《ngn 攻防技术研究》由会员分享,可在线阅读,更多相关《ngn 攻防技术研究(24页珍藏版)》请在金锄头文库上搜索。
1、NGN攻防技术研究目录NGN攻防技术研究1一前言3二NGN功能描述32.1 NGN功能描述32.2 IMS结构描述42.3 NGN特点5三NGN安全脆弱性分析73.1 NGN网络架构73.2 网元83.3 协议实现脆弱性83.4 管理93.5 通信需求9四NGN威胁和攻击方法研究94.1 NGN威胁描述104.2 NGN攻击描述14五NGN安全防御185.1 X.805端到端安全模型195.2 组网安全205.3 边界安全215.4 接入安全215.5 安全管理215.6 NGN安全模型22六结束语24一前言随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的
2、挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅仅是行业问题,而且是一个社会问题以及包括多学科系统安全工程的问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。作为下一代通信网络,是未来信息传递的主要载体,因此在研究中安全将是最重要的课题之一。本报告在介绍NGN功能结构的基础上,从NGN安全威胁分析、NGN攻击方法研究以及NGN安全防御等几方面全面分析了NGN中可能的攻击方式,并对NGN安全防御给出了一些建设性的意见。二NGN功能描述NGN(Next Generation N
3、etwork)即下一代网络,这里特指下一代电信网络。ITU-T 2004年2月定义NGN是基于分组的网络;能够提供包括电信业务在内的多种业务;在业务相关功能与下层传送相关功能分离的基础上,能够利用多种宽带能力、有QoS支持能力的传送技术;能够为用户提供到多个运营商的无限制接入;能够支持普遍的移动性,确保用户的一致的、普遍的业务提供能力。2004年6月ITU-T FGNGN的第一次会议上已经确定了将IMS作为NGN核心网基于SIP会话的子系统的基本架构。2.1 NGN功能描述下图1显示了NGN功能结构。根据ITU-T Y.2011,NGN功能分成服务层功能和传输层功能。图1中的盒子代表功能组。在
4、功能组之间的控制链接代表高层逻辑交互。NGN支持通过应用功能和服务控制功能实现端用户服务的分发。在服务层中,又定义了应用层和服务层;在传输层中,同样了定义分组层(Package Layer)和链路层。l 应用层应用层关注由服务提供商提供的基于网络的应用。这些应用可能包括Web浏览,Email,基本文件传输应用等。还包括第三方服务提供商提供的各种服务,包括语音、视频、文本、聊天等多媒体业务。l 服务层服务层关注服务提供商提供给客户的各种服务。这些服务包括域名服务,增值服务、Qos等。安全层的安全应用是用来保护服务提供商和客户的。l 分组层(Package Layer)分组层关注网络设备发出的用来
5、承载传输信息的数据包流。对于NGN来说,IP会成为主要的为端用户提供NGN服务和传统业务的协议。l 链路层链路层关注直接连接的网络设备之间的帧数据传输。链路层的主要功能就是把传输设备看成一条线,而不关注上层的传输错误。它通过使用链路层发射器(Sender)来实现这个功能:把输入数据分成帧(一般是几百字节),连续地传输帧,处理接收器发送的认可帧。2.2 IMS结构描述IP多媒体子系统(IMS)是IP多媒体和电话的核心网络,它是接入独立的。3GPP、欧洲电信标准协会(ETSI)和Parlay论坛描述了它的基本结构。IMS框架中定义的网元包括服务呼叫会话控制功能(S-CSCF)、代理呼叫会话控制功能
