Forticarrier运营商移动彩信_网站安全防御_2010

FortiCarrier运营商安全解决方案 March 2010 日程 移动服务的安全威胁分析 移动安全检测技术 FortiCarrier移动安全防御平台 问题 产品 技术 Vodafone Starhub的应用 案例 移动网络服务的发展 Pre IMS IMS voice SMS VOIP Media IPTV IM 移动终端安全威胁来源于何处 IMS安全分析 威胁评估 移动基础构架安全分析 如何定位安全需求 运营商的网络基础架构的安全 为移动用户端提供的安全服务 RADIUSSERVER GGSN SGSN 1 2 终端通信安全威胁的发展 手机OS发展的开放性SymbianWindowsMobile手机程序发展的多样性带来的软件漏洞个人信息的商业价值挖掘恶意威胁和商业敲诈经济利益驱动 国际性信息的频繁交互 手机病毒的发展趋势 市场比重 价格 病毒数增长 7 5倍 终端比例增长 1 7倍 终端威胁发展迅速 应及早准备应对并适时部署措施 2005 2006年 手机病毒传播和分类 本地传播传播方式 蓝牙 文件拷贝典型样本 Cabir RedBrowser Skulls网络传播传播方式 彩信 WAP pushemail典型样本 CommWarrior 彩信 手机病毒发展历程 第一阶段 手机短信病毒阶段利用了类似操作系统中的缓冲区溢出原理 系统为固化程序 处理特定信息格式的溢出可以造成故障 世界首例手机病毒 VBS TimoFonica 于2000年6月发现于西班牙 该手机病毒会导致被感染的手机向其他用户发送辱骂短信 我国最早的手机病毒 洪流 Hack SMS blood 出现于2002年 该病毒会使手机浏览短信时自动关机 第二阶段 智能手机病毒阶段产品本身由于内置了操作系统 病毒利用操作系统提供的API 应用程序接口 进行编写 只要了解操作系统的这些知识 就能编写出感染这类手机的病毒 2004年6月出现的Cabir caribe 是第一种针对智能手机的病毒 被感染的手机会不停的进行蓝牙搜索 发送蓝牙请求 导致手机终端的电量被很快耗尽 第三阶段 网络手机病毒阶段病毒可以通过蓝芽等传输 可以形成对整个无线网络进行攻击 新型的彩信功能包括了动态控制信息 就像网页里的JavaScript的程序一样 能够被病毒编写者利用 编写出通过这些控制信息来传播的病毒来 移动网络 移动用户 恶意访问 媒体网络 手机病毒传播的危害 大量发送彩信拨打收费电话自动定购收费业务 窃听泄密资料被破坏手机死机 网络拥塞 客户投诉 服务质量下降 影响移动业务推广 移动用户 服务提供商 利用MMS传播的病毒 Commwarrior A 2005 3 复制自身前查询系统时间Commwarrior B不再查询系统时间 因此更加流行Commwarrior Q Aug 2006 变种更加难于防范使用电话地址簿中的手机号码传播监听所有收到的MMS SMS 并自动回复一条带有Commwarrior Q病毒的MMS监听所有向外发送的SMS 并在SMS发送完成后自动发送一条带有Commwarrior Q病毒的MMS给此收件人MMS中的文本内容取此手机的短信收件箱 商业间谍软件 远程话筒激活SMS记录电话拨打记录短信内容监控 木马 RedBrowser 2006 3 12日发现 RedBrowser虚假的下载Wap网页 RedBrowser持续的提示 RedBrowser标识显示 Source Beselo蠕虫 Vodafone 2008年1月21日发现该蠕虫病毒被命名为SymbOS Beselo A worm 可以在不同SymbianS60的设备上传播 这些设备包括Nokia6600 6630 6680 7610 N70和N72等型号的智能手机 在安装阶段 蠕虫病毒传播的方式如下 通讯录中的电话号码将被收集起来 然后向他们通过MMS发送含有病毒安装文件 SIS 但是该SIS文件不是使用sis扩展名 而是显示为多媒体文件类型 比如Beauty jpg Sex mp3和Love rm 与MicrosoftWindows操作系统不同的是 Symbian操作系统执行文件是基于内容而不是根据扩展名的 因此接收到感染病毒的MMS文件后点击该附件就会得到被感染 用户很容易被扩展名所欺骗 在不知情的情况下安装这类的恶意软件 除了收集通讯录中的电话号码意外 Beselo蠕虫也会向自动生成的号码来发送感染文件 有意思的是 这些自动生成的号码全是中国区域内的 而且都属于一个移动运营商的 这些号码中会有一部分是真实用户的 而非收费的服务号码 它为什么采用这样的行为还待进一步考察 媒体报道 国际运营商的终端安全发展 2004年 提供终端安全服务 欧洲 Finland 欧洲沃达丰 英国Orange 法国电信开始提供手机杀毒服务 按照2 5欧元 月提供服务台湾 中华电信提供杀毒服务 每月69新台币网关安全服务增值模式智能手机的用户为高端用户 病毒危害对这些用户的负面影响 对运营商品牌 客户忠诚度 数据业务的推广有较大影响个性化服务根据手机人群进行个性化的服务套餐 提供彩信安全 邮件安全 网页安全等多样化运营商级服务 