华为SE2200设备安全隐患分析及其防范建议[精品资料].doc

华为se2200设备安全隐患分析及其防范建议-精品资料 本文档格式为word,感谢你的阅读。 最新最全的 学术论文 期刊文献 年终总结 年终报告 工作总结 个人总结 述职报告 实习报告 单位总结 摘要：本文阐述一起某运营商的华为se2200设备，由于存在安全隐患导致sip中继客户被盗打电话的故障处理过程，并根据本人多年的工作经验，对se2200上四种业务存在风险及规避方法提出建议，以供参考。 关键词：se2200、安全隐患、防范建议 p624.8 a 一、引言 随着pstn向ngn的演进，pstn用户陆续割接至ngn网络，业务也由基于tdm电路交换演变为基于ip分组交换。为了接入公网语音用户，运营商一般会配置多套呼叫代理设备，用于信令和媒体流的代理。 se2200作为用户终端和softx软交换之间的呼叫代理，对来源不可靠用户进行控制。对这些安全性不高的用户，se2200能够进行屏蔽，使软交换等核心网设备免受攻击。 目前se2200共有四种业务： （1）公网漫游的sip预付费电话 （2）公网iad网关 （3）话务台用户代理 （4）由sbc代理的sip中继业务 二、se2200安全问题发生及处理过程 深圳某运营商发生一起由于se2200存在安全隐含，导致sip中继用户被盗打国际长途电话故障，采用在数据交换机抓包、se2200上抓包和软交换设备上跟踪信令的方法来分析故障原因，通过se2200配置acl规则，拦截非法ip地址解决故障。 2.1问题发生 某日，网管监控到ngn软交换上突有大量入局国际长途话务。查询相关话单信息，确认有问题的话单呼叫都是从软交换某用户的sip中继入，从软交换与关汇局互联的isup中继出，话单中主叫号码大部分是使用中继群上的默认规范号码，还有个别的主叫号码是a、b、101等不规范号码。管理员发现异常立即停闭sip入中继群的国际长途权限，并联系使用中继群的客户，其反馈并未发出国际长途呼叫。 图1：客户的接入网络 2.2问题检查 （1）在客户服务器接入点a抓包,同时在softx3000上b点跟踪消息分析，客户服务器没有发起呼叫的时候，在softx3000上仍可以跟踪到通过客户sip中继过来的呼叫，初步判断有其他地址呼叫盗打 （2）进一步在se2200上跟踪debug消息分析 通过在se2200上跟踪全部的sip呼叫信令，发现有部分地址呼叫信令存在异常现象。 图2：信令分析 经分析，188.161.97.206不是合法的sip软交换或服务器地址，经长时间跟踪发现，还有188.161.230.29/188.161.253.136/188.161.90.253/82.102.195.92，都试图非法拨打国际长途，ip地址归属巴勒斯坦。 （3）se2200的接口0/0/1在c点与公共互联网互通，发起恶意呼叫ip是通过公共互联网路由到se2200上。由于sip中继呼叫没有鉴权，故呼叫能够被正常转发。 2.3问题处理 采取在se2200接口0/0/1上配置acl规则，拦截非法地址的信令消息。配置acl规则是，只允许客户的服务器ip:a.a.a.a送到se2200公网ip:b.b.b.b通过fe0/0/1进入se2200，se2200将客户服务器送入的信息转为内网ip:c.c.c.c，送到软交换softx3000控制信令和媒体流的处理，其配置指令如下： 图3：配置指令 配置完成后使用非a.a.a.a公网ip送信令到se2200模拟测试，在se2200上抓包测试，看到数据包已被屏蔽。 三、案例经验总结及隐患防范建议 3.1经验总结 本次故障主要是se2200不能绑定客户服务器ip、se2200公网ip和se2200内网ip，网络黑客通过其他公网ip注册到se2200公网ip，模拟正常客户信令盗打电话。由于se2200不能记录历史注册信息，所以无法定位历史呼叫的发起ip和mac，查找呼叫来源。 那么，运营商在se2200上面的四种业务是否有类似被盗打电话的问题？如何才能把风险降到最小呢？通过本次故障处理，我们认为se2200存在两个重要的安全隐患： （1）不能定位用户的风险.例如这些公网电话用户进行诈骗,公安局等政府部门要求定位用户位置,我们无法提供。 （2）存在被盗打电话的风险。 