人们的通讯方式正在悄悄进入移动通信时代,人们对基于手机、PDA、数据卡的应用需求不断增加,尤其是对移动应用的需求不断增加,与这种需求随之而来的是安全事情的频发:一名黑客向运营商A的1300万手机用户发送含有木马程序的病毒,控制手机自动拨打110,造成混乱;2005年8月,赫尔辛基世界田径锦标赛的奥林匹克体育场,Cabir感染上千手机;2008年,运营商B经常受到超额计费(Overbilling)的攻击,造成大量客户投诉,严重影响运营商业务的拓展;2008年,运营商C的GPRS网络遭到DDoS攻击,导致核心设备瘫痪和通信终止。
预计到2009年,亚太地区(除日本)手机用户将达到9.01亿,中国将达到5.35亿;随着3G业务开展和普及,手机成为最常用的上网工具,手机间的数据交换更加频繁。病毒一旦大规模爆发,危害将超过“冲击波”、“振荡波”等互联网病毒,对运营商和手机用户造成巨大损失。
因此全面保障PS(Packet Switched,分组交换)域安全成为运营商迫在眉睫的问题。
PS域的GTP协议采用明文传输,缺乏认证和完整性检查,且与存在安全威胁的PND网络,漫游网络,网关网络和终端网络互联互通。
PND网络:指所有通过Gi口相连的外部网络,如Internet、企业网等。PDN网络开放,不可控,拥有很多专业的攻击者,主要攻击手段为DDoS、 超额计费和系统入侵,主要攻击对象是GGSN和移动终端。
漫游网络:为了保证漫游用户需求,PS域的Gp通过GRX(GPRS Roaming Exchange)与众多漫游厂商进行连接。如,中国移动、中国联通、以及其中的C网和G网,都会连接到一个GRX网络中,以保证漫游用户的需求。漫游网络中GRX网络不可控,采用GTP协议,易受到超额计费、GTP欺骗、DDoS和截获用户数据攻击,主要攻击对象是移动终端和GGSN。
网管网络:是指网管网络以及其控制的众多服务器群的网络。其中,包括管理终端、OM中心、计费中心、合法监听、IMS系统、以及应用服务器等。网管网络易于获取较高权限,且采用通用操作系统,带宽充足、设备性能优良,因此易受到系统入侵、数据篡改和木马攻击,主要攻击对象是数据库和网元。
终端网络:是指由手机、PDA、数据卡组成的网络。终端网络的用户不可控,用户缺少安全意识,且手机多功能化、智能化,因此易受到蠕虫、病毒和DDoS攻击,攻击的对象是移动终端和网元。
PS域网络的安全威胁为:
1.恶意代码
主要包括病毒、蠕虫、木马
特点:具有入侵性、复制性和破坏性
2.DOS攻击
主要包括DoS、DDoS、RDoS
特点:消耗系统资源,降低服务能力
3.GTP攻击
利用协议漏洞攻击MS或PS域网元
4.系统入侵
利用系统漏洞进行侵入,获取管理权限,进而进行信息窃取和系统破坏
特点:获取系统管理权限
5.电子欺骗
IP Spoofing、 TCP会话劫持、 ARP电子欺骗、 DNS电子欺骗、 ICMP重定向报文欺骗
特点:获取权限和合法路径
6.仿冒、监听、篡改
破坏网元间(如Gn接口)信息传输的认证、机密性、完整性
特点:获取私密信息
其中DDoS,超额计费,GTP欺骗和蠕虫攻击是4类具有代表性的攻击。
DDoS是一种常见的攻击方式,也是行之有效的DOS攻击方法。通常攻击流程是,黑客攻击并获取成千上万个终端控制权,使其成为傀儡机,构建成分布式网络;然后探测被攻击者的信息(分布、带宽、资源)等,然后组织攻击资源;当攻击发起后,向部分控制傀儡发出“开火”信号,控制傀儡机指使攻击傀儡机发动攻击;黑客实时探测受害者状态,并适当加大攻击强度;当攻击结束,黑客清除日志等信息,进行善后处理。
DDoS攻击的结果是,拒绝服务,设备瘫痪和系统入侵。
超额计费的攻击原理如下:首先移动终端A建立连接,获得IP地址,并向恶意服务器请求基于非面向连接的服务请求。然后移动终端A断开GPRS连接,释放IP地址,但是此时恶意服务器仍然继续发送数据。当移动终端B建立连接,并获取与移动终端A相同的IP地址,GGSN发现该IP激活,将数据发送给移动主动B,并将流量上报给计费系统。这时,超额计费发生,恶意服务器发生大量数据给该IP,后续的费用将记录到移动终端A头上。
