Развитие телекоммуникационных сетей

 

 
Аббревиатура NGN расшифровывается, как «Next Generation Network», что в переводе с английского  означает «сети нового поколения».  Мы предлагаем Вам ощутить всю полноту этой интеллектуальной и многозадачной системы телефонной связи. Используя новые технологии построения сети и передовое оборудование, мы делаем связь простой и умной, доступной и элитной. Гибкость - отличительная черта нашей телефонии. И рядовой сотрудник, и топ-менеджер корпорации найдут в ней удовлетворение своих потребностей.

Данный  тип телефонии активно развивается  по всему миру, вытесняя устаревшие технологии. Линии связи в NGN выполнены  на основе оптического волокна - современного проводника, который заменяет медные провода. Преимущества оптики - огромная пропускная способность кабеля и  исключительная скорость и надежность. Кроме того, на оптический кабель не влияют электромагнитные помехи - знакомые нам по аналоговой телефонии трески, гул и наложение разговоров в  трубке. Забудьте про это. Цифровые стандарты - это только чистая связь.

Кроме качественной связи, этот вид телефонии  отличает наличие большого количества дополнительных сервисов. Некоторые  из них знакомы нам из пользования  стандартом GSM. Это цифровой определитель номера, автоответчик, переадресации, конференц-связь. Но помимо этого функционал услуг включает в себя создание групп  и управление вызовами внутри них, поддержку  многоканальной входящей связи, реализацию автосекретаря,  организацию внутренней короткой нумерации в компании, синхронизацию с компьютером и управление всеми сервисами через WEB-интерфейс, интеграцию с Outlook и многое другое.

Эти функции особенно актуальны для  корпоративных пользователей, которые  стремятся оптимизировать бизнес-процессы в организации и контролировать телефонную связь на качественно  новом уровне.

Примеры реализации DoS-атак в IMS

Защита от DoS/DDoS-атак – одно из требований к системе безопасности, отсутствующих в стандартах IMS. Хотя в IMS существует механизм аутентификации абонентов с помощью IPsec и SIP Digest, а также авторизация доступа абонентов к услугам через HSS, но и легитимные абоненты имеют возможность генерировать атаки на инфраструктуру IMS. Причем эти атаки могут опираться на сообщения протокола SIP, на сообщения протокола RTP или обоих сразу.

В сравнении с интернет-атаками  анонимных абонентов вероятность  атак на инфраструктуру IMS несколько  меньше, поскольку абоненты имеют  договорные отношения с поставщиком  услуг и системе известны. Однако с точки зрения потери доходов  оператора, оттока абонентов и даже угрозы человеческой жизни (если затронуты  услуги экстренных служб) последствия  успешных атак могут быть даже более  тяжелыми.

Одна из услуг IMS – определение  статуса присутствия (многими сейчас рассматривается как база для  создания массы коммерчески интересных услуг) – позволяет информировать  подписчика о том, находятся ли другие пользователи в онлайне, а также  о доступных в данный момент возможностях для связи с ними. Когда пользователь заказывает такую услугу относительно интересующих его абонентов, производится обмен транзакциями SUBSCRIBE и NOTIFY с  серверами услуги присутствия, которые  управляют информацией о статусе  каждого из абонентов.

Для уменьшения количества транзакций в процессе заказа используется специальная  функция, но вместо нее злоумышленник  может взять длинный список легального абонента и вызвать посылку сотен  сообщений к серверу услуги присутствия. Задействуя одновременно длинные списки большой группы абонентов, можно  организовать на сервер присутствия DDoS-атаку.

В IMS маршрутизация и тарификация  многих услуг (присутствия, VoIP, push-to-talk) осуществляется через CSCF. В результате нарушение работы сервера присутствия  по причине DDoS-атаки может вызвать  задержку обработки трафика других услуг. Ведь если ответ от сервера  присутствия не получен в течение  определенного спецификацией протокола SIP таймера (32 с), то каждый SIP-запрос к  серверу может быть повторен до 10 раз. Повторные запросы вместе с  трафиком cамой DDoS-атаки создадут дополнительную нагрузку на CSCF.

Повышенная нагрузка на CSCF ведет  к тому, что не попавшие под атаку  серверы других услуг не получают вовремя ответы от этого узла и  также могут сгенерировать по 10 повторных запросов к нему в  следующие 32 с, что вызовет полную перегрузку CSCF и отказ предоставления всех услуг.

Учитывая, что серверы услуг  никогда не имеют десяти- или даже пятикратного запаса процессорной мощности, необходимой для выполнения логики услуг, видим, что для организации DDoS-атаки, которая способна нарушить работу IMS-сети, обслуживающей миллионы абонентов, злоумышленнику необходимо получить доступ всего к нескольким клиентским аккаунтам.

