下一代网络的安全研究是一项综合而长期的任务。目前下一代网络的安全需要重点在以下几方面努力:用户和设备的接入认证、用户标识、NAT/FW的穿越以及安全流传输的密钥协商、SPIT的检测与阻止、IMS的安全等。
下一代网络(NGN,Next Generation Network)是一种融合网络,正在向以软交换和IP技术为基础的全IP网络演进。由于IP网络的先天脆弱性,在继承了IP网络脆弱性的同时,下一代网络在网络架构、协议实现以及管理等方面都存在潜在的安全问题。因此在下一代网络快速发展的同时,网络安全已经成为业界研究的重点。目前国际上研究下一代网络的4大标准化组织ITU、ETSI TISPAN、3GPP和IETF都已经投入了大量的力量研究下一代网络的安全问题,相应的安全标准还在研究之中。
“体检”结果
病因一:CSCF实体抵抗弱
目前ITU-T已经将3GPP提出的IMS(IP Multimedia Subsystem,IP多媒体子系统)作为下一代网络核心网基于SIP会话的子系统的基本架构。在IMS体系中,CSCF(Call Session Control Functions,呼叫会话控制功能)功能体系集中完成管理和呼叫控制,因此CSCF实体必须直接面对各种不同的用户,这在一定程度上是下一代网络的一个安全隐患,也是黑客攻击下一代网路的一个主要目标。如果CSCF实体的安全保护措施不到位,则CSCF实体可能会成为下一代网络安全的瓶颈,恶意攻击者可能通过对CSCF实体的攻击达到全网致瘫的目的。
同时下一代网络支持多种接入,包括GSM, GPRS, 3G, POTS, WLAN, Wire-line broadband and internet等,因此可信的内部网和不可信的外部网络之间通过各种网关连接起来。这种融合在核心网络和接入网络间增加了更多接口,每个接口都是一个潜在的攻击点。例如连接核心网和传统PSTN网络的信令网关就很容易遭到拒绝服务攻击和数据篡改即产生恶意的ISUP/Q.931消息。实际上所有的加密数据在经过网关时需要解密处理然后再加密传送,这便给有经验的攻击者有机会修改信令数据或语音数据。
病因二:网元自身不健壮
网元潜在的安全威胁主要来自于设备自身,如操作系统没有及时打补丁、使用弱口令、开放没有使用的端口、防火墙配置不当等,几乎百分之八十的安全事故是由于网元自身不健壮而存在的安全漏洞所引起的。
目前网元中包括一些网管设备、计费系统以及终端等多数使用WINDOWS操作系统,但也有一部分网元使用Unix系统(包括Solaris和AIX),这些操作系统本身有一定的漏洞,往往会成为黑客攻击的目标。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,系统发布的时间越长,系统的漏洞也越来越多,也越来越为更多的人了解。
病因三:协议实现较脆弱
协议实现脆弱性指网络中互相通信的协议本身存在的安全方面的不健全和协议实现中存在的漏洞问题。比较典型的协议漏洞为TCP/IP中的存在可能被SYNflood攻击的漏洞。在下一代网络中,包含多种多样的协议,主要的协议包括H.248、SIP、MGCP、H.323、BICC、SIGtran等。每种协议都存在大量服务请求拒绝服务攻击。其中SIP、MGCP、H.248和RAS尤其重要,因为它们支持UDP承载,数据包不需要建立连接,所以发起UDPflood攻击非常容易。尤其是SIP协议还不是很完善,采用明文传输,通信内容很容易被窃听或篡改。虽然采用了基于HTTP DIGEST的认证方式,但是这种认证方式是单向认证,很容易冒充服务器进行各种欺骗等。另外在下一代网络中协议解码漏洞将是比较普遍的一个安全脆弱性,对于采用ASN.1语言描述的协议,由于描述的复杂性,很容易造成协议实现的漏洞。这在H.248和H.323更为明显,其他的协议也存在类似这方面的问题。
