Примеры последствий воздействия атак DoS нарушения маршрутизации ОКС№7

Учитывая сложную топологию ССОП, последствия атак DoS нарушения маршрутизации ОКС№7 на ТфОП/ISDN, GSM и интеллектуальную сеть связи IN рассмотрим на примерах структур отдельных фрагментов ОКС№7. На рис. 22.8 приведён фрагмент ОКС№7, включающий АМТС, УАК, шлюз мобильного центра коммутации GMSC сети GSM, узел исходящей и входящей связи УИВС. Такая схема соответствует топологии ССОП России.

 

 

Рис. 22.8. Фрагмент сети ОКС№7

 

К основным функциям сетевого уровня ОКС№7, нелегитимное использование которых злоумышленником представляет угрозу нарушения маршрутизации, относятся:

· функции МТР: запрет передачи (сообщение TFP); недоступность подсистемы пользователя (сообщение UPU); перегрузка пучка звеньев сигнализации (сообщение TFC); ограничение передачи (сообщение TFR); переключение звена сигнализации (сообщения COO, ЕСО) и др.;

· функции SCCP: запрет доступа (сообщение SSP), подсистема перегружена (сообщение SSC) и др.

Ниже приведены примеры последствий реализации угроз нарушения маршрутизации сети ОКС№7 при использовании злоумышленником одной из функций: управление сетью сигнализации на третьем уровне МТР с помощью нелегитимного сообщения "запрет передачи" (сообщение TFP), т.е. недоступности определенного пункта сигнализации.

Первые семь примеров последствий атак DoS приведены для фрагмента сети ОКС№7 (рис. 22.8) ТфОП/ISDN (рис. 22.7).

Пример1. Нарушитель создаёт в пункте SP (АМТС) нелегитимное сообщение TFP о недоступности пунктов сигнализации SP в УИВС. Эти сообщения передаются из АМТС в УАК1, УАК2 и GMSC. Последствием такой атаки DoS является отказ всем входящим вызовам от пользователей ТфОП/ISDN и GSM в установлении соединений с абонентами всех АТС, подключённых к этим УИВС. При этом сохраняется возможность установления соединений внутри местной сети ТфОП/ISDN.
Пример2. Нарушитель создаёт в пункте SP (АМТС) нелегитимное сообщение TFP о недоступности пунктов сигнализации SP в обоих УАК. Эти сообщения передаются из SP в АМТС в любой SP в УИВС или в SP всех УИВС местной сети. Последствием такой атаки DoS является отказ пользователям АТС, подключённым к этим УИВС в установлении междугородних и международных соединений исходящим вызовам. Такой отказ относится к вызываемым стационарным аппаратам и мобильным станциям. Исключение составляют соединения с мобильными станциями, обслуживаемыми GMSC.
Пример3. Нарушитель создаёт в пункте SP (АМТС) нелегитимное сообщение TFP о недоступности пунктов сигнализации SP в GMSC. Это сообщение передаётся из SP в АМТС в любой SP в УИВС или в SP всех УИВС местной сети. Последствием такой атаки DoS является отказ пользователям АТС, подключённым к этим УИВС в установлении соединений исходящим вызовам к мобильным станциям, обслуживаемым через GMSC.
Пример 4. Нарушитель создаёт в пункте SP (АМТС) нелегитимное сообщение о недоступности пунктов сигнализации SP в обоих УАК. Эти сообщения передаются из SP в АМТС в SP в GMSC. Последствием такой атаки DoS является отказ мобильным станциям, обслуживаемыми через GMSC в установлении соединений исходящим междугородным и международным вызовам со стационарными аппаратами и мобильными станциями.
Пример 5. Нарушитель создаёт в пункте SP (АМТС) нелегитимное сообщение о недоступности всех смежных с ним пунктов сигнализации (в УАК1, УАК2, УИВСы, GMSC, АМТСы внутри зоны) и передаёт их каждому из этих пунктов. Последствием такой атаки DoS является отказ в установлении всех видов соединений с абонентами зоны сети, обслуживаемой зоновой АМТС.

Пример 6. Один узел УИВС передает в АМТС сообщение TFP о недоступности всех подключенных к нему пунктов сигнализации АТС. Последствием такой атаки DoS является отказ на установление соединения всем входящим вызовам к абонентам этих АТС от абонентов не только ТфОП/ISDN, GSM, но и сети VoIP по протоколу сигнализации SIP-T (глав 18). Исключение составляют соединения к абонентам АТС других УИВС, подключенных к этому АМТС.

