Документ описывает эволюцию безопасности сетей связи от SS7 к IP, подчеркивая увеличение сложности атак и угроз в современных технологических сетях. Обсуждаются недостатки текущих практик безопасности, включая отсутствие процессов для устранения уязвимостей и недобросовестный аутсорсинг. Приводится план по контролю защищенности сетей и разработке стандартов безопасности для телеком оборудования.

1. От SS7 к IP –
эволюция безопасности
сетей связи
Константин Гурзов,
kgurzov@ptsecurity.ru,
Positive Technologies

2. Как это было…

3. Теперь все посложнее…
УПРАВЛЕНИЕ
СЕРВЕРЫ
ПРИЛОЖЕНИЙ
PSTN
IP-СЕТИ
VoIP ОКОНЕЧНЫЕ
УСТРОЙСТВА
ТРАНСПОРТ
ПОГРАНИЧНЫЕ
УСТРОЙСТВА
INTERNET
ЛВС ФИЛИАЛЫ

4. Вчера
• Специализированные системы и протоколы
• Разделение сетей
• Сложность реализации атак
SS7 IP
Мобильная сеть ШПД
IP
SS7/IP
IT
Фиксированная сеть
Технологические сети

5. Сегодня
Welcome в мир ИБ!!!
(ежедневные новые уязвимости, хакеры, трояны и т.д.)
• Стандартные платформы и протоколы
• Объединение сетей + доступность из Интернет
IP-угрозы - актуальны для тех. сетей
SIP/IMS IP
Мобильная сеть ШПД
IP
Транспортная сеть
IP SIP/IMS
Фиксированная сеть
IT сеть
Конвергентная IP сеть

6. А еще…
В технологических сетях часто нет процессов:
устранения уязвимостей в ПО и настройках оборудования
регулярного обновления ПО и установки патчей
нет четких согласованных стандартов конфигураций для
критичного оборудования
бесконтрольный аутсорсинг
нет средств контроля
Отсутствуют процессы Vulnerability and Compliance Management
В 2011 г. совокупные убытки от деятельности
киберпреступников и телефонных мошенников оценены в
$388 млрд в год.*
*По данным Norton Cybercrime Report 2011

7. Наши цели
В рамках контроля защищенности тех. сетей:
создание процесса контроля соответствия стандартам
обеспечение адекватного уровня ИБ
повышение эффективности ИБ
Создание централизованного механизма
анализа уровня защищенности в
технологических сетях

8. 2 основные задачи
1. Контроль защищенности распространенных ИС в тех.
сетях
2. Контроль защищенности специализированных ИС в
тех. сетях

9. Контроль защищенности распространенных ИС
Не только ИБ заинтересовано в контроле конфигураций!
Адаптация существующих стандартов
• Cisco IOS, Solaris, Linux и др. + VoIP-сегмент – Cisco CM
Согласование адаптированных версий
Организация процесса контроля конфигураций

10. Уязвимости Cisco Call Manager 6 в режиме Audit
Уязвимость позволяет
атакующему выполнить
произвольный код

11. Контроль защищенности специализированных
устройств
Доработана система MaxPatrol
Реализованы стандарты ИБ и определение устройства в
режиме инвентаризации для
Huawei
• Node B
• RNC
В ближайшее время
Ericsson
• Node B
• RNC
Cisco SGSN/GGSN на базе ASR5000

12. Определение 3G базовой станции
Определение
Huawei NodeB по
протоколу MML

13. Подбор пароля к 3G базовой станции
Login: admin
Password: 1111111

14. Стандарты конфигураций специализированного
оборудования
Примеры предъявляемых требований:
Парольная политика
• Пароль по умолчанию, длина, сложность и т.д.
Безопасный обмен данными
• ACL, SSl-шифрование
Централизованная регистрация событий
• Сервер регистрации, уровень критичности и т.п.

15. Почему так важно защищать - выводы и перспективы
Быстрое наращивание мобильной сети:
• безопасность и оптимальность дизайна сетей,
инвентаризация оборудования, разделение зон и т.д.
• контроль настроек с точки зрения безопасности и
мошенничества
Возрастающая нагрузка на транспортную сеть
(неоптимальные/небезопасные настройки)
Строительство сетей в регионах при слабом контроле из
центра
Присоединение сетей приобретаемых компаний
с более низким уровнем безопасности
(угрозы перекочевывают вместе с ними)

16. Позитивные предложения от Positive Technologies
Год назад создан центр компетентности в рамках
Positive Research
Дальнейшая разработка стандартов ИБ для телеком
оборудования (HLR, MSC, VAS-платформы и т.д.)
Уже сейчас новые услуги для наших клиентов:
• Аудит и тест на проникновение VoIP-сегмента
• Адаптация стандартов ИБ, разработка новых в рамках тех.
сетей

17. Reference
В настоящий момент завершается
первый этап проекта
«Контроль защищенности
технологических сетей
ОАО «ВымпелКом»»

18. Спасибо!
Вопросы?
Константин Гурзов,
kgurzov@ptsecurity.ru,
Positive Technologies