于娟娟,余謙,賀延敏,鄧巖
(中國移動通信集團(tuán)河南有限公司,鄭州 450008)
CM-IMS系統(tǒng)是移動公司業(yè)務(wù)開展至今最為開放的一套系統(tǒng),隨著業(yè)務(wù)的發(fā)展,系統(tǒng)的開放性和方便靈活的業(yè)務(wù)承載,已經(jīng)成為黑客關(guān)注和攻擊的新目標(biāo)。已經(jīng)先后在多個省公司發(fā)生針對CM-IMS系統(tǒng)國內(nèi)、國際長途盜打,PBX業(yè)務(wù)濫用,賬號口令猜測引發(fā)的盜號,發(fā)送業(yè)務(wù)畸形分組攻擊核心網(wǎng)絡(luò)等安全問題。
本文從幾種常見的攻擊談起,分別分析每種攻擊產(chǎn)生的原因、如何檢測攻擊,最終實現(xiàn)攻擊抑制和防護(hù)。同時,本文介紹了一套在現(xiàn)網(wǎng)定制開發(fā)的IMS安全防護(hù)系統(tǒng),可以有效解決IMS相關(guān)安全問題。
IMS網(wǎng)絡(luò)的信令基礎(chǔ)是SIP,Session Initiation Protocol (RFC 3261)是IETF多媒體架構(gòu)的其中一部分,像HTTP又像E-mail的SMTP,就是不像ITU-T的H.232。
讓我們做一個近距離的比對,看看SIP和SMTP是如何相似。如圖1所示。
通過比對兩個協(xié)議的分組頭發(fā)現(xiàn),SIP雖然是一個為語音設(shè)計的電信協(xié)議,但是它模仿了太多的傳統(tǒng)IP SMTP,SMTP由于出現(xiàn)的太早,所以很少涉及安全考慮和措施。想偽造別人的郵箱發(fā)送郵件只要在特定環(huán)境下更改“from”信令后面的信息即可,實現(xiàn)偽源電話也是同樣的道理。
圖1 SIP和SMTP的對比
SIP如此簡單,IMS攻擊也就變得如此容易,所以它所面臨的安全問題比SMTP還要多。
2.1.1 問題表象
業(yè)務(wù)盜用:指盜打國際長途,盜用IMS賬號進(jìn)行呼叫等未經(jīng)授權(quán)的行為,盜用可能伴隨盜號同時發(fā)生。業(yè)務(wù)濫用:指超出正常業(yè)務(wù)使用模式的垃圾呼叫,欺詐等使用行為,例如“響一聲”電話。
發(fā)生盜用、濫用的原因主要是以下4種可能,當(dāng)前以IP PBX問題居多,如圖2所示。
2.1.2 攻擊檢測
IMS系統(tǒng)里面的安全網(wǎng)元SBC對于此類攻擊幾乎沒有任何防護(hù)效果,主要原因是SBC無法判斷用戶是正常合法用戶,還是被盜用后上線的非法用戶。
可以從基于會話的用戶行為模型進(jìn)行分析。盜打、濫用一般都表現(xiàn)為大量的國際長途呼叫,呼叫的號碼不固定,呼叫的時間很隨機(jī),與正??蛻舻暮艚袝泻艽蟛顒e,其實很容易判斷。但是需要知道什么是正常的用戶呼叫,用戶正常的呼叫習(xí)慣是什么,而且是針對每一個客戶的行為習(xí)慣,這樣就很容易判斷什么是異常的呼叫了。
一旦為每個用戶建立了這樣的用戶呼叫行為習(xí)慣模型,就能輕松捕捉到黑客的盜用、濫用行為,當(dāng)用戶發(fā)起呼叫的時候,通過用戶呼叫行為習(xí)慣模型,就可以很容易地識別出正常和非正??蛻袅?。
建模可以通過以下5元組建立,也可以引入更多的行為特點,如圖3所示。
圖2 CM-IMS業(yè)務(wù)盜用、濫用的原因分析
圖3 會話建模示意圖
例如用戶在凌晨3點登錄,不符合用戶以往的行為特點,視為一級告警;同時登錄的IP地址不在以往統(tǒng)計的所有IP地址范圍內(nèi),告警升級為二級;如果用戶又撥打了國際長途,而且呼叫時長、頻次,及被叫號碼等都不符合用戶以往習(xí)慣特點,升級為三級告警,盜打的可能性已經(jīng)很大了,可以考慮采取一定的措施主動聯(lián)系客戶或者抑制客戶呼叫。
