華為SE2200設(shè)備安全隱患分析及其防范建議

1、華為SE2200設(shè)備平安隱患分析及其防范建議-精品資料 本文檔格式為WORD,感謝你的閱讀。 最新最全的 學(xué)術(shù)論文 期刊文獻(xiàn) 年終總結(jié) 年終報告 工作總結(jié) 個人總結(jié) 述職報告 實習(xí)報告 單位總結(jié) 摘要：本文闡述一起某運營商的華為SE2200設(shè)備，由于存在平安隱患導(dǎo)致SIP中繼客戶被盜打 的故障處理過程，并根據(jù)本人多年的工作經(jīng)驗，對SE2200上四種業(yè)務(wù)存在風(fēng)險及躲避方法提出建議，以供參考。 關(guān)鍵詞：SE2200、平安隱患、防范建議 P624.8 A 一、引言 隨著PSTN向NGN的演進(jìn)，PSTN用戶陸續(xù)割接至NGN網(wǎng)絡(luò)，業(yè)務(wù)也由基于TDM電路交換演變?yōu)榛贗P分組交換。為了接入公網(wǎng)語音用戶，運

2、營商一般會配置多套呼叫代理設(shè)備，用于信令和媒體流的代理。 SE2200作為用戶終端和SoftX軟交換之間的呼叫代理，對來源不可靠用戶進(jìn)行控制。對這些平安性不高的用戶，SE2200能夠進(jìn)行屏蔽，使軟交換等核心網(wǎng)設(shè)備免受攻擊。 目前SE2200共有四種業(yè)務(wù)： 1公網(wǎng)漫游的SIP預(yù)付費 2公網(wǎng)IAD網(wǎng)關(guān) 3話務(wù)臺用戶代理 4由SBC代理的SIP中繼業(yè)務(wù) 二、SE2200平安問題發(fā)生及處理過程 深圳某運營商發(fā)生一起由于SE2200存在平安隱含，導(dǎo)致SIP中繼用戶被盜打國際長途 故障，采用在數(shù)據(jù)交換機(jī)抓包、SE2200上抓包和軟交換設(shè)備上跟蹤信令的方法來分析故障原因，通過SE2200配置ACL規(guī)那么，攔

3、截非法IP地址解決故障。 2.1問題發(fā)生 某日，網(wǎng)管監(jiān)控到NGN軟交換上突有大量入局國際長途話務(wù)。查詢相關(guān)話單信息，確認(rèn)有問題的話單呼叫都是從軟交換某用戶的SIP中繼入，從軟交換與關(guān)匯局互聯(lián)的ISUP中繼出，話單中主叫號碼大局部是使用中繼群上的默認(rèn)標(biāo)準(zhǔn)號碼，還有個別的主叫號碼是A、B、101等不標(biāo)準(zhǔn)號碼。管理員發(fā)現(xiàn)異常立即停閉SIP入中繼群的國際長途權(quán)限，并聯(lián)系使用中繼群的客戶，其反應(yīng)并未發(fā)出國際長途呼叫。 圖1：客戶的接入網(wǎng)絡(luò) 2.2問題檢查 1在客戶效勞器接入點A抓包,同時在SoftX3000上B點跟蹤消息分析，客戶效勞器沒有發(fā)起呼叫的時候，在SoftX3000上仍可以跟蹤到通過客戶SIP

4、中繼過來的呼叫，初步判斷有其他地址呼叫盜打 2進(jìn)一步在SE2200上跟蹤debug消息分析 通過在SE2200上跟蹤全部的SIP呼叫信令，發(fā)現(xiàn)有局部地址呼叫信令存在異常現(xiàn)象。 圖2：信令分析 經(jīng)分析，188.161.97.206不是合法的SIP軟交換或效勞器地址，經(jīng)長時間跟蹤發(fā)現(xiàn)，還有188.161.230.29/188.161.253.136/188.161.90.253/82.102.195.92，都試圖非法撥打國際長途，IP地址歸屬巴勒斯坦。 3SE2200的接口0/0/1在C點與公共互聯(lián)網(wǎng)互通，發(fā)起惡意呼叫IP是通過公共互聯(lián)網(wǎng)路由到SE2200上。由于SIP中繼呼叫沒有鑒權(quán)，故呼叫能夠