Примеры реализации фрода в IMS

Как уже отмечалось, уязвимости безопасности, затрудняющие обнаружение фрода  в сетях NGN/IMS, порождаются двумя  особенностями этих сетей, а именно: применением протоколов IP и SIP, а  также разнообразием механизмов доступа. Как и в сетях OКC7, в  основанных на SIP сетях IMS маршруты передачи сигнальной и пользовательской информации разделены. Это также повышает вероятность  нелегитимного пользования услугами.

Осуществлению многих видов фрода, например кражам и нелегитимному  использованию IP-адресов, способствует открытость IP-сетей. Их децентрализованная архитектура предполагает наличие  интеллектуальных пользовательских терминалов, способных напрямую контактировать с другими сетевыми элементами, что  значительно увеличивает риск нелегитимного  использования сетевых ресурсов.

Если терминалы пользователей  подключены одновременно к сети IMS и  публичному Интернету, то пользователи получают возможность взаимодействовать непосредственно (peer-to-peer) с помощью прямой адресации, что может противоречить тарифной политике оператора сети IMS.

А вполне легитимная технология использования SIP-прокси-сервера в качестве учрежденческой АТС может применяться и для  международного фрода путем разделения одного аккаунта между несколькими  пользователями. В этом случае задействуется  стандартная SIP-процедура переадресации, а группа пользователей работает с одним счетом, связанным с  данным аккаунтом, что требует от оператора сети IMS, у которого зарегистрирован  такой сервер, дополнительных мер  контроля.

Предоставление услуг, основанных на IP-протоколе, зачастую связано с  бизнес-моделью, отличной от модели ТфОП. В новой модели кроме потребителя  и оператора сети участвуют и  поставщик услуг, и поставщик  контента, и оператор системы мобильных  платежей. Любой их них может явиться  целью фродстерской атаки, следовательно, для фрод-контроля необходимо собирать и сопоставлять данные от разных компаний, что намного его усложняет.

Фрод-сценарии зависят от услуг  и технологий. С развитием NGN/IMS фрод продолжит эволюционировать, особенно с переходом от безлимитной «битовой трубы» к тарификации услуг на основе потребленного трафика и  вида контента. Так, скорее всего, целью  фродстеров станет не просто установление соединения, а скачивание дорогостоящего контента. Вместе с тем нельзя надеяться, что в эпоху NGN/IMS исчезнут традиционные, давно известные виды фрода.

Благодаря конвергентной природе  сетей NGN/IMS угрозы различных видов (финансовые, исходящие из природы сети Интернет, от хакеров, от фродстеров) будут смешиваться/взаимно  дополнять друг друга. Поэтому ранее  самостоятельные подразделения  противодействия фроду, управления рисками предприятия, гарантирования доходов и сетевой безопасности должны будут объединить свои усилия в борьбе с фродом.

 

 

 

 

 

 

 

 

 

 

 Методы и  системы противодействия DDoS-атакам  и фроду в сетях NGN/IMS

Поскольку успешная DDoS-атака может  привести к полной перегрузке серверов CSCF, механизм защиты целесообразно  реализовывать в специализированном устройстве.

Идеально, если защита против подобных атак организована для каждого сетевого элемента IMS. Однако, учитывая требования к аппаратным компонентам, стоимость  такого подхода может быть очень  высока. Очевидный выход – акцентировать  внимание на защите пограничных элементов IMS, таких как P-CSCF и A-BGF (Access Border Gateway Function), размещаемых на границе сети доступа  между абонентскими терминалами  и ядром сети, а также I-BCF и I-BGF (Interconnect Border gateway), находящихся на границе  ядра сети с сетями других поставщиков  услуг. Обычно функции системы обнаружения  и предотвращения вторжений (IDPS) возлагаются  на пограничный контроллер SBC (Session Border Controller), который формально не является частью инфраструктуры IMS.

Система IDPS предназначена для оперативного обнаружения начала DDoS-атаки и  блокирования ее источника без прерывания предоставления услуг другим абонентам. Это требует оснащения SBC функциями  мониторинга скорости сигнального  потока, контроля форматов сообщений  в комплексе с возможностью динамического  создания «черного списка» IP-адресов  источников атак.

Одна из мер безопасности в IP-сетях  – углубленная проверка пакетов (DPI), под которой подразумевается  мониторинг и контроль пакетов на уровнях с второго по седьмой  модели ISO/OSI.

Инспекция на нижних уровнях –  с второго по четвертый – охватывает некоторые виды распознавания атак по типу DDoS, но не приводит к выявлению  фрода.