2.1.3 抑制和防護(hù)
如果已經(jīng)判斷和發(fā)現(xiàn)了盜打、濫用,可以通過實時和非實時方式處理。非實時方式可以通過特定系統(tǒng)告知后臺的BOSS,鎖定客戶賬號等方式;實時方式就需要有一個系統(tǒng)通過特定協(xié)議通知SBC/P-CSCF等網(wǎng)元,斷開用戶當(dāng)前及后續(xù)的呼叫。
當(dāng)然,也涉及到一個溯源的問題。這個問題與傳統(tǒng)的IP攻擊溯源沒有差別,也同樣面臨一些困難。在已經(jīng)發(fā)生的案例中,黑客的安全意識相對比較強(qiáng),他們在盜用IMS系統(tǒng)呼叫的時候,往往通過國外的一個Proxy服務(wù)器或者國外的一個免費(fèi)的VPN網(wǎng)關(guān)連接到國內(nèi)運(yùn)營商的IMS系統(tǒng),溯源的時候可能面臨很難追查下一跳的問題。
2.2.1 問題表象
SIP畸形攻擊類似于傳統(tǒng)的IP畸形分組攻擊,主要是利用軟件系統(tǒng)開發(fā)的bug或者系統(tǒng)處理異常發(fā)起攻擊。例如某廠商開發(fā)的IMS系統(tǒng)定義Call ID字長不超過20個字符,可能定義一個20個字長的堆棧,黑客可以發(fā)送一個100字長的Call ID,如果程序不對超長做專門的處理,可能會造成堆棧溢出,系統(tǒng)死機(jī)或者死循環(huán)等問題。
在實際的現(xiàn)網(wǎng)測試中也發(fā)現(xiàn),幾個簡單的SIP畸形分組就可能造成核心網(wǎng)元宕機(jī)、過載或者引起特定分組在網(wǎng)內(nèi)頻繁轉(zhuǎn)發(fā)造成網(wǎng)絡(luò)風(fēng)暴。
SIP畸形協(xié)議分組大概有以下7種類型:格式畸形;溢出畸形;Utf-8編碼畸形;參數(shù)重復(fù)畸形;參數(shù)字段缺失畸形;IPv4畸形和IPv6畸形。
2.2.2 攻擊檢測
理論上SBC是會對這類畸形分組進(jìn)行檢測并抑制。問題在于SBC的處理能力和檢測能力的實時更新。要想對絕大多數(shù)的SIP畸形都能發(fā)現(xiàn),需要引入魯棒檢測技術(shù),窮舉可能發(fā)生的畸形特點,構(gòu)造對應(yīng)的攻擊特征庫,并且要像更新病毒特征碼一樣不斷更新??墒?,當(dāng)前的SBC沒有部署這樣的能力。另外,如果有太多的在線檢測和處理過程,SBC也可能不堪重負(fù)。
為提高SIP畸形檢測能力,需要SBC之外的某個系統(tǒng)代替SBC進(jìn)行安全檢測,實時更新又不影響IMS系統(tǒng)的正常業(yè)務(wù)。后續(xù)談到的IMS安全防護(hù)系統(tǒng)就在旁路的位置部署了這樣一套SIP畸形檢測特征庫,包含1000多種SIP畸形特征碼,可以在不影響IMS系統(tǒng)效率的情況下處理SIP攻擊。
2.2.3 抑制和防護(hù)
對付這類攻擊無非就是2種解決方案,要么修補(bǔ)IMS核心網(wǎng)元bug,要么提供外圍防護(hù)系統(tǒng)。IMS核心網(wǎng)元bug不可能實時修復(fù),必然存在一個發(fā)現(xiàn)到修補(bǔ)的周期,這個周期就是黑客利用的周期,當(dāng)然也可能存在有了補(bǔ)丁,但是沒有及時修補(bǔ)的情況,更給黑客留下了豐富的利用漏洞搞破壞的時間。
所以,此類問題的抑制和防護(hù)必然需要一個外圍的安全防護(hù)系統(tǒng),通常應(yīng)該和SIP畸形檢測系統(tǒng)合體,檢測到問題在攻擊分組到達(dá)特定網(wǎng)元的時候就通知核心網(wǎng)終止這個分組。
