互连SS7的安全体系.pdfVIP

现代电子信息技术理论与应用 图1SS7删络互连示意图 图2$87与因特}i9互连及安全策略 STP在SS7网络qJ的作用与路由器在因特网中的作用相同，负责为信令单元选择路由，传输至目标信 令点。 SCP提供高级服务所需的数据库接入，它们都直接与STP相连，负责处理各种查询命令。 3 SS7安全问题描述及对策 SS7网络面J临的安全问题按来源可分为三个方面：SS7网络与因特网、ISDN等网络的互连所带来的 安全隐患：由于CLEC内部安全机制不健全面造成的安全隐患；SS7网络内部缺乏安全机靠4而带来的安全 隐患。 3．1SS7与因特网互连安全 (1)安全隐患 随着因特网技术的迅速发展与普及，因特网与SS7网之间的互连越来越频繁和紧密。越来越多的VolP (Voiceover IP：IP话音)服务商通过申请获得了对SS7网络的接入权，促进了IP电话业务的发展， 但同时也讲因特网中的安全隐患带到了SS7网络，攻击者可以利用因特网中泛滥的拒绝服务攻击、重放 攻击等攻击手段对信令网关、网关STP等关键设备发起攻击。 (2)安全策略 图2是针对SS7网络与因特网互连而提出的防御策略。VoIP服务商利用媒体网关和信令网关将分 组报文转换为TDM(TimeDivision Multiplexing；时分复用)话音和信令消息。网络采用双重防护， 来应对来自因特网的攻击，首先是IP防火墙，位于媒体网关与因特网之间，负责检查并过滤IP分组， 抵御来自互联网的拒绝服务、重放等攻击。 认证模块位于信令网关控制器，负责验证ISP用户的合法性。防止非法登录和使用网络服务。 其次是信令防火墙，位于信令网关控制器和媒体网关控制器之间。用于过滤非法信令消息，保护SS7 网络。 3 2 CLEC内部安全 (I)安全隐患 个IP地址，由公司局域网内的指定T作台负责对SS7网络的配置、维护、管理等工作。 CLEC通常都是一些建立不久的小公司，由于预算的限制，在安全措施方面做的就不够完善。攻击者 就可能利用技术或管理上的漏洞获得对关键设备的接入权。 通信与网络技术 图3CLEC内部网络结构 图4CLEC内部网安全策略 从其他工作台利用默认密码登录到关键设备上；企业内部网一般支持异地接入，异地接入程序都使用远 程登录协议。利用口令嗅探器就可以获得远程登录的密码；CLEC局域网内部一般都没有屏蔽信令消息的 措施，布置在局域网内部的分组嗅探器就可能获得SS7信令点配置的关键信息。 (2)安全策略 全模块由三部分构成，认证木块，接入控制模块，安全日志模块。认证模块负责验证接入用户的合法性， 并保证只有指定的工作台才能接入SS7网络。接入控制模块设定了不同用户的工作权限，防止合法用户 的非法操作。安全日志模块负责记录工作台对信令点的配置、管理及维护等工作过程，为安全事件的事 后分析提供材料。 图5SS7嘲络内部安全管理系统 3．3S87网络内部安全 前面所述的安全措施都是在SS7网络边缘布置的。‘旦攻击者接入并控制某个信令点，上述安全措施 就不再起作用。为了防止被控制信令点危害整个网络．就需要在网络内部设置一系列的安全策略。 (1)安全隐患 SS7网络内部的攻击按攻击目标可分为SSP攻击、STP攻击以及SCP攻击。 SSP是SS7网络的边界，同时也是攻击者进入网络的通路。与其他网络元素一样，SSP也存在一个 Denialof Address Service：分布式拒绝服务攻击)中，攻击者产生大量的IAM(Initial Message：初始地址消 息)并且将其指向每个信令点，就可以截听通过该信令点的所有流量，并且修改同一SSPk目标