Пример 7. Все УИВС передают в АМТС сообщения TFP о недоступности всех подключенных к ним пунктов сигнализации АТС. Последствием такой атаки DoS является отказ на установление соединения всем входящим вызовам к абонентам АТС этих УИВС к абонентами не только ТфОП/ISDN, GSM, но и сети VoIP по протоколу сигнализации SIP-T.

Следующие два примера последствий атак DoS приведены для фрагмента сети ОКС№7 (рис. 22.9) федеральной сети общего пользования GSM (рис. 22.6). Здесь показано взаимодействие локального центра коммутации (ЛЦК) уровня транзитной сети с двумя транзитными центрами коммутации (ТЦК1 и ТЦК2), со шлюзом GMSC и зоновой АМТС. Подробно принцип иерархии федеральной сети связи общего пользования стандарта GSM приводится выше в настоящей главе (раздел 22.3).

 

 
 

Рис. 22.9. Фрагмент сети ОКС№7


Пример 8. Нарушитель создает в пункте SP (ЛЦК) нелегитимные сообщения TFP о недоступности пунктов SP (ТЦК1 и ТЦК2). Эти сообщения передаются в пункты SP (АМТС) и SP (GMSC). Последствием такой атаки DoS является отказ вызовам на установление соединений через уровень транзитной сети GSM, исходящим от абонентов всех АТС зоны обслуживания АМТС и от мобильных станций, обслуживаемых станциями коммутации MSC через GMSC.
Пример 9. Нарушитель создает в пункте SP (ЛЦК) нелегитимное сообщение TFP о недоступности пунктов SP (АМТС). Это сообщение передается в пункты SP (GMSC). Последствием такой атаки DoS является отказ исходящим вызовам в установлении соединений через уровень транзитной сети GSM от абонентов АТС зоны обслуживания АМТС с мобильными станциями, которые обслуживаются мобильными станциями коммутации через GMSC.

Кратко сформулируем результаты анализа архитектуры сетевой безопасности ОКС№7 при воздействии атаки DoS процедуры маршрутизации.

· В результате нелегитимного использования функций сетевого уровня ОКС№7 по обновлению маршрутизации может быть нанесен значительный ущерб в работе сетей связи общего пользования (ТфОП/ISDN, GSM, VoIP а также интеллектуальных сетей). Этот ущерб выражается в отказе установления соединении между пользователями (с предоставлением и без предоставления услуг интеллектуальной сети) и может относится одновременно к большому числу пользователей сетями связи общего пользования. Причиной таких последствий являются ложные сообщения обновления таблиц маршрутизации ОКС№7, отправляемые нарушителями.

· Зависимость риска ИБ от места атаки DoS в иерархической структуре ОКС№7. Структура ОКС№7 Единой сети электросвязи России построена на многоуровневой иерархической структуре в составе ТфОП/ISDN и в составе сети “МТТ” (“Межрегиональный Транзит Телеком”). Из примеров угроз DoS в ОКС№7 следует, что передача злоумышленником фиктивных сообщений обновления маршрутизации управления сетью сигнализации подсистемы передачи сообщений MTP (Message Transfer Part) может привести к различным последствиям нарушения выполнения маршрутизации. Наиболее уязвимыми с этой точки зрения являются участки сети ОКС№7 между пунктами сигнализации смежных уровней иерархии. Последствия атак DoS в ОКС№7 зависят от направления передаваемых злоумышленником сообщений. Передача таких сообщений подсистемы управления сетью сигнализации, как запрещение переноса трафика TFP (Transfer Prohibited) от пункта сигнализации ОКС№7 верхнего уровня иерархии к пункту сигнализации смежного нижнего уровня может приводить к прекращению обработки вызовов от абонентов, обрабатываемых узлом нижнего уровня иерархии.

Приведем пример последствий такой атаки злоумышленника. Для этого достаточно из зоновой АМТС хотя бы в одну из АМТС зоны передать два нелегитимных сообщения TFP о недоступности пункта сигнализации этой зоновой АМТС с двумя соединенными с ней пунктами сигнализации УАК. В результате пользователям этой АМТС зоны прекращается предоставление установления междугородных и международных соединений по исходящим от них вызовам. Передача этих сообщений от пункта сигнализации нижнего уровня иерархии к пункту сигнализации смежного верхнего уровня может приводить к прекращению выполнения функций по установлению соединений для входящих вызовов, обрабатываемых узлом нижнего уровня иерархии.

Если сообщения TFP от пункта сигнализации зоновой АМТС будут переданы в пункты сигнализации двух соединенных с ней УАК о недоступности пункта сигнализации АМТС этой зоны, то прекращается предоставление установления междугородных и международных соединений по входящим вызовам ко всем пользователям этой АМТС зоны.