日程 移动服务的安全威胁分析 移动安全检测技术 FortiCarrier移动安全防御平台 问题 产品 技术 Vodafone Starhub的应用 案例 FortiOSCarrier安全特性列表 基于移动用户MSISDN的动态安全防御 用户端安全服务通过用户认证的RADIUS进行个人记录根据radius配置进行个人安全配置文件下发VOIPSIP安全防御 运营商基础网安全SIP呼叫状态跟踪 恶意SIP信息检测 阻断 SIP呼叫速率限制SIP透明支持 支持 SIP呼叫地址翻译 隐藏 RTP动态穿越SIP状态HA监视 支持备份SIP服务器管理MMS多媒体彩信安全 用户端安全服务支持移动个人用户的彩信病毒 恶意代码安全扫描 阻断支持移动个人用户的网页访问 邮件访问的安全防护支持安全事件的用户通知GPRS协议安全 GTP 运营商基础网安全3GPP29 060version6 9 0规范 包括计费超额协议规范检测及字段控制和过滤包括IMSI APN IE等 FortiGate5000移动安全网关 移动运营商定制的安全功能MMS彩信病毒防御和内容审计GTP通道安全SIP信令安全防护数据网防火墙 防病毒 防攻击 WEB过滤 FortiGate5050 FortiGate5020 FortiGate3810A Fortinet公司概况 首位基于ASIC硬件技术的移动网络内容安全技术提供商专业网络安全厂商1000 名员工 超过500 工程技术人员2000年成立发展最快的专业安全公司全球化的销售服务体系 美国 欧洲 亚洲 权威的安全认证7项ICSA 国际计算机安全组织 认证最高级政府安全认证 FIPS 2 CommonCriteriaEAL4 50 安全行业认证美国病毒专业评测试VB100认证欧洲专业IPS安全评测NSS认证 全球电信安全运营商合作客户 FortiCarrier移动安全网络解决之道 策略控制 虚拟用户管理 流量控制 数据加密 垃圾邮件 彩信安全 SIP安全 网页过虑 GTP安全 产品线列表 FortiWebWeb防火墙 统一安全网络解决方案 FortiGuard全球安全威胁响应中心 100 安全响应工程师提供24X7安全特征库更新 美国加拿大伦敦巴黎中国马来西亚新加坡东京 各种攻击特征库 专业移动安全风险监控 当前风险级别 全球24x7安全监控中心 FG5000移动安全网关 运营商级别 Fortinet全球移动运营商客户 EnglandItalyIrelandIcelandGermanyFrance 日程 移动服务的安全威胁分析 FortiCarrier安全检测技术 Fortinet安全防御平台 问题 产品 技术 安全部署 实施 Vodafone Starhub的应用 案例 终端病毒安全防御部署方式 GPRS 3GPS 病毒网关隔离彩信或其他数据业务传播病毒 MMSC 病毒网关隔离Internet网络中的病毒 手机病毒软件隔离本地病毒传播 Internet 多媒体彩信接口 根据3GPP和WAP论坛的技术规范 多媒体短信息服务multimediamessagingservice MMS 也就是彩信 主要有4个数据传送接口 MM1 MMSC与用户终端通讯接口 如手机 使用HTTP协议传输消息 MM3 MMSC与传统服务器之间的通讯接口 如邮件服务器 使用SMTP协议传输消息 MM4 MMSC之间数据通讯接口 跨省MMS发送 使用SMTP协议传输消息 MM7 MMSC与增值应用服务器通讯接口 如TOM 新浪等SP 使用HTTP SOAP协议传输信息 移动MMS网络结构 安全防御点 MM1防病毒扫描 FortiGate可以工作在透明模式部属于WAP网关与MMSC之间多个物理接口 支持VLANHA集群 支持Active Active和Active Passive模式防病毒扫描和文件类型过滤基于消息内容 关键字 的过滤 移动网络 MM1 WAP网关 MMSC 病毒扫描HTTP内容检测 MMSC 日志分析 MM1报头结构MM1m send req HypertextTransferProtocolPOST mmscHTTP 1 1Host 123 1 2 3accept application vnd wap mms messageaccept charset utf 8 Unknown iso 8859 1 iso 10646 ucs 2accept language debearer indication 0cache control No Cachecontent length 11785content type application vnd wap mms messageencoding version 1 4user agent SonyEricssonF500i R2VSEMC Browser 4 0 1Profile MIDP 2 0Configuration CLDC 1 1UP Link 6 3 0 0 0 x up devcap charset utf 8 Unknown iso 8859 1 iso 10646 ucs 2x up devcap max pdu 300000 