адресов, что и элементы NGN - это  тоже добавочная опасность для фрода. Нарушители могут одновременно использовать для организации фрода несколько  различных способов доступа: медный кабель, оптоволокно, радиоканал. Для  обнаружения мошенничества необходим  постоянный обмен информацией между  всеми элементами NGN, что достаточно проблематично, так как используемые вендорами оборудования стандарты  несовместимы. Но даже если и настанет единоообразие в этом вопросе, все  равно такой обмен вызовет  задержки в обработке данных, что  затруднит выявление фрода в NGN.

Новые типы фрода  в NGN

Биллинговые модели сетей NGN будут отличаться от ныне принятых и в них будут учитываться  не только объем трафика или время  соединения, но и тип трафика, выбранное  качество обслуживания и т.п. Соответственно можно ожидать появления новых  типов мошенничества.

Считается, что  развитие NGN даст толчок распространению  мобильной торговли (m-commerce). Поэтому  и внимание мошенников будет обращено в основном в этом направлении: стоимость  контента будет существенно превышать  стоимость самих соединений. Так  что фродеры перейдут от махинаций  с незаконными звонками ТфОП/GSM к  махинациям с контентом. К таким  типам фрода можно отнести:

• потребление неоплаченного трафика;
• незаконную перепродажу сервисов;
• завышение платы за услуги;
• неавторизованный доступ к ресурсам.

Далее наряду с конвергенцией сервисов и служб  в NGN ожидается и конвергенция мошенников: хакеры, фрикеры, финансовые мошенники  объединятся. Это потребует и  соответствующего объединения противостоящих мошенникам служб безопасности. В  силу относительной легкости махинаций  с IP-адресами самым распространенным будет мошенничество с подменой личности.

Работа  продолжается

МСЭ продолжает свою деятельность по выработке рекомендаций и требований по безопасности сетей NGN. Важнейшими нерешенными пока проблемами являются такие, как:

• распределение ключей как для конечных пользователей, так и для элементов сети;
• аутентификация и авторизация для DSL-доступа и для различного QoS;
• стандартизация прохождения трафика VoIP через межсетевые экраны;
• надежная идентификация и контроль над субъектами информационного обмена;
• предотвращение спама (в том числе в голосовых сообщениях);
• конвергенция безопасности связи с IT-безопасностью.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1+2, 2006 
Посещений: 8772

 

Задачи модернизации сетей телефонии и расширения набора предоставляемых услуг неразрывно связаны с переходом к универсальным  распределенным сетям и использованием оборудования нового поколения – IP NGN-коммутаторов. Именно IP NGN-коммутаторы  позволяют предоставить на имеющейся  кабельной инфраструктуре практически  любой набор услуг фиксированной  связи, от телефонии до интерактивного телевидения и ТВЧ, и обеспечить стопроцентный охват абонентов. IP NGN-коммутаторы сочетают функции  телефонии и универсального широкополосного  доступа в форме, наиболее удобной  для оператора, и позволяют перевести  операторскую сеть на общую пакетную основу, не затрагивая абонентское  оборудование. IP NGN-коммутаторы объединяют в одном шасси линейные модули пакетной телефонии и DSL-модули. Гибкие возможности конфигурации и неблокируемая  архитектура модульных IP NGN-коммутаторов позволяют устанавливать линейные модули, поддерживающие другие перспективные  технологии доступа. Распределенная топология  сети позволяет повысить охват абонентов  современными услугами связи и довести  скорость доступа по действующим  телефонным линиям до 100 и более Мбит/с. Один гибкий программный коммутатор может обслуживать целую сеть из IP NGN-коммутаторов, обеспечивающих неблокируемую  телефонную связь бизнес-качества.