uНФОРМАЦuОННАЯ БЕЗОПАСНОСuu u АНАЛuЗ КОНuЕНuА

В uЕЛЕФОННЫХ СЕuЯХ

Б.С. Гольдштейн, М.Х. Гончарок, Ю.С. Крюков

Несмотря на все свои преимущества, прогресс в современных

телекоммуникационных технологиях, включающий переход на общеканальную

сигнализацию №7, программную реализацию большинства коммутационных функций,

повыщение «интеллекта» коммутационных узлов и станций, внедрение новых

функциональных возможностей дистанционного эксплуатационного управления и др., воспринимается также и как скрытая угроза безопасности информации.

Многочисленные уязвимости коммутационных узлов и станций за последнее время отчасти уже освещались в литературе, включая и работы авторов данной статьи [1-3].

Анализ этих уязвимостей позволяет, к сожалению, сделать неутешительный вывод, что если нарушитель сознательно намерен причинить вред объекту атаки, то современная телефонная инфраструктура является для этого весьма подходящим инструментом.

В дополнение к уже рассмотренным в [1] причинам это объясняется и тем, что телефонные комплексы находятся в эксплуатации длительное время (десятки лет) и поэтому не всегда базируются на самых последних технологических достижениях в области защиты информации. В силу традиционности архитектуры АТС [4] и того обстоятельства, что само телефонное оборудование выпускают ограниченное число производителей, изучив подробно несколько типовых решений, можно успешно атаковать большинство существующих систем.

К тому же новые версии ПО АТС часто загружаются удаленно. Управление этим процессом можно перехватить и установить в систему «закладку». Наконец, многочисленные ДВО (дополнительные виды обслуживания) и их комбинации могут использоваться нарушителями «своеобразно», совсем не так как это предусматривалось разработчиком, что также может привести всю систему к полной блокировке. Списки аналогичных уязвимостей телефонных систем можно продолжить.

С ростом угроз, как это всегда происходило в истории техники, начала развиваться и индустрия средств обеспечения информационной безопасности телекоммуникационных систем. Это развитие можно условно разделить на два направления: внутристанционные средства информационной безопасности и межстанционные (сетевые) средства защиты.

Второму (сетевому) направлению посвящена данная статья.

Специалисты по аутсортингу безопасности или, как их еще называют, провайдеры управляемых услуг безопасности MSSP (Managed Security Service Providers), успешно работают в этом направлении, осуществляя выбор, установку и мониторинг ключевых систем защиты типа корпоративной Firewall-защиты, виртуальной частной сети (VPN), системы отслеживания вторжений и др. [5].

Все эти подходы по обеспечению безопасности данных, передаваемых по сети (межсетевое экранирование, организация VPN сетей, активный аудит и др.) для решения, например, таких проблем, как утечка конфиденциальной информации, использование сотрудниками информации в личных целях, фильтрация и учет электронного обмена документами, нуждаются в одновременном анализе межстанционной сигнализации и передаваемого контента. Причем оба анализа – сигнализации и контента, передаваемых между узлами сети, - производятся по определенным правилам, на основе заложенных администратором характеристик, определяющих цели мониторинга.

Реализация данного интегрального подхода для телефонных сетей ВСС РФ осуществлена в системе тестирования и контроля соединительных линий (СТИКС) на базе интеллектуальной платформы ПРОТЕЙ. В упрощенном виде эта система известна под именем ПРОТЕЙ-TFW (Telephone Firewall), а спрециализирванная версия этой системы для учрежденческих станций Hicom называется «Цербер». В обшем же виде мониторинг соединительных линий в СТИКС включает в себя анализ номеров контролируемых абонентов, поиск по БД их категории, фиксацию времени и длительности разговора (передачи сообщения), режим законного прослушивания телефонных переговоров и др. Результатом такого мониторинга в случае учрежденческой сети, например, может стать, например, блокировка соединения, автоматическое уведомление руководителя подразделения о «подозрительной»

информации и т.п.

Документирование событий, предоставляемых системой, позволяет не только регистрировать все входящие и исходящие соединения, но и вести учет необходимой информации на протяжении определенного жизненного цикла.

Ниже рассматриваются системные аспекты применения комплекса мониторинга сигнальной информации СТИКС, его структура, подсистема управления, администрирование и структура базы данных. Особое внимание уделено использованию системы для реализации части функций системы оперативнорозыскных мероприятий (СОРМ).

