趙小萌,崔俊彬,張 磊

(國網(wǎng)河北省電力有限公司信息通信分公司,石家莊 050021)

1 缺陷概述

某公司IMS行政交換網(wǎng)部署2臺SBC設備,于2016年投入運行,2臺設備通過1+1互備方式進行部署,按照IMS行政交換網(wǎng)總體規(guī)劃,管轄范圍內(nèi)用戶按照區(qū)域劃分[1],分別通過SBC設備1,主注冊在IMS核心設備1,通過SBC設備2,備注冊在IMS核心設備2;該方式通過接入設備(IAD/AG/IP電話)的雙注冊地址,實現(xiàn)SBC設備和IMS核心網(wǎng)的負荷分擔和注冊保護[2]。系統(tǒng)部署架構(gòu)見圖1。

2019年5月某公司在進行日常巡檢測試工作時,技術人員在IMS行政交換網(wǎng)備用SBC 設備上進行自動黑名單License導入操作,開啟自動黑名單功能后,發(fā)現(xiàn)測試AG 下的所有賬號無法正常注冊,且AG 出現(xiàn)備端口故障告警。該SBC 設備黑名單機制對未開戶用戶頻繁注冊、用戶頻繁半注冊(每5 min 15次以上)等攻擊行為具備良好的防護功能[3],在感知到相關攻擊行為后,會將相關IP地址和端口信息加入黑名單。黑名單列表默認保留15 min,當攻擊行為停止,會在15 min結(jié)束后,將黑名單中的設備放行。

圖1 系統(tǒng)部署架構(gòu)

2 缺陷排查

技術人員通過AG、IAD、IP電話等不同類型設備進行賬號注冊測試,測試設備的主用端口關閉,僅備用端口開啟,發(fā)現(xiàn)AG 下所有的賬號注冊異常,且SBC設備產(chǎn)生“收到固定IP+PORT 未開戶注冊攻擊”的告警。查看SBC設備黑名單列表,發(fā)現(xiàn)該AG 的IP 地址和端口被添加至黑名單。

現(xiàn)場技術人員對黑名單中AG 的IP地址和端口予以放行。5 min后又出現(xiàn)類似問題,根據(jù)自動黑名單運行機制,初步判斷由于AG 注冊信息異常導致。隨后,技術人員將AG 的所有端口信息進行集中清理,重新配置測試賬號,同時將黑名單中該AG 的IP和端口再次放行,問題消除。為保障現(xiàn)網(wǎng)業(yè)務的安全性,暫時將自動黑名單功能關閉,僅保留黑名單的告警功能。

3 原因分析

3.1 測試操作環(huán)境分析

側(cè)的樞紐部位[4-5](見圖2),且本次測試操作對于現(xiàn)網(wǎng)業(yè)務具有一定的安全風險,因此,本次測試操作在非工作時間進行。以備用SBC 設備作為測試設備進行開啟黑名單功能測試,操作期間實時監(jiān)控SBC設備的告警信息和接入設備(IAD/AG/IP 電話)的賬號注冊狀態(tài)。

經(jīng)過與廠家聯(lián)系調(diào)研了解,存在某些單位由于行政軟交換核心設備站點IAD 配置錯誤,從而產(chǎn)生大量注冊消息,進而引發(fā)核心設備宕機的情況。為增強IMS行政交換設備的穩(wěn)定性,在SBC 設備上增加自動黑名單功能,對未開戶用戶頻繁注冊、用戶頻繁半注冊等攻擊行為進行安全防護。

IMS行政交換網(wǎng)SBC設備位于接入側(cè)和核心

圖2 SBC部署位置示意

3.2 監(jiān)控告警及巡視分析

通過對AG 注冊信令抓取分析,發(fā)現(xiàn)該AG 注冊過程中存在大量未開戶用戶頻繁注冊的行為,近5 min內(nèi)數(shù)量達到67次,已經(jīng)超過黑名單設置的閾值(每5 min 15次以上),所以該AG 的IP和端口被再次自動加入黑名單;進一步排查發(fā)現(xiàn)測試AG 在進行刪除賬號操作時,未對對應端口的屬性信息進行徹底刪除,AG 默認開啟小交換群功能,該功能會在原有端口自動生成隨機號碼,由于這些端口未配置群數(shù)據(jù),導致單個端口頻繁向IMS核心發(fā)起注冊消息,但在IMS核心內(nèi)部無該賬號信息,觸發(fā)SBC設備的黑名單機制,將AG 的所有端口信息進行集中清理,同時將該AG 的IP 和端口予以放行,問題消除。

