Развитие телекоммуникационных сетей

Уязвимые точки IMS

Главные причины повышенной уязвимости сетей NGN/IMS – распределенность и открытость архитектуры, использование  протокола SIP в качестве управляющего и множественность видов доступа.

Поскольку основа любой IP-сети достаточно проста (протоколы IP, TCP и UDP), то при реализации мультимедийных услуг  именно сложный протокол SIP и приложения оконечных устройств обеспечивают большинство функций системы IMS.

А в оконечных устройствах  значительная часть функций системы  может управляться пользователями. Помимо этого, заголовки протокола SIP – текстовые и открыты для  изменений. Из-за этого возможны различные  виды перехвата сессии и регистрации, когда злоумышленник изменяет параметры  заголовка SIP и перехватывает контроль над соединением.

Последствия атак, проведенных  непосредственно на уровне SIP, как  правило, серьезные: могут осуществляться подмена идентификации, перенаправление  вызовов и получение идентификационных  данных.

Рядовой пользователь не имеет  необходимых технических средств  и недостаточно технически грамотен, чтобы самостоятельно проверить, насколько  его технология доступа соответствует  стандартам безопасности. Более того, большинство пользователей не знают, какая технология доступа на самом  деле применена. Провайдер услуг NGN/IMS зачастую также не имеет возможности  определить безопасность сценария доступа  каждого пользователя.

Основные угрозы сетям NGN/IMS и требования к обеспечению их безопасности

Список угроз безопасности IP-сетям следующего поколения и  их абонентам известен. В него входят атаки типа «отказ в обслуживании» (DoS/DDoS), непредумышленные перегрузки трафиком (spoofing), вирусы и черви, фрод, кража  идентификационных данных, спам по Интернету (SPIT).

Рабочая группа консорциума 3GPP, которая отвечает за анализ новых  угроз безопасности, вызванных IP-услугами и системами, выработала требования к обеспечению безопасности в  сетях IMS и установила, что ее уровень  должен быть по крайней мере не ниже, чем в GSM-системах второго поколения.

По понятной причине внимание этой рабочей группы ограничивается анализом и разработкой требований безопасности к архитектуре IMS для  сетей 3G. В частности, она указала  на необходимость защиты SIP-сигнализации между абонентским терминалом и  ядром IMS и применения аутентификации абонентов, не специфицируя при этом механизмы авторизации доступа  к ядру IMS абонентов со стороны  сетей фиксированной связи. Однако некоторые особенности системы IMS, важные для снижения рисков безопасности, требованиями 3GPP не охватываются вовсе, а некоторые охватываются лишь частично (см. таблицу).

Требования безопасности к системе IMS должны включать в себя скрытие топологии на интерконнект-границах, аутентификацию и авторизацию абонентов, шифрование сигнализационного обмена и контроль доступа на основе имеющейся  полосы пропускания сети.

Между тем в текущей  версии стандарта функция NAT определена только на границе взаимодействия с  внешними сетями, в предположении, что  на границе с сетью доступа  скрытие топологии не понадобится, а оператор всегда сможет защититься от DoS-атаки со стороны мобильного телефона своего абонента. Однако на практике уже доказано, что с обычного ноутбука можно легко организовать DoS-атаку  с помощью SIP-сообщений INVITE или REGISTER и тем вызвать отказ программного коммутатора, а 3G-модем вообще потенциально является «оружием массового поражения» для IMS-сетей.

Тот же эффект, что и DDoS-атака, может  иметь большой объем легитимного  трафика, например SIP-сообщений REGISTER, отправляемых после сбоя системы городского электроснабжения. Контроль доступа на основе имеющейся  полосы пропускания сети в IMS поддерживается, однако механизм предотвращения перегрузки непосредственно в узлах S-CSCF и I-CSCF не специфицирован.

Кроме того, не все требования к обеспечению безопасности операторам удается выполнить на ранних этапах развертывания IMS. Так, хотя протокол IPv6 для IMS специфицирован, реальное внедрение  происходит в условиях инфраструктуры IPv4, а существующие пользовательские терминалы, например мобильные телефоны, не поддерживают IPsec.

Учитывая реалии переходного  периода, консорциум 3GPP утвердил стандарт для ранних реализаций IMS, в котором  требования к безопасности несколько  снижены. Например, для проводных IP-устройств  пользователю разрешается использовать пароль вместо криптографических ключей, а как известно, подбор паролей  – простейший способ начала реализации любых угроз.

