Программное обеспечение Система защиты сетей сигнализации Signaling Firewall для мониторинга, контроля и управления трафиком SS7 и Diameter между Оператором связи и другими национальными и/или международными операторами, а также различными поставщиками телекоммуникационных услуг. защита от спуфинга; защита от фэйкинга; защита от флудинга; фильтрация по контенту; индикация и блокировка. ООО "НТЦ ПРОТЕЙ" Россия

Не указана

0.0

Не указана

Разработка компьютерного программного обеспечения

Россия

В данном разделе приведены основные функциональные возможности PROTEI SS7FW, используемые при борьбе с описанными видами угроз. Для отслеживания и ликвидации различных видов мошенничества PROTEI SS7FW обладает следующими функциональными возможностями: • защита от спуфинга (пп. 1); • защита от фэйкинга (пп. 2); • защита от флудинга (пп. 3); • фильтрация по контенту (пп. 4); • индикация и блокировка (пп. 5). 1 Защита от спуфинга Спуфинг — атака SS7 в сетях мобильной связи. Одним из примеров спуфинга является кража личности путем создания SMS–/USSD–транзакции якобы от имени абонента для подписки на премиум–услуги, совершения мошеннических звонков или перевода средств на другие счета. Для обнаружения спуфинга PROTEI SS7FW выполняет верификацию VLR, определяя действительное местонахождение абонента с помощью соответствующего запроса к HLR. Получив ответ от HLR, система сравнивает конфигурируемое количество символов, как правило, MCC и MNC, в запросе MO_FSM и в ответе от HLR. В случае расхождения значений запрос отбивается ввиду подозрений на факт спуфинга. Отбитие сообщения может быть изменено на другое действие, например, генерацию соответствующего CDR либо отправку SNMP–трапа с уведомлением о подозрении на спуфинг. Также PROTEI SS7FW обнаруживает и блокирует сообщения, если GT CgPA и GT CdPA находятся в одном и том же диапазоне назначения HPLMN. PROTEI SS7FW поддерживает настройку правил антиспуфинга для блокирования MAP–/CAP–сообщений с поддельными идентификаторами или, например, GT внешних PLMN и обнаруживает неправильное использование идентификаторов или данных внутренней PLMN. 2 Защита от фейкинга Фейкинг — изменение профиля абонента в VLR для перенаправления звонков или SMS на собственное оборудование, записи звонков и изменения контекста SMS без ведома абонента и оператора сети. PROTEI SS7FW идентифицирует факт фейкинга, применяя специальные фильтры. Адресные фильтры используются для проверки адресов SMSC, SCCP CgPA, MSISDN, IMSI по предопределенным правилам. К таким правилам относятся принадлежность к партнерской сети, на соответствие длины адресной информации заданной маске, на принадлежность адреса к сети страны текущего местоположения, на соответствие черным/белым спискам и пр. Специальные фильтры используются для поиска несоответствия адресной информации на уровнях SCCP, TCAP, MAP и на уровне контекста. Данные фильтры применяются для идентификации фейкинга, когда при использовании действующего адреса SMSС адрес отправителя на уровне SCCP является недействительным. Например, мошенник подменяет адрес отправителя удаленного SMSC путем модификации адреса на SCCP– или MAP–уровне. Данная подмена видна в сообщениях MT–FSM, когда SCCP CgPA указывает на удаленный SMSC, в то время как адрес SM–RP–OA ему не соответствует. PROTEI SS7FW отмечает данное несоответствие и может заблокировать передачу SMS. 3 Защита от флудинга Флудинг – это атака, при которой происходит злоупотребление мобильной сетью оператора для передачи большого количества массовых SMS-сообщений. Для защиты сети от флудинга система PROTEI SS7FW применяет следующие операции: • ограничение интенсивности трафика от абонента с определенным MSISDN, SMSC или GT; • проверка разницы между исходящим и входящим трафиком для определенной сети; • обнаружение GT-сканирования; • проверка соотношения сообщений MAP–SRI–SM/MT–FSM; • обнаружение сообщений с одинаковым содержимым с возможностью эвристического анализа. 