В приведенном сценарии удаленный доступ к протоколаe mtp2, который расположен на шлюзе сигнализации sg (signaling gateway), обеспечивает протокол m2ua на softswitch через ip-сеть.

Внутри IP-сети на участке Softswitch – Softswitch для переноса сообщений ISUP используется протокол SIP-T.

Информационная безопасность SIP

Угрозы ИБ

В настоящем разделе приводятся изложенные в стандарте RFC 3261 [57] примеры некоторых угроз ИБ в сетях SIP. Эти угрозы являются общими для большинства сетей SIP.

Угрозы с использованием регистрации

 

Регистрация может производится не только самим пользователем терминала, но и нарушителем. В заголовках From и To запроса REGISTER установлены адреса. Злоумышленник может пожелать, чтобы соединения других пользователей устанавливались с ним. Для этого он перерегистрирует всех легитимных пользователей, а затем регистрирует свое устройство. В результате при отсутствии защиты, гарантирующего подлинность источника требования SIP, вызовы от других пользователей поступают злоумышленнику. Этот пример показывает необходимость аутентификации источника запроса SIP.

 

Подмена сервера

 

Имя домена, к которому должен поступить запрос SIP установлен в поле Request-URI заголовка запроса. UAC в этом домене связан непосредственно с сервером, которому передает запрос. Возможна угроза ИБ путем подмены легитимного сервера. В результате фиктивный сервер переправляет запрос на другой домен. При регистрации пользователя все запросы к нему будут направляться в ложный сервер. Этот пример показывает необходимость защиты с помощью механизма аутентификации сервера (т.е. взаимная аутентификация).

Изменение содержания тела заголовка

 

В сети SIP требуется обеспечить конфиденциальность некоторых данных в сообщениях сигнализации. Это относится, например, к инкапсулированным данным ОКС№7 в тело заголовка. Это требование вызвано угрозой злоумышленно изменить тело заголовка c целью прослушивания переговоров по установленному соединению. Этот пример показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных тела заголовка, целостность и аутентификацию.

 

Угрозы подслушивания

 

После установления соединения последующие запросы могут быть отправлены для изменения состояния диалога и/или сеанса. Важно, чтобы пользователи были уверены в том, что эти запросы не подделаны злоумышленниками. Злоумышленник может узнать некоторые параметры во время первоначального установления сеанса (поля заголовка To, From и др.), а затем передать ложный запрос INVITE. Последний запрос видоизменяет сеанс (например, переправляет медиапотоки для атаки прослушивания разговоров). Этот пример, также как и предыдущий, показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных, обеспечения их целостности и аутентификации.

 

Угрозы установления или прерывания сеанса связи

 

Примерами угроз установления или прерывания сеанса связи сообщениями могут быть фиктивные запросы CANSEL, BUY а также фиктивные ответы об ошибках в ходе установления соединения.

 

Атака DoS

 

Атака отказ в обслуживании (DoS) нацелена на перевод сетевого элемента в состояние неработоспособности (неготовности). К таким угрозам и обычно относят направление чрезмерно большого потока атак, реализуемые посредством передачи большого количества сообщений сигнализации или медиа-сообщений (в зарубежной литературе для обозначения данного вида DoS атаки используются термины «flood attacks» - флуд-атака, «depletion attacks», «brute force attacks»). Примером такой атаки DoS может быть отправка сообщений инициации соединения INVITE или сообщений REGISTER.

Оборудование операторов связи, как правило, имеет ограничения по количеству одновременных соединений. Это может быть продиктовано ограничениями конструктивными (например, количеством цифровых потоков E1), административными (конечное число соединительных линий, как правило, определяется межоператорским договором о присоединении сетей) и/или лицензионными (производитель или поставщик аппаратного и программного обеспечения устанавливает ограничение на количество одновременных соединений). Количество инициированных вызовов и установленных соединений может превысить существующие ограничения и создать перегрузку на данном направлении, создав атаку DoS.