Выполнение необязательных для IMS требований оставлено на усмотрение производителей оборудования и стратегий  внедрения.

При этом следует принимать  во внимание, что пограничные сигнальные элементы P-CSCF и I-BCF (Interconnect Border Gateway Function) обеспечивают доступ к сети IMS с точки  зрения безопасности. Эти элементы лучше физически отделить от S-CSCF и I-CSCF, размещенных в центре IMS. На границе с каждой сетью доступа  целесообразно иметь несколько P-CSCF для предотвращения DDoS-атак на ядро транспортной сети и минимизации  влияния перегрузок трафиком при  рестарте системы после отказа энерго-снабжения  в одном из районов города.

Конкретные примеры  организации DDoS-атак и фрода в  сетях NGN/IMS, а также методы противодействия  им – в следующем номере «ИКС». 

Периметр

DoS-атака (атака  типа «отказ в обслуживании»,  от англ. Denial of Service) – атака на  вычислительную систему с целью  довести ее до отказа, то есть  до таких условий, при которых  легальные пользователи системы  не могут получить доступ к  предоставляемым системой ресурсам (серверам) либо этот доступ затруднен.  Часто организация DoS-атак является  мерой экономического давления: простои службы, приносящей доход,  счета от провайдера и меры  по уходу от атаки приводят  к ощутимым финансовым потерям.

Если атака выполняется  одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»).

В современном мире ни одна компания, так или иначе  присутствующая в сети Интернет, не застрахована от атак. Шантаж, кража  коммерческой информации, устранение конкурентов – неполный перечень целей кибер-преступников, организовывающих DDoS-атаки.

Бурный рост числа  компаний, использующих Интернет в  качестве основной бизнес-площадки, обеспечивает непрерывную эволюцию DDoS-атак.

Наибольший ущерб  от атак несут, как правило, компании логистического и финансового сектора, интернет-магазины, туроператоры, а  также компании, предоставляющие  услуги доступа в Интернет: операторы  связи, дата-центры, хостинг-провайдеры.

Упущенная прибыль, отток клиентов, снижение производительности труда, ухудшение репутации –  обычные последствия DDoS-атак.

Свернуть 

В настоящее время  для защиты от различных сетевых  угроз, в том числе DDoS-атак, многие полагаются на традиционные инструменты, такие как межсетевые экраны, системы  предотвращения вторжений (IPS) и т.д. Хотя эти устройства и являются важными  элементами стратегии обеспечения  безопасности, они не могут противостоять  современным DDoS-атакам.

Для действенной  защиты необходимо специализированное решение.

Группа решений  «Периметр» - линейка аппаратно-программных  комплексов для фильтрации Интернет-трафика, а также предупреждения, обнаружения  и подавления DDoS-атак различного типа в сети передачи данных.

• Периметр-600
• Периметр-мини
• Периметр-Ф

 

Общий принцип  работы

АПК «Периметр» состоит  из двух программных модулей: «Анализатор» и «Очиститель», предустановленных  на аппаратную платформу. «Анализатор» собирает сетевую статистику по протоколам NetFlow, SNMP, BGP, позволяет активировать фильтрацию трафика на входе в  сеть (ACL, BGP Black Hole, BGP FlowSpec) и обеспечивает перенаправление «сырого» трафика  на «Очиститель». Последний путем  многоступенчатой фильтрации блокирует  вредоносный трафик, пропуская к  защищаемым ресурсам только «хорошие запросы».

 

Только «Периметр»!

• сертифицированное решение российского производителя
• простота подключения и доступность обслуживания, в том числе и для регионально распределенных компаний
• круглосуточная русскоязычная сервисная поддержка
• бесплатное обновление и сервисное обслуживание в течение первого года
• собственный Центр компетенции

 

Контроль утечек информации (DLP)

Защита ценных коммерческих данных от кражи и несанкционированного доступа – задача, с которой  сталкиваются сегодня компании, работающие в любой отрасли бизнеса. Утечка информации может привести к потере конкурентных преимуществ, оттоку клиентов, ухудшению отношений с партнерами и инвесторами, ухудшению репутации  компании на рынке, а возможно, и  к санкциям со стороны контролирующих органов.

Разглашение данных может произойти непреднамеренно  вследствие небрежности сотрудников, имеющих доступ к конфиденциальной информации. Но утечка данных может  быть осуществлена и инсайдером по заказу конкурирующих компаний. И  в том, и в другом случае будет  нанесен вред корпоративному имиджу компании, а это может привести к финансовым потерям вплоть до отзыва лицензии на определенные виды деятельности со стороны регулятора.