4 Фильтрация Для защиты сети от различных типов атак PROTEI SS7FW предлагает гибкие и мощные возможности настройки сценариев обработки трафика. Сценарии основаны на Приложении B спецификации FS.11, B.3, но могут быть полностью настроены и сконфигурированы с помощью специального графического редактора конфигурации RuleChain. Модуль позволяет создать необходимые сценарии и настроить их в соответствии со своим соглашением о соединении/роуминге и любыми специфическими деталями маршрутизации трафика. Система поддерживает основные и расширенные правила политики. Основные правила политики (stateless) задаются независимо для каждого уровня стека SS7: SCCP, MAP или CAP. Подробные описания возможных правил политики для каждого слоя описаны в спецификации FS.11, B.3. Правила можно задать с помощью RuleChain для параметров каждого уровня. Расширенные правила политики (stateful) используются для обнаружения сложных SS7–атак. В этом случае система анализирует не сообщение, а всю транзакцию. Также может возникнуть необходимость дополнительных параметров, например, местоположения абонента из соседних сетевых узлов. PROTEI SS7FW поддерживает создание цепочек правил фильтрации. RuleChain позволяет пользователям создавать последовательности шагов для глубокого анализа транзакций. Для этого собираются необходимые параметры SS7, полученные от различных уровней в различных сообщениях, для дальнейшей обработки и проверки соответствий друг с другом. Такие сложные правила позволяют обнаруживать и предотвращать сложные атаки и случаи мошенничества. 4.1 Фильтрация на MTP– и SCCP–уровне PROTEI SS7FW позволяет задать несколько критериев для фильтрации на MTP– и SCCP–уровне. Критерии фильтрации могут быть определены для различных типов источников трафика: • SPC (отправитель/получатель); • GT (отправитель/получатель); • параметры, определяющие пороги и ограничения маршрутизации для SS7– трафика от каждого отдельного источника. Система может применять правило при обнаружении следующих основных отклонений: ? превышение пороговых значений с любого конкретного PC или любого конкретного GT (ограничения пропускной способности на один вызывающий адрес); ? превышение пороговых значений для любого конкретного PC или любого конкретного GT (ограничения пропускной способности для каждого вызываемого адреса); ? несоответствие информации на SCCP– и MAP–уровне; ? обнаружение пакетов, приходящих по внешним ссылкам, но имеющих домашние SCCP CgPA; ? обнаружение аномального количества XUDT–сообщений, связанных с неправильными/не существующими точками назначениями, что указывает на GT–сканирование. Для предотвращения сканирования GT предусмотрена настройка белых/черных списков GT. Белые списки могут быть связаны с партнерской сетью для роуминга и другими операторами, с которыми настроено сигнальное взаимодействие. Сообщения с GT, указанными в черном списке, блокируются; при настр 4.2 Фильтрация на TCAP–уровне Для защиты сети от несанкционированных инъекций сообщений, которые могут помешать легальной и правильной транзакции, PROTEI SS7FW реализует stateful– обработку как TCAP–, так и MAP–/CAP– уровней. В частности, для уровня TCAP для проверки цельности транзакций используются указания, описанные в нормативных документах GSM Association: • для каждого TCAP_BEGIN сохраняется новая запись в списке, включающая CgPA, CdPA, OTID и Application Context; • для каждого TCAP_CONTINUE имеется запись в списке, соответствующая сохраненным значениям параметров диалога TCAP, и обновляется с помощью DTID; • для каждого TCAP_END/TCAP_ABORT удаляется существующая запись, которая соответствует сохраненным значениям параметров диалога TCAP; • если для полученного TCAP_DIALOGUE/TCAP_END/TCAP_ABORT не найдено записей, входящее сообщение считается подозрительным, блокируется и заносится в журнал. TCAP–сообщения, которые не связаны ни с одной из зарегистрированных транзакций, могут блокироваться с отправкой соответствующего предупреждения, заданного при конфигурировании. 