Злоумышленники могут создавать поддельные запросы, содержащие фальсифицированные IP-адреса источника и соответствующее поле заголовка Via. Эти параметры идентифицируют ложный источник этих запросов, на который затем через агента пользователя или прокси-сервер SIP генерируется трафик, приводящий к DoS.

Аналогично злоумышленник может использовать фальсифицированные значения заголовка Route. Этот заголовок служит для принудительной маршрутизации запроса в соответствии со списком прокси-серверов. Фальсифицированные значения в составе этого заголовка поступают на прокси-серверы. Далее запросы размножаются и увеличенный поток поступает по указанному адресу. Возможность создания злоумышленником таких атак DoS имеет место, если при запросе регистрации сервер регистрации не производит достаточно надежную аутентификацию пользователя. Использование многоадресной (multicusting) передачи запросов также может предоставить злоумышленнику возможность в создании таких атак DoS.

Другая причина атаки DoS может иметь место в сети SIP-T, когда на участке сети связи ТфОП/ISDN злоумышленником отправляются ложные сообщения управления сетью сигнализацией подсистемы ОКС-7. Анализ этих угроз и механизмов защиты приводится в последующих главах.

В сети VoIP пути прохождения сигнальных сообщений и медиаданных различаются. В то время как сигнальные сообщения замыкаются на программном коммутаторе, который реализует функции обработки сигнализации и управления соединениями, медиаданные передаются между участниками соединения медиашлюзами напрямую.

Медиашлюз реализует функции кодирования медиаданных, их трансляции между IP-сетью и абонентом, а также между IP-сетью и сетью ТфОП. Для организации медиапотока в рамках каждой сессии на медиашлюзе динамически определяются параметры медиасессии, такие как тип медиаданных, используемый кодек и др. Выделяется транспортный адрес, состоящий из пары «IP-адрес и UDP/TCP-порт». Эти значения медиашлюз с помощью сообщений сигнализации передает предполагаемому участнику устанавливаемой сессии.

Существует угроза DoS-атаки на медиашлюз по каналам медиаданных, которая обусловлена тем, что злоумышленнику известен транспортный адрес медиашлюза (IP-адрес и UDP/TCP-порт), на который медиашлюз готов принимать медиаданные.

Угрозы фрода

В соответствии с Рекомендацией МСЭ-Т Е.408 [1] одной из характеристик риска информационной безопасности (ИБ) в сетях связи является последствие реализации угроз. Одним из таких последствий является мошенничество, которое проявляется в снижении финансовой прибыли провайдерами услуг сетей связи. Такое финансовое мошенничество в технической литературе по сетям связи часто называют фродом (fraud).

Приведем примеры форм фрода в сетях SIP. В основу выбора таких видов положены опубликованные отчеты международной организации по контролю над фродом CFCA (Communications Fraud Control Association) [3], научно-технические работы в этой области. Приводятся примеры угроз информационной безопасности (ИБ), приводящие к фроду. Далее мы будем называть их угрозами фрода.

1. Мошенничество с подпиской (Subscription fraud). Эта форма заключается в том, что злоумышленник подписывается на услугу легальным способом (как правило, не от своего имени). При этом он может поступить следующим образом: а) использует сервис в личных целях, как правило с намерением минимизировать свои затраты или вовсе избежать оплаты; б) предпринимает действия, направленные на извлечение прибыли, например, перепродает услуги. В последнем случае ассоциация CFCA выделяет фрод в отдельный вид – фрод дилера (dealer fraud) [3].

В сетях IP-телефонии (передачи голосовых данных по сетям IP, VoIP) по протоколу SIP защите с помощью механизмов аутентификации от мошенничества с подпиской уделяется большое внимание [4,5].

2. Перехват или кража подписки (Identity take over). Реализуя эту форму фрода, мошенник получает возможность пользоваться услугами от имени легитимного пользователя. Примером такой формы мошенничества может служить компрометация аккаунта (абонента, после чего злоумышленник начинает активное использование услуг за счет владельца скомпрометированного аккаунта (учетной записи пользователя на сервере доступа оператора связи, содержащей набор параметров, необходимых для оказания услуг связи пользователю-владельцу и для тарификации).

