Upload
positive-hack-days
View
5.856
Download
1
Embed Size (px)
Citation preview
От SS7 к IP – эволюция безопасности
сетей связи
Константин Гурзов,
Positive Technologies
Как это было…
Теперь все посложнее…
ТРАНСПОРТ
СЕРВЕРЫ
ПРИЛОЖЕНИЙ
УПРАВЛЕНИЕ
ОКОНЕЧНЫЕ
УСТРОЙСТВА ПОГРАНИЧНЫЕ
УСТРОЙСТВА
PSTN
IP-СЕТИ
INTERNET
ЛВС ФИЛИАЛЫ
VoIP
Вчера
• Специализированные системы и протоколы
• Разделение сетей
• Сложность реализации атак
IT
IP
Технологические сети
Мобильная сеть
SS7
ШПД
IP
Фиксированная сеть
SS7/IP
Сегодня
Welcome в мир ИБ!!! (ежедневные новые уязвимости, хакеры, трояны и т.д.)
• Стандартные платформы и протоколы
• Объединение сетей + доступность из Интернет
IP-угрозы - актуальны для тех. сетей
Конвергентная IP сеть
Мобильная сеть
SIP/IMS
ШПД
IP
Фиксированная сеть
SIP/IMS IP
IT сеть
Транспортная сеть
IP
А еще…
В технологических сетях часто нет процессов:
устранения уязвимостей в ПО и настройках оборудования
регулярного обновления ПО и установки патчей
нет четких согласованных стандартов конфигураций для критичного оборудования
бесконтрольный аутсорсинг
нет средств контроля
Отсутствуют процессы Vulnerability and Compliance Management
В 2011 г. совокупные убытки от деятельности киберпреступников и телефонных мошенников оценены в
$388 млрд в год.*
*По данным Norton Cybercrime Report 2011
В рамках контроля защищенности тех. сетей:
создание процесса контроля соответствия стандартам
обеспечение адекватного уровня ИБ
повышение эффективности ИБ
Наши цели
Создание централизованного механизма анализа уровня защищенности в
технологических сетях
2 основные задачи
1. Контроль защищенности распространенных ИС в тех. сетях
2. Контроль защищенности специализированных ИС в тех. сетях
Контроль защищенности распространенных ИС
Не только ИБ заинтересовано в контроле конфигураций!
Адаптация существующих стандартов
• Cisco IOS, Solaris, Linux и др. + VoIP-сегмент – Cisco CM
Согласование адаптированных версий
Организация процесса контроля конфигураций
Уязвимости Cisco Call Manager 6 в режиме Audit
Уязвимость позволяет
атакующему выполнить
произвольный код
Контроль защищенности специализированных устройств
Доработана система MaxPatrol
Реализованы стандарты ИБ и определение устройства в режиме инвентаризации для
Huawei
• Node B
• RNC
В ближайшее время
Ericsson
• Node B
• RNC
Cisco SGSN/GGSN на базе ASR5000
Определение 3G базовой станции
Определение Huawei NodeB по протоколу MML
Подбор пароля к 3G базовой станции
Login: admin Password: 1111111
Стандарты конфигураций специализированного оборудования
Примеры предъявляемых требований:
Парольная политика
• Пароль по умолчанию, длина, сложность и т.д.
Безопасный обмен данными
• ACL, SSl-шифрование
Централизованная регистрация событий
• Сервер регистрации, уровень критичности и т.п.
Почему так важно защищать - выводы и перспективы
Быстрое наращивание мобильной сети:
• безопасность и оптимальность дизайна сетей, инвентаризация оборудования, разделение зон и т.д.
• контроль настроек с точки зрения безопасности и мошенничества
Возрастающая нагрузка на транспортную сеть (неоптимальные/небезопасные настройки)
Строительство сетей в регионах при слабом контроле из центра
Присоединение сетей приобретаемых компаний с более низким уровнем безопасности (угрозы перекочевывают вместе с ними)
Позитивные предложения от Positive Technologies
Год назад создан центр компетентности в рамках Positive Research
Дальнейшая разработка стандартов ИБ для телеком оборудования (HLR, MSC, VAS-платформы и т.д.)
Уже сейчас новые услуги для наших клиентов:
• Аудит и тест на проникновение VoIP-сегмента
• Адаптация стандартов ИБ, разработка новых в рамках тех. сетей
Reference
В настоящий момент завершается первый этап проекта
«Контроль защищенности технологических сетей ОАО «ВымпелКом»»
Спасибо! Вопросы?
Константин Гурзов,
Positive Technologies