4.3 Фильтрация прикладного уровня TCAP и MAP В дополнение к мониторингу трафика на уровнях MTP и SCCP, PROTEI SS7FW расширяет возможности сетевой безопасности благодаря анализу содержимого прикладного уровня. Имея обзор такой информации, критерии фильтрации могут основываться на следующих параметрах: • OpCode; • IMSI/MSISDN назначения; • результат проверки статуса абонента и скорости определения местоположения. Аналогично SCCP, действия могут быть следующими: • применить правило для пороговых значений на код операции MAP; • применить правило для OpCode протоколов MAP/CAP с определенным диапазоном IMSI/MSISDN; • применить правило для OpCode протокола MAP с определенных PC или GT; • применить правило для сообщений, содержащих определенные IMSI/MSISDN (белый/черный списки); • сгенерировать alarm, если информация на MAP–/SCCP–уровнях различна. Индикация и блокировка Для обеспечения интеллектуальных и эффективных возможностей защиты PROTEI SS7FW поддерживает несколько вариантов обработки несанкционированного или подозрительного трафика. Для каждого правила или цепочки правил обработки трафика можно настроить несколько типов действий: • действия по уведомлению: ? SNMP–трап; ? генерация предупреждений через API; ? генерация alarm через API. • защитные действия: ? блокировка сообщений; ? отбой транзакции; ? перенаправление трафика на несуществующий маршрут, smart drop. PROTEI SS7FW также генерирует подробные отчеты CDR о трафике SS7 и предупреждения о подозрительных атаках, основываясь на ограничениях OpCode для каждого GT, количестве ошибок TCAP и некоторых других настраиваемых ключевых показателях. В сформированных отчетах содержится подробная информация о сообщениях SS7 с подробным описанием адресаций, OpCode и статусов транзакций. Генерация CDR и статистических отчетов PROTEI SS7FW имеет гибкую подсистему регистрации событий и сбора статистических данных, которая позволяет собирать всю информацию, необходимую для анализа функционирования системы и анализа бизнес-параметров. Следующая информация доступна из подсистемы регистрации событий: • журнал операций SS7; • журнал аварий. Следующая информация доступна на CDR, которые генерируются: • метка времени; • идентификатор сообщения и направление (Rx/Tx); • размер сообщения (для несегментированных сообщений SCCP); • MTP–3 ОРС, DРС; • SCCP GT A, SCCP GT B; • вид TCAP–сообщения (BEGIN/CONTINUE/END/ABORT); • TCAP OTID, DTID; • MAP OpCode; • применяемые правила SCCP, MAP; • идентификатор контроля политик; • список параметров сообщения: ? TCAP_ABORT: причина отказа; ? TCAP_RETURN_ERROR: код ошибки. Все CDR–файлы имеют формат CSV, текстовые файлы с разделенными полями, и доступны для внешнего использования. Файл CDR можно закрывать и создавать заново с определенной частотой, которая определяется в конфигурационных файлах. Для предоставления системному администратору и ответственному оператору персональной ясной картины функционирования системы и выполняемых фильтрационных действий PROTEI SS7FW поддерживает широкий список статистических счетчиков и отчетов. Поддерживаются следующие отчеты при работе с помощью Web–интерфейса: • отчёт о трафике SS7 от PC; • отчет о трафике SS7 по GT; • отчет о трафике по OpCode протоколов MAP/CAP; • отчет об обнаруженных атаках по источникам и пунктам назначения; • отчеты по конкретному MSISDN или целевому VLR. Для расширенных отчетов можно использовать Crystal Report или другие сторонние утилиты в дополнение к встроенным инструментам генерации отчетов. Любые нестандартные отчеты можно создавать с помощью скриптов, периодически запускаемых службой cron. Такие скрипты обрабатывают CDR–файлы и добавляют строки к соответствующим файлам счетчиков. Стандартные счетчики статистики генерируются приложением автоматически в виде дополнительной текстовой строки в специальном файле и представляются в графическом виде с помощью Web–инструментов администрирования. PROTEI SS7FW создан при соблюдении условий и требований следующих документов: • GSM 29.002; • GSMA FS.11; • 3GPP TS 29.078; • ITU-T Q.711, ITU-T Q.712, ITU-T Q.713, ITU-T Q.714, ITU-T Q.715, ITU-T Q.716; • ITU-T Q.771, ITU-T Q.772, ITU-T Q.773, ITU-T Q.774, ITU-T Q.775.

