《CMIMS安全重点问题及解决方案》由会员分享,可在线阅读,更多相关《CMIMS安全重点问题及解决方案(27页珍藏版)》请在金锄头文库上搜索。
1、中国移动集团重点中国移动集团重点/ /联合研发项目联合研发项目结题汇报报告结题汇报报告项目名称:项目名称: CM-IMSCM-IMS安全重点问题及解决方案安全重点问题及解决方案 项目编号:项目编号:第2页一一一一. . . . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第3页蓄意破坏蓄意破坏商业间谍商业间谍拒绝服务拒绝服务物理入侵物理入侵骇客骇客权限盗用权限盗用服务盗用服务盗用后门后门伪源伪源不满的雇员不满的雇员终端用户设备终端用户设备安全安全业务系统业务系统核心系统核心系统电信网络电信网络 IT 网络网络网络设备网络设备网络,系统和网络,系
2、统和应用管理安全应用管理安全1.1 1.1 研究背景研究背景CM-IMSCM-IMS面临多种安全威胁面临多种安全威胁第4页1.1 1.1 研究目标研究目标u对CM-IMS系统不同层次和不同通信域的安全风险和威胁进行系统性研究,定位安全防护需求u对关键风险研究相应的解决方案,重点针对安全域的划分和防护、接入安全方案、统一鉴权方案等,并开展测试和试点工作u根据研究成果制定CM-IMS系统的安全技术规范第5页1.2 1.2 主要研究内容及分工主要研究内容及分工 福建公司对CM-IMS的核心安全防护展开了研究,通过研究CM-IMS核心系统网络内部的数据流转情况,并对CM-IMS安全威胁进行分析,参考研
3、究结果进行CM-IMS的核心系统进行安全子域的划分。并定义了各安全域之间的访问控制机制。最终的研究成果形成了CM-IMS安全域划分及边界保护技术规范第6页2010.08系统分析阶段1课题准备、资料收集了解网络,IMS系统现状系统调研和IMS各网元信息收集和分析22010.09至2010.10安全分析和防护研究分析阶段信息收集与整理,IMS各网元/接口功能,数据交互分析IMS安全保护需求及IMS核心系统安全威胁分析安全威胁验证包括基础设施层评估、通信服务层攻击验证,并对所采取的安全防护措施对IMS系统产生的影响进行验证分析安全保护方案及安全域划分研究32010.11到2010.12汇报阶段组织汇
4、报和讨论内部评审,修改完善,输出研究成果结题汇报1.3 1.3 开题计划完成情况总结开题计划完成情况总结第7页 通过划分安全域,可以降低IMS核心网内安全攻击的风险。降低降低安全安全风险风险 通过划分IMS核心系统内部安全域,明确了各个安全域和接口区,为实施有针对性安全防护打下基础。防护防护 基础基础 在课题成果中,给出了华为,Cisco网络设备中采用ACL方式进行安全域划分的操作建议。可操作可操作1.4 1.4 课题输出成果课题输出成果第8页一一. . 开题计划完成情况开题计划完成情况目目 录录二、主要研究成果(整合后)二、主要研究成果(整合后)第9页2.1 2.1 系统威胁分析系统威胁分析
5、- -各接口安全威胁汇总各接口安全威胁汇总非授权登录:利用设备的弱口令通过网管接口访问设备。非授权登录:利用设备的弱口令通过网管接口访问设备。盗取关键信息(如盗取关键信息(如HSS中的用户注册登录信息)中的用户注册登录信息)暴力破解:通过黑客工具采用暴力破解的方式猜测登录口令暴力破解:通过黑客工具采用暴力破解的方式猜测登录口令DOS攻击:通过大流量或攻击:通过大流量或DOS攻击导致设备的端口攻击导致设备的端口/服务不响应,甚至设备瘫痪服务不响应,甚至设备瘫痪信令信令/语音媒体攻击:利用配置的错误,从网管接口发起注册和呼叫语音媒体攻击:利用配置的错误,从网管接口发起注册和呼叫网管接口(MDCN)
6、计费/开通接口(BOSS)非正常登录:未加限制的设备可以通过计费非正常登录:未加限制的设备可以通过计费/ /开通接口登录设备开通接口登录设备非授权使用:存在的弱口令或漏洞可导致计费文件,开通状态等信息泄漏。非授权使用:存在的弱口令或漏洞可导致计费文件,开通状态等信息泄漏。DOSDOS攻击:通过大流量或攻击:通过大流量或DOSDOS攻击导致设备的端口攻击导致设备的端口/ /服务不响应,甚至设备瘫痪。服务不响应,甚至设备瘫痪。业务接口(信令/语音媒体)IP承载网CMNET非正常登录:未加限制的设备可以通过信令非正常登录:未加限制的设备可以通过信令/ /语音媒体接口登录设备语音媒体接口登录设备DOS