3.3 缺陷深入分析

通過對此次SBC 設備巡檢測試操作環(huán)境分析、系統(tǒng)架構(gòu)及運行方式分析及告警監(jiān)控及巡視分析。引起IMS行政交換網(wǎng)測試AG 下的所有賬號無法正常注冊的直接原因為在測試AG 設備上進行刪除操作時,未按照標準進行操作,導致測試AG 存在大量冗余數(shù)據(jù)。根本原因為黑名單機制針對IP地址和端口直接進行大策略封禁,無法針對賬號進行精準封禁,對于AG/IAD 等下掛大量用戶的設備,可能由于部分賬號的問題,直接引起整臺設備的異常,進而導致大面積行政電話業(yè)務的癱瘓。

4 防范措施及效果

4.1 防范措施

a.增強系統(tǒng)架構(gòu)健壯性。為增強IMS核心網(wǎng)的安全防護能力,將IMS核心網(wǎng)與接入側(cè)之間的業(yè)務流和非業(yè)務流進行分別防護。所有業(yè)務流如媒體信息、信令消息等通過SBC 設備進行安全防護,同時對于非業(yè)務流如網(wǎng)管命令、告警信息等,通過防火墻策略進行安全防護。針對本文提到的SBC設備自動黑名單機制不健全的問題,暫時采用告警監(jiān)控結(jié)合手動封禁的方式解決,同時積極進行黑名單功能優(yōu)化。

b.采取多層技術防護措施。目前,在實際應用中一般通過SBC 設備進行IMS行政交換網(wǎng)業(yè)務層的安全防護,但是SBC 設備部分固有功能與實際應用場景的貼合度略有不足,新功能開啟前,如果測試不充分,可能引起大面的業(yè)務癱瘓。建議加強SBC設備的日常告警監(jiān)控,結(jié)合人工研判方式進行業(yè)務層防護。

c.規(guī)范業(yè)務運維管理體系。完善接入側(cè)設備(IAD/AG/IP電話)入網(wǎng)的整個流程,增強操作的規(guī)范性,定期組織開展配置核查工作,對于冗余數(shù)據(jù)、無效數(shù)據(jù)進行及時清理和優(yōu)化。

4.2 防范效果

目前,已在IMS行政交換網(wǎng)核心網(wǎng)與接入網(wǎng)間實現(xiàn)數(shù)據(jù)分流,針對非業(yè)務流數(shù)據(jù)通過傳統(tǒng)防火墻進行防控,增強了SBC 對于非語音類網(wǎng)絡攻擊的防護短板,數(shù)據(jù)分流防護見圖3。

圖3 數(shù)據(jù)分流防護示意

通過對AG 設備的配置方式進行規(guī)范,對AG設備冗余數(shù)據(jù)進行集中清理,誤報告警情況已經(jīng)基本消除。AG 設備小交換群功能仍然保留開啟,該功能的配置進行嚴格規(guī)范,SBC黑名單功能調(diào)整為手動模式,誤報告警通過手動溯源,進行配置規(guī)范或手動封禁,AG 設備未再出現(xiàn)因為該類告警導致無法正常注冊的問題。

5 結(jié)束語

本文針對運維工作中發(fā)現(xiàn)了SBC設備自動黑名單機制存在2點缺陷:一是攻擊行為的識別不夠精準;二是安全策略的防護過于粗糙。通過對缺陷分析給出建議,黑名單功能應增強攻擊行為的識別能力,結(jié)合行政交換設備的實際應用場景,應對正常的注冊行為和攻擊行為進行更為細致的劃分,同時,不應簡單的針對IP地址和端口進行封禁,應針對異常賬號進行精準封禁,減小由于黑名單功能引起的業(yè)務影響范圍。