0

—

Не указана

0.0

Не указана

Разработка компьютерного программного обеспечения

В данном разделе приведены основные функциональные возможности PROTEI SS7FW, используемые при борьбе с описанными видами угроз. Для отслеживания и ликвидации различных видов мошенничества PROTEI SS7FW обладает следующими функциональными возможностями: • защита от спуфинга (пп. 1); • защита от фэйкинга (пп. 2); • защита от флудинга (пп. 3); • фильтрация по контенту (пп. 4); • индикация и блокировка (пп. 5). 1 Защита от спуфинга Спуфинг — атака SS7 в сетях мобильной связи. Одним из примеров спуфинга является кража личности путем создания SMS–/USSD–транзакции якобы от имени абонента для подписки на премиум–услуги, совершения мошеннических звонков или перевода средств на другие счета. Для обнаружения спуфинга PROTEI SS7FW выполняет верификацию VLR, определяя действительное местонахождение абонента с помощью соответствующего запроса к HLR. Получив ответ от HLR, система сравнивает конфигурируемое количество символов, как правило, MCC и MNC, в запросе MO_FSM и в ответе от HLR. В случае расхождения значений запрос отбивается ввиду подозрений на факт спуфинга. Отбитие сообщения может быть изменено на другое действие, например, генерацию соответствующего CDR либо отправку SNMP–трапа с уведомлением о подозрении на спуфинг. Также PROTEI SS7FW обнаруживает и блокирует сообщения, если GT CgPA и GT CdPA находятся в одном и том же диапазоне назначения HPLMN. PROTEI SS7FW поддерживает настройку правил антиспуфинга для блокирования MAP–/CAP–сообщений с поддельными идентификаторами или, например, GT внешних PLMN и обнаруживает неправильное использование идентификаторов или данных внутренней PLMN. 2 Защита от фейкинга Фейкинг — изменение профиля абонента в VLR для перенаправления звонков или SMS на собственное оборудование, записи звонков и изменения контекста SMS без ведома абонента и оператора сети. PROTEI SS7FW идентифицирует факт фейкинга, применяя специальные фильтры. Адресные фильтры используются для проверки адресов SMSC, SCCP CgPA, MSISDN, IMSI по предопределенным правилам. К таким правилам относятся принадлежность к партнерской сети, на соответствие длины адресной информации заданной маске, на принадлежность адреса к сети страны текущего местоположения, на соответствие черным/белым спискам и пр. Специальные фильтры используются для поиска несоответствия адресной информации на уровнях SCCP, TCAP, MAP и на уровне контекста. Данные фильтры применяются для идентификации фейкинга, когда при использовании действующего адреса SMSС адрес отправителя на уровне SCCP является недействительным. Например, мошенник подменяет адрес отправителя удаленного SMSC путем модификации адреса на SCCP– или MAP–уровне. Данная подмена видна в сообщениях MT–FSM, когда SCCP CgPA указывает на удаленный SMSC, в то время как адрес SM–RP–OA ему не соответствует. PROTEI SS7FW отмечает данное несоответствие и может заблокировать передачу SMS. 3 Защита от флудинга Флудинг – это атака, при которой происходит злоупотребление мобильной сетью оператора для передачи большого количества массовых SMS-сообщений. Для защиты сети от флудинга система PROTEI SS7FW применяет следующие операции: • ограничение интенсивности трафика от абонента с определенным MSISDN, SMSC или GT; • проверка разницы между исходящим и входящим трафиком для определенной сети; • обнаружение GT-сканирования; • проверка соотношения сообщений MAP–SRI–SM/MT–FSM; • обнаружение сообщений с одинаковым содержимым с возможностью эвристического анализа. 