CMIMS安全重点问题及解决方案.ppt

中国移动集团重点/联合研发项目结题汇报报告,项目名称：CM-IMS安全重点问题及解决方案 项目编号：,一.开题计划完成情况,目 录,二、主要研究成果（整合后）,蓄意破坏,商业间谍,拒绝服务,物理入侵,骇客,权限盗用,服务盗用,后门,伪源,不满的雇员,终端用户设备安全,业务系统,核心系统,电信网络 IT 网络,网络设备,网络，系统和应用管理安全,1.1 研究背景CM-IMS面临多种安全威胁,1.1 研究目标,对CM-IMS系统不同层次和不同通信域的安全风险和威胁进行系统性研究，定位安全防护需求对关键风险研究相应的解决方案，重点针对安全域的划分和防护、接入安全方案、统一鉴权方案等，并开展测试和试点工作根据研究成果制定CM-IMS系统的安全技术规范,1.2 主要研究内容及分工,福建公司对CM-IMS的核心安全防护展开了研究，通过研究CM-IMS核心系统网络内部的数据流转情况，并对CM-IMS安全威胁进行分析，参考研究结果进行CM-IMS的核心系统进行安全子域的划分。并定义了各安全域之间的访问控制机制。最终的研究成果形成了CM-IMS安全域划分及边界保护技术规范,2010.08系统分析阶段,1,课题准备、资料收集了解网络，IMS系统现状系统调研和IMS各网元信息收集和分析,2010.09至2010.10安全分析和防护研究分析阶段,信息收集与整理，IMS各网元/接口功能，数据交互分析IMS安全保护需求及IMS核心系统安全威胁分析安全威胁验证包括基础设施层评估、通信服务层攻击验证，并对所采取的安全防护措施对IMS系统产生的影响进行验证分析安全保护方案及安全域划分研究,3,2010.11到2010.12汇报阶段,组织汇报和讨论内部评审，修改完善，输出研究成果结题汇报,1.3 开题计划完成情况总结,1.4 课题输出成果,一.开题计划完成情况,目 录,二、主要研究成果（整合后）,2.1 系统威胁分析-各接口安全威胁汇总,非授权登录：利用设备的弱口令通过网管接口访问设备。盗取关键信息（如HSS中的用户注册登录信息）暴力破解：通过黑客工具采用暴力破解的方式猜测登录口令DOS攻击：通过大流量或DOS攻击导致设备的端口/服务不响应，甚至设备瘫痪信令/语音媒体攻击：利用配置的错误，从网管接口发起注册和呼叫,网管接口(MDCN),计费/开通接口(BOSS),非正常登录：未加限制的设备可以通过计费/开通接口登录设备非授权使用：存在的弱口令或漏洞可导致计费文件，开通状态等信息泄漏。DOS攻击：通过大流量或DOS攻击导致设备的端口/服务不响应，甚至设备瘫痪。,业务接口（信令/语音媒体）IP承载网CMNET,非正常登录：未加限制的设备可以通过信令/语音媒体接口登录设备DOS攻击：通过大流量或DOS攻击导致设备的端口/服务不响应，甚至设备瘫痪针对协议的攻击（畸形协议包，SIP DOS)语音媒体攻击：监听或插音业务滥用：利用网络隔离的漏洞绕过SBC从内网发起呼叫和短信,2.1 存在多种入侵途径,2.2 课题研究发现：部署时未区分不同保护需求,终端,PLMN,PSTN,控制/媒体,接入,计费，业务开通,内部网管,CSCF CCF,AS CCF,业务开通,2G/3G,Cable,Other Access,POTS/ISDN,IP networks,SBC,Portal,接入,AS,VIG,Centrex,MMTEL,OSS,BSS,业务前台,Messaging,本地网管,网元的WEB管理界面存在目录浏览漏洞，可以不用登录下载重要系统文件,2.2 课题研究发现：网元的管理界面存在漏洞,2.2 课题研究发现：可从IMS核心网络实现业务盗用在IMS核心内伪造一个消息即可发起呼叫,SIP 180 ring,SIP Invite主叫：A被叫声讯台号码,H.248,黑客,CSCF,MGW,声讯,MGCF,SBC,用户A,SIP 200 ok,应答,SS7,2.2 其它安全课题研究发现,IP伪源,网元无互信,业务混用,IMS核心网络未对IP伪源进行限制,IMS核心内网IP可由呼叫信令泄漏给用户,一些网元的信令控制接口开放了网管协议,CM-IMS研究发现,拓扑泄漏,弱口令,上线调测阶段使用弱口令，可被黑客利用,网元间缺乏互信保护机制，完全依赖IP地址。