趙小萌,崔俊彬,張 磊

(國(guó)網(wǎng)河北省電力有限公司信息通信分公司,石家莊 050021)

1 缺陷概述

某公司IMS行政交換網(wǎng)部署2臺(tái)SBC設(shè)備,于2016年投入運(yùn)行,2臺(tái)設(shè)備通過(guò)1+1互備方式進(jìn)行部署,按照IMS行政交換網(wǎng)總體規(guī)劃,管轄范圍內(nèi)用戶按照區(qū)域劃分[1],分別通過(guò)SBC設(shè)備1,主注冊(cè)在IMS核心設(shè)備1,通過(guò)SBC設(shè)備2,備注冊(cè)在IMS核心設(shè)備2;該方式通過(guò)接入設(shè)備(IAD/AG/IP電話)的雙注冊(cè)地址,實(shí)現(xiàn)SBC設(shè)備和IMS核心網(wǎng)的負(fù)荷分擔(dān)和注冊(cè)保護(hù)[2]。系統(tǒng)部署架構(gòu)見圖1。

2019年5月某公司在進(jìn)行日常巡檢測(cè)試工作時(shí),技術(shù)人員在IMS行政交換網(wǎng)備用SBC 設(shè)備上進(jìn)行自動(dòng)黑名單License導(dǎo)入操作,開啟自動(dòng)黑名單功能后,發(fā)現(xiàn)測(cè)試AG 下的所有賬號(hào)無(wú)法正常注冊(cè),且AG 出現(xiàn)備端口故障告警。該SBC 設(shè)備黑名單機(jī)制對(duì)未開戶用戶頻繁注冊(cè)、用戶頻繁半注冊(cè)(每5 min 15次以上)等攻擊行為具備良好的防護(hù)功能[3],在感知到相關(guān)攻擊行為后,會(huì)將相關(guān)IP地址和端口信息加入黑名單。黑名單列表默認(rèn)保留15 min,當(dāng)攻擊行為停止,會(huì)在15 min結(jié)束后,將黑名單中的設(shè)備放行。

圖1 系統(tǒng)部署架構(gòu)

2 缺陷排查

技術(shù)人員通過(guò)AG、IAD、IP電話等不同類型設(shè)備進(jìn)行賬號(hào)注冊(cè)測(cè)試,測(cè)試設(shè)備的主用端口關(guān)閉,僅備用端口開啟,發(fā)現(xiàn)AG 下所有的賬號(hào)注冊(cè)異常,且SBC設(shè)備產(chǎn)生“收到固定IP+PORT 未開戶注冊(cè)攻擊”的告警。查看SBC設(shè)備黑名單列表,發(fā)現(xiàn)該AG 的IP 地址和端口被添加至黑名單。

現(xiàn)場(chǎng)技術(shù)人員對(duì)黑名單中AG 的IP地址和端口予以放行。5 min后又出現(xiàn)類似問題,根據(jù)自動(dòng)黑名單運(yùn)行機(jī)制,初步判斷由于AG 注冊(cè)信息異常導(dǎo)致。隨后,技術(shù)人員將AG 的所有端口信息進(jìn)行集中清理,重新配置測(cè)試賬號(hào),同時(shí)將黑名單中該AG 的IP和端口再次放行,問題消除。為保障現(xiàn)網(wǎng)業(yè)務(wù)的安全性,暫時(shí)將自動(dòng)黑名單功能關(guān)閉,僅保留黑名單的告警功能。

3 原因分析

3.1 測(cè)試操作環(huán)境分析

側(cè)的樞紐部位[4-5](見圖2),且本次測(cè)試操作對(duì)于現(xiàn)網(wǎng)業(yè)務(wù)具有一定的安全風(fēng)險(xiǎn),因此,本次測(cè)試操作在非工作時(shí)間進(jìn)行。以備用SBC 設(shè)備作為測(cè)試設(shè)備進(jìn)行開啟黑名單功能測(cè)試,操作期間實(shí)時(shí)監(jiān)控SBC設(shè)備的告警信息和接入設(shè)備(IAD/AG/IP 電話)的賬號(hào)注冊(cè)狀態(tài)。