Исследование уровней с четвертого по седьмой обычно входит в понятие  «обработка контента». Именно здесь  обнаруживаются многие виды угроз IMS: новейшие методы DDoS-атак с применением вредоносного ПО, спам, фишинг и нежелательный  контент. Мониторинг и контроль однорангового  трафика данных, в частности BitTorrent и LimeWire, также производится на этом уровне.

Системы анализа и противодействия  фроду нужно оценивать не только по их способности локально анализировать  характеристики сетевого трафика и  противодействовать отдельным видам  угроз, но и по способности сопоставлять множество факторов, влияющих на все  аспекты безопасности процесса предоставления услуг.

В деле обеспечения безопасности мультисервисных  услуг важен комплексный анализ угроз на всех участках технического обеспечения услуги. Это подразумевает  выявление угроз не только на одном  участке сети или для одного семейства  протоколов, но и для их совокупности (SIP, ISUP, INAP, Sigtran, H.323/Megaco), поскольку в  этом случае эффективность противодействия  фроду значительно повышается.

Непосредственному осуществлению  практически любого вида фрода предшествует DoS-атака, направленная на отказ одной  из функций реализации логики услуги. Поэтому для результативной борьбы с фродом необходим совместный анализ логов от локальных систем IPDS, записей о сессиях IPDR, а также об объемах и структуре потребляемого трафика от пробов системы мониторинга.

Применение для борьбы с фродом только систем IPDS, даже оснащенных функциями DPI, не приводит к необходимому результату, поскольку они ориентированы  на анализ сетевого трафика на локальном  участке сети и вне контекста  обеспечиваемой услуги. Контроллеры SBC не дают информации о характеристиках  трафика клиента, который может  косвенно влиять на IMS-услуги, и защищают на уровне протокола доставки сообщений, но не на уровне протокола, осуществляющего  поддержку услуги.

С другой стороны, внедрение систем с функциями кросс-анализа и  корреляции всех протоколов и подсистем, используемых для обеспечения услуги, сокращает время, необходимое для  идентификации конкретного вида фрода и активации мер противодействия  ему.

Система, способная обеспечить безопасность сети NGN/IMS, должна также выполнять  контроль, распознавание и проверку контента на основе сигнатур с открытым набором правил. Сигнатуры позволяют  классифицировать IP-трафик с помощью  адресов IPv4 и IPv6, типов приложений, классов QoS и определяемых пользователем  сигнатур приложений.

Кроме того, комплекс должен обладать программируемостью и дружественным  интерфейсом пользователя для оперативной  модификации и настройки встроенных средств исследования сложных текстовых  протоколов, выявления вирусов и  обнаружения вредоносных программ в полезной нагрузке.

n n n

Множество видов доступа, открытая распределенная архитектура, потенциальная  одновременность DDoS-атак и фрода, широкая  номенклатура новых услуг выдвигают  ряд требований к системам противодействия  атакам и фроду для IMS-сетей.

Некоторые уязвимости сетей IMS могут быть нивелированы на этапе  проектирования сети, однако для достижения наилучшего результата безопасность должна быть обеспечена на всех уровнях архитектуры IMS специализированными системами. Основные требования к этим системам таковы: централизация контроля и  сбор логов от локальных систем, возможность сопоставления информации о разных типах данных и протоколах, контроль контента, наличие встроенных шаблонов и гибкость настройки фрод-критериев. 

 

Концепция IMS опирается на бизнес-модель, предполагающую, что  оператор и поставщики услуг способны управлять доступом абонента к сети и услугам и начислять плату  за их использование, исходя из вида услуги и объема ее потребления. Это в  корне отличается от принятой в Интернете  модели, при которой сеть оператора  служит «битовой трубой», а поставщик  услуг предлагает безлимитные тарифы.

Но, как это часто бывает, с новыми рыночными возможностями  сопряжены дополнительные риски. Так, в результате перехода к основанной на протоколе IP открытой архитектуре  операторы встретились с новыми угрозами безопасности, напрямую влияющими  на их бизнес. Эти угрозы можно разделить  на два вида:

• технические угрозы, связанные  с открытыми стандартами и  проявляющиеся на всех уровнях архитектуры IMS;

• направленные как на оператора, так и на абонентов попытки  нелегитимного использования услуг  и/или кражи конфиденциальной информации.

Поскольку оборудование, входящее в состав IMS-платформ, имеет уязвимости, присущие любым основанным на IP-протоколе  решениям, и следовательно, подвержено атакам червей и вирусов, DDoS, спаму  и различным видам фрода, то, применяя концепцию IMS для развертывания сетей  нового поколения, на обеспечение их безопасности необходимо обращать самое  серьезное внимание.