1、1华为 SE2200 设备安全隐患分析及其防范建议摘要:本文阐述一起某运营商的华为 SE2200 设备,由于存在安全隐患导致 SIP 中继客户被盗打电话的故障处理过程,并根据本人多年的工作经验,对 SE2200 上四种业务存在风险及规避方法提出建议,以供参考。 关键词:SE2200、安全隐患、防范建议 中图分类号:P624.8 文献标识码:A 文章编号: 一、引言 随着 PSTN 向 NGN 的演进,PSTN 用户陆续割接至 NGN 网络,业务也由基于 TDM 电路交换演变为基于 IP 分组交换。为了接入公网语音用户,运营商一般会配置多套呼叫代理设备,用于信令和媒体流的代理。 SE2200 作
2、为用户终端和 SoftX 软交换之间的呼叫代理,对来源不可靠用户进行控制。对这些安全性不高的用户,SE2200 能够进行屏蔽,使软交换等核心网设备免受攻击。 目前 SE2200 共有四种业务: (1)公网漫游的 SIP 预付费电话 (2)公网 IAD 网关 (3)话务台用户代理 2(4)由 SBC 代理的 SIP 中继业务 二、SE2200 安全问题发生及处理过程 深圳某运营商发生一起由于 SE2200 存在安全隐含,导致 SIP 中继用户被盗打国际长途电话故障,采用在数据交换机抓包、SE2200 上抓包和软交换设备上跟踪信令的方法来分析故障原因,通过 SE2200 配置 ACL 规则,拦截非
3、法 IP 地址解决故障。 2.1 问题发生 某日,网管监控到 NGN 软交换上突有大量入局国际长途话务。查询相关话单信息,确认有问题的话单呼叫都是从软交换某用户的 SIP 中继入,从软交换与关汇局互联的 ISUP 中继出,话单中主叫号码大部分是使用中继群上的默认规范号码,还有个别的主叫号码是 A、B、101 等不规范号码。管理员发现异常立即停闭 SIP 入中继群的国际长途权限,并联系使用中继群的客户,其反馈并未发出国际长途呼叫。 图 1:客户的接入网络 2.2 问题检查 (1)在客户服务器接入点 A 抓包,同时在 SoftX3000 上 B 点跟踪消息分析,客户服务器没有发起呼叫的时候,在 S
4、oftX3000 上仍可以跟踪到通过客户 SIP 中继过来的呼叫,初步判断有其他地址呼叫盗打 (2)进一步在 SE2200 上跟踪 debug 消息分析 通过在 SE2200 上跟踪全部的 SIP 呼叫信令,发现有部分地址呼叫信令存在异常现象。 3图 2:信令分析 经分析,188.161.97.206 不是合法的 SIP 软交换或服务器地址,经长时间跟踪发现,还有188.161.230.29/188.161.253.136/188.161.90.253/82.102.195.92,都试图非法拨打国际长途,IP 地址归属巴勒斯坦。 (3)SE2200 的接口 0/0/1 在 C 点与公共互联网互
5、通,发起恶意呼叫IP 是通过公共互联网路由到 SE2200 上。由于 SIP 中继呼叫没有鉴权,故呼叫能够被正常转发。 2.3 问题处理 采取在 SE2200 接口 0/0/1 上配置 ACL 规则,拦截非法地址的信令消息。配置 ACL 规则是,只允许客户的服务器 IP:A.A.A.A 送到 SE2200 公网 IP:B.B.B.B 通过 fe0/0/1 进入 SE2200,SE2200 将客户服务器送入的信息转为内网 IP:C.C.C.C,送到软交换 SOFTX3000 控制信令和媒体流的处理,其配置指令如下: 图 3:配置指令 配置完成后使用非 A.A.A.A 公网 IP 送信令到 SE2
6、200 模拟测试,在SE2200 上抓包测试,看到数据包已被屏蔽。 三、案例经验总结及隐患防范建议 3.1 经验总结 本次故障主要是 SE2200 不能绑定客户服务器 IP、SE2200 公网 IP 和4SE2200 内网 IP,网络黑客通过其他公网 IP 注册到 SE2200 公网 IP,模拟正常客户信令盗打电话。由于 SE2200 不能记录历史注册信息,所以无法定位历史呼叫的发起 IP 和 MAC,查找呼叫来源。 那么,运营商在 SE2200 上面的四种业务是否有类似被盗打电话的问题?如何才能把风险降到最小呢?通过本次故障处理,我们认为 SE2200存在两个重要的安全隐患: (1)不能定位