产生超额计费的问题关键在于:
1、NAT设备无状态表,一旦连接建立后,从Malicious Server(恶意服务器)发送的数据就会不断地转发到GGSN。即便是有状态表的情况下,采用UDP和ICMP进行数据推送,状态表也不会老化
2、当GGSN返回目的不可达时,Malicious Server会降低数据推送的速度
3、当移动终端B拿到与移动终端A相同IP地址时,GGSN就会把数据送到MS2,而不管其是否接受,并且将流量信息告知计费系统(首先到CG,而后由计费中心到CG取得计费单)。
超额计费攻击结果是,用户话费损失,用户投诉,用户流失。
GTP欺骗原理如下:
由于SGSNs和GGSNs直接缺少身份认证,因此攻击者可以仿造一个SGSN向GGSN发送伪造数据包;攻击者伪造GTP PDP Context Delete,并将其发送给 GGSN;GGSN无法识别真伪,并将其发送给用户所在的SGSN;SGSN 和 GGSN 拆除移动终端建立的合法连接,移动终端无法上网
超额计费攻击结果是,影响用户体验,用户投诉;客户流失。
蠕虫攻击原理如下:先扫描,移动终端A通过扫描探测存在的漏洞移动终端。当收到成功的反馈信息后,就得到一个可传播的对象——移动终端B;后攻击,攻击移动终端B,并取得其的权限;最后复制,将蠕虫程序复制到移动终端B,并使蠕虫程序运行;蠕虫的传播介质可以是通过PS域、红外、蓝牙等。
蠕虫攻击的结果是,传播病毒,消耗空口带宽和消耗PS域带宽。
华为赛门铁克凭借对运营商网络的理解,深入研究PS域的安全威胁,推出了PS域安全解决方案。
华为赛门铁克PS域整体解决方案,具有超强的兼容性和深度融合能力,高性能、高安全性、高可靠性,采用NP + 多核 + 分布式架构的防火墙产品,支持GTP协议和DPI,具备独有的DDoS防护能力,能够对PS域进行2~7层的全方位立体防护。
华为赛门铁克PS域安全解决方案通过在PS域内部和PDN边界部署高性能防火墙,防御来自PDN网络的攻击。两台防火墙之间进行隧道拆除通知。能够抗击DDoS攻击,如SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等;能够杜绝超额计费发生;且解决性能瓶颈,最高吞吐可达到80G;提高并发连接能力达3200万,每秒新建最高可达到200万个连接;并实现VPN安全加密。
为了进一步加强DDoS的抵御能力,可在PDN和PS域之间部署华为赛门铁克的流量清洗方案。
华为赛门铁克PS域安全解决方案通过在PS域与漫游网络之间部署高性能防火墙,防御来自漫游网络的攻击。该防火墙可防范各种DDoS攻击,保护PS域网元;过滤异常GTP报文(包括GTP-in-GTP);防止基于GTP隧道状态的攻击;防止超额计费(Overbilling);阻止非法接入;支持GTPv0、GTPv1和GTP’;支持路由和透明模式,实现灵活组网;支持GTP隧道的双机热备。
华为赛门铁克PS域安全解决方案通过划分网管网络的安全域,然后在PS域和网管网络之间部署防火墙,防御来自网管网络攻击。该方案可实现IPSec、SSL、SSH、HTTPS等加密手段,保护数据传输过程安全可靠;实现不同安全域之间的隔离;实现细致的安全策略定制;虚拟防火墙技术为客户节省成本;可以对管理员的违规操作进行追溯(安全日志审计,Elog);同时,可抵御外来DOS/DDoS攻击,保护核心服务器。
华为赛门铁克PS域安全解决方案通过在GGSN与PDN网络之间部署高性能防火墙,防御来自终端网络的攻击。该方案中,移动终端在PS内不直接通信,而是通过防火墙进行通信,避免蠕虫爆发;避免针对网元的攻击;节省带宽资源;抵御来自Internet的各种攻击。
PS域安全解决方案对PS域进行全方位防护,形成2~7层的立体式防护网。华为赛门铁克针对PS域安全解决方案提供从低端到高端的全线安全产品,这使得PS安全解决方案具有超强的兼容性和深度融合。
PS域解决方案已经成为华为重点发展的解决方案,并在将来提供可实现增值服务的安全解决方案,帮助运营商打造PS域安全的价值链。