Подход к моиторингу Заложенный в СТИКС подход ориентирован на считывание информации из цифрового тракта ИКМ, со скоростью 2.048 Мбит/с (стык Е1), с возможностью документирования и архивации. Мониторинг производится в рамках форматов команд и сообщений, принятых в «Технических требованиях на СОРМ АТС».

Использование системы СТИКС на базе интеллектуальной платформы ПРОТЕЙ позволяет осуществлять наблюдение за разговорами конкретных абонентов, номера телефонов которых загружаются с удаленного пункта управления, в соответствии с техническими спецификациями СОРМ, но выполнять эти функции не в оконечной АТС, а на соединительных линиях. Использование комплекса в Российской Федерации (как субъекта международного права), основывается на национальных правовых актах – законах и других нормативно-правовых документах, которые увязываются и гармонизируются с действующими в этой сфере международными правовыми нормами и выходит за границы рассматриваемых в данной статье инженерных аспектов информационной безопасности АТС.

Оборудование системы подключается параллельно к цифровому тракту, реализуя принцип пассивного мониторинга, не нарушая качественных характеристик работы канального оборудования.

Структура комплекса Осуществляемый СТИКСом анализ контента, производится на основе заложенных с удаленного пункта управления характеристик, определяющих цели мониторинга. Комплекс позволяет устанавливать правила мониторинга, как для отдельных абонентов, так и для групп, поддерживая работу с такими системами сигнализации как R2 и DSS1, согласно рекомендациям ITU-T Q.421 – Q.424 и Q.921, Q.931, соответственно, а также протокол ISUP стека ОКС7.

Управление функционированием комплекса осуществляется с удаленного пункта управления (ПУ) подключающегося к СТИКСу по линии ИКМ-30 в соответствии с рекомендацией G.732 ITU-T, в которой 30-й временной интервал используется для образования канала передачи управляющей информации. 31-й временной интервал используется для передачи сообщений о действиях контролируемых абонентов. 16-й временной интервал не используется, а остальные отведены для трансляции речевой информации, передаваемой в контролируемых разговорных трактах.

Непосредственное управление различными элементами комплекса проводится посредством редактирования конфигурационных файлов, управления параметрами операционной системы, запуска и останова прикладного ПО СТИКСа, а также работы с файлами учета вызовов и журналом функционирования.

Рисунок 1 иллюстрирует обобщенную функциональную схему аппаратнопрограммного комплекса СТИКС.

СТИКС ПУ

Рисунок 1. Обобщенная функциональная структура «СТИКС»

Подсистема административного управления Система тестирования и контроля соединительных линий СТИКС позволяет отслеживать запросы по всем группам пользователей сети на основе ключевых данных заложенных администратором ПУ, и интерпретируемых анализатором контента в качестве критериев анализа используемых совместно с подсистемой базы данных ПРОТЕЙ. Базы данных обновляются 24 часа в сутки 7 дней в неделю с помощью специализированных автоматизированных процессов с выполняемой администратором ПУ верификацией правильности классификации по содержанию.

СТИКС позволяет администраторам устанавливать критерии анализа сигнальной информации для новых или существующих пользователей, а также изменять эти критерии в процессе функционирования. Если изменение критериев происходит во время соединения маркированного пользователя, то новые параметры вступают в силу со следующего соединения.

В качестве протокола обмена данными между СТИКСом и ПУ используется протокол, соответствующий рекомендации Х.25 ITU-T, имеющий соответствующие настройки на звеньевом и пакетном уровнях эталонной модели OSI. Взаимодействие с удаленным ПУ предполагает выполнение определенных функциональных и эксплуатационных операций, инициируемых администратором ПУ. Непосредственно СТИКС предусматривает следующие возможности, закрепляемые за администратором:

выбор типа подключения – DTE/DCE;

выбор версии протокола Х.25 – 1984 или 1988;

выбор длины пакета, используемой по умолчанию и максимальной;

выбор размера окна, используемого по умолчанию и максимального;

назначение номеров виртуальных каналов для PVC;

установка значений таймеров и счетчиков пакетного уровня и уровня звена Подсистема управления СТИКС является важнейшей частью комплекса, реализующей определяющее взаимодействие с удаленным ПУ. Более того, данная подсистема является многофункциональной и многозадачной, способной одновременно руководить действиями выполняемыми в различных подсистемах комплекса, например руководить обновлением базы данных и работой коммутатора. Подсистема управления способна одновременно руководить обработкой сигнальной информации, поступающей от 8-ми ИКМ трактов, выполняя при этом логическое руководство концентрацией информации в исходящие к ПУ линии ИКМ.