x up uplink x up wtls info offx wap profile MMSMessageEncapsulation Type m send reqX Mms Message Type m send req 0 x80 X Mms Transaction ID 2d 900fc1X Mms MMS Version 1 0Date Dec14 200500 39 27 000000000From To 991238122518 TYPE PLMNSubject Re Re X Mms Message Class Personal 0 x80 X Mms Priority Normal 0 x81 Sender Visibility Show 0 x81 X Mms Delivery Report Yes 0 x80 X Mms Read Report Yes 0 x80 Content Type application vnd wap multipart related type application smil start Data Post MultipartbodyPart 1 content type application smilPart 2 content type text plainPart 3 content type image jpe Sender UserAgentCapabilities Recipient MessageContent Messagetype SendinganMM UserAgent senderandrecipientareusedinsyslogmessageandFortiAnalyzerreporting MM1m retrieve conf HypertextTransferProtocolHTTP 1 1200OKDate Wed 14Dec200500 40 39GMTServer Apache 1 3 31 Unix Content Length 11846Connection closeContent Type application vnd wap mms message MMSMessageEncapsulation Type m retrieve confX Mms Message Type m retrieve conf 0 x84 X Mms Transaction ID AAMkJcxTbfZE14R4TX Mms MMS Version 1 2Message Id 306701302 mms somewhere Date Dec14 200500 40 42 000000000From 991239091788 TYPE PLMNTo 991235634905 TYPE PLMNX Mms Message Class Personal 0 x80 X Mms Priority Normal 0 x81 X Mms Delivery Report No 0 x81 X Mms Read Report No 0 x81 X Mms Retrieve Status Unknown 0 x80 X Mms Retrieve Text MMSwassentContent Type application vnd wap multipart related type application smil start Data Post MultipartbodyPart 1 content type application smilPart 2 content type image gifPart 3 content type text plain MMSContent From ToMSISDN Messagebody RetrievingMessage MM3 MM4 MM7防病毒扫描 基于SMTP当equivalentSMTP RFC822 域不存在时添加X MMS头信息FortiGate设备支持透明SMTP代理MM3 Internet网关 MM4 网间通信 MM7 增值服务 FortiGate设备可以同时使用这些功能通过FortiProtect网络实时更新病毒特征库 MOBILENETWORK 外部服务器或网关 MMSC基础构架和其它运营商 MM4 MM3 增值服务和内容提供商 MM7 MM1 WAP 如何启用MMS保护 可以仅仅监控而不作阻断 文件类型过滤 文件过滤选择 可以针对文件类型进行阻挡 如 SIS exe jpeg文件 头信息 cookie获取电话号码的方式 可添加其它前缀 如国家代码 MMS信息告警 拦截通知 MSISDN黑白名单 根据来源和目的的MSISDN地址进行过滤和防火墙策略进行关联建立基于用户的MMS安全扫描配置根据MSISDN号码拦截彩信MSISDN黑名单MSISDN白名单可以完全隔离备份原始彩信到存储设备 安全配置可选项 截取文件模板列表里的条目现在可以指定截取动作 如果截取被指定 文件的拷贝将保存在日志存储设备FortiAnalyzer隔离区列表 以用作以后的分析 