Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Книга бельфер.docx
Скачиваний:
234
Добавлен:
20.09.2019
Размер:
9.74 Mб
Скачать
        1. Результаты анализа архитектуры сетевой безопасности окс№7 при воздействии атаки DoS процедуры маршрутизации

Кратко сформулируем результаты анализа архитектуры сетевой безопасности ОКС№7 при воздействии атаки DoS процедуры маршрутизации.

  • В результате нелегитимного использования функций сетевого уровня ОКС№7 по обновлению маршрутизации может быть нанесен значительный ущерб в работе сетей связи общего пользования (ТфОП/ЦСИС, СПС стандарта GSM, а также интеллектуальных сетей). Этот ущерб выражается в отказе установления соединении между пользователями (с предоставлением и без предоставления услуг интеллектуальной сети) и может относится одновременно к большому числу пользователей сетями связи общего пользования. Причиной таких последствий являются ложные сообщения обновления таблиц маршрутизации ОКС№7, отправляемые нарушителями.

  • Зависимость риска ИБ от места атаки DoS в иерархической структуре ОКС№7. Структура ОКС№7 Единой сети электросвязи России построена на многоуровневой иерархической структуре в составе ТфОП/ISDN и в составе сети “МТТ” (“Межрегиональный Транзит Телеком”). Из примеров угроз DoS в ОКС№7 следует, что передача злоумышленником фиктивных сообщений обновления маршрутизации управления сетью сигнализации подсистемы передачи сообщений MTP (Message Transfer Part) может привести к различным последствиям нарушения выполнения маршрутизации. Наиболее уязвимыми с этой точки зрения являются участки сети ОКС№7 между пунктами сигнализации смежных уровней иерархии. Последствия атак DoS в ОКС№7 зависят от направления передаваемых злоумышленником сообщений. Передача таких сообщений подсистемы управления сетью сигнализации, как запрещение переноса трафика TFP (Transfer Prohibited) от пункта сигнализации ОКС№7 верхнего уровня иерархии к пункту сигнализации смежного нижнего уровня может приводить к прекращению обработки вызовов от абонентов, обрабатываемых узлом нижнего уровня иерархии.

Приведем пример последствий такой атаки злоумышленника. Для этого достаточно из зоновой АМТС хотя бы в одну из АМТС зоны передать два нелегитимных сообщения TFP о недоступности пункта сигнализации этой зоновой АМТС с двумя соединенными с ней пунктами сигнализации УАК. В результате пользователям этой АМТС зоны прекращается предоставление установления междугородных и международных соединений по исходящим от них вызовам. Передача этих сообщений от пункта сигнализации нижнего уровня иерархии к пункту сигнализации смежного верхнего уровня может приводить к прекращению выполнения функций по установлению соединений для входящих вызовов, обрабатываемых узлом нижнего уровня иерархии.

Если сообщения TFP от пункта сигнализации зоновой АМТС будут переданы в пункты сигнализации двух соединенных с ней УАК о недоступности пункта сигнализации АМТС этой зоны, то прекращается предоставление установления междугородных и международных соединений по входящим вызовам ко всем пользователям этой АМТС зоны.

  • Для абонентов-роумеров сети GSM, требующий выполнение процедур защиты приватных данных их местоположения, риск ИБ из-за атак DoS в ОКС№7 выше по сравнению с абонентами в домашней сети. В результате посылки злоумышленником нелегитимных сообщений обновления маршрутизации для тех абонентов-роумеров гостевой сети, мобильные станции которых не смогли выполнить процедуру регистрации (см. разделы 21.4.3 и 22.2.2) последствия такой атаки DoS выражаются в отказе установления входящих и исходящих соединений. Это может иметь место при прекращении функционирования маршрута ОКС№7 между VLR, который ранее обслуживал данную MS абонента-роумера, и текущим VLR. При большом удалении их друг от друга по сети ОКС№7 и при пересечении нескольких уровней иерархии показатель риска, выраженный вероятностью атаки DoS выше для MS абонентов-роумеров. Другой показатель риска, (последствие атаки) при отказе в регистрации MS и отказе принятия на обслуживание гостевой сетью для абонентов-роумеров хуже, чем при отказе на установление или прием вызовов. При вызове удаленных от домашней сети абонентов-роумеров величина риска ИБ также может быть выше по характеристикам вероятности и последствий [76].

  • Способ обеспечения ИБ «целостность данных» вместе с аутентификацией (подлинностью источника сообщений являются основными средствами защиты от этих угроз DoS ОКС№7, гарантируя при этом подлинность источника сообщений между пунктами сигнализации, а также то, что эти сообщения не были созданы или заменены злоумышленником.

  • Угрозам DoS ОКС№7 потенциально подвержены как абоненты фиксированной сети ТфОП/ISDN, так и пользователи мобильных станций сети GSM.

  • Угрозы DoS ОКС№7 проявляются при фальсификации сообщений обновления маршрутизации подсистемы MTP3 и SCCP сетевого уровня ОКС№7.

  • Реализация угроз DoS ОКС№7 может иметь место в результате фальсификации сообщений обновления маршрутизации между всеми смежными пунктами сигнализации.

  • Нарушению маршрутизации от воздействия угроз DoS ОКС№7 подвержены смежные пункты сигнализации ОКС№7 с пунктом сигнализации, являющимся источником этих фальсифицированных сообщений обновления маршрутизации. Местом локализации при тестировании, а также местом защиты от воздействия угрозы являются эти пункты сигнализации.

Риск при реализации угроз DoS ОКС№7 в результате фальсификации указанных сообщений подсистем MTP3 и SCCP отражается на пользователях сетями ОП (ТфОП/ISDN, GSM, IN) в части:

  • отказа в установлении соединения;

  • отказа в предоставлении всех или определенных услуг интеллектуальной сети;

  • ухудшения качества обслуживания.

Риск при реализации угроз DoS ОКС№7 может относится к следующим соединениям:

а) в ТфОП/ISDN – международным, междугородним или местным;

б) в GSM – внутри одного региона страны, между разными регионами страны, между мобильными абонентами разных стран;

в) между абонентами ТфОП/ISDN и абонентами GSM;

г) в сети GSM мобильных абонентов домашней и абонентов-раумеров.

д) в сети связи (см. глава 18) IP-телефонии для соединений абонентов ТфОП/ISDN через протокол SIP-T [77].

Заинтересованными в защите от угроз DoS ОКС№7 являются:

    • пользователи в отношении доверия к сети и услугам, предоставляемым конкретным оператором/поставщиком услуг;

    • операторы сетей и поставщики услуг в обеспечении защиты своих эксплуатационных и коммерческих интересов, в выполнении своих обязательств перед населением;

    • органы государственной власти в выполнении директив и законов с тем, чтобы обеспечить готовность предоставления услуг и добросовестную конкуренцию.

В то же время следует отметить на наличие на сети ТфОП России большого количества коммутационного оборудования зарубежных производителей, что делает сложной задачу использования на эксплуатируемой сети механизмов аутентификации от таких атак DoS в ОКС№7. По прошествии более 20 лет после разработки, спецификации и реализации ОКС№7 можно было бы ожидать, что процедуры сетевого уровня работают хорошо. Однако один из разработчиков стандартов ITU-T на ОКС№7 (в работе [78], с. 2) отмечает случаи прекращения функционирования отдельных сегментов ТфОП по разным причинам недостаточной информационной безопасности подсистемы сетевого уровня системы сигнализации. В качестве объяснения этому указывается на сложности проблем, которые не позволили группе специалистов ITU-T успешно их решить.