經(jīng)過(guò)與廠家聯(lián)系調(diào)研了解,存在某些單位由于行政軟交換核心設(shè)備站點(diǎn)IAD 配置錯(cuò)誤,從而產(chǎn)生大量注冊(cè)消息,進(jìn)而引發(fā)核心設(shè)備宕機(jī)的情況。為增強(qiáng)IMS行政交換設(shè)備的穩(wěn)定性,在SBC 設(shè)備上增加自動(dòng)黑名單功能,對(duì)未開戶用戶頻繁注冊(cè)、用戶頻繁半注冊(cè)等攻擊行為進(jìn)行安全防護(hù)。

IMS行政交換網(wǎng)SBC設(shè)備位于接入側(cè)和核心

圖2 SBC部署位置示意

3.2 監(jiān)控告警及巡視分析

通過(guò)對(duì)AG 注冊(cè)信令抓取分析,發(fā)現(xiàn)該AG 注冊(cè)過(guò)程中存在大量未開戶用戶頻繁注冊(cè)的行為,近5 min內(nèi)數(shù)量達(dá)到67次,已經(jīng)超過(guò)黑名單設(shè)置的閾值(每5 min 15次以上),所以該AG 的IP和端口被再次自動(dòng)加入黑名單;進(jìn)一步排查發(fā)現(xiàn)測(cè)試AG 在進(jìn)行刪除賬號(hào)操作時(shí),未對(duì)對(duì)應(yīng)端口的屬性信息進(jìn)行徹底刪除,AG 默認(rèn)開啟小交換群功能,該功能會(huì)在原有端口自動(dòng)生成隨機(jī)號(hào)碼,由于這些端口未配置群數(shù)據(jù),導(dǎo)致單個(gè)端口頻繁向IMS核心發(fā)起注冊(cè)消息,但在IMS核心內(nèi)部無(wú)該賬號(hào)信息,觸發(fā)SBC設(shè)備的黑名單機(jī)制,將AG 的所有端口信息進(jìn)行集中清理,同時(shí)將該AG 的IP 和端口予以放行,問題消除。

3.3 缺陷深入分析

通過(guò)對(duì)此次SBC 設(shè)備巡檢測(cè)試操作環(huán)境分析、系統(tǒng)架構(gòu)及運(yùn)行方式分析及告警監(jiān)控及巡視分析。引起IMS行政交換網(wǎng)測(cè)試AG 下的所有賬號(hào)無(wú)法正常注冊(cè)的直接原因?yàn)樵跍y(cè)試AG 設(shè)備上進(jìn)行刪除操作時(shí),未按照標(biāo)準(zhǔn)進(jìn)行操作,導(dǎo)致測(cè)試AG 存在大量冗余數(shù)據(jù)。根本原因?yàn)楹诿麊螜C(jī)制針對(duì)IP地址和端口直接進(jìn)行大策略封禁,無(wú)法針對(duì)賬號(hào)進(jìn)行精準(zhǔn)封禁,對(duì)于AG/IAD 等下掛大量用戶的設(shè)備,可能由于部分賬號(hào)的問題,直接引起整臺(tái)設(shè)備的異常,進(jìn)而導(dǎo)致大面積行政電話業(yè)務(wù)的癱瘓。