 

3. Мошеннический обход (bypass fraud). Выбор неавторизованных маршрутов прохождения сигнализации и/или трафика. Например, операторы связи, стремясь сократить свои расходы по пропуску международного/междугородного трафика через сети транзитных операторов, используют технологию VoIP для незаконной организации прямых IP каналов к операторам-получателям данного трафика, в обход зоновых/междугородных/международных транзитных узлов связи.

Возможен другой вариант реализации этой формы мошенничества, основанный на том, что SIP допускает установление сессий непосредственно между конечными терминалами без участия SIP-прокси (в архитектуре NGN функции SIP-прокси реализуются на софтсвиче) оператора. Такие вызовы не буду фиксироваться оператором, так как SIP-прокси (первоисточник для получения тарификационных данных) оператора не участвует в сигнальном обмене. Используя эту возможность, мошенник может организовать пропуск трафика по сети оператора связи в своих целях. Обнаружить реализацию данного метода мошенничества позволяет анализ данных с различных сетевых устройств, позволяющий выявить аномалии в прохождении трафика.

 

4. В сети сигнализации SIP данный вид фрода может быть реализован путем манипуляции полей From и Contact в сигнальных сообщения протокола [4]. В результате реализации данного вида фрода система тарификации вызовов не сможет правильно тарифицировать данное соединение.

 

5. Фрод распределения дохода между операторами разных стран IRSF (International Revenue Share Fraud). Этот фрод аналогичен DRSF, но предусматривает злонамеренные действия недобросовестного оператора в отношении иностранного оператора-жертвы.

6. Фрод при использовании кредитной карты (Credit Card Fraud). Примером такого фрода для получения услуг в сети IP-телефонии может быть использование мошенником украденной кредитной карты с найденным им PIN-кодом [5].

 

В приведенные выше описания включены формы фрода, которые наносят наибольший ущерб по данным CFCA за 2011 год. Так, по этим данным мошенничество с подпиской составляет 10,8% доли нанесения ущерба по сравнению с другими формами фрода, а фрод распределения дохода между операторами разных стран IRSF – 9,8%. Согласно этому отчету ассоциации по контролю над фродом в сетях связи потери в индустрии связи в 2011 году составили 40,1 миллиарда доллара США, что соответствует 1,88% от общей прибыли отрасли.

 

СПИСОК ЛИТЕРАТУРЫ

 

1. ITU-T Recommendation E.408. Telecommunication Network Security Requirement, 2004.

 

2. Невдяев Л.М. Телекоммуникационные технологии. Англо-русский толковый словарь-справочник. М.: МЦНТИ- Международный центр научной и технической информации, 2002.

3. Communications Fraud Control Association (CFCA). 2011 Global Fraud Loss Survey, www.cfca.org

4. Дэвидсон Д. [и др.]. Основы передачи голосовых данных по сетям IP, 2-изд. М.:Вильямс, 2007.

5. Dorgham Sisalem [and others]. SIP security. – John Wiley & Sons, Ltd., 2009.

6. Драйберг Ли, Хьюит В. Система сигнализации №7 (SS7/ОКС7), протоколы, структура и применение. М.: Вильямс, 2006.

7. Р.А.Бельфер, А.М.Морозов. Информационная безопасность сети связи для соединения абонентов ТфОП/ISDN через SIP-T – Электросвязь. - №3, 2012, стр. 22-25.

8.Гольдштейн Б.С., Ехриель И.М., Рерле Р.Д. Интеллектуальные сети. М.: Радио и связь, 2001.

9. http://www.isaac.cs.berkeley.edu/isaac/gsm.html

10. MA Bihina Bella, MS Olivier and JHP Eloff, "A fraud detection model for Next-Generation Networks," in D Browne (ed), Southern African Telecommunication Networks and Applications Conference 2005 (SATNAC 2005) Proceedings, Vol 1, 321-326, Champagne Castle, South Africa, September 2005, http://mo.co.za/abstract/ngnfms.htm

11. И. Ченнинг. Борьба с мошенничеством продолжается. Мобильные телекоммуникации, 2001, №6, С.23-27.