如果文件没被扫描的其它动作阻止 则文件和信息将不做改变发送给用户 隔离只有当内容被标记为被感染或可疑时 该内容才可被发送到日志存储设备FortiAnalyzer并隔离 存档完整的MMS信息 包括HTTP或SMTP传输报头 被存档到日志存储设备FortiAnalyzer 以用作以后参考或分析 阻止内容既没被传送 也没被上述可选项储存 MMS内容过滤 使用一个可配置的字典5000个条目 每条目最多80字符完全UTF 8支持可支持泰语 阿拉伯语 北印度语 乌尔都语等保护内容表允许给单独条目一个分值 超过了配置阈值的信息可被阻止 也可被使用为免除 白名单 内容日志输出 垃圾流量单个MSISDN用户的发信量多个MSISDN用户发送的相同信息可根据时间和数量配置阀值例如1小时100个信息 阻止发送者30分钟MMS监视中心提供报告攻击流量的响应动作ArchivedBlockedLoggedIntercepted黑白名单可根据MSISDN号码设定支持MM1和MM4类型 MMSDOS攻击 MMS彩信速度 重复频率控制 VDOM GGSN SGSN VAS MM1 http WAPGATEWAY MM4 smtp MM3 smtp MMSCenter MailServer VDOM VDOM VDOM MM1 MM4 MM3 VDOMOAM OAM MM7 VDOM VAS MM7 http soap AGW NAP FOREIGNOPERATOR MMS病毒过滤 MM1安全日志和报告 SYSLOG日志从MMS消息中提取的发件人 收件人的MSISDN信息使用FortiAnalzyer产生超过300种图形报表2006 11 1708 49 29log id 0211060000type virussubtype infectedpri warningvd rootsrc 139 7 1 2dst 10 208 168 74src int port2dst int port1service mm1status blockedfrom 491740430400 to 4915200459450 file commw sis virus SymbOS Commwar B net msg Thefilecommw sisisinfectedwithSymbOS Commwar B net Ref MMSMessagecreatedbyFortiGate sentviaMMSCNotifiessenderofvirussentCanbefromthesender froma fake MSISDNViaMM1 MM7 定义MMS反馈信息 Sentinsteadofinfectedcontentifanattemptismadetodownloadavirusorblockedfile SenttohandsettoclosetheMM1transaction MMS安全日志 屏幕事件统计SNMP安全告警Email告警Syslog日志纪录 时间 2005 11 1710 52 08log id 0211060000type virussubtype infectedpri warningvd root地址 src 139 7 1 2dst 10 208 168 74src int port2dst int port1service mm1动作 status blocked电话 from 999912345678 to 999987654321 病毒 file commw sis virus SymbOS Commwar B net msg Thefilecommw sisisinfectedwithSymbOS Commwar B net Vodafone平均15 流量检测为病毒 Commwarrior感染率可达4000 天 FortiAnalyzer日志中心 动态用户保护内容表 一个保护内容表可与一个移动用户相关联 通过MSISDN实现用户识别保护内容表提供 防病毒防垃圾信息URL分类IPSIM控制在每MISDN 每用户的基础上 保护内容表 用户识别 需要一个RADIUS记费记录记费记录包括 IP地址 8 MSISDN 移动用户国际号码 31 保护内容表名称名称可表现出保护内容表的属性并在配置中指定典型的使用分组属性然后为用户创建带着IP地址和MSISDN的文件 并把这个文本与保护内容表相关联如果提供的保护内容表没有被发现 则已经配置在防火墙策略里保护内容表将被使用 WAP网关病毒检测 Web过滤 基于MSISDN的URL过滤 包括病毒扫描使用自动更新的分类数据库 并可进行用户自定义设置多种分类 为成年人 未成年人用户提供不同的保护为网上内容重新加上头信息 移动网络 Internet 用户数据库 商业内容 基于HTTP头 根据URM分类允许或拒绝站点 URLDatabase 3G无线网络不良网站过滤方案 A点部署Web过滤网关 FortiGateUTM安全网关支持20多亿个全球不同的不良网站 当用户访问这些不良网站时 网站自动被屏蔽 并给出提示 FortiGuard安全小组提供自动网站拨测试来更新最新发现的不良网站安全网关同时可提供网站内容关键词的过滤功能 