5、被正常轉(zhuǎn)發(fā)。 2.3問題處理 采取在SE2200接口0/0/1上配置ACL規(guī)那么，攔截非法地址的信令消息。配置ACL規(guī)那么是，只允許客戶的效勞器IP:A.A.A.A送到SE2200公網(wǎng)IP:B.B.B.B通過fe0/0/1進(jìn)入SE2200，SE2200將客戶效勞器送入的信息轉(zhuǎn)為內(nèi)網(wǎng)IP:C.C.C.C，送到軟交換SOFTX3000控制信令和媒體流的處理，其配置指令如下： 圖3：配置指令 配置完成后使用非A.A.A.A公網(wǎng)IP送信令到SE2200模擬測試，在SE2200上抓包測試，看到數(shù)據(jù)包已被屏蔽。 三、案例經(jīng)驗總結(jié)及隱患防范建議 3.1經(jīng)驗總結(jié) 本次故障主要是SE2200不能綁定客戶效勞器I

6、P、SE2200公網(wǎng)IP和SE2200內(nèi)網(wǎng)IP，網(wǎng)絡(luò)黑客通過其他公網(wǎng)IP注冊到SE2200公網(wǎng)IP，模擬正?？蛻粜帕畋I打 。由于SE2200不能記錄歷史注冊信息，所以無法定位歷史呼叫的發(fā)起IP和MAC，查找呼叫來源。 那么，運營商在SE2200上面的四種業(yè)務(wù)是否有類似被盜打 的問題？如何才能把風(fēng)險降到最小呢？通過本次故障處理，我們認(rèn)為SE2200存在兩個重要的平安隱患： 1不能定位用戶的風(fēng)險.例如這些公網(wǎng) 用戶進(jìn)行詐騙,公安局等政府部門要求定位用戶位置,我們無法提供。 2存在被盜打 的風(fēng)險。 3.2隱患防范建議 分析SE2200上的四種業(yè)務(wù)，都存在與故障SIP中繼類似的平安隱患，建議做如下處理

7、，降低風(fēng)險： 1公網(wǎng)漫游的SIP預(yù)付費 ，有設(shè)置密碼，通過SBC進(jìn)入NGN承載網(wǎng)，最后到SOFTX3000上面進(jìn)行注冊。 業(yè)務(wù)風(fēng)險： SIP用戶必須對密碼平安性負(fù)責(zé)，在用戶名密碼出現(xiàn)人為泄漏的情況下，會導(dǎo)致用戶被盜打情況； 在出現(xiàn) 盜打，且非法用戶已經(jīng)離線的情況下，目前無法定位出當(dāng)時盜打用戶的位置信息；如果非法用戶在線的情況下，可以提供非法用戶注冊時的IP地址信息。 處理建議： 對于沒有實名注冊的SIP預(yù)付費 ，暫停業(yè)務(wù)，實名注冊的用戶對號碼發(fā)起的呼叫負(fù)責(zé)； 提示客戶使用平安度高的密碼，防止密碼泄露。 2公網(wǎng)IAD網(wǎng)關(guān)通過SE2200代理后，進(jìn)入NGN承載網(wǎng)，最后到SOFTX3000上面進(jìn)行注

8、冊。用于NGN承載網(wǎng)沒有覆蓋到的地區(qū)臨時開放業(yè)務(wù),等待網(wǎng)絡(luò)資源到位后割接進(jìn)入NGN承載網(wǎng)。 業(yè)務(wù)風(fēng)險： 非法網(wǎng)關(guān)在獲取合法網(wǎng)關(guān)的EID后，可以模擬合法網(wǎng)關(guān)發(fā)起注冊并注冊成功，造成用戶 被盜打； 在出現(xiàn) 盜打，且非法用戶已經(jīng)離線的情況下，目前無法定位出當(dāng)時盜打用戶的位置信息；如果非法用戶在線的情況下，可以提供非法用戶注冊時的IP地址信息。 處理建議： 改造進(jìn)入NGN承載網(wǎng)； 沒有條件改造的IAD，在網(wǎng)關(guān)和SOFTX3000之間啟用MD5加密認(rèn)證，非法網(wǎng)關(guān)在獲取EID后，還必須獲取網(wǎng)關(guān)和軟交換協(xié)商的MD5的密鑰，否那么注冊不成功。 3話務(wù)臺用戶代理。IP方式U-PATH話務(wù)臺安裝專用軟件后，通過S