4 防范措施及效果

4.1 防范措施

a.增強(qiáng)系統(tǒng)架構(gòu)健壯性。為增強(qiáng)IMS核心網(wǎng)的安全防護(hù)能力,將IMS核心網(wǎng)與接入側(cè)之間的業(yè)務(wù)流和非業(yè)務(wù)流進(jìn)行分別防護(hù)。所有業(yè)務(wù)流如媒體信息、信令消息等通過(guò)SBC 設(shè)備進(jìn)行安全防護(hù),同時(shí)對(duì)于非業(yè)務(wù)流如網(wǎng)管命令、告警信息等,通過(guò)防火墻策略進(jìn)行安全防護(hù)。針對(duì)本文提到的SBC設(shè)備自動(dòng)黑名單機(jī)制不健全的問題,暫時(shí)采用告警監(jiān)控結(jié)合手動(dòng)封禁的方式解決,同時(shí)積極進(jìn)行黑名單功能優(yōu)化。

b.采取多層技術(shù)防護(hù)措施。目前,在實(shí)際應(yīng)用中一般通過(guò)SBC 設(shè)備進(jìn)行IMS行政交換網(wǎng)業(yè)務(wù)層的安全防護(hù),但是SBC 設(shè)備部分固有功能與實(shí)際應(yīng)用場(chǎng)景的貼合度略有不足,新功能開啟前,如果測(cè)試不充分,可能引起大面的業(yè)務(wù)癱瘓。建議加強(qiáng)SBC設(shè)備的日常告警監(jiān)控,結(jié)合人工研判方式進(jìn)行業(yè)務(wù)層防護(hù)。

c.規(guī)范業(yè)務(wù)運(yùn)維管理體系。完善接入側(cè)設(shè)備(IAD/AG/IP電話)入網(wǎng)的整個(gè)流程,增強(qiáng)操作的規(guī)范性,定期組織開展配置核查工作,對(duì)于冗余數(shù)據(jù)、無(wú)效數(shù)據(jù)進(jìn)行及時(shí)清理和優(yōu)化。

4.2 防范效果

目前,已在IMS行政交換網(wǎng)核心網(wǎng)與接入網(wǎng)間實(shí)現(xiàn)數(shù)據(jù)分流,針對(duì)非業(yè)務(wù)流數(shù)據(jù)通過(guò)傳統(tǒng)防火墻進(jìn)行防控,增強(qiáng)了SBC 對(duì)于非語(yǔ)音類網(wǎng)絡(luò)攻擊的防護(hù)短板,數(shù)據(jù)分流防護(hù)見圖3。

圖3 數(shù)據(jù)分流防護(hù)示意

通過(guò)對(duì)AG 設(shè)備的配置方式進(jìn)行規(guī)范,對(duì)AG設(shè)備冗余數(shù)據(jù)進(jìn)行集中清理,誤報(bào)告警情況已經(jīng)基本消除。AG 設(shè)備小交換群功能仍然保留開啟,該功能的配置進(jìn)行嚴(yán)格規(guī)范,SBC黑名單功能調(diào)整為手動(dòng)模式,誤報(bào)告警通過(guò)手動(dòng)溯源,進(jìn)行配置規(guī)范或手動(dòng)封禁,AG 設(shè)備未再出現(xiàn)因?yàn)樵擃惛婢瘜?dǎo)致無(wú)法正常注冊(cè)的問題。

5 結(jié)束語(yǔ)

本文針對(duì)運(yùn)維工作中發(fā)現(xiàn)了SBC設(shè)備自動(dòng)黑名單機(jī)制存在2點(diǎn)缺陷:一是攻擊行為的識(shí)別不夠精準(zhǔn);二是安全策略的防護(hù)過(guò)于粗糙。通過(guò)對(duì)缺陷分析給出建議,黑名單功能應(yīng)增強(qiáng)攻擊行為的識(shí)別能力,結(jié)合行政交換設(shè)備的實(shí)際應(yīng)用場(chǎng)景,應(yīng)對(duì)正常的注冊(cè)行為和攻擊行為進(jìn)行更為細(xì)致的劃分,同時(shí),不應(yīng)簡(jiǎn)單的針對(duì)IP地址和端口進(jìn)行封禁,應(yīng)針對(duì)異常賬號(hào)進(jìn)行精準(zhǔn)封禁,減小由于黑名單功能引起的業(yè)務(wù)影響范圍。