A B B点部署傍路图片过滤系统 对安全过滤网关不能识别的新网站进行图片色彩级别的扫描 当判断出属于不良图片后 把这个网站自动地址发送到安全过滤网关 安全过滤网关自动更新安全策略 自动屏蔽新的网站 Web过滤网关 安全检测工作流程 安全网关 GGSN RADIUSSERVER Off Net FortiGuard安全云网络 云安全检测 1 2 网页请求 RADIUS开始记录 3 4 WEB服务器 ONNET INTERNET URLDatabase SGSN WEB WEB MEDIATIONSERVER 网页请求 5 安全扫描过的内容 6 日志审计 WAPGATEWAY 配置举例 综合选项允许使用HTTP报头MSISDN详细信息当使用WAP网关时必需全局设置会话IP地址 假定每个MSISDN有一个唯一的IP地址找到保护内容表 可在RADIUS记录里或默认的防火墙策略内的一个配置 Web分类应用 在保护内容表内的过滤URL分类每个MSISDN 即每用户设计独立的保护内容表配置 应用订阅AntiX增值服务 保护内容表指定扫描的选项和动作每MSISDN 每个用户的安全策略保护 移动用户安全强制策略 可选 移动客户端通过移动网络访问公司EmailEmail服务器并非移动运营商网络的一部分移动运营商并不是一个ISP感染病毒的用户终端可以通过Internet传播垃圾邮件或者病毒Email感染病毒的笔记本电脑通过3G数据卡对外传播病毒缺乏防火墙策略的保护移动运营商的IP地址段被其它运营商列入黑名单所有Email均无法发送 无论它是合法的还是非法的这个移动运营商将无法继续进行Email服务 用户级强制性安全策略 发出的垃圾邮件和病毒扫描阻止网络黑名单列表基于MSISDN电话号码的安全报告审计可以基于MM3 MM4接口开发 移动网络 远端Mail服务器DNSBL检查 私有IP地址 基于移动用户的邮件病毒检测 GGSN 无线网卡 个人手机终端安全FortiMobile4 0 智能手机的多层安全工具Symbian和WindowsMobile系统Symbian7 x 8 xand9 xsupport Series60 UIQ Windows2003SE Mobile5 0and6 0Android系统即将支持安全功能个人防火墙VPN呼入过滤垃圾短信病毒过滤电话安全多语言支持 功能说明 个人防火墙提供三个保护层次Low 允许进出的呼叫Medium 拒绝呼入 允许呼出High 拒绝呼入 允许通常呼出IPSecVPN允许通过GPRS Wi Fi建立安全通道支持pre sharedkey和VPN XauthFortiClient基于PC的软件利用ActiveSync功能可以和手机上的VPN配置进行同步 功能说明 2 呼入过滤允许用户对呼入的用户进行限制静音或挂断发送短信转发呼叫到另一个号码自动应答允许主叫方留言垃圾短信过滤SMS和MMS空号码 未知号码黑 白名单支持可选择删除或者移动到垃圾文件夹 功能说明 3 病毒扫描允许扫描系统存储空间 外置存储卡和当前内存可用户化的全路径扫描预定置的扫描实时文件保护 支持Wifi Bluetooth IrDA扫描整个文件系统 包括存储卡支持启发式和特征库扫描隔离任何删除的文件可以放置在 隔离 文件夹文件夹大小可在500kto4M间配置 功能说明 4 电话安全提供数据的加密 解密SMS MMS信息呼叫记录和联系记录可选的安全记事本多语言支持 v4 1 支持中文 英文 法文 德文等 手机平台支持 RequiresSymbianSign 部署方式一 用户模式用户可以直接通过Fortinet网站进行购买授权号码和病毒库升级通过FortiGuard服务进行 购买软件并注册 通过FortiGuard服务进行注册更新 下载病毒库 部署方式二 服务提供商方式软件和升级授权由运营商控制Fortinet为运营商提供特征库升级附加的服务器进行管理跟踪 购买软件并注册 下载软件 注册 运营商门户入口 同步注册服务 病毒库更新 下载更新病毒库 软件 更新 服务提供商工作流程 登陆运营商提供的portal 点击 购买 移动用户 运营商 运营商 Fortinet厂家 请求购买软件 在RegServer完成注册 通过下载请求 RegDB MID FUID ActivateCode SN 通过WAPServer校验请求 通过下载认证 提供下载链接和激活码 点击下载软件 输入激活码 处理激活和更新的请求 WAPServerRegServer RegDB etc 主服务器第二服务器 和厂家主服务器同步 厂家第二服务器提供软件和病毒库更新给FortiManager RegDB MID FUID ActivateCode SN 请求病毒库更新 FortiManager为有效的客户端提供软件和病毒库的更新 服务提供商模式 可定制开发和运营商当前的portal和计费系统接口客户软件界面的定制化FortiClientMobile管理服务器PrimaryServerSecondaryServerRegServerWapServerFortiManagerMobile WapServer