9、E2200的代理，接入到NGN承載網(wǎng)中，進(jìn)而到SOFTX3000上進(jìn)行注冊，注冊成功后可以對centrex群內(nèi)用戶進(jìn)行權(quán)限管理，使用呼叫代答及呼叫接續(xù)等話務(wù)臺功能。 目前在U-PATH話務(wù)臺的注冊過程中，需要使用華為專用的話務(wù)臺軟件，以及使用在SOFTX3000上配置好的 號碼、用戶名、密碼進(jìn)行注冊； 業(yè)務(wù)風(fēng)險： 在 號碼、用戶名、密碼出現(xiàn)泄漏，非法用戶又同時擁有華為話務(wù)臺軟件和語音加速卡硬件的情況下，還是可能會導(dǎo)致 被盜打，這種情況下無躲避解決方法； 在出現(xiàn) 盜打，且非法用戶已經(jīng)離線的情況下，目前無方案來定位出當(dāng)時盜打用戶的位置信息；如果非法用戶在線的情況下，可以提供非法用戶注冊時的IP地址

10、信息。 處理建議： 改造U-PATHIP話務(wù)臺為使用ISDN雙絞線方式接入。 沒有ISDN接入資源的客戶，建議將UPATH話務(wù)臺升級到V100R002C08版本，改造為帶語音加速卡方式的話務(wù)臺，同時在軟交換上ADDCXCON命令中修改“語音加速卡標(biāo)志為新卡。在使用語音加速卡的方式下，即使 號碼、用戶名密碼出現(xiàn)泄漏，還必須有華為專用的語音加速卡配合才能使話務(wù)臺注冊成功。 4由SBC代理的SIP中繼業(yè)務(wù) 業(yè)務(wù)風(fēng)險： 由于SOFTX3000和公網(wǎng)用戶之間開的是SIP中繼，而SIP中繼在對接過程中是不需要任何用戶名密碼來進(jìn)行合法性驗證的。只需要對端的IP地址正確就可以進(jìn)行業(yè)務(wù)使用。在中間經(jīng)過SE220

11、0的情況下，SOFTX3000的對端地址是SE2200的server地址，公網(wǎng)用戶的對端地址是SE2200的client地址。因此，公網(wǎng)用戶只需要知道client地址就可以發(fā)起呼叫，存在較大的平安隱患。 處理建議： SIP中繼網(wǎng)關(guān)由于協(xié)議限制，沒有用戶名密碼等認(rèn)證方式，在運行過程中風(fēng)險非常大，建議只在軟交換之間或者內(nèi)網(wǎng)里面等信任域里面對開SIP中繼，禁止跟公網(wǎng)用戶對開SIP中繼。 建議停閉公網(wǎng)接入的SIP中繼業(yè)務(wù)。 四、結(jié)語 從開展趨勢來看，采用軟交換技術(shù)進(jìn)行組網(wǎng)已經(jīng)成為運營商必然的選擇。相對于封閉、使用專用系統(tǒng)的電路交換網(wǎng)，架構(gòu)于IP網(wǎng)之上的軟交換網(wǎng)絡(luò)易受到外來的入侵，面臨平安性的挑戰(zhàn)。運營商做軟交換組網(wǎng)規(guī)劃、進(jìn)行網(wǎng)絡(luò)及設(shè)備性能優(yōu)化時要更加重視對網(wǎng)絡(luò)平安能力進(jìn)行客觀評估，制定可靠的組網(wǎng)方案。 參考文獻(xiàn) U-SYSSoftx3000軟交換系統(tǒng)技術(shù)手冊 閱讀相關(guān)文檔:建筑砌塊砌體施工技術(shù)的應(yīng)用分析 公路工程交通量預(yù)測分析關(guān)鍵點 淺談儀表自動化的開展 試述動態(tài)計重收費技術(shù)在高速公路中的應(yīng)用 淺述建筑工程造價的審核與監(jiān)督管理 石油化工自動化的關(guān)鍵技術(shù)及結(jié)構(gòu)綜述 壓力管道裂紋成因及預(yù)防措施 建筑工程管理中的本錢控制探究 探究建筑工程中的基坑圍護(hù)施工 留學(xué)生國際投資學(xué)課程教學(xué)的問題及對策建議 圍標(biāo)情況分析與對策 太陽能硅片廢水回用 混凝土灌注樁施工解析及質(zhì)量保證 淺談建筑防水屋面工程施