Стратегии администрирования Существуют две стратегии администрирования, непосредственно влияющие на установку и использование комплекса СТИКС: стратегия «белого» списка и стратегия «черного» списка. Первая из них представляет собой отбор соединений, которая устанавливает какие номера пользователей являются доверенными (не маркированными) и, следовательно, действия которых не подлежат обработке и архивации. Вторая стратегия описывает, как комплекс будет осуществлять отбор соединений пользователей, номера которых маркированы. В текущих реализациях СТИКС осуществляет одну стратегию администрирования – стратегию «черного»

списка, которая является более предпочтительной, на основе критерия составленного как отношение числа доверенных пользователей к числу маркированных (Nдов/Nмарк).

Анализатор контента С целью гарантированного выполнения СТИКСом своих функций в основу работы анализатора контента заложены три базовых принципа:

весь трафик должен проходить через одну логическую точку анализа;

анализатор контента должен контролировать и анализировать весь проходящий не допускается никакое прямое воздействие на анализатор контента.

Одной из функций анализатора контента является обработка сигнальной информации соответствующего протокола сигнализации (R2, R1.5, ISUP, DSS1), а также настройка на соответствующий тип сигнализации. СТИКС обеспечивает гарантированную работу для всех указанных типов сигнализации.

Анализатор контента при исследовании номеров входящего или исходящего пользователей выполняет только базисные операции, такие как сравнение номеров и категорий пользователей с заложенными в базы данных и вынося решение на соответствие. Благодаря этой простоте в эксплуатации, достигаются хорошие показатели обработки как в скорости, так и в эффективности. Дополнительным преимуществом такой организации является то, что выполняемые задания совершенно независимы от других выполняемых в данный момент времени в системе заданий.

Рисунок 2 иллюстрирует обобщенную функциональную структуру анализатора контента.

АНАЛИЗАТОР КОНТЕНТА

УПРАВЛЕНИЯ

Рисунок 2. Обобщенная функциональная структура анализатора контента Входной буфер содержит набор n-разрядных ячеек. При его заполнении выполняется процедура последовательно-параллельного преобразования информации, поступающей из ИКМ линии. Модуль настройки типа сигнализации и модуль выбора адресной информации осуществляют, определенную для данного типа сигнализации, процедуру определения адресной информации (номера пользователя отправителя и получателя). Модуль сравнения и принятия решения производит проверку идентичности каждого из адресных параметров соединения с содержанием базы данных мониторинга. В случае отрицательного результата сравнения никакие действия не предпринимаются, а в случае положительного результата на основе информации модуля сравнения, подсистема управления производит соответствующую процедуру коммутации информации соединения в ИКМ линию к ПУ.

Помимо вышеописанных процедур, в компетенции анализатора контента находятся задачи, связанные с использованием ИКМ линий, такие как выделение тактовой частоты соединительной линии, обработка 0-го временного интервала, принятие решения о наличии или отсутствии цикловой синхронизации, обнаружение замен сделанных на передающей стороне с целью исключения имитации флагов и т.п.

Следует отметить, что вся поступающая информация тактируется с частотой выделенной из контролируемой соединительной линии.

База данных При построении базы данных возможны два способа. Первый заключается в создании единой базы данных, содержащей номера контролируемых абонентов вне зависимости от признаков и критериев наблюдения. Данные могут заноситься как в порядке поступления, так и с определенного номера отведенного для соответствующего критерия, например, сначала все полные номера, а с к-ой ячейки – неполные. В последнем случае поступившая адресная информация после анализа и определения ее категории, то есть выделения критерия, может сравниваться не последовательно со всеми записями базы, а только с отведенными под данный критерий.

Организация единой базы данных является более простым и дешевым способом, однако, увеличивает время принятия решения.

Второй способ подразумевает создание независимых баз данных для соответствующих критериев наблюдения, например, полный или неполный номер пользователя, совмещенный, раздельный или статистический контроль и т.п. Такой принцип является более сложным с точки зрения адресации подсистемой управления.

Кроме того, необходимо четко отслеживать уникальность номерной информации, исключая многократное использование одного и того же номера по нескольким критериям одновременно, что усложняет работу подсистемы управления, на которую возлагается задача сопоставления новых адресных данных, поступивших с ПУ, с уже существующими записями.

