Мониторинг безопасности сетей SS7 - Positive Technologies ·...
Transcript of Мониторинг безопасности сетей SS7 - Positive Technologies ·...
Мониторинг безопасности сетей SS7
План
• Введение
• Методы обеспечения безопасности
• Классификация сигнальных сообщений с точки зрения безопасности
• SS7 Attack Discovery
SS7: ХХ век
PSTN
STP STP
STPSTP
SSP
SCP
SSP
SSP
SCP
Полное доверие
Эволюция SS7
Первые сети SS7 были введены в коммерческую эксплуатацию в начале 1980-х. Полностью доверенная среда, нет механизмов безопасности в стеке протоколов
SIGTRAN – SS7 over IP. Спецификация была представлена в 2000 г. Механизмы безопасности так и не появились
Растёт число операторов с подключением к SS7: MNO, MVNO, VAS-провайдеры, спутниковая связь
SS7: Наши дни
PSTN
Enterprise Network
PSTN
BTS
NodeB
AuCGMSC
HLRVLRSGSNRNC
BSC
WDM
WDMWDM
MSC
SCP
SoftSwitch
WDM
GGSN
Router
PBX
MGW
STP
STP
SigGW
STP
STP
SCP
SSP
International SS7
STP
STP
SS7
SS7
SS7
SS7
SS7
SS7
SS7SS7
SS7
SS7
SS7SS7
SS7
SS7
IP Domain
Wireless Domain
Fixed Domain
К чему пришли
Рост числа подключений к сети SS7
Рост объёмов трафика SS7
Рост числа технических специалистов
Нет внятных политик безопасности
Время Полного доверия закончилось
Методы обеспечения безопасности
SMS Home Routing
Мониторинг SS7
SS7 Firewall
SS7 IDS/IPS
SMS Home Routing
Доставка SMS
HLR
SMS-C
MSCVLR
STP
1
SendRoutingInfoForSM• Номер телефона
Доставка SMS
HLR
SMS-C
MSCVLR
STP
12
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• IMSI• Адрес MSC
Доставка SMS
HLR
SMS-C
MSCVLR
STP
12
3
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• IMSI• Адрес MSC
MT-SMS
Злоумышленник в роли SMS-C
HLR
MSCVLR
STP
1
SendRoutingInfoForSM• Номер телефона
Злоумышленник в роли SMS-C
HLR
MSCVLR
STP
12
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• IMSI• Адрес MSC
SMS Home Routing
HLR
SMS-C
MSCVLR
SMSHome
RoutingSTP
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SMSHome
RoutingSTP
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
SMSHome
RoutingSTP
2
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
MT-SMS
SMSHome
RoutingSTP
2
3
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
MT-SMS
SMSHome
RoutingSTP
2
3
4
SendRoutingInfoForSM• Номер телефона
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
MT-SMS
SMSHome
RoutingSTP
2
3
4
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• IMSI• Адрес MSC
5
SMS Home RoutingДоставка SMS
HLR
SMS-C
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
MT-SMS
SMSHome
RoutingSTP
2
3
4
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• IMSI• Адрес MSC
5
MT-SMS
6
SMS Home RoutingЗлоумышленник не получает нужную информацию
HLR
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SMSHome
RoutingSTP
SMS Home RoutingЗлоумышленник не получает нужную информацию
HLR
MSCVLR
1
SendRoutingInfoForSM• Номер телефона
SendRoutingInfoForSM• Faked IMSI• Свой адрес
SMSHome
RoutingSTP
2
SMS Home Routing
Решение SMS Home Routing не позволяет оператору на 100% скрыть конфиденциальные данные о сети
Ошибки конфигурации SMS Home Routing
Ошибки конфигурации STP
Есть другие сообщения SS7 для получения IMSI
Мониторинг SS7
External SS7
Система мониторинга SS7
HLR
MSCVLR
STPBSC
External SS7
Система мониторинга SS7
HLR
MSCVLR
STPBSC
ProbeProbe
Probe
Probe
External SS7
Система мониторинга SS7
HLR
MSCVLR
STPBSC
SS7 Monitoring
Server
ProbeProbe
Probe
Probe
Система мониторинга SS7
HLR
MSCVLR
STPBSC
SS7 Monitoring
Server
ProbeProbe
Probe
External SS7
Probe
Система мониторинга SS7
HLR
MSCVLR
STPBSC
SS7 Monitoring
Server
ProbeProbe
Probe
External SS7
Probe
Система мониторинга SS7
Назначение систем мониторинга SS7 – анализ сетевых проблем, получение информации о качестве работы сети
Возможность мониторинга нелегитимного SS7 трафика зависит от технической реализации системы
Требуется много отдельных запросов для получения информации об атаках
Срок хранения данных ограничен (1 неделя – 1 месяц)
Вопросы?
SS7 Firewall
External SS7
SS7 Firewall
HLR
MSCVLR
STPBSC
External SS7
SS7 Firewall
HLR
MSCVLR
STPBSC
External SS7
SS7 Firewall
HLR
MSCVLR
STPBSC
STP
SS7 Firewall
Системы SS7 Firewall производят фильтрацию трафика по черным-белым спискам
Возможно негативное влияние на работоспособность легальных сервисов!!!
SS7 IDS/IPS
External SS7
SS7 IDS
HLR
MSCVLR
STPBSC
External SS7
SS7 IDS/IPS
HLR
MSCVLR
STPBSC
External SS7
SS7 IDS/IPS
HLR
MSCVLR
STPBSC
SS7 IDS
Не оказывает влияния на трафик SS7
Показывает наличие или отсутствие реальных атак из сигнальной сети
Возможность выяснения причин и источников подозрительного SS7 трафика
SS7 IDS/IPS
Глубокий анализ стека протоколов SS7
Корреляция параметров на различных уровнях SS7
Возможность блокировки сообщений SS7 по гибко формируемому шаблону
Вопросы?
Классификация сообщений SS7
Классификация сообщений SS7
Недопустимые
Условно недопустимые
С предварительной проверкой местоположения
Недопустимые сообщения
Сообщения с кодами операций, которые ни при каких условиях не должны приходить в сеть оператора со стороны внешних подключений
SendIMSI
AnyTimeInterrogation…
Условно недопустимые сообщения
Сообщения с кодами операций, которые не должны приходить в сеть оператора со стороны внешних подключений, адресованные абонентам своей сети
ProvideSubscriberInfo
ProvideRoamingNumber…
С предварительной проверкой местоположения
Сообщения с кодами операций, которые не должны приходить в сеть оператора со стороны внешних подключений, адресованные абонентам своей сети, если абонент в этот момент зарегистрирован в домашней сети
ProcessUnstructuredSS-Request
RegisterSS…
Вопросы?
SS7 Attack Discovery
Главный экран: важная информация
Детальная информация об атаке
Принципы работы SS7 Attack Discovery
Классификация атак
Критичность атак
Механизмы фильтрации
Карта источников
Статистика
Классификация атак
C1 C2 C3
Сообщения, которые
не должны приходить
со стороны внешних
подключений
Сообщения, которые
не должны приходить
со стороны внешних
подключений в адрес
домашних абонентов
Сообщения, которые
не должны приходить
со стороны внешних
подключений в адрес
домашних абонентов,
если абонент в этот
момент находится в
домашней сети
Критичность атак
Успешные атаки –
злоумышленник
получил нормальный
ответ от сети
Частично успешные
атаки – сеть ответила
с ошибкой
Подозрительная
активность в SS7
Неуспешные атаки –
сеть не ответила на
нелегитимный запрос,
но инцидент требует
внимания
C1 C1 C1
Механизмы фильтрации
Механизмы фильтрации
Механизмы фильтрации
Механизмы фильтрации
Механизмы фильтрации
Карта источников
Статистика
Внедрение системы
Не оказывает влияния на сигнальный трафик
Контроль наиболее важных для заказчика направлений
Инсталляция на отдельном или виртуальном сервере
Анализ сигнального трафика в режиме реального времени
Анализ трассировок в режиме оффлайн
Анализ внешнего SS7 трафика
Анализ SS7 трафика на внутреннем узле коммутации
Анализ SS7 трафика в режиме оффлайн
Knowledgebase: наши исследования
• Раскрытие IMSI• Определение местоположения• DoS атака на абонента• Перехват SMS• Манипуляции с USSD• Манипуляции с переадресацией• Перенаправление вызовов• Подслушивание переговоров• Изменение платёжной категории
• Раскрытие адресов GT• DoS атака на MSC • DoS атака на HLR • DoS атака на подсистему• DoS атака на сеть
Цель –абонент
Цель –инфраструктура
Возможности интеграции
2
3
1
1) Обнаружение атаки
2) Подтверждение в ручном или
автоматическом режиме
3) Обновление «чёрного списка»
Возможности интеграции
Определение атак
Анализ и приоритизация
Поиск решения Реализация Проверка
Готово Готово Теперь у оператора есть все необходимые данные для того, чтобы выработать наилучшее решение для защиты сети
Проверка
эффективности
реализованного
решения
Профит
Предотвращение деградации сервиса
Предотвращение утечки конфиденциальных данных
Инструмент для исследования и предотвращения фрода
Повышение репутации компании
Вопросы?
Спасибо за внимание
Сергей Пузанков [email protected]