“病兆”预测
症候一:信令流攻击
下一代网络中的流量可以分为信令流和媒体流两部分,信令流经过多级集中的代理服务器或软交换进行转发来完成端到端呼叫的建立。目前使用的信令协议在安全性方面还不是很完善,攻击者很容易利用信令流的来对服务器发起各种攻击,典型的有以下几种方式。
畸形信令报文攻击。攻击者向代理服务器或注册服务器发送大量的畸形信令报文,目的是造成服务器解析错误或缓冲区溢出,使得正在工作的服务器突然死机或重新启动,严重时可以使整个网络瘫痪。
注册劫持攻击。注册劫持攻击属于用户注册过程中的一种重放攻击。其原理是攻击者获得合法用户的注册消息,在该消息最初设置的周期内修改该消息后重新发给注册服务器,从而欺骗注册服务器完成一定的攻击目的。例如通过修改Expires字段来注销一个合法用户,在这种情况下,原有的合法用户就不能发送或接受任何呼叫。
会话攻击。这种攻击是通过发送伪造的BYE消息来拆断合法用户间的正常通话。为了成功实现这种攻击,攻击者必须知道此次会话的关键信息如From, To, Call-ID, Cseq等,然后利用这些信息伪造一个BYE消息发送。
症候二:媒体流攻击
和信令流攻击一样,媒体流攻击源于下一代网络中的媒体流传输协议RTP/RTCP(实时流传送协议)本身的开放性。RTP/RTCP协议一般很少采用任何安全措施,虽然SRTP(Secure RTP)协议已经出现有一段时间,但是在应用中还存在密钥协商等一些问题需要解决,现在广泛应用的仍是RTP协议,因此一小段流媒体很容易被重放出来而不需要前后信息的关联。如果在媒体通道中通过Sniffer等方式记录所有信息并通过软件加以重放,会引起对话音通信的信任危机。典型的媒体流攻击有以下几种方式。
插(替)音攻击。攻击者构造和真实的RTP流具有相同特征的数据包,然后插入到(或代替)正在传送的媒体流中,这些伪造的RTP包会在真实的数据流到来前被播放,而真实的语音流则被忽略。这就意味着攻击者可以播放任何所希望的语音,而到来的真正的语音数据却被看成是旧的数据包被丢弃。
会话窃听。攻击者在网络上捕获RTP流,并识别出RTP流的编码方式,就很容易重建实时语音流,从而窃听通话。甚至还可以获得通话双方的关键信息如会话ID、FROM Tag值和TO Tag值等,这样攻击者除了窃听外,还可以实施CANCLE或BYE会话中断攻击。
症候三:拒绝服务攻击
拒绝服务攻击是任何基于IP的网络都无法避开的。拒绝服务攻击有多种形式,总的来说攻击者通过发送大量的具有杀伤力的数据报文造成目标网络拥塞,不能提供正常的服务,或者造成相应的服务器瘫痪。下一代网络中的拒绝服务攻击即包括传统的拒绝服务攻击,也包括下一代网络协议漏洞带来的基于信令流量和媒体流量的拒绝服务攻击。这类攻击一般利用是协议实现上的漏洞或是网络管理上的缺陷,一般很难阻止。同时拒绝服务攻击还通常与其它攻击方式一起使用,特别是修改/伪造数据包,给受害者造成更大的损失。
症候四:服务窃取
这类攻击是黑客利用各种手段获取合法用户的帐号信息或进入系统服务器内部删除修改计费记录,或是在通话的过程中迂回合法的计费系统等,通常会给个人或企业带来巨大的损失且很难追查。
虽然下一代网络的接入需要严格的身份认证,但是仍避免不了非法接入的攻击,这种攻击一般需要内部人员的支持,或者是利用协议上的漏洞,截取合法用户信息,典型的如SIP注册劫持攻击等;同样下一代网络也离不开病毒/木马的攻击,攻击者会向下一代网络中散步病毒或在服务器内植入木马程序来执行恶意操作,破坏用户数据或干扰正常的业务等。