12. Michael Cahill, Fei Chen, Diane Lambert, José Pinheiro and Don X. Sun, “Detecting Fraud in the Real World”, Handbook of Massive Datasets, Kluewer, 2002..

13. Patrick Park. Voice over IP security. – Cisco Systems, 2009.

14. Sandro Gauci. Storming SIP Security. - Hakin9 - №2, 2008 г. Стр. 22-29, http://hakin9.org

15. R. State [and others]. SIP digest authentication relay attack. http://tools.ietf.org/id/draft-state-sip-relay-attack-00.txt, 2009 г.

 

Требования к способам обеспечения ИБ в сети SIP

 

В настоящем разделе приводятся изложенные в стандарте RFC 3261 [57] основные требования к способам обеспечения ИБ в сетях SIP. Эти требования сводятся к следующим способам ИБ сигнальных сообщений.

• Конфиденциальность сообщений. Запросы и ответы SIP содержат информацию, которая в открытом виде по сети SIP передаваться не должна. Следует учесть, что невозможно обеспечить сквозное шифрование всего заголовка сообщения SIP из конца в конец, так как в них содержатся необходимые для маршрутизации поля адресации (Rout, Request-URI, Via). Передача этих данных в открытом виде представляет так же, как и в примере шифрования в сети передачи данных (глава 2, раздел 5) угрозу анализа трафика. Поэтому должно производиться канальное шифрование/дешифрование, т.е. между ретрансляторами (hop-by-hop). Обратите внимание на отличие от канального шифрования в сети передачи данных в главе 2, которое вызвано различием архитектур выполнения функций сигнализации. В сети SIP используется выделенная сеть сигнализации. Поэтому ИБ рассматривается отдельно для сети сигнализации и для медиапотока. В сети SIP некоторые поля адресации изменяются в транзитных пунктах прокси-серверов, а в приведенном примере сети передачи данных адрес пункта назначения остается неизменным. Тело сообщения SIP может быть зашифровано из конца в конец. В составе тела сообщения с помощью цифрового конверта может быть передан общий ключ шифрования сеанса связи (глава 13).
• Аутентификация участников сеанса. Должна быть проверена подлинность взаимодействующих пользователей сеанса связи и прокси-серверов. Для SDP-тела требуется отдельный механизм взаимной аутентификации.
• Целостность сообщений.
• Защита от атак повтора сообщений.
• Защита от атак фальсификации сообщений.

• Защита от атак DoS.

Отдельного внимания требует обеспечение конфиденциальности, целостности и аутентификация данных в составе тела заголовков сообщений SIP, требующее сквозного обеспечения информационной безопасности между пользователями сеанса связи.

Все механизмы обеспечения ИБ сети SIP в соответствии со стандартом RFC 3261 можно разделить на средства, базирующиеся на протоколы ИБ прикладного, транспортного и сетевого уровней IP-сети.

К таким протоколам прикладного уровня, протоколы ИБ которых используются для защиты от угроз в IP-сети, относятся:

· протокол аутентификации при передаче гипертекста HTTP (Hypertext Transfer Protocol);

· протокол ИБ электронной почты S/MIME (Security/Multipurpouse Internet Mail Extention, стандарты RFC 2632-2634). Этот протокол используется в сети SIP в соответствии с положениями последней версии стандарта по SIP RFC 3261;

· протокол ИБ электронной почты PGP, описание которого приведено в главе 13. Этот протокол использовался в сети SIP в соответствии с положениями предыдущей версии стандарта по SIP (RFC 2543 [58]).

 

В главе 13 приведено описание протоколов ИБ сетевого уровня IPSec и протокола ИБ транспортного уровня TLS.

 

 

Механизмы обеспечения ИБ