Мониторинг безопасности сетей SS7

План

• Введение

• Методы обеспечения безопасности

• Классификация сигнальных сообщений с точки зрения безопасности

• SS7 Attack Discovery

SS7: ХХ век

PSTN

STP STP

STPSTP

SSP

SCP

SSP

SSP

SCP

Полное доверие

Эволюция SS7

Первые сети SS7 были введены в коммерческую эксплуатацию в начале 1980-х. Полностью доверенная среда, нет механизмов безопасности в стеке протоколов

SIGTRAN – SS7 over IP. Спецификация была представлена в 2000 г. Механизмы безопасности так и не появились

Растёт число операторов с подключением к SS7: MNO, MVNO, VAS-провайдеры, спутниковая связь

SS7: Наши дни

PSTN

Enterprise Network

PSTN

BTS

NodeB

AuCGMSC

HLRVLRSGSNRNC

BSC

WDM

WDMWDM

MSC

SCP

SoftSwitch

WDM

GGSN

Router

PBX

MGW

STP

STP

SigGW

STP

STP

SCP

SSP

International SS7

STP

STP

SS7

SS7

SS7

SS7

SS7

SS7

SS7SS7

SS7

SS7

SS7SS7

SS7

SS7

IP Domain

Wireless Domain

Fixed Domain

К чему пришли

Рост числа подключений к сети SS7

Рост объёмов трафика SS7

Рост числа технических специалистов

Нет внятных политик безопасности

Время Полного доверия закончилось

Методы обеспечения безопасности

SMS Home Routing

Мониторинг SS7

SS7 Firewall

SS7 IDS/IPS

SMS Home Routing

Доставка SMS

HLR

SMS-C

MSCVLR

STP

1

SendRoutingInfoForSM• Номер телефона


HLR

SMS-C

MSCVLR

STP

12


SendRoutingInfoForSM• IMSI• Адрес MSC


HLR

SMS-C

MSCVLR

STP

12

3



MT-SMS

Злоумышленник в роли SMS-C

HLR

MSCVLR

STP

1


Злоумышленник в роли SMS-C

HLR

MSCVLR

STP

12



SMS Home Routing

HLR

SMS-C

MSCVLR

SMSHome

RoutingSTP

SMS Home RoutingДоставка SMS

HLR

SMS-C

MSCVLR

1


SMSHome

RoutingSTP


HLR

SMS-C

MSCVLR

1


SendRoutingInfoForSM• Faked IMSI• Свой адрес

SMSHome

RoutingSTP

2


HLR

SMS-C

MSCVLR

1



MT-SMS

SMSHome

RoutingSTP

2

3


HLR

SMS-C

MSCVLR

1



MT-SMS

SMSHome

RoutingSTP

2

3

4



HLR

SMS-C

MSCVLR

1



MT-SMS

SMSHome

RoutingSTP

2

3

4



5


HLR

SMS-C

MSCVLR

1



MT-SMS

SMSHome

RoutingSTP

2

3

4



5

MT-SMS

6

SMS Home RoutingЗлоумышленник не получает нужную информацию

HLR

MSCVLR

1


SMSHome

RoutingSTP

SMS Home RoutingЗлоумышленник не получает нужную информацию

HLR

MSCVLR

1



SMSHome

RoutingSTP

2

SMS Home Routing

Решение SMS Home Routing не позволяет оператору на 100% скрыть конфиденциальные данные о сети

Ошибки конфигурации SMS Home Routing

Ошибки конфигурации STP

Есть другие сообщения SS7 для получения IMSI

Мониторинг SS7

External SS7

Система мониторинга SS7

HLR

MSCVLR

STPBSC

External SS7


HLR

MSCVLR

STPBSC

ProbeProbe

Probe

Probe

External SS7


HLR

MSCVLR

STPBSC

SS7 Monitoring

Server

ProbeProbe

Probe

Probe


HLR

MSCVLR

STPBSC

SS7 Monitoring

Server

ProbeProbe

Probe

External SS7

Probe


Назначение систем мониторинга SS7 – анализ сетевых проблем, получение информации о качестве работы сети

Возможность мониторинга нелегитимного SS7 трафика зависит от технической реализации системы

Требуется много отдельных запросов для получения информации об атаках

Срок хранения данных ограничен (1 неделя – 1 месяц)

Вопросы?