Противодействовать  утечке конфиденциальной информации компании помогают DLP-системы (от англ. Data Loss Prevention). Они предупреждают возможные  случаи несанкционированных манипуляций  с коммерческими данными компании: копирование и/или изменение информации, а также ее перемещение за пределы  предприятия.

Компания  «МФИ Софт» представляет линейку  решений для аудита информационных потоков в корпоративных IP-сетях:

• «Гарда Предприятие» - для защиты от утечек конфиденциальных данных
• «Гарда БД» - для аудита сетевого доступа к базам данных

Продукты семейства  «Гарда» представляют собой системы  контроля информационных потоков в  корпоративных IP-сетях и позволяют:

• обеспечить защиту конфиденциальной информации от утечек
• сохранить интеллектуальную собственность компании
• управлять рисками, связанными с доступом и обращением к информации
• оптимизировать бизнес-процессы
• обеспечить соответствие требованиям законодательства и отраслевых стандартов (152-ФЗ, 161-ФЗ, 382-П, PCI DSS, SEC Rule 17a-4, СТО БР ИББС, Basel II, SOX)

DLP-решение, разработанное  специалистами компании «МФИ  Софт», отвечает требованиям контролирующих  органов в соответствии с Федеральными  Законами № 152-ФЗ «О персональных  данных» и № 98-ФЗ «О коммерческой  тайне».

Интеграция DLP-системы  в корпоративную сеть позволит Вашей  компании осуществлять регулярный контроль всех возможных каналов утечки информации, блокировать утечку при обнаружении  факта нарушения политики информационной безопасности, автоматизировать процесс  мониторинга и контроля информационных потоков. При использовании DLP-системы  в компании будет сформирована база данных по всем перехваченным документам, что позволит выявить возможные  каналы утечки информации и виновников нарушения политики информационной безопасности. Решение DLP не окажет влияния  на повседневную деятельность предприятия, и работа системы будет незаметна  для всех пользователей, кроме сотрудников  отдела ИБ.

 

4 БИЗНЕС ЖОСПАР

 

 

4.1 Жалпы ақпарат

 

NGN желісі өз абоненттеріне жоғарысапалы телефон және факс байланысын ұсынады, басымды халықаралық және қалааралық байланыс арналарына шығу, IP, GE технологиясын пайдалану арқылы мәлімет тарату, интернетке қосылу, интеллектуалдық желі қызметін қолдану мүмкіндігін береді. Сондай-ақ көптеген телекоммуникациялық шешімдерді, келешек есептеулерді шығаруға жағдай жасайды. Қызмет көрсету аясын кеңейтуге ақпараттардың халықаралық көздеріне кірігуге, байланыс бекеттері арасындағы қатынасты күшейтуге әрі арттыруға болады.

 

4.1.2 Жұмыстың мақсаты

Жұмыстың мақсаты дәстүрлі қызметтерді, сонымен қатар мультисервисті, интеллектуалды түрдегі қызметтерді  және аналогты желілерді TDM технологиясымен  жасалған дәстүрлік коммутаторларды  орнату алдында модернизациялау  процесін жүзеге асыратын келесі ұрпақ  желісін (NGN) жобалау.

Басты мақсат – телефон байланысы қызметінің және нарық либерализациясы (өзге операторлардың санының артуы) шартына сай қосымша құнды қызметтің нарығында жаңа технологияны ендіріп, қоғамның үлесін арттыру, көрсетілетін қызмет спектрлерін кеңейту, қызмет көрсету сапасын үлкейту және қолданушыларды толығымен қанағаттандыру.

 

4.1.3 Жобаланатын қызмет  түрлері

NGN желісі қызмет диапазонын кеңейту үшін таптырмайтын коммутациялық негіз ұсынады және де дүниежүзіндегі желілерді жабдықтаушылардың міндеттерін орындауына жағдай туғызады. Жобаланатын желі келесі  кызметтерді көрсетеді:

• интеллектуалды желі қызметіне қосылу;
• байланыс арналарын жалға беру;
• мәліметтерді жіберу қызметтері;
• телематика қызметтері;
• VPN корпоративті желісін ұйымдастыру;
• бейнеконференцбайланыс қызметтері;
• интернет мәліметтер трафигін жіберу (жеке тұлға немесе компаниялар үшін);
• корпоративті желілердің мәліметтер трафигін жіберу;
• IP-телефония (жеке адам немесе корпоративті желілер үшін).