WapServer提供了基于WAP的网络下载界面 提供用户认证授权移动运营商的Portal和RegServer支持用户注册移动运营商需要提供WAP服务器的硬件 RegServer RegServer和厂家的主服务器需要同步用户的注册数据库RegServer提供下列服务用户可以通过运营商提供的Web网页进行注册维护用户注册信息运营商需要提供硬件 FortiClientMobile管理服务器 病毒库更新由FortiGuardservice提供病毒特征库本地存储同步由服务器自己完成响应FortiClientMobile客户端发出的更新请求 传送更新库给客户端FortiManagerMobile获得每个客户端信息并本地存储FortiManagerMobile管理服务器维护一个最新的可用的服务器列表 并定期传送给客户端 FortiManager升级库管理 监控中心 FortiCleanUp病毒清除工具 FreetouseSymbianS60v7 v8RemovesbothCommwarriorandBeselowormsMultipleLanguageSupportAlbanian Arabic Czech Dutch English French German Greek Italian Polish Portuguese SimplifiedChinese Spanish Swedish andTurkish GPRS GTP服务安全保护 保护Gi Gp Gn接口VPN 防火墙和GTPIPS确保GPRS的可用性和服务的完整性 OTHEROPERATOR GTP防火墙 包括在Gi接口上提供防病毒和IPS保护 MOBILENETWORK GGSN SGSN GGSN INTERNET 在Gn Gp接口上 FortiGate支持以下GTP安全特征 GTP包完整性检查 长度过滤和类型检查 GSN隧道限制和频率限制 GTP状态检测 清除挂起的GTP隧道 GTP隧道HA保护 GTPIMSIprefix 最大1000 和APN 最大2000 过滤 GTP序号确认 GTP消息的IP碎片 GGSN SGSN重定向 检测GTP嵌套包 GTP流量统计和记录 通过Gi防火墙 防止超额计费 压缩流量过滤 防欺骗 协议异常检测和保护 防止会话劫持 GTP病毒保护 GTP隧道中的用户数据将被Gn Gp防火墙扫描FortiGuard服务将动态更新病毒特征库 MOBILENETWORK GGSN SGSN INTERNET GTPTUNNEL OTHEROPERATOR SERVER GTP超额计费保护 使用动态IP地址有可能产生如下情形 当移动客户端A断开连接后 移动客户端B获得了A之前使用的IP地址 但是A之前的流量并未结束 仍然继续进行着数据传输 这些费用将记录到B的账单上 MOBILENETWORK GGSN SGSN INTERNET GTPTUNNEL MOBILESTATIONA MOBILESTATIONB OTHEROPERATOR GI GK SERVER 当来自于A的GTP隧道被GGSN关闭 Gatekeeper协议将从Gi防火墙移除相关会话 SIPVOIP关键安全需求 允许网络拓扑隐藏于NAT NAPT后方 动态端口打开 关闭 基于策略的访问控制 支持源 目的地址和服务等 虚拟系统支持 VLAN和虚拟防火墙 小包加速转发 保证VOIP的性能HA自动SIP状态监测 提供在线的入侵防御 保护SIP不受DoS攻击 i e INVITE REGISTRATIONMETHODflooding SIP呼叫逻辑次序检测 invite byte SIP协议异常检测i e BufferOverflowAttacks malformedSIPpackets 提供基于策略的QOS和差分服务标记基于CODEC协商 为信号和媒体提供不同的QOS 低延迟的端到端GER IPSEC加密 提供高质量的安全语音通信 SIP呼叫信息流检测 INVITE REGISTER SUBSCRIBE NOTIFY REFER UPDATE OPTIONS MESSAGE ACK PRACK INFO PUBLISH SIP请求数据包类型 呼叫速率限制 丢弃 SIPresponses e g BYE CANCEL etc 不知道的SIP信息 DROP 公网VoIP VoIP内部网络 SIP SIP 包头规范检测 丢弃 防火墙控制 IPS攻击库检测 MatchSignature 丢弃 malicious 丢弃 Policymismatch precedence 呼叫关联 丢弃 undefined SIPDoS攻击防御 Load t Load t Badtraffic Goodtraffic 呼入流量 呼出流量 NormalLoad Max ServerLoad Max SFWLoad NormalLoad Max ServerLoad Max SFWLoad DOS呼叫泛滥检测检测恶意 畸形的SIP包 丢弃阻止SIP拒绝服务攻击流量到达SIP服务器对有攻击特性的源进行自动封锁潜在的DoS攻击SIP洪水攻击 1秒产生10 000个SIP呼叫 畸形包泛滥源IP地址欺骗泛滥3 