2.3.1 問題表象
DoS/DDoS在IP網(wǎng)里面再常見不過了,大量數(shù)據(jù)分組擁塞網(wǎng)絡(luò)或者大量虛假連接耗盡服務(wù)器資源是很有效的破壞手段,基于IP網(wǎng)絡(luò)的IMS系統(tǒng)也不能幸免。
但是有一個測試結(jié)果讓我們更加悲觀。經(jīng)過測試發(fā)現(xiàn),針對IMS業(yè)務(wù)的DoS/DDoS攻擊比針對底層IP網(wǎng)絡(luò)的DoS/DDoS攻擊更有效。例如黑客發(fā)送10000個SYN flood洪水攻擊分組才能打癱一臺服務(wù)器,而發(fā)送幾百個SIP register攻擊分組就可以讓IMS系統(tǒng)癱瘓。原因是register過程服務(wù)器會進(jìn)行加解密處理,增加了系統(tǒng)對資源的消耗。
2.3.2 攻擊檢測
國外的運(yùn)營商已經(jīng)發(fā)生了這樣的情況,運(yùn)營商部署了Anti-DDoS系統(tǒng),但是依然沒有起到防護(hù)作用。
原因要從Anti-DDoS系統(tǒng)原理說起。Anti-DDoS系統(tǒng)基本分為2個部分:DoS/DDoS檢測系統(tǒng)和旁路的引流清洗系統(tǒng)。在上面的問題中,DoS/DDoS檢測系統(tǒng)由于是為傳統(tǒng)IP設(shè)計,不具備SIP協(xié)議DoS/DDoS檢測能力,所以沒能發(fā)現(xiàn)針對IMS業(yè)務(wù)的SIP的DoS/DDoS攻擊,造成沒能及時引流和清洗攻擊流量。所以要實現(xiàn)IMS系統(tǒng)的Anti-DDoS,不僅僅要能處理傳統(tǒng)IP,還要能處理SIP等業(yè)務(wù)協(xié)議。
2.3.3 抑制和防護(hù)
既然能夠識別SIP業(yè)務(wù)協(xié)議,借助傳統(tǒng)的Anti-DDoS產(chǎn)品實現(xiàn)DoS/DDoS攻擊防護(hù)就不難了。
可是問題又來了。傳統(tǒng)的Anti-DDoS系統(tǒng)對特定IP的攻擊流量全部引流、清洗,大大增加了處理時延,對于時間不敏感的數(shù)據(jù)業(yè)務(wù)沒有問題,但是對于IMS語音業(yè)務(wù)增加時延用戶就很難接受了。
對于此類問題,建議采用在線標(biāo)記路由方式處理。首先,還是要有DoS/DDoS發(fā)現(xiàn)系統(tǒng),發(fā)現(xiàn)攻擊后,對SIP信令流量打標(biāo)簽,而不處理SIP語音部分,將打了標(biāo)簽的SIP信令流量在后面的路由交換設(shè)備上通過策略路由發(fā)送給清洗設(shè)備清洗。這樣只增加了信令時延,例如只是客戶電話接續(xù)的時候時間長了一點,但是一旦撥通后語音講話沒有任何延遲。
處理流程如圖4所示。
圖4 CM-IMS中Anti-DDoS處理流程圖
之所以能這樣做,是因為攻擊只可能發(fā)生在信令部分,到了語音部分系統(tǒng)除了轉(zhuǎn)發(fā)已經(jīng)不做其它解析處理了。
基于以上對IMS安全問題的討論,我們在IMS現(xiàn)網(wǎng)定制開發(fā)了一套IMS安全防護(hù)系統(tǒng)。該系統(tǒng)從協(xié)議入手,采用會話關(guān)聯(lián)和綜合分析,在自學(xué)習(xí)的基礎(chǔ)上建立用戶呼叫行為習(xí)慣模型,實時提供暴力破解、呼叫頻率異常、呼叫行為異常、盜號等檢測功能,及時發(fā)現(xiàn)業(yè)務(wù)盜打盜用;提供單位時間協(xié)議異常檢測、會話應(yīng)答異常檢測、業(yè)務(wù)量分析等功能,及時發(fā)現(xiàn)IMS關(guān)鍵網(wǎng)元(如SBC,P-CSCF)的異常狀態(tài)。