7、用户的风险.例如这些公网电话用户进行诈骗,公安局等政府部门要求定位用户位置,我们无法提供。 (2)存在被盗打电话的风险。 3.2 隐患防范建议 分析 SE2200 上的四种业务,都存在与故障 SIP 中继类似的安全隐患,建议做如下处理,降低风险: (1)公网漫游的 SIP 预付费电话,有设置密码,通过 SBC 进入 NGN承载网,最后到 SOFTX3000 上面进行注册。 业务风险: SIP 用户必须对密码安全性负责,在用户名密码出现人为泄漏的情况下,会导致用户被盗打情况; 在出现电话盗打,且非法用户已经离线的情况下,目前无法定位出当时盗打用户的位置信息;如果非法用户在线的情况下,可以提供非法
8、用户注册时的 IP 地址信息。 处理建议: 对于没有实名注册的 SIP 预付费电话,暂停业务,实名注册的用户5对号码发起的呼叫负责; 提示客户使用安全度高的密码,防止密码泄露。 (2)公网 IAD 网关通过 SE2200 代理后,进入 NGN 承载网,最后到SOFTX3000 上面进行注册。用于 NGN 承载网没有覆盖到的地区临时开放业务,等待网络资源到位后割接进入 NGN 承载网。 业务风险: 非法网关在获取合法网关的 EID 后,可以模拟合法网关发起注册并注册成功,造成用户电话被盗打; 在出现电话盗打,且非法用户已经离线的情况下,目前无法定位出当时盗打用户的位置信息;如果非法用户在线的情况
9、下,可以提供非法用户注册时的 IP 地址信息。 处理建议: 改造进入 NGN 承载网; 没有条件改造的 IAD,在网关和 SOFTX3000 之间启用 MD5 加密认证,非法网关在获取 EID 后,还必须获取网关和软交换协商的 MD5 的密钥,否则注册不成功。 (3)话务台用户代理。IP 方式 U-PATH 话务台安装专用软件后,通过 SE2200 的代理,接入到 NGN 承载网中,进而到 SOFTX3000 上进行注册,注册成功后可以对 centrex 群内用户进行权限管理,使用呼叫代答及呼叫接续等话务台功能。 目前在 U-PATH 话务台的注册过程中,需要使用华为专用的话务台软件,以及使用
10、在 SOFTX3000 上配置好的电话号码、用户名、密码进行注6册; 业务风险: 在电话号码、用户名、密码出现泄漏,非法用户又同时拥有华为话务台软件和语音加速卡硬件的情况下,还是可能会导致电话被盗打,这种情况下无规避解决方法; 在出现电话盗打,且非法用户已经离线的情况下,目前无方案来定位出当时盗打用户的位置信息;如果非法用户在线的情况下,可以提供非法用户注册时的 IP 地址信息。 处理建议: 改造 U-PATHIP 话务台为使用 ISDN 双绞线方式接入。 没有 ISDN 接入资源的客户,建议将 UPATH 话务台升级到V100R002C08 版本,改造为带语音加速卡方式的话务台,同时在软交换
11、上ADDCXCON 命令中修改“语音加速卡标志”为新卡。在使用语音加速卡的方式下,即使电话号码、用户名密码出现泄漏,还必须有华为专用的语音加速卡配合才能使话务台注册成功。 (4)由 SBC 代理的 SIP 中继业务 业务风险: 由于 SOFTX3000 和公网用户之间开的是 SIP 中继,而 SIP 中继在对接过程中是不需要任何用户名密码来进行合法性验证的。只需要对端的IP 地址正确就可以进行业务使用。在中间经过 SE2200 的情况下,SOFTX3000 的对端地址是 SE2200 的 server 地址,公网用户的对端地址是SE2200 的 client 地址。因此,公网用户只需要知道 c
12、lient 地址就可以7发起呼叫,存在较大的安全隐患。 处理建议: SIP 中继网关由于协议限制,没有用户名密码等认证方式,在运行过程中风险非常大,建议只在软交换之间或者内网里面等信任域里面对开SIP 中继,禁止跟公网用户对开 SIP 中继。 建议停闭公网接入的 SIP 中继业务。 四、结语 从发展趋势来看,采用软交换技术进行组网已经成为运营商必然的选择。相对于封闭、使用专用系统的电路交换网,架构于 IP 网之上的软交换网络易受到外来的入侵,面临安全性的挑战。运营商做软交换组网规划、进行网络及设备性能优化时要更加重视对网络安全能力进行客观评估,制定可靠的组网方案。 参考文献 U-SYSSoftx3000 软交换系统技术手册