4 Фильтрация Для защиты сети от различных типов атак PROTEI SS7FW предлагает гибкие и мощные возможности настройки сценариев обработки трафика. Сценарии основаны на Приложении B спецификации FS.11, B.3, но могут быть полностью настроены и сконфигурированы с помощью специального графического редактора конфигурации RuleChain. Модуль позволяет создать необходимые сценарии и настроить их в соответствии со своим соглашением о соединении/роуминге и любыми специфическими деталями маршрутизации трафика. Система поддерживает основные и расширенные правила политики. Основные правила политики (stateless) задаются независимо для каждого уровня стека SS7: SCCP, MAP или CAP. Подробные описания возможных правил политики для каждого слоя описаны в спецификации FS.11, B.3. Правила можно задать с помощью RuleChain для параметров каждого уровня. Расширенные правила политики (stateful) используются для обнаружения сложных SS7–атак. В этом случае система анализирует не сообщение, а всю транзакцию. Также может возникнуть необходимость дополнительных параметров, например, местоположения абонента из соседних сетевых узлов. PROTEI SS7FW поддерживает создание цепочек правил фильтрации. RuleChain позволяет пользователям создавать последовательности шагов для глубокого анализа транзакций. Для этого собираются необходимые параметры SS7, полученные от различных уровней в различных сообщениях, для дальнейшей обработки и проверки соответствий друг с другом. Такие сложные правила позволяют обнаруживать и предотвращать сложные атаки и случаи мошенничества. 4.1 Фильтрация на MTP– и SCCP–уровне PROTEI SS7FW позволяет задать несколько критериев для фильтрации на MTP– и SCCP–уровне. Критерии фильтрации могут быть определены для различных типов источников трафика: • SPC (отправитель/получатель); • GT (отправитель/получатель); • параметры, определяющие пороги и ограничения маршрутизации для SS7– трафика от каждого отдельного источника. Система может применять правило при обнаружении следующих основных отклонений: ? превышение пороговых значений с любого конкретного PC или любого конкретного GT (ограничения пропускной способности на один вызывающий адрес); ? превышение пороговых значений для любого конкретного PC или любого конкретного GT (ограничения пропускной способности для каждого вызываемого адреса); ? несоответствие информации на SCCP– и MAP–уровне; ? обнаружение пакетов, приходящих по внешним ссылкам, но имеющих домашние SCCP CgPA; ? обнаружение аномального количества XUDT–сообщений, связанных с неправильными/не существующими точками назначениями, что указывает на GT–сканирование. Для предотвращения сканирования GT предусмотрена настройка белых/черных списков GT. Белые списки могут быть связаны с партнерской сетью для роуминга и другими операторами, с которыми настроено сигнальное взаимодействие. Сообщения с GT, указанными в черном списке, блокируются; при настр 4.2 Фильтрация на TCAP–уровне Для защиты сети от несанкционированных инъекций сообщений, которые могут помешать легальной и правильной транзакции, PROTEI SS7FW реализует stateful– обработку как TCAP–, так и MAP–/CAP– уровней. В частности, для уровня TCAP для проверки цельности транзакций используются указания, описанные в нормативных документах GSM Association: • для каждого TCAP_BEGIN сохраняется новая запись в списке, включающая CgPA, CdPA, OTID и Application Context; • для каждого TCAP_CONTINUE имеется запись в списке, соответствующая сохраненным значениям параметров диалога TCAP, и обновляется с помощью DTID; • для каждого TCAP_END/TCAP_ABORT удаляется существующая запись, которая соответствует сохраненным значениям параметров диалога TCAP; • если для полученного TCAP_DIALOGUE/TCAP_END/TCAP_ABORT не найдено записей, входящее сообщение считается подозрительным, блокируется и заносится в журнал. TCAP–сообщения, которые не связаны ни с одной из зарегистрированных транзакций, могут блокироваться с отправкой соответствующего предупреждения, заданного при конфигурировании. 