3.2隐患防范建议 分析se2200上的四种业务，都存在与故障sip中继类似的安全隐患，建议做如下处理，降低风险： （1）公网漫游的sip预付费电话，有设置密码，通过sbc进入ngn承载网，最后到softx3000上面进行注册。 业务风险： sip用户必须对密码安全性负责，在用户名密码出现人为泄漏的情况下，会导致用户被盗打情况； 在出现电话盗打，且非法用户已经离线的情况下，目前无法定位出当时盗打用户的位置信息；如果非法用户在线的情况下，可以提供非法用户注册时的ip地址信息。 处理建议： 对于没有实名注册的sip预付费电话，暂停业务，实名注册的用户对号码发起的呼叫负责； 提示客户使用安全度高的密码，防止密码泄露。 （2）公网iad网关通过se2200代理后，进入ngn承载网，最后到softx3000上面进行注册。用于ngn承载网没有覆盖到的地区临时开放业务,等待网络资源到位后割接进入ngn承载网。 业务风险： 非法网关在获取合法网关的eid后，可以模拟合法网关发起注册并注册成功，造成用户电话被盗打； 在出现电话盗打，且非法用户已经离线的情况下，目前无法定位出当时盗打用户的位置信息；如果非法用户在线的情况下，可以提供非法用户注册时的ip地址信息。 处理建议： 改造进入ngn承载网； 没有条件改造的iad，在网关和softx3000之间启用md5加密认证，非法网关在获取eid后，还必须获取网关和软交换协商的md5的密钥，否则注册不成功。 （3）话务台用户代理。ip方式u-path话务台安装专用软件后，通过se2200的代理，接入到ngn承载网中，进而到softx3000上进行注册，注册成功后可以对centrex群内用户进行权限管理，使用呼叫代答及呼叫接续等话务台功能。 目前在u-path话务台的注册过程中，需要使用华为专用的话务台软件，以及使用在softx3000上配置好的电话号码、用户名、密码进行注册； 业务风险： 在电话号码、用户名、密码出现泄漏，非法用户又同时拥有华为话务台软件和语音加速卡硬件的情况下，还是可能会导致电话被盗打，这种情况下无规避解决方法； 在出现电话盗打，且非法用户已经离线的情况下，目前无方案来定位出当时盗打用户的位置信息；如果非法用户在线的情况下，可以提供非法用户注册时的ip地址信息。 处理建议： 改造u-pathip话务台为使用isdn双绞线方式接入。 没有isdn接入资源的客户，建议将upath话务台升级到v100r002c08版本，改造为带语音加速卡方式的话务台，同时在软交换上addcxcon命令中修改“语音加速卡标志”为新卡。在使用语音加速卡的方式下，即使电话号码、用户名密码出现泄漏，还必须有华为专用的语音加速卡配合才能使话务台注册成功。 （4）由sbc代理的sip中继业务 业务风险： 由于softx3000和公网用户之间开的是sip中继，而sip中继在对接过程中是不需要任何用户名密码来进行合法性验证的。只需要对端的ip地址正确就可以进行业务使用。在中间经过se2200的情况下，softx3000的对端地址是se2200的server地址，公网用户的对端地址是se2200的client地址。因此，公网用户只需要知道client地址就可以发起呼叫，存在较大的安全隐患。 处理建议： sip中继网关由于协议限制，没有用户名密码等认证方式，在运行过程中风险非常大，建议只在软交换之间或者内网里面等信任域里面对开sip中继，禁止跟公网用户对开sip中继。 建议停闭公网接入的sip中继业务。 四、结语 从发展趋势来看，采用软交换技术进行组网已经成为运营商必然的选择。相对于封闭、使用专用系统的电路交换网，架构于ip网之上的软交换网络易受到外来的入侵，面临安全性的挑战。运营商做软交换组网规划、进行网络及设备性能优化时要更加重视对网络安全能力进行客观评估，制定可靠的组网方案。 参考文献 u-syssoftx3000软交换系统技术手册 阅读相关文档:建筑砌块砌体施工技术的应用分析 公路项目交通量预测分析关键点 浅谈仪表自动化的发展 试述动态计重收费技术在高速公路中的应用 浅述建筑工程造价的审核与监督管理 石油化工自动化的关键技术及结构综述 压力管道裂纹成因及预防措施 建筑工程管理中的成本控制探究 探究建筑工程中的基坑围护施工 留学生国际投资学课程教学的问题及对策建议 围标情况分析与对策 太阳能硅片废水回用 混凝土灌注桩施工解析及质量保证 浅谈建筑防水屋面