6、(P-CSCF)、查询呼叫会话控制功能(I-CSCF)、媒体网关控制功能(MGCF)、归属用户服务器(HSS)、签约定位功能(SLF)、安全网关(SEG)等,还有实现多方会议的媒体资源功能控制器(MRFC)和媒体资源功能处理器(MRFP)等功能实体。具体如下图2所示:P-CSCF是UE接入IMS系统的入口,实现了在SIP协议中的Proxy和User Agent功能。S-CSCF在IMS核心网中处于核心的控制地位,负责对UE的注册鉴权和会话控制,执行针对主叫端及被叫端IMS用户的基本会话路由功能,并根据用户签约的IMS触发规则,在条件满足时进行到应用服务器(AS)的增值业务触发及业务控制交互。I
7、-CSCF在IMS核心网中起到关口节点的作用,提供本域用户服务节点分配、路由查询以及不同IMS域间拓扑隐藏等功能。确定哪个S-CSCF为用户提供服务就是I-CSCF通过HSS配置及各种组合条件决定的。归属用户服务器(HSS)是用户数据库系统,存放着用户的认证信息、用户的业务信息、用户的漫游信息等。HSS也用来记录用户的原始计费数据,并提供给分拣系统出账单。在注册和会话建立期间,签约定位功能(SLF)将被I-CSCF查询,SLF向I-CSCF提供存储用户具体数据的HSS的名字。IMS增加了4个新的功能实体,媒体网关控制功能(MGCF)、IP多媒体网关功能(1M-MGW)、出口网关控制功能(BGC
8、F)以及信令网关功能(SGW) 实现呼叫经过分组交换域(PS)正确到达使用电路交换(CS)的PSTN。IM-MGW可以终止来自电路交换网的承载信道和来自分组网的媒体流,同时支持媒体转换、承载控制和负荷处理。MGCF控制IM-MGW中的媒体信道的连接,负责与S-CSCF通信,并提供ISUP协议和IMS呼叫控制协议SIP间的转换。SGW完成传输层的信令转换,把基于SS7的信令与基于IP的信令进行转换。BGCF用于选择与PSTN接口点相连的网络。如果BGCF发现自己所在的网络与接口点相连,那么BGCF就选择一个MGCF,由该MGCF负责与PSTN的交互。多方会议-媒体资源功能处理器(MRFP)和媒体
9、资源功能控制器(MRFC)支持多方多媒体会议,并能体现媒体资源(例如,语音提示功能)的实际能力。MRFP处理和混合实际的媒体流,MRFC控制MRFP的媒体流资源。2.3 NGN特点NGN网络有以下几个特点1) 开放分布式网络结构采用业务与呼叫控制分离、呼叫控制与承载分离技术,实现开放分布式网络结构,使业务独立于网络。通过开放式协议和接口,可灵活、快速地提供业务,个人用户可自己定义业务特征,而不必关心承载业务的网络形式和终端类型。 2) 高速分组化核心承载核心承载网采用高速包交换网络,可实现电信网、计算机网和有线电视网三网融合,同时支持语音、数据、视频等业务。 3) 独立的网络控制层网络控制层采
10、用独立开放的计算机平台,将呼叫控制从媒体网关中分离出来,通过软件实现基本呼叫控制功能,包括呼叫选路、管理控制和信令互通,使业务提供者可自由结合承载业务与控制协议,提供开放的API接口,从而可使第三方快速、灵活、有效地实现业务提供4) 网络互通和网络设备网关化通过接入媒体网关、中继媒体网关和信令网关等网关,可实现与PSTN、PLMN、IN、Internet等网络的互通,有效地继承原有网络的业务。5) 多样化接入方式普通用户可通过智能分组话音终端、多媒体终端接入,通过接入媒体网关、综合接入设备(IAD)来满足用户的语音、数据和视频业务的共存需求。 6) 通用移动性通用移动性是指用户可以从任何地方的