,缺少监控,IMS核心网络内部缺少安全监控设备，对一些安全攻击行为无法及时发现,每一级防护均有不同的目的防火墙：防护3-4层的安全威胁SBC：防护5-7层的安全威胁，会话媒体控制内部安全域：加强内部网元间的访问控制网元自身:过载保护，接入控制。,2.3 需要采取多级防护机制,2.3 CM-IMS核心系统的安全防护需求,防护手段,2.3 CM-IMS安全域的部署意义,明确建立安全管理控制点，指导CM-IMS核心业务系统未来的安全规划、设计、部署工作；便于实现对关键系统进行重点保护，实施统一的接入互访管理的策略，统一信息安全技术支撑；安全域的分割是抗渗透的防护方式；基于网络和系统进行安全建设的部署依据；安全域边界是灾难发生时的抑制点，防止影响的扩散；,信令控制接口区,2.4 课题成果-IMS核心系统网络接口区定义,信令接口,媒体接口,IMS核心网元,外部网络(Internet,业务网.),AS,S-CSCF,P-CSCF,DNSENUM,媒体网关,MGCF,MRFC/MRFP,HSS,I-CSCF,SBC,计费网关,开通服务器,网管接口,计费/开通接口,媒体传输接口区,网管 接口区,计费/业务开通接口区,CMNET,IP承载网,网管网/MDN,MDCN,2.4 课题成果-IMS核心安全域划分,IMS应用域,控制域,P/I/S-CSCF,MMTEL,IMS,用户会话接入域,IMS数据域,OMS,网管域,计费/业务开通域,核心承载网络,媒体域,通过划分域并实施边界防护来防护对IMS核心层各网络域的攻击，CM-IMS核心系统分为10个安全域。只允许指定的安全子域间互访。从维护方便和安全防护的角度，建议采用部署防火墙防火墙实施安全域间的隔离和边界防护,SBC,HSS,WEB portal,MGW,MRFP,Message,Centrex,CCF,业务开通,网间互联域,SGW,DNS,VIG,会议,应用接入域,MGW,SBC,网管接口,信令接口,计费和业务开通接口,媒体接口,信令控制接口区,2.4 安全域与接口区的关系示意,OSS,LMT,CCF,CSCF,MGCF,AS,DNS,HSS,MRF,业务 开通,MGW,媒体传输接口区,计费和业务开通接口区,网管接口接口区,安全域：会话接入域,媒体传输接口区,信令控制接口区,业务开通/计费接口区,网管接口区,IM-MGW,VIG,MRFP,2.4 安全域边界隔离方式：ACL或防火墙,HSS,业务开通网关,网管系统,Centrex,CTD,网管汇聚交换机,业务开通汇聚交换机,计费汇聚交换机,信令汇聚交换机,媒体汇聚交换机,网管网,MDCN,计费域,计费网关,CMNET,IP承载网,新增防火墙,MGCF,SG,基本访问控制原则：信令控制接口区不允许网管相关协议的流量启用IP伪源检测,2.4 信令控制接口区访问控制策略,CMNET,IP承载网,终端,其它系统,会话接入域,数据域,应用域,信令控制接口区,互联域,控制域,媒体域,应用接入域,基本访问控制原则：媒体传输接口区不允许网管相关协议的流量启用IP伪源检测,2.4 媒体传输接口区访问控制策略,会话接入域,媒体传输接口区,媒体域,CMNET,IP承载网,终端,其它系统,2.4 计费与业务开通接口区访问控制策略,启用URPF功能禁止无用的网管协议数据在媒体各个安全域内的计费网络层传输IMS计费域只能与IMS控制域中的P/S-CSCF的计费网络层IP及IMS应用域，IMS网间互联与进行数据交互。IMS业务开通域中的业务开通服务器只能与IMS控制域，IMS数据域，IMS应用域进行数据交互。,BOSS系统,MDCN,2.4 网管接口区访问控制策略,内部访问控制原则：网管接口区不允许目的端口5060的流量，只允许各安全域访问网管域，不允许其它域间互访。网管接口区边界访问控制原则：只允许网管系统IP访问各安全域，启用IP伪源检测。,网管系统,网管网/MDN,26,结束,谢谢大家！,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,