SS7 Firewall

External SS7

SS7 Firewall

HLR

MSCVLR

STPBSC

External SS7

SS7 Firewall

HLR

MSCVLR

STPBSC

STP

SS7 Firewall

Системы SS7 Firewall производят фильтрацию трафика по черным-белым спискам

Возможно негативное влияние на работоспособность легальных сервисов!!!

SS7 IDS/IPS

External SS7

SS7 IDS

HLR

MSCVLR

STPBSC

External SS7

SS7 IDS/IPS

HLR

MSCVLR

STPBSC

SS7 IDS

Не оказывает влияния на трафик SS7

Показывает наличие или отсутствие реальных атак из сигнальной сети

Возможность выяснения причин и источников подозрительного SS7 трафика

SS7 IDS/IPS

Глубокий анализ стека протоколов SS7

Корреляция параметров на различных уровнях SS7

Возможность блокировки сообщений SS7 по гибко формируемому шаблону

Вопросы?

Классификация сообщений SS7

Классификация сообщений SS7

Недопустимые

Условно недопустимые

С предварительной проверкой местоположения

Недопустимые сообщения

Сообщения с кодами операций, которые ни при каких условиях не должны приходить в сеть оператора со стороны внешних подключений

SendIMSI

AnyTimeInterrogation…

Условно недопустимые сообщения

Сообщения с кодами операций, которые не должны приходить в сеть оператора со стороны внешних подключений, адресованные абонентам своей сети

ProvideSubscriberInfo

ProvideRoamingNumber…

С предварительной проверкой местоположения

Сообщения с кодами операций, которые не должны приходить в сеть оператора со стороны внешних подключений, адресованные абонентам своей сети, если абонент в этот момент зарегистрирован в домашней сети

ProcessUnstructuredSS-Request

RegisterSS…

Вопросы?

SS7 Attack Discovery

Главный экран: важная информация

Детальная информация об атаке

Принципы работы SS7 Attack Discovery

Классификация атак

Критичность атак

Механизмы фильтрации

Карта источников

Статистика

Классификация атак

C1 C2 C3

Сообщения, которые

не должны приходить

со стороны внешних

подключений




подключений в адрес

домашних абонентов




подключений в адрес

домашних абонентов,

если абонент в этот

момент находится в

домашней сети

Критичность атак

Успешные атаки –

злоумышленник

получил нормальный

ответ от сети

Частично успешные

атаки – сеть ответила

с ошибкой

Подозрительная

активность в SS7

Неуспешные атаки –

сеть не ответила на

нелегитимный запрос,

но инцидент требует

внимания

C1 C1 C1

Механизмы фильтрации

Карта источников

Статистика

Внедрение системы

Не оказывает влияния на сигнальный трафик

Контроль наиболее важных для заказчика направлений

Инсталляция на отдельном или виртуальном сервере

Анализ сигнального трафика в режиме реального времени

Анализ трассировок в режиме оффлайн

Анализ внешнего SS7 трафика

Анализ SS7 трафика на внутреннем узле коммутации

Анализ SS7 трафика в режиме оффлайн

Knowledgebase: наши исследования

• Раскрытие IMSI• Определение местоположения• DoS атака на абонента• Перехват SMS• Манипуляции с USSD• Манипуляции с переадресацией• Перенаправление вызовов• Подслушивание переговоров• Изменение платёжной категории

• Раскрытие адресов GT• DoS атака на MSC • DoS атака на HLR • DoS атака на подсистему• DoS атака на сеть

Цель –абонент

Цель –инфраструктура

Возможности интеграции

2

3

1

1) Обнаружение атаки

2) Подтверждение в ручном или

автоматическом режиме

3) Обновление «чёрного списка»

Возможности интеграции

Определение атак

Анализ и приоритизация

Поиск решения Реализация Проверка

Готово Готово Теперь у оператора есть все необходимые данные для того, чтобы выработать наилучшее решение для защиты сети

Проверка

эффективности

реализованного

решения

Профит

Предотвращение деградации сервиса

Предотвращение утечки конфиденциальных данных

Инструмент для исследования и предотвращения фрода

Повышение репутации компании

Вопросы?

Спасибо за внимание

Сергей Пузанков [email protected]

Мониторинг безопасности сетей SS7 - Positive Technologies ·...

Documents

Transcript of Мониторинг безопасности сетей SS7 - Positive Technologies ·...