4层Dos攻击 连接攻击分布式包攻击带来的呼叫延迟效应 Goodtraffic 88 企业VOIP环境 SIPSERVER PROXY B2BUA IP MPLS SBCP CSCFI BCF BGF COREIP Site1 LAN SIPoverIPSECSIPandRTPOverlappingIPv4Subnets SIPUA Site3 LAN Site2 LAN VPN1IPSec VPN2IPSec 192 168 1 1 192 168 1 1 192 168 1 1 企业端 防火墙安全保护SBC支持SIP穿越GRE IPSEC加密隧道传输支持VPN两端网段重叠SIP呼叫信息安全检测呼叫攻击防御呼叫地址翻译 地址隐藏 IPACCESS SIP防火墙HA双机 SIPServer ENET VPLSSwitch 1 ENET VPLSSwitch 2 ENET VPLSSwitch 1 ENET VPLSSwitch 2 FortiCarrierActiveBlade FortiCarrierStandbyBlade SIPInterconnect primary secondary optional GE GE GE GE GE GE Heartbeat FloatingMac IP FloatingMac IP SIP服务器动态连接备份 SIPSignallingFirewall SIPServer SIPServer PrimaryServer SecondaryServer SIPHeartbeat SIPHeartbeat SIPOPTION SIP SIP SIPisforwardedtoprimarySIPServer aslongasit ssuccessfullysendingheartbeats SIPSignallingFirewall SIPServer SIPServer PrimaryServer SecondaryServer SIPHeartbeat SIP SIP InthecaseofSIPheartbeatabsence theSFWwillforwardtheSIPtraffictothesecondarySIPServer Failover Failover ExternalCarrier ProxyMG 呼叫详细记录CDR针对拓扑隐藏的数据连续性支持 P CSCF 外部运营商创建CDR基于运营商B的NAT地址隐藏 默认情况下 外到内的运营商流量基于新的NAT地址建立CDR 运营商之间的CDR记录将不匹配解决方案 为同步CDR记费功能 ALG把最初的地址记录到SDP保留数据的 i 区域 ChargingFunction SIP安全特征库检测 SIP呼叫统计 device id FGT 601803331022log id 0640106000type contentlogsubtype VOIPpri informationvd rootclogver 3epoch 1483242489eventid 7cstatus voippolicyid 27SN 525759user N A group N A proto sipkind registeraction permitstatus succeededsrc 10 72 0 52dst 217 11 22 4from to dir outbound device id FGT 601803331022log id 0640106000type contentlogsubtype VOIPpri informationvd rootclogver 3epoch 1483242489eventid 8cstatus voippolicyid 27SN 525759user N A group N A proto sipkind callaction permitstatus startsrc 10 72 0 52dst 217 11 22 4from User1 to dir outbound setarchive summaryenable SIP日志传输到FA的VoIP栏的 内容存档 ContentArchive 中SIP RESISTER日志内容 SIP Call日志内容 日程 移动服务的安全威胁分析 MMS安全检测技术 Fortinet安全防御平台 问题 产品 技术 安全部署 实施 Vodafone Starhub的应用 案例 一阶段实施 20 FG5000Blades FortiGuard24 7SecurityService连接26个国家移动用户 提供不同语言服务安全功能使用手机彩信病毒安全保护 无线用户Web安全过滤无线用户垃圾邮件保护 使用统计15 左右的病毒流量Commwarrior感染率可达4000 天超过97 4 的垃圾邮件捕获率低于0 18 的误报率 VDOM GGSN SGSN VAS MM1 http WAPGATEWAY MM4 smtp MM3 smtp MMSCenter MailServer VDOM VDOM VDOM MM1 MM4 