· Для абонентов-роумеров сети GSM, требующий выполнение процедур защиты приватных данных их местоположения, риск ИБ из-за атак DoS в ОКС№7 выше по сравнению с абонентами в домашней сети. В результате посылки злоумышленником нелегитимных сообщений обновления маршрутизации для тех абонентов-роумеров гостевой сети, мобильные станции которых не смогли выполнить процедуру регистрации (см. разделы 21.4.3 и 22.2.2) последствия такой атаки DoS выражаются в отказе установления входящих и исходящих соединений. Это может иметь место при прекращении функционирования маршрута ОКС№7 между VLR, который ранее обслуживал данную MS абонента-роумера, и текущим VLR. При большом удалении их друг от друга по сети ОКС№7 и при пересечении нескольких уровней иерархии показатель риска, выраженный вероятностью атаки DoS выше для MS абонентов-роумеров. Другой показатель риска, (последствие атаки) при отказе в регистрации MS и отказе принятия на обслуживание гостевой сетью для абонентов-роумеров хуже, чем при отказе на установление или прием вызовов. При вызове удаленных от домашней сети абонентов-роумеров величина риска ИБ также может быть выше по характеристикам вероятности и последствий [76].

· Способ обеспечения ИБ «целостность данных» вместе с аутентификацией (подлинностью источника сообщений являются основными средствами защиты от этих угроз DoS ОКС№7, гарантируя при этом подлинность источника сообщений между пунктами сигнализации, а также то, что эти сообщения не были созданы или заменены злоумышленником.

· Угрозам DoS ОКС№7 потенциально подвержены как абоненты фиксированной сети ТфОП/ISDN, так и пользователи мобильных станций сети GSM.

· Угрозы DoS ОКС№7 проявляются при фальсификации сообщений обновления маршрутизации подсистемы MTP3 и SCCP сетевого уровня ОКС№7.

· Реализация угроз DoS ОКС№7 может иметь место в результате фальсификации сообщений обновления маршрутизации между всеми смежными пунктами сигнализации.

· Нарушению маршрутизации от воздействия угроз DoS ОКС№7 подвержены смежные пункты сигнализации ОКС№7 с пунктом сигнализации, являющимся источником этих фальсифицированных сообщений обновления маршрутизации. Местом локализации при тестировании, а также местом защиты от воздействия угрозы являются эти пункты сигнализации.


Риск при реализации угроз DoS ОКС№7 в результате фальсификации указанных сообщений подсистем MTP3 и SCCP отражается на пользователях ССОП (ТфОП/ISDN, GSM, IN) в части:

· отказа в установлении соединения;

· отказа в предоставлении всех или определенных услуг интеллектуальной сети;

· ухудшения качества обслуживания.

Риск при реализации угроз DoS ОКС№7 может относится к следующим соединениям:

а) в ТфОП/ISDN – международным, междугородним или местным;

б) в GSM – внутри одного региона страны, между разными регионами страны, между мобильными абонентами разных стран;

в) между абонентами ТфОП/ISDN и абонентами GSM;

г) в сети GSM мобильных абонентов домашней и абонентов-раумеров.

д) в сети связи (см. глава 18) IP-телефонии для соединений абонентов ТфОП/ISDN через протокол SIP-T [77].

Заинтересованными в защите от угроз DoS ОКС№7 являются:

· пользователи в отношении доверия к сети и услугам, предоставляемым конкретным оператором/поставщиком услуг;

· операторы сетей и поставщики услуг в обеспечении защиты своих эксплуатационных и коммерческих интересов, в выполнении своих обязательств перед населением;

· органы государственной власти в выполнении директив и законов с тем, чтобы обеспечить готовность предоставления услуг и добросовестную конкуренцию.

В то же время следует отметить на наличие на сети ТфОП России большого количества коммутационного оборудования зарубежных производителей, что делает сложной задачу использования на эксплуатируемой сети механизмов аутентификации от таких атак DoS в ОКС№7. По прошествии более 20 лет после разработки, спецификации и реализации ОКС№7 можно было бы ожидать, что процедуры сетевого уровня работают хорошо. Однако один из разработчиков стандартов ITU-T на ОКС№7 (в работе [78], с. 2) отмечает случаи прекращения функционирования отдельных сегментов ТфОП по разным причинам недостаточной информационной безопасности подсистемы сетевого уровня системы сигнализации. В качестве объяснения этому указывается на сложности проблем, которые не позволили группе специалистов ITU-T успешно их решить.