Достоинством такого метода является возможность организации более оперативного сравнения данных. В этом случае при поступлении из пользовательской линии сигнальных данных (после модуля выбора адресной информации) существует возможность параллельного сравнения вновь поступивших данных со всеми организованными базами данных, а при обнаружении совпадения данных хотя бы по одной базе, учитывая единственность, поиск по всем остальным мгновенно прекращается. Рисунок 3 иллюстрирует возможные варианты организации базы данных.

3. Варианты организации базы данных: а) единой, с записями в порядке поступления;

б) единой, с записями по критериям; в) раздельных для соответствующих критериев Коммутатор Коммутация, по отношению к ПУ, не является симметричной. В общем случае задачи коммутационного оборудования СТИКС основываются на выполнении двух групп функций:

коммутации к ПУ необходимой пользовательской информации, а также соответствующих сообщений, передаваемых по каналам команд и данных;

коммутации в подсистему управления СТИКС получаемых от ПУ команд или данных, для последующей обработки.

Исходя из предназначения коммутатора, к нему предъявляются следующие требования:

обеспечение дуплексности и/или симплексности соединений;

необходимость учета времени задержки информации в процессе коммутации.

Рассмотрим время задержки в коммутаторе относительно одной точки коммутации. В общем случае среднее время задержки пропорционально переменной составляющей связанной с переносом информации из одного временного интервала в другой. Величина этой составляющей связана с алгоритмом поиска. Однако выбор алгоритма поиска зависит не только от необходимости минимизации времени задержки, но и от необходимости равномерного использования каналов (необходимости их занятия «по кольцу»). Таким образом, среднее время задержки t з pi t ВИ, где pi - вероятность занятия i-го временного интервала (ВИ), а t ВИ i рассчитывается по формуле t ВИ =Тц/L, где Тц – длительность цикла (125 мкс), а L – число пользовательских каналов (в направлении к ПУ L равняется 27). Минимальное время задержки дает алгоритм поиска, при котором поиск начинается с временного интервала, номер которого соответствует номеру последнего занятого интервала плюс один (с учетом необходимости занятия по кольцу), при этом должен использоваться не следующий порядковый номер, а следующий закрепленный за группой, к которой относится маркированный абонент номер временного интервала.

Рисунки 4 и 5 представляют собой упрощенные алгоритмы функционирования системы СТИКС. Рисунок 4 иллюстрирует алгоритм работы комплекса при получении команды от ПУ, а рисунок 5 алгоритм функционирования, отражающий процесс анализа сигнальной информации, поступающей из ИКМ линии и информационное взаимодействие с ПУ.

Рисунок 4. Алгоритм работы СТИКС при получении команды от ПУ Посылка на ПУ соответствующего сообщения Рисунок 5. Алгоритм функционирования СТИКС при анализе сигнальной информации, Заключение Несомненным преимуществом реализованного в системе тестирования и контроля соединительных линий СТИКС подхода является независимость мониторинга, включая и реализацию функций СОРМ, от конкретной АТС, возможность работы с соединительными линиями, по которым контролируемая АТС подключается к сети связи общего пользования.

И еще одна мысль, которую авторы стремились донести до читателя. Это понимание того факта, что универсальных средств защиты информации в принципе не существует, а выбор конкретного варианта защиты для любой системы должен производиться индивидуально, учитывая ее особенности и приинятую в ней политику безопасности. Реализация конкретной системы защиты должна быть адекватна действующим угрозам, и в целом ряде применений подход СТИКС на базе интеллектуальной платформы ПРОТЕЙ является наиболее эффективным.

Литература 1 Голубев А.Н., Гольдштейен Б.С., Гончарок М.Х. Основные принципы построения системы защиты информации в узлах коммутации// Электросвязь 2 Боккардо Д. Защита УАТС от телефонных мошенников // Журнал сетевых решений, сентябрь 1999.

3 Гончарок М.Х., Островский В.В. Выбор параметров системы защиты информации в цифровых АТС с функциями ISDN// Вестник связи, №4, 2000.

4 Гольдштейн Б.С. Системы коммутации. Учебник для ВУЗов//СПб.: BHV.Щеглов А.Ю.. Проблемы и принципы проектирования систем защиты информации от НСД // Экономика и производство, март, 6 Зотова Т. Маневры с ресурсами // Сетевой журнал, №9, 2002.

7 Джейншигг Д. Защитите свой коммутатор // Журнал сетевых решений/LAN,