MM3 VDOMOAM OAM MM7 VDOM VAS MM7 http soap AGW NAP FOREIGNOPERATOR 虚拟系统提供多接口 MM1 3 4 7 检测 一阶段实施 2 FG5020chassis 4FG5001Blades 1FortiAnalyzer2000A FortiGuard24 7SecurityService安全功能使用手机彩信病毒安全保护 无线用户Web安全过滤 使用统计16 左右的病毒流量Commwarrior感染率可达5000 天 安全网关性能 MMS病毒扫描300messages 秒 64k HAcluster600messages second25ms扫描时间 SIS文件 300MbpsHAcluster 600MbpsURL过滤1000transactions 秒10 000并发代理连接1 000 000用户上下文入口 Starhub周病毒统计 WAP网关病毒分布统计 北京移动网络病毒概述 在北京移动彩信中心 共发现7种病毒 有SymbOS Comwar A worm Comwar B worm Comwar C worm三个变种 国庆期间出现新的病毒JS Exception Exploit 十七大期间出现新的32 Agent BPP tr dldr病毒 十一月份出现两个新的病毒 分别是W32 Sality K W32 Brontok C mm 通过四阶段北京移动MMSC2一个彩信中心MM1发送端的测试 共发现病毒43091个 根据Vodafone使用的经验 MM1发送与接受传播的病毒比为5 5 FortiGate彩信病毒监控的测试结果分析 北京移动彩信病毒有线性增长的发展趋势 由刚开始测试发现的3个病毒到两个月后的7个病毒 平均每天彩信病毒传播700次以上 占每天北京地区MM1彩信的0 7 左右 在大型国际会议及节假日期间 彩信病毒数明显增多 阶段一 72小时统计 病毒爆发高峰期统计 Comwar变种病毒的发作时间及方式 本地时钟的8 00到23 59通过蓝牙传播 0 00到6 59通过彩信传播病毒发作高峰主要在凌晨2点到上午10点随着彩信的广泛应用 高峰期的范围将会增大 阶段二 国庆会议期间统计 出现新病毒JS Exception Exploit 阶段三 十七大会议期间统计 出现新病毒W32 Agent BPP tr dldr 阶段四 11月份统计 出现新病毒W32 Sality K 病毒类型和病毒源统计报表 当前已检测的病毒的危害 Symbols Comwar已被发现大约20个变种 在北京移动彩信中心发现SymbOS Comwar A worm Comwar B worm Comwar C worm三种 国庆期间出现新的病毒JS Exception Exploit 十七大期间出现新的W32 Agent BPP tr dldr病毒 利用蓝牙和彩信传播 攻击对象是运行SymbianS60操作系统的手机 是目前为止传播能力最强的病毒 具有隐藏自身进程的功能 从用户的本地电话簿中读取电话号码 然后通过彩信发送包含了Comwar病毒的文件 JS Exception Exploit是一个利用漏洞的病毒 该漏洞允许Java小程序在未安装修补程序的MicrosoftInternetExplorer版本中运行任意代码W32 Agent BPP tr dldr是一个木马程序 可以在后台下载有还害的文件并自动安装到系统中 还可以自动更新自己 影响手机的正常使用 日程 移动服务的安全威胁分析 移动安全检测技术 Fortinet移动安全防御平台 问题 产品 技术 安全部署 实施 Vodafone Starhub的应用 案例 随着彩信的应用普及 彩信病毒的传播和病毒发展日益上升 受感染的客户呈明显线性增长趋势 彩信监控防护系统的建设可提升移动通信在服务重大事件 关键事件上的专业形象 进一步加强重要客户对移动业务和服务质量的信赖移动通信带宽的发展 如TDSCDMA 彩信病毒及垃圾彩信势必加剧其应用威胁 因此各类专业移动业务安全监控防护系统的建设势将成为3G发展的重要基础保障条件彩信监控防护系统的建设是对国际 国内发生的 对移动运营商形象及彩信业务可能造成重大影响的病毒恶性传播事件监控防护和管理需要 彩信监控防护系统的建设可对病毒及垃圾彩信予以预警监控以保障正常业务彩信应用和网络带宽流量 从而提高移动客户的认知度 彩信监控防护系统的建设可实时监控因不法分子群发垃圾彩信影响 为全网相关KPI指标 如接通率 成功率等 成出贡献 彩信防护系统建设的必要性 FortiGate移动安全网关系统优势 FortiGate彩信病毒网关通过能够实时检测病毒事件 可以进行多样化的统计分析 记录病毒源 感染病毒用户 病毒类型 日 周 月的统计报告 并记录详细的彩信内容 可以提供300种以上丰富的审计报告 垃圾彩信 关键字的检测和审计个性化统计报告系统支持在线拦截和监控方式 可以进行病毒垃圾彩信的阻断 可选 用户通知 可选 传输文件隔离 可选 基于彩信内容的阻断 可选 有效提供彩信发送效率 提高带宽资源利用 并提供增值安全服务成熟的技术和广泛的国际运营商客户 提供了完善的技术保证和服