P1电信监控(PTM)
P1电信监控(PTM)是 SS7, SIGTRAN, 3G, IMS, NGN and LTE/4G入侵检测(IDS/NIDS)和监控系统
电信网络IDS
SS7 和 SIGTRAN网络缺乏在IP领域的精密监控。IDS和专门的 NIDS技术到目前为止还不存在这些类型的网络。
PTM是个提供安全监控,并对SS7 and SIGTRAN进行检测的入侵检测系统。它帮助安全工程师和电信工程师对网络进行实时攻击监控。PTM比欺诈检测系统更快速地检测到入侵行为、覆盖面更广,能帮助工程师和管理人员应对攻击、保护运营商的资产。
PTM确保CIOs、 CTOs、运营团队、电信工程部、欺诈和收入保障部门、决策者和高层管理者通过包含核心网络关键指标的仪表盘控制不同冲击和不断变化的攻击。
目前很少有电信公司真实地了解过由于核心网路和外界连接所导致的对电信通信网络带来的安全风险。但是随着互联网融合服务、Femto cells,3G、IMS和LTE等技术的发展,这种新的链接业务越来越多。
PTA能帮助电信和移动运营商持续地监控和检测核心网络和信号系统。
P1电信监控技术
l 本地SS7 和SIGTRAN安防监控解决方案
l SS7互连安全监控
l 网络元素,DPC 和 SSN不断监控
l 外部和内部安全监控
l 基于网络的管理,事件显示和报告
l 多信号参数支持
PTM可以针对案例,可疑行为,不稳定原因和直接入侵攻击等进行大量监控。
目前,PTM已针对信号设施和核心网络成功检测了超过200种不同的攻击类型。
下面是根据影响严重程度分类的漏洞和攻击:
l 使用隐私攻击HLR请求的位置请求攻击(SendRoutingInfo SRI请求)–智能类(影响程度: 低)
l SCCP Flooding Attempt– DoS基础设施(影响程度: 中)
l TCAP Session Flooding–DoS基础设施(影响程度: 高)
l VLR Stuffing攻击–DoS基础设施(影响程度: 高)
l Region availability attack–DoS基础设施(影响程度: 高)
l CAMEL / CAP非法呼叫–信号攻击和类(影响程度: 高)
l Billing System flooding–信号攻击和类(影响程度: 高)
l SMSC指纹–智能类(影响程度: 低)
l USSD mapping–智能类(影响程度: 低)
l Hostile Location Update–Targetted DoS(影响程度: 高)
l Signaling Decoding Bomb–信号攻击和类(影响程度: 高)
l SCTP Peering Point Enumeration–智能类(影响程度: 低)
P1电信监控优点
PTM帮助运营商监控网络安全:
l 对以前未监测的SS7, IMS, VoIP 和SIGTRAN等网络周边进行实时的网络入侵检测
l 在难易理解的网络架构和电信*协议中进行入侵模式检测
l 监测技术主机,包含IDS不知道的主机和需要深入研究的主机
l 攻击模型部署中采用的P1安全研究成果
l 接收每日网络攻击特征,以对抗每日的攻击
l 检测信号平台的攻击和欺诈行为,比欺诈管理系统更有效
l 通过被动监测原始网络接口进行检测,无需等待CDR generation或调整。
主要优点
P1 Security解决方案为运营团队和管理人员提供了多种优势,例如:
l 为工程师培养更好的安全意识
l 通过持续的安全检测挖掘威胁,提升对潜在风险的认知水平
l 对生产前与生产设备保持全程安全控制和定期检查
l PTM监控工具提供更好的攻击防护方式和更高的攻击应变能力
l 为管理人员提供全面的安全情况展示界面
检测协议和设备
SS7 | Message Transfer Part 3 (mtp3), SCCP, TCAP, ISUP, TUP, MAP, OMAP, INAP, BICC, CAMEL, BSSAP, RANAP, UMA |
SIGTRAN | SCTP, M3UA, M2PA, M2UA, IUA (ISDN, Q.931), SUA, V5UA |
GPRS | GTP-U, GTP-C, GTP’, GRX DNS |
AAA | Radius, Diameter |
VoIP / ToIP | SIP, H323, Skinny / SCCP, H248, MGCP, MEGACO |
Core network protocols | MPLS, LDP, BGP, VPLS, L2TP, GRE, IPsec, SAAL, LDP, BGP |
互连接口
l 接口 C, D, E, F, G, I 和 选择性的 A, B
l SIGTRAN 以太网络(100Mbit/s 或 1Gbit/s硬件)
l IMS 以太网络(100Mbit/s 或 1Gbit/s硬件)
l SS7 legacy TDM接口(要求另外报价, T1, E1, V11 or V35)
l SS7 ATM接口(要求另外报价)
PTA已部署几支持以下供应商:Acision, Acterna, Adventnet, Alcatel-Lucent, Anritsu, Apertio, Asterisk, Bercut, Cisco, CMG, Comverse, Cyrpack, DataKinetics, Digital, Ericsson, HP, Huawei, IBM, Logica, Marconi, Motorola, Nokia, Nortel, NSN, Siemens, Squire, Sysmaster, SS8, Tellabs, Tektronix, Unica, Tekelec, ZTE.
部署和更新
使用一个轻量级虚拟机、网络控制以及基于SaaS的报告服务器就可以使用VMware技术部署PTM。
PTM实现了与基础信号设施无缝集成,共同作为一个非阻塞网络元素,不干扰正常运作。PTA通过被动监控网络接口,从而确保外部安全。
PTM只需要一个地址来传达其发现的事件。不需要信号点编码或互连。
PTM可以部署在legacy SS7 和 SIGTRAN, UMTS/CDMA 3G, IMS and LTE 等环境下。
PTM的规则库每周更新,同时部署紧急模式进行实时更新,以确保立即应对新出现的威胁。