系統(tǒng)拓?fù)淙鐖D5所示。
(1)發(fā)現(xiàn)針對CM-IMS的業(yè)務(wù)賬號破解攻擊23次,業(yè)務(wù)盜打2次,疑似業(yè)務(wù)濫用1次,及SIP畸形分組攻擊3次以及33次疑似的大流量攻擊。
(2)每日發(fā)現(xiàn) 1500次呼叫異常和450萬個異常注冊數(shù)據(jù)分組。
(3)系統(tǒng)實施后,調(diào)整了終端和網(wǎng)絡(luò)配置,每天減少了10%的異常呼叫,每天減少異常注冊協(xié)議分組420萬個。
當(dāng)然,隨著IMS業(yè)務(wù)發(fā)展,IMS還將面臨幾個新的問題:
(1)IMS將提供更多的基于Web的應(yīng)用。IMS應(yīng)用的一個顯著特點是大多基于Web系統(tǒng),方便易用。但是,眾所周知,近幾年最火的安全話題就是Web安全,也是黑客利用最頻繁、攻擊收效最顯著的系統(tǒng)。隨著IMS基于Web應(yīng)用的不斷發(fā)展,基于Web實現(xiàn)對IMS業(yè)務(wù)攻擊現(xiàn)象將更加普遍。
(2)IMS業(yè)務(wù)從大客戶模式向普通個人用戶過渡。當(dāng)前,IMS業(yè)務(wù)基本只對大客戶開放,終端方式也以硬終端為主。隨著對個人用戶的業(yè)務(wù)放開,軟終端更多的被引入,網(wǎng)絡(luò)變得更加開放和更難管理,會產(chǎn)生更多的來自Internet的攻擊和終端問題。
(3)IMS終端安全問題。IMS終端發(fā)展的時候正值智能手機(jī)成熟期,IMS終端更多向Android和Windows Phone系統(tǒng)靠攏,更強(qiáng)大的系統(tǒng)功能和更短的開發(fā)周期的同時,也帶來了跟智能手機(jī)同樣的安全問題。簡單說,IMS終端和PC系統(tǒng)已經(jīng)差別不大了,在PC上出現(xiàn)的所有安全問題都可能在IMS終端上出現(xiàn),例如病毒、木馬、僵尸網(wǎng)絡(luò)、竊聽等,而控制IMS終端后直接撥打國際長途產(chǎn)生的經(jīng)濟(jì)效益恐怕會讓黑客更加努力。
圖5 CM-IMS業(yè)務(wù)和協(xié)議安全監(jiān)控系統(tǒng)拓?fù)鋱D
(4)IMS偽源電話欺詐。通過篡改IMS系統(tǒng)SIP信令,可以實現(xiàn)偽源電話,用于電信欺詐案件中屢見不鮮。
(5)IMS作為LTE的核心承載對4G網(wǎng)絡(luò)的安全影響。LTE規(guī)劃中,IMS將最終成為LTE的核心承載網(wǎng)。在國內(nèi)4G網(wǎng)絡(luò)即將建設(shè)和放號的大背景下,我們也必須考慮LTE安全對IMS網(wǎng)絡(luò)的威脅,以及IMS安全對LTE網(wǎng)絡(luò)的威脅。由于IMS業(yè)務(wù)的豐富性,也造就了IMS系統(tǒng)與其它電信系統(tǒng)的互聯(lián)互通,例如短信/WAP/彩信等系統(tǒng),這些系統(tǒng)由于開放性不高,黑客攻擊這些系統(tǒng)的難度比較大。但是,IMS的引入可能讓IMS成為攻擊跳板,在控制IMS核心網(wǎng)元后,發(fā)起對互聯(lián)互通的其它電信業(yè)務(wù)系統(tǒng)的攻擊。
其實,以上的問題還有很多,不能一一枚舉。這就需要我們在新業(yè)務(wù)、新技術(shù)發(fā)展的同時,不斷關(guān)注應(yīng)運(yùn)而生的安全問題,發(fā)現(xiàn)問題、解決問題,更好地保障運(yùn)營商業(yè)務(wù)和網(wǎng)絡(luò)的安全運(yùn)行。