赵小萌,崔俊彬,张 磊

(国网河北省电力有限公司信息通信分公司,石家庄 050021)

1 缺陷概述

某公司IMS行政交换网部署2台SBC设备,于2016年投入运行,2台设备通过1+1互备方式进行部署,按照IMS行政交换网总体规划,管辖范围内用户按照区域划分[1],分别通过SBC设备1,主注册在IMS核心设备1,通过SBC设备2,备注册在IMS核心设备2;该方式通过接入设备(IAD/AG/IP电话)的双注册地址,实现SBC设备和IMS核心网的负荷分担和注册保护[2]。系统部署架构见图1。

2019年5月某公司在进行日常巡检测试工作时,技术人员在IMS行政交换网备用SBC 设备上进行自动黑名单License导入操作,开启自动黑名单功能后,发现测试AG 下的所有账号无法正常注册,且AG 出现备端口故障告警。该SBC 设备黑名单机制对未开户用户频繁注册、用户频繁半注册(每5 min 15次以上)等攻击行为具备良好的防护功能[3],在感知到相关攻击行为后,会将相关IP地址和端口信息加入黑名单。黑名单列表默认保留15 min,当攻击行为停止,会在15 min结束后,将黑名单中的设备放行。

图1 系统部署架构

2 缺陷排查

技术人员通过AG、IAD、IP电话等不同类型设备进行账号注册测试,测试设备的主用端口关闭,仅备用端口开启,发现AG 下所有的账号注册异常,且SBC设备产生“收到固定IP+PORT 未开户注册攻击”的告警。查看SBC设备黑名单列表,发现该AG 的IP 地址和端口被添加至黑名单。

现场技术人员对黑名单中AG 的IP地址和端口予以放行。5 min后又出现类似问题,根据自动黑名单运行机制,初步判断由于AG 注册信息异常导致。随后,技术人员将AG 的所有端口信息进行集中清理,重新配置测试账号,同时将黑名单中该AG 的IP和端口再次放行,问题消除。为保障现网业务的安全性,暂时将自动黑名单功能关闭,仅保留黑名单的告警功能。

3 原因分析

3.1 测试操作环境分析

侧的枢纽部位[4-5](见图2),且本次测试操作对于现网业务具有一定的安全风险,因此,本次测试操作在非工作时间进行。以备用SBC 设备作为测试设备进行开启黑名单功能测试,操作期间实时监控SBC设备的告警信息和接入设备(IAD/AG/IP 电话)的账号注册状态。

经过与厂家联系调研了解,存在某些单位由于行政软交换核心设备站点IAD 配置错误,从而产生大量注册消息,进而引发核心设备宕机的情况。为增强IMS行政交换设备的稳定性,在SBC 设备上增加自动黑名单功能,对未开户用户频繁注册、用户频繁半注册等攻击行为进行安全防护。

IMS行政交换网SBC设备位于接入侧和核心

图2 SBC部署位置示意

3.2 监控告警及巡视分析

通过对AG 注册信令抓取分析,发现该AG 注册过程中存在大量未开户用户频繁注册的行为,近5 min内数量达到67次,已经超过黑名单设置的阈值(每5 min 15次以上),所以该AG 的IP和端口被再次自动加入黑名单;进一步排查发现测试AG 在进行删除账号操作时,未对对应端口的属性信息进行彻底删除,AG 默认开启小交换群功能,该功能会在原有端口自动生成随机号码,由于这些端口未配置群数据,导致单个端口频繁向IMS核心发起注册消息,但在IMS核心内部无该账号信息,触发SBC设备的黑名单机制,将AG 的所有端口信息进行集中清理,同时将该AG 的IP 和端口予以放行,问题消除。

3.3 缺陷深入分析

通过对此次SBC 设备巡检测试操作环境分析、系统架构及运行方式分析及告警监控及巡视分析。引起IMS行政交换网测试AG 下的所有账号无法正常注册的直接原因为在测试AG 设备上进行删除操作时,未按照标准进行操作,导致测试AG 存在大量冗余数据。根本原因为黑名单机制针对IP地址和端口直接进行大策略封禁,无法针对账号进行精准封禁,对于AG/IAD 等下挂大量用户的设备,可能由于部分账号的问题,直接引起整台设备的异常,进而导致大面积行政电话业务的瘫痪。

4 防范措施及效果

4.1 防范措施

a.增强系统架构健壮性。为增强IMS核心网的安全防护能力,将IMS核心网与接入侧之间的业务流和非业务流进行分别防护。所有业务流如媒体信息、信令消息等通过SBC 设备进行安全防护,同时对于非业务流如网管命令、告警信息等,通过防火墙策略进行安全防护。针对本文提到的SBC设备自动黑名单机制不健全的问题,暂时采用告警监控结合手动封禁的方式解决,同时积极进行黑名单功能优化。

b.采取多层技术防护措施。目前,在实际应用中一般通过SBC 设备进行IMS行政交换网业务层的安全防护,但是SBC 设备部分固有功能与实际应用场景的贴合度略有不足,新功能开启前,如果测试不充分,可能引起大面的业务瘫痪。建议加强SBC设备的日常告警监控,结合人工研判方式进行业务层防护。

c.规范业务运维管理体系。完善接入侧设备(IAD/AG/IP电话)入网的整个流程,增强操作的规范性,定期组织开展配置核查工作,对于冗余数据、无效数据进行及时清理和优化。

4.2 防范效果

目前,已在IMS行政交换网核心网与接入网间实现数据分流,针对非业务流数据通过传统防火墙进行防控,增强了SBC 对于非语音类网络攻击的防护短板,数据分流防护见图3。

图3 数据分流防护示意

通过对AG 设备的配置方式进行规范,对AG设备冗余数据进行集中清理,误报告警情况已经基本消除。AG 设备小交换群功能仍然保留开启,该功能的配置进行严格规范,SBC黑名单功能调整为手动模式,误报告警通过手动溯源,进行配置规范或手动封禁,AG 设备未再出现因为该类告警导致无法正常注册的问题。

5 结束语

本文针对运维工作中发现了SBC设备自动黑名单机制存在2点缺陷:一是攻击行为的识别不够精准;二是安全策略的防护过于粗糙。通过对缺陷分析给出建议,黑名单功能应增强攻击行为的识别能力,结合行政交换设备的实际应用场景,应对正常的注册行为和攻击行为进行更为细致的划分,同时,不应简单的针对IP地址和端口进行封禁,应针对异常账号进行精准封禁,减小由于黑名单功能引起的业务影响范围。