11、任何接入点和接入终端获得在该环境下可能得到的业务(包括第三方提供的业务),不论在何处接入,用户有着相同的业务感受和操作,这些接入能力仅受所在网络的条件或需要事先预约的限制。这也意味着通信实现个人化,用户可以只使用同一个地址便可实现在不同位置不同的终端上接入不同的业务,至于在哪一种终端上接受和发出呼叫则基于用户的习惯和其当前所处状态。图1 NGN功能结构图2 IMS结构三NGN安全脆弱性分析基于IP技术的NGN在继承IP网络的脆弱性的同时,由于其接入的多样性、服务的开放性和集中管理等特点,给NGN带来了严重的安全威胁。本部分将从网络架构、网元、协议实现、管理以及通信需求等方面详细分析NGN安全脆
12、弱性。3.1 NGN网络架构NGN网络的接入多样性即NGN支持多种方式的接入,包括宽带接入,无线接入,互联网接入,ISDN接入、PSTN接入等。这种多样性的接入特别是具有诸多安全脆弱性的互联网的接入,使得NGN网络继承了互联网所有可能的脆弱性和安全威胁,使NGN面临着更多的安全威胁。同时各种网关和IAD的引入搭起了具有诸多不安全因素的互联网和可能具有很大脆弱性的SS7信令网络的桥梁,使得信令网络的脆弱性充分暴露出来。随着电信网络的封闭性被突破,电信网络固有的安全免疫性差的弱点可能被攻击者充分利用,电信网中原来可信的接入方(比如集团用户)也可能被不可信的互联网用户控制。NGN已经采用3GPP提出
13、的IMS(IP Multimedia Subsystem,IP多媒体子系统)体系,在IMS体系中,CSCF(Call Session Control Functions,呼叫会话控制功能)功能体系集中完成管理和呼叫控制,因此CSCF实体必须直接面对各种不同的用户,这在一定程度上是NGN网络的一个安全隐患,也是黑客攻击NGN网路的一个主要目标。如果CSCF实体的安全保护措施不到位,则CSCF实体可能会成为NGN网络安全的瓶颈,恶意攻击者可能通过对CSCF实体的攻击达到全网致瘫的目的。3.2 网元网元是指网络中所有独立的物理设备实体,在NGN中包括所有的数据通信设备,NGN设备、网管设备、以及各种
14、用户终端和操作维护终端。网元的安全威胁主要来自于设备自身,如操作系统没有及时打补丁、使用弱口令、开放没有使用的端口、防火墙配置不当等,几乎百分之八十的安全事故是由于网元自身不健壮而存在的安全漏洞所引起的。网元可能面临的安全威胁包括系统宕机、重启、服务拒绝或者服务异常、感染病毒蠕虫、入侵、被安装木马或者僵尸程序等。3.3 协议实现脆弱性协议实现脆弱性指网络中互相通信的协议本身存在的安全方面的不健全和协议实现中存在的漏洞问题。比较典型的协议漏洞为TCP/IP中的存在可能被SYNflood攻击的漏洞。在NGN中,包含多种多样的协议,主要的协议包括H.248、SIP、MGCP、H.323、BICC、S
15、IGtran等。每种协议都存在大量服务请求拒绝服务攻击。其中SIP、MGCP、H.248和RAS尤其重要,因为它们支持UDP承载,数据包不需要建立连接,所以发起UDPflood非常容易。尤其是SIP协议还不是很完善,采用明文传输,通信内容很容易被窃听或篡改。虽然采用了HTTP的认证方式,但是这种认证方式是单向认证,很容易冒充服务器进行各种欺骗等。另外在NGN网络中协议解码漏洞将是比较普遍的一个安全脆弱性,对于采用ASN.1描述语言描述的协议,由于描述的复杂性,很容易造成协议实现的漏洞。这在H.248和H.323更为明显,其他的协议也存在类似这方面的问题。3.4 管理俗话说“三分技术,七分管理”,因此一个网络系统管理的好坏直接影响系统的安全。千里之堤,溃于蚁穴,配置再完善的防火墙、功能 再强大的入侵检测系统、结构再复杂的系统密码也挡不住内部人员从网管背后的一瞥。“微软被黑案”的事例证明,当前网络最大的安全漏洞来自内部管理的不严密。具体可以体现在以下几方面: 缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。 对网络的安全现状