4.3 Фильтрация прикладного уровня TCAP и MAP В дополнение к мониторингу трафика на уровнях MTP и SCCP, PROTEI SS7FW расширяет возможности сетевой безопасности благодаря анализу содержимого прикладного уровня. Имея обзор такой информации, критерии фильтрации могут основываться на следующих параметрах: • OpCode; • IMSI/MSISDN назначения; • результат проверки статуса абонента и скорости определения местоположения. Аналогично SCCP, действия могут быть следующими: • применить правило для пороговых значений на код операции MAP; • применить правило для OpCode протоколов MAP/CAP с определенным диапазоном IMSI/MSISDN; • применить правило для OpCode протокола MAP с определенных PC или GT; • применить правило для сообщений, содержащих определенные IMSI/MSISDN (белый/черный списки); • сгенерировать alarm, если информация на MAP–/SCCP–уровнях различна. Индикация и блокировка Для обеспечения интеллектуальных и эффективных возможностей защиты PROTEI SS7FW поддерживает несколько вариантов обработки несанкционированного или подозрительного трафика. Для каждого правила или цепочки правил обработки трафика можно настроить несколько типов действий: • действия по уведомлению: ? SNMP–трап; ? генерация предупреждений через API; ? генерация alarm через API. • защитные действия: ? блокировка сообщений; ? отбой транзакции; ? перенаправление трафика на несуществующий маршрут, smart drop. PROTEI SS7FW также генерирует подробные отчеты CDR о трафике SS7 и предупреждения о подозрительных атаках, основываясь на ограничениях OpCode для каждого GT, количестве ошибок TCAP и некоторых других настраиваемых ключевых показателях. В сформированных отчетах содержится подробная информация о сообщениях SS7 с подробным описанием адресаций, OpCode и статусов транзакций. Генерация CDR и статистических отчетов PROTEI SS7FW имеет гибкую подсистему регистрации событий и сбора статистических данных, которая позволяет собирать всю информацию, необходимую для анализа функционирования системы и анализа бизнес-параметров. Следующая информация доступна из подсистемы регистрации событий: • журнал операций SS7; • журнал аварий. Следующая информация доступна на CDR, которые генерируются: • метка времени; • идентификатор сообщения и направление (Rx/Tx); • размер сообщения (для несегментированных сообщений SCCP); • MTP–3 ОРС, DРС; • SCCP GT A, SCCP GT B; • вид TCAP–сообщения (BEGIN/CONTINUE/END/ABORT); • TCAP OTID, DTID; • MAP OpCode; • применяемые правила SCCP, MAP; • идентификатор контроля политик; • список параметров сообщения: ? TCAP_ABORT: причина отказа; ? TCAP_RETURN_ERROR: код ошибки. Все CDR–файлы имеют формат CSV, текстовые файлы с разделенными полями, и доступны для внешнего использования. Файл CDR можно закрывать и создавать заново с определенной частотой, которая определяется в конфигурационных файлах. Для предоставления системному администратору и ответственному оператору персональной ясной картины функционирования системы и выполняемых фильтрационных действий PROTEI SS7FW поддерживает широкий список статистических счетчиков и отчетов. Поддерживаются следующие отчеты при работе с помощью Web–интерфейса: • отчёт о трафике SS7 от PC; • отчет о трафике SS7 по GT; • отчет о трафике по OpCode протоколов MAP/CAP; • отчет об обнаруженных атаках по источникам и пунктам назначения; • отчеты по конкретному MSISDN или целевому VLR. Для расширенных отчетов можно использовать Crystal Report или другие сторонние утилиты в дополнение к встроенным инструментам генерации отчетов. Любые нестандартные отчеты можно создавать с помощью скриптов, периодически запускаемых службой cron. Такие скрипты обрабатывают CDR–файлы и добавляют строки к соответствующим файлам счетчиков. Стандартные счетчики статистики генерируются приложением автоматически в виде дополнительной текстовой строки в специальном файле и представляются в графическом виде с помощью Web–инструментов администрирования. PROTEI SS7FW создан при соблюдении условий и требований следующих документов: • GSM 29.002; • GSMA FS.11; • 3GPP TS 29.078; • ITU-T Q.711, ITU-T Q.712, ITU-T Q.713, ITU-T Q.714, ITU-T Q.715, ITU-T Q.716; • ITU-T Q.771, ITU-T Q.772, ITU-T Q.773, ITU-T Q.774, ITU-T Q.775.

0

—