7、DOS攻击:通过大流量或攻击:通过大流量或DOSDOS攻击导致设备的端口攻击导致设备的端口/ /服务不响应,甚至设备瘫痪服务不响应,甚至设备瘫痪针对协议的攻击(畸形协议包,针对协议的攻击(畸形协议包,SIP DOS)SIP DOS)语音媒体攻击:监听或插音语音媒体攻击:监听或插音业务滥用:利用网络隔离的漏洞绕过业务滥用:利用网络隔离的漏洞绕过SBCSBC从内网发起呼叫和短信从内网发起呼叫和短信第10页2.1 2.1 存在多种入侵途径存在多种入侵途径第11页2.2 2.2 课题研究发现:部署时未区分不同保护需求课题研究发现:部署时未区分不同保护需求终端终端PLMNPSTN控制控制/媒体媒体接入接
8、入计费,业务开通计费,业务开通内部网管CSCF CCFAS CCF业务开通Broadband互联MGCFMGW2G/3GCableOther AccessPOTS/ISDNFixedSIP PhonePCIAD PhoneTVMobileMultiradioUMASIPIP networksSBCPortal接入HSSIMSCSCFPCSASVIGCentrexMMTELOSSBSS业务前台Messaging本地网管本地网管第12页网元的WEB管理界面存在目录浏览漏洞,可以不用登录下载重要系统文件2.2 2.2 课题研究发现:网元的管理界面存在漏洞课题研究发现:网元的管理界面存在漏洞第13页2
9、.2 2.2 课题研究发现:可从课题研究发现:可从IMSIMS核心网络实现业务盗用核心网络实现业务盗用在在IMSIMS核心内伪造一个消息即可发起呼叫核心内伪造一个消息即可发起呼叫SIP180ringSIPInvite主叫:A被叫声讯台号码H.248黑客黑客CSCFMGW声讯声讯MGCFSBC用户用户ASIP200ok应答SS7第14页2.2 2.2 其它安全课题研究发现其它安全课题研究发现IPIP伪源伪源网元无互信网元无互信业务混用业务混用IMS核心网络未对核心网络未对IP伪源进行限制伪源进行限制IMS核心内网核心内网IP可由呼叫信令泄漏给用户可由呼叫信令泄漏给用户一些网元的信令控制接口开放了
10、网管协议一些网元的信令控制接口开放了网管协议CM-IMS研研究究发发现现拓扑泄漏拓扑泄漏弱口令弱口令上线调测阶段使用弱口令,可被黑客利用上线调测阶段使用弱口令,可被黑客利用网元间缺乏互信保护机制,完全依赖网元间缺乏互信保护机制,完全依赖IP地地址。址。缺少监控缺少监控IMS核心网络内部缺少安全监控设备,对核心网络内部缺少安全监控设备,对一些安全攻击行为无法及时发现一些安全攻击行为无法及时发现第15页Threats每一级防护均有不同的目的1.防火墙:防护3-4层的安全威胁2.SBC:防护5-7层的安全威胁,会话媒体控制3.内部安全域:加强内部网元间的访问控制4.网元自身:过载保护,接入控制。2.
11、3 2.3 需要采取多级防护机制需要采取多级防护机制第16页2.3 CM-IMS2.3 CM-IMS核心系统的安全防护需求核心系统的安全防护需求自身脆弱自身脆弱性性帐户信息帐户信息窃取窃取内部业务内部业务滥用滥用补丁,软件升级,补丁,软件升级,功能启用功能启用防护防护手段手段访问访问控制控制策略策略流量流量分离分离DOS/DDOSDOS/DDOS攻击攻击网元网元软件软件配置配置加强加强网元网元互信互信机制机制防火墙,防火墙,IDSIDS,异,异常流量监控常流量监控安全域划分、部安全域划分、部署,及边界防护署,及边界防护存在的威胁存在的威胁防护手段防护手段解决方案解决方案第17页2.3 CM-I
12、MS2.3 CM-IMS安全域的部署意义安全域的部署意义明确建立安全管理控制点,指导CM-IMS核心业务系统未来的安全规划、设计、部署工作;便于实现对关键系统进行重点保护,实施统一的接入互访管理的策略,统一信息安全技术支撑;安全域的分割是抗渗透的防护方式;基于网络和系统进行安全建设的部署依据;安全域边界是灾难发生时的抑制点,防止影响的扩散;第18页信令控制信令控制接口区接口区2.4 2.4 课题成果课题成果-IMS-IMS核心系统网络接口区定义核心系统网络接口区定义信令接口信令接口媒体接口媒体接口IMS核心网元核心网元外部网络外部网络 (Internet, 业务网业务网.)ASASS-CSCF
