От SS7 к IP – эволюция безопасности

сетей связи

Константин Гурзов,

kgurzov@ptsecurity.ru,

Positive Technologies

Как это было…

Теперь все посложнее…

ТРАНСПОРТ

СЕРВЕРЫ

ПРИЛОЖЕНИЙ

УПРАВЛЕНИЕ

ОКОНЕЧНЫЕ

УСТРОЙСТВА ПОГРАНИЧНЫЕ

УСТРОЙСТВА

PSTN

IP-СЕТИ

INTERNET

ЛВС ФИЛИАЛЫ

VoIP

Вчера

• Специализированные системы и протоколы

• Разделение сетей

• Сложность реализации атак

IT

IP

Технологические сети

Мобильная сеть

SS7

ШПД

IP

Фиксированная сеть

SS7/IP

Сегодня

Welcome в мир ИБ!!! (ежедневные новые уязвимости, хакеры, трояны и т.д.)

• Стандартные платформы и протоколы

• Объединение сетей + доступность из Интернет

IP-угрозы - актуальны для тех. сетей

Конвергентная IP сеть

Мобильная сеть

SIP/IMS

ШПД

IP

Фиксированная сеть

SIP/IMS IP

IT сеть

Транспортная сеть

IP

А еще…

В технологических сетях часто нет процессов:

устранения уязвимостей в ПО и настройках оборудования

регулярного обновления ПО и установки патчей

нет четких согласованных стандартов конфигураций для критичного оборудования

бесконтрольный аутсорсинг

нет средств контроля

Отсутствуют процессы Vulnerability and Compliance Management

В 2011 г. совокупные убытки от деятельности киберпреступников и телефонных мошенников оценены в

$388 млрд в год.*

*По данным Norton Cybercrime Report 2011

В рамках контроля защищенности тех. сетей:

создание процесса контроля соответствия стандартам

обеспечение адекватного уровня ИБ

повышение эффективности ИБ

Наши цели

Создание централизованного механизма анализа уровня защищенности в

технологических сетях

2 основные задачи

1. Контроль защищенности распространенных ИС в тех. сетях

2. Контроль защищенности специализированных ИС в тех. сетях

Контроль защищенности распространенных ИС

Не только ИБ заинтересовано в контроле конфигураций!

Адаптация существующих стандартов

• Cisco IOS, Solaris, Linux и др. + VoIP-сегмент – Cisco CM

Согласование адаптированных версий

Организация процесса контроля конфигураций

Уязвимости Cisco Call Manager 6 в режиме Audit

Уязвимость позволяет

атакующему выполнить

произвольный код

Контроль защищенности специализированных устройств

Доработана система MaxPatrol

Реализованы стандарты ИБ и определение устройства в режиме инвентаризации для

Huawei

• Node B

• RNC

В ближайшее время

Ericsson

• Node B

• RNC

Cisco SGSN/GGSN на базе ASR5000

Определение 3G базовой станции

Определение Huawei NodeB по протоколу MML

Подбор пароля к 3G базовой станции

Login: admin Password: 1111111

Стандарты конфигураций специализированного оборудования

Примеры предъявляемых требований:

Парольная политика

• Пароль по умолчанию, длина, сложность и т.д.

Безопасный обмен данными

• ACL, SSl-шифрование

Централизованная регистрация событий

• Сервер регистрации, уровень критичности и т.п.

Почему так важно защищать - выводы и перспективы

Быстрое наращивание мобильной сети:

• безопасность и оптимальность дизайна сетей, инвентаризация оборудования, разделение зон и т.д.

• контроль настроек с точки зрения безопасности и мошенничества

Возрастающая нагрузка на транспортную сеть (неоптимальные/небезопасные настройки)

Строительство сетей в регионах при слабом контроле из центра

Присоединение сетей приобретаемых компаний с более низким уровнем безопасности (угрозы перекочевывают вместе с ними)

Позитивные предложения от Positive Technologies

Год назад создан центр компетентности в рамках Positive Research

Дальнейшая разработка стандартов ИБ для телеком оборудования (HLR, MSC, VAS-платформы и т.д.)

Уже сейчас новые услуги для наших клиентов:

• Аудит и тест на проникновение VoIP-сегмента

• Адаптация стандартов ИБ, разработка новых в рамках тех. сетей

Reference

В настоящий момент завершается первый этап проекта

«Контроль защищенности технологических сетей ОАО «ВымпелКом»»

Спасибо! Вопросы?

Константин Гурзов,

kgurzov@ptsecurity.ru,

Positive Technologies