华为SE2200设备安全隐患分析及其防范建议.docVIP

华为SE2200设备安全隐患分析及其防范建议 　　摘要：本文阐述一起某运营商的华为SE2200设备，由于存在安全隐患导致SIP中继客户被盗打电话的故障处理过程，并根据本人多年的工作经验，对SE2200上四种业务存在风险及规避方法提出建议，以供参考。 　　关键词：SE2200、安全隐患、防范建议 　　 　　中图分类号：P624.8 文献标识码：A 文章编号： 　　 　　一、引言 　　随着PSTN向NGN的演进，PSTN用户陆续割接至NGN网络，业务也由基于TDM电路交换演变为基于IP分组交换。为了接入公网语音用户，运营商一般会配置多套呼叫代理设备，用于信令和媒体流的代理。 　　SE2200作为用户终端和SoftX软交换之间的呼叫代理，对来源不可靠用户进行控制。对这些安全性不高的用户，SE2200能够进行屏蔽，使软交换等核心网设备免受攻击。 　　目前SE2200共有四种业务： 　　（1）公网漫游的SIP预付费电话 　　（2）公网IAD网关 　　（3）话务台用户代理 　　（4）由SBC代理的SIP中继业务 　　二、SE2200安全问题发生及处理过程 　　深圳某运营商发生一起由于SE2200存在安全隐含，导致SIP中继用户被盗打国际长途电话故障，采用在数据交换机抓包、SE2200上抓包和软交换设备上跟踪信令的方法来分析故障原因，通过SE2200配置ACL规则，拦截非法IP地址解决故障。 　　2.1问题发生 　　某日，网管监控到NGN软交换上突有大量入局国际长途话务。查询相关话单信息，确认有问题的话单呼叫都是从软交换某用户的SIP中继入，从软交换与关汇局互联的ISUP中继出，话单中主叫号码大部分是使用中继群上的默认规范号码，还有个别的主叫号码是A、B、101等不规范号码。管理员发现异常立即停闭SIP入中继群的国际长途权限，并联系使用中继群的客户，其反馈并未发出国际长途呼叫。 　　 　　图1：客户的接入网络 　　2.2问题检查 　　（1）在客户服务器接入点A抓包,同时在SoftX3000上B点跟踪消息分析，客户服务器没有发起呼叫的时候，在SoftX3000上仍可以跟踪到通过客户SIP中继过来的呼叫，初步判断有其他地址呼叫盗打 　　（2）进一步在SE2200上跟踪debug消息分析 　　通过在SE2200上跟踪全部的SIP呼叫信令，发现有部分地址呼叫信令存在异常现象。 　　 　　图2：信令分析 　　经分析，188.161.97.206不是合法的SIP软交换或服务器地址，经长时间跟踪发现，还有188.161.230.29/188.161.253.136/188.161.90.253/82.102.195.92，都试图非法拨打国际长途，IP地址归属巴勒斯坦。 　　（3）SE2200的接口0/0/1在C点与公共互联网互通，发起恶意呼叫IP是通过公共互联网路由到SE2200上。由于SIP中继呼叫没有鉴权，故呼叫能够被正常转发。 　　2.3问题处理 　　采取在SE2200接口0/0/1上配置ACL规则，拦截非法地址的信令消息。配置ACL规则是，只允许客户的服务器IP:A.A.A.A送到SE2200公网IP:B.B.B.B通过fe0/0/1进入SE2200，SE2200将客户服务器送入的信息转为内网IP:C.C.C.C，送到软交换SOFTX3000控制信令和媒体流的处理，其配置指令如下： 　　 　　图3：配置指令 　　配置完成后使用非A.A.A.A公网IP送信令到SE2200模拟测试，在SE2200上抓包测试，看到数据包已被屏蔽。 　　三、案例经验总结及隐患防范建议 　　3.1经验总结 　　本次故障主要是SE2200不能绑定客户服务器IP、SE2200公网IP和SE2200内网IP，网络黑客通过其他公网IP注册到SE2200公网IP，模拟正常客户信令盗打电话。由于SE2200不能记录历史注册信息，所以无法定位历史呼叫的发起IP和MAC，查找呼叫来源。 　　那么，运营商在SE2200上面的四种业务是否有类似被盗打电话的问题？如何才能把风险降到最小呢？通过本次故障处理，我们认为SE2200存在两个重要的安全隐患： 　　（1）不能定位用户的风险.例如这些公网电话用户进行诈骗,公安局等政府部门要求定位用户位置,我们无法提供。 　　（2）存在被盗打电话的风险。 　　3.2隐患防范建议 　　分析SE2200上的四种业务，都存在与故障SIP中继类似的安全隐患，建议做如下处理，降低风险： 　　（1）公网漫游的SIP预付费电话，有设置密码，通过SBC进入NGN承载网，最后到SOFTX3000上面进行注册。 　　业务风险： 　　SIP用户必须对密码安全性负责，在用户名密码出现人为