13、S-CSCFP-CSCFP-CSCFDNSDNSENUMENUM媒体媒体网关网关MGCFMGCFMRFC/MRFC/MRFPMRFPHSSHSSI-CSCFI-CSCFSBCSBC计费计费网关网关开通开通服务器服务器网管接口网管接口计费计费/开通接口开通接口媒体传输媒体传输接口区接口区网管网管 接接口区口区计费计费/业务开业务开通接口区通接口区CMNETIP承载网承载网网管网网管网/MDNMDCN第19页2.4 2.4 课题成果课题成果-IMS-IMS核心安全域划分核心安全域划分MGCFIMS应用域应用域控制域控制域P/I/S-CSCFMMTELIMS用户会话接入域用户会话接入域IMSIMS数
14、据域数据域OMS网管域网管域计费计费/业务开通域业务开通域核心承载网络核心承载网络 媒体域媒体域通过划分域并实施边界防护来防护对IMS核心层各网络域的攻击,CM-IMS核心系统分为10个安全域。只允许指定的安全子域间互访。从维护方便和安全防护的角度,建议采用部署防火墙防火墙实施安全域间的隔离和边界防护SBCHSSWEB portalMGWMRFPMessageCentrexCCF业务开通网间互联域网间互联域SGWDNSVIG会议应用接入域应用接入域第20页MGWSBCSBC网管接口信令接口计费和业务开通接口媒体接口信令控制接口区2.4 2.4 安全域与接口区的关系示意安全域与接口区的关系示意O
15、SSLMTCCFCSCFMGCF ASDNSHSSMRF业务业务 开通开通MGW媒体传输接口区计费和业务开通接口区网管接口接口区安全域:安全域:会话接入域会话接入域第21页媒体传输接口区媒体传输接口区信令控制接口区信令控制接口区业务开通业务开通/计费接口区计费接口区网管接口区网管接口区媒体域媒体域IM-MGWVIGMRFP2.4 2.4 安全域边界隔离方式:安全域边界隔离方式:ACLACL或防火墙或防火墙数据域数据域HSS业务开通域开通域业务开开通网关通网关网管域网管域网管网管系系统应用域用域CentrexCTD网管汇聚交换机业务开通汇聚交换机计费汇聚交换机IP专网IMS业务IP专网媒体业务网
16、管业务计费&业务开通业务用户接入业务信令汇聚交换机媒体汇聚交换机网管网网管网MDCN 计费域域计费网关网关CMNETIP承载网承载网新增防火墙会会话接入域接入域 SBC控制域控制域P-CSCFI/S-CSCFDNS /ENUM应用接入域用接入域 WEB Portal网网间互互联域域MGCFSG第22页基本访问控制原则:信令控制接口区不允许网管相关协议的流量启用IP伪源检测2.4 2.4 信令控制接口区访问控制策略信令控制接口区访问控制策略CMNETIP承载网承载网终端终端其它其它系统系统会话接入域会话接入域数据域数据域应用域应用域信令控制接口区信令控制接口区互联域互联域控制域控制域媒体域媒体域
17、42153应用接入域应用接入域67第23页基本访问控制原则:媒体传输接口区不允许网管相关协议的流量启用IP伪源检测2.4 2.4 媒体传输接口区访问控制策略媒体传输接口区访问控制策略会话接入域会话接入域媒体传输接口区媒体传输接口区媒体域媒体域CMNETIP承载网承载网终端终端其它其它系统系统12第24页2.4 2.4 计费与业务开通接口区访问控制策略计费与业务开通接口区访问控制策略启用URPF功能禁止无用的网管协议数据在媒体各个安全域内的计费网络层传输IMS计费域只能与IMS控制域中的P/S-CSCF的计费网络层IP及IMS应用域,IMS网间互联与进行数据交互。IMS业务开通域中的业务开通服务
18、器只能与IMS控制域,IMS数据域,IMS应用域进行数据交互。数据域数据域应用域应用域计费与业务开通接口区计费与业务开通接口区互联域互联域控制域控制域计费域计费域业务开通业务开通域域BOSS系统系统MDCN123456第25页2.4 2.4 网管接口区访问控制策略网管接口区访问控制策略内部访问控制原则:网管接口区不允许目的端口5060的流量,只允许各安全域访问网管域,不允许其它域间互访。网管接口区边界访问控制原则:只允许网管系统IP访问各安全域,启用IP伪源检测。网管域网管域会话和应用接入会话和应用接入域域数据域数据域应用域应用域网管接口区网管接口区互联域互联域控制域控制域计费域计费域业务开通
19、业务开通域域媒体域媒体域网管网管系统系统网管网网管网/MDN1111111112第26页26结束结束谢谢大家!第27页MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12K
20、HL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7o
21、W9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX
