WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 |
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Информационная безопасность телекоммуникационных систем с выходом в Интернет Учебно-методическое пособие к курсу “Информационная безопасность телекоммуникационных систем” Специальность “Математическое и программное обеспечение защиты информации” (010213) ВОРОНЕЖ 2004 2 Утверждено научно-методическим советом факультета прикладной математики, информатики и механики 20 мая 2004 г., протокол №7.

Составитель Голуб В.А.

Учебно-методическое пособие подготовлено на кафедре технической кибернетики и автоматического регулирования Воронежского государственного университета.

Рекомендуется для студентов 4 курса дневного отделения специальности “Математическое и программное обеспечение защиты информации” (010213) 3 СОДЕРЖАНИЕ 1. Информационнаябезопасность сетей GPRS…………………………….....4 1.1. Структурасети GPRS…………………………………………………...4 1.2. Механизмы обеспечения информационной безопасности GPRS…....6 2. Информационнаябезопасность IP-телефонии…………………………....10 2.1. Структурасистемы IP-телефонии…………………………………....10 2.2. Угрозы информационной безопасности IP-телефонии………….….10 2.3. Обеспечение информационной безопасности IP-телефонии……….12 Литература……………………………………………………………………...15 4 1. Информационная безопасность сетей GPRS 1.1. Структура сети GPRS Стандарт сотовой связи GPRS (General Packet Radio Service) является переходным к стандартам третьего поколения и представляет расширение существующих сотовых сетей TDMA/IS-136 и GSM, добавляя к уже имеющимся сетям систему высокоскоростной пакетной передачи данных, на основе которой могут быть организованы дополнительные услуги, присущие системам связи третьего поколения. Суть подхода стандарта GPRS состоит в разбиении информации на маленькие пакеты, что позволяет направить сразу несколько потоков данных и речи по одному каналу.

Система GPRS предназначенадля передачи данных с высокой скоростью – от 14,4 Кбит/с при использовании одного временного слота и до 115 Кбит/с при объединении нескольких слотов, т.е. почти в 12 разбыстрее работы передачи данных в обычных сетях GSM (9,6 Кбит/с); реальной на сегодняшний день является скорость 40…50 Кбит/с. Система GPRS оптимально приспособлена для прерывистого трафика характерного для сетей Интернет. С помощью, мобильного телефона GPRS пользователи могутработать со своей электронной почтой, с обычными Web-серверами (а не со специальными WAP-версиями, возможности которых сильно ограничены), т.е., по-существу, сочетание GPRS – GSM представляет мобильный эквивалент варианта подключения персонального компьютера к сети Интернет по скоростномуканалу связи [1].

Технология GPRS, действующая в сетях GSM, в отличие от существующих способов передачи данных по коммутируемым GSM–каналам, обеспечивает постоянное IP-соединение. Важное достоинство GPRS-сетей состоит в том, что пользователь оплачивает только объем передаваемой/получаемой информации, а не время нахождения в сети. До разработки технологии GPRS абонент оплачивал все время соединения независимо от того, использовал он установленный канал передачи данных. Иными словами, ресурсы сети задействованы только во время непосредственной передачи данных от телефона. Во время пауз (например, просмотр полученной электронной почты) ресурсы сети предоставляются в распоряжение других абонентов.

Архитектура GPRS включает следующие компоненты, два из которых отсутствуют в технологии GSM [2].

1. Мобильная станция (MS - mobile station), в качестве которой может выступать переносной или карманный компьютер, мобильный телефон или иное устройство, поддерживающее технологию GPRS. Функционально данный элементсостоит из 2-х компонентов, которые могутбыть выполнены какв виде единого устройства, так и в виде самостоятельных устройств [2]:

• терминальное оборудование (terminal equipment - TE), например, переносной компьютер;

• мобильный терминал (mobile terminal - MT), например, модем.

В зависимости от типа оборудования и возможностей сети мобильная станция можетработать в одном из трех режимов работы [2]:

• класс A - позволяетмобильной станции в одно и то же время передавать какданные, таки голос, т.е. одновременно работать в GSM- и GPRSсетях;

• класс B - позволяет мобильной станции передавать и данные, и голос, но в разные моменты времени, т.е. неодновременно;

• класс C - позволяет мобильной станции работать только в режиме GPRS.

При подключении к сети GPRS мобильная станция (а точнее, терминальное оборудование - TE) получает IP-адрес, который не меняется до момента отключения мобильного терминала (MT). Мобильная станция устанавливает соединение с узлом обслуживания абонентов GPRS, описываемым далее.

2. Базовая станция (BSS - base station system) принимает радиосигнал от мобильной станции и, в зависимости от того, что передается - голос или данные, транслирует трафик на центр коммутации (mobile switching center - MSC), являющийся стандартным элементом сети GSM, либо на узел обслуживания абонентов SGSN, отвечающий за обработку входящих/исходящих данных GPRS.

3. Узел обслуживания абонентов GPRS (serving GPRS support nodeт - SGSN) является основным компонентом GPRS-сети. Он транслирует IP-пакеты, посылаемые/получаемые мобильной станцией. По своей сути это такой же центр коммутации, каки мобильный центр коммутации MSC в GSM, но в отличие от последнего, SGSN коммутирует пакеты, а неканалы. Какправило, такой узел построен набазе ОС Unix и имеет свой IP-адрес.



С точки зрения безопасности, на узел обслуживания абонентов SGSN возложены функции [2]:

1. проверки разрешений абонентов на пользование запрашиваемых услуг (аутентификация). Механизм аутентификации GPRS совпадает с аналогичным механизмом в GSM;

2. мониторинг активных абонентов;

3. регистрация новых абонентов;

4. шифрование данных. Алгоритм шифрования в технологии GPRS (GEA1, GEA2, GEA3) отличаются от алгоритмов шифрования в GSM (A5/1, A5/2, A5/3), но разработаны наих основе.

4. Узел маршрутизации GPRS (gateway GPRS support node - GGSN) отвечаетза прием/передачу данных из внешних сетей, например, Internet или GPRS-сети другого операторасвязи. С точки зрения внешней сети GGSN - это обычный маршрутизатор (каки SGSN, построенный на базе Unix), который принимает данные для всех пользователей услуг GPRS. Помимо маршрутизации, GGSN отвечаетза выдачу IP-адресов и тарификацию услуг.

К другим элементам GPRS-сети относятся[2]:

1. Home Location Register (HLR) - реестр собственных абонентов сети, которая хранит информацию о каждом человеке, оплатившем услуги оператора GPRS именно данной сети. В частности, HLR хранит информацию о дополнительных услугах, параметрах аутентификации, IPадресе и т.д. Обмен данной информацией происходит между HLR и SGSN.

2. Visitor Location Register (VLR) - реестр перемещений, который хранит информацию о каждой мобильной станции, находящейся в данный момент в зоне действия SGSN. В VLR хранится та же информация об абоненте, что и в HLR, но только до тех пор, пока абонент не покинет географическую зону, обслуживаемую этим реестром перемещений.

3. Equipment Identity Register (EIR) - реестр идентификационных данных оборудования, который содержит информацию, позволяющую блокировать вызовы от украденных, мошеннических или иных неавторизованных устройств.

1.2. Механизмы обеспечения информационной безопасности GPRS В сотовой сети GPRS должна быть обеспечена безопасность следующих фрагментов [2]:

1. безопасность мобильной станции;

2. безопасность соединения между мобильной станцией и узлом обслуживания SGSN;

3. безопасность данных в процессе их передачи по сети GPRS;

4. безопасность данных в процессе их передачи между различными операторами GPRS-услуг;

5. безопасность данных в процессеих передачи в сети открытого доступа, например, Internet.

Безопасность мобильной станции (мобильного телефона) определяется безопасностью двух составляющих: самого аппарата, в состав программного обеспечения которого включены уникальный номер IMEI и алгоритм шифрования A5, и SIM-карты.

SIM-карта (Subscriber Identity Module) - модуль идентификации абонента, содержащий информацию о сервисах, предоставляемых абоненту, независимо от типа используемого мобильного оборудования. С точки зрения безопасности SIM-карта отвечает за идентификацию абонента и аутентификацию мобильного телефонав GPRS-сети.

SIM-карта содержит:

1. PIN-код для доступак функциям карты;

2. идентификатор IMSI;

3. индивидуальный ключ аутентификации абонентадлиной 128 бит Ki;

4. алгоритм генерации ключей шифрования A8;

5. алгоритм аутентификации A3.

В состав программного обеспечения телефона включен уникальный номер IMEI и алгоритм шифрования A5.

Каждый абонент в GPRS-сети имеет уникальный международный идентификатор мобильного абонента IMSI (International Mobile Subscriber Identity), хранимый в SIM-карте. IMSI состоит из 3 элементов [2]:

1. трехразрядный код страны (для России - 250) 2. двухразрядный код сети (для МТС - 01, для Билайн - 99, для СМАРТС - 07 и т.д.) 3. десятиразрядный код абонента (Mobile Subscriber Identity Number, MSIN).

Алгоритм A8 отвечает за генерацию ключей шифрования, который, используя случайное число, передаваемое на мобильный терминал в момент соединения с сетью, и ключ Ki генерит 64-битный ключ шифрования трафика.

Таккакиндивидуальный ключ Ki имеется нетолько у абонента, но и хранится в реестрах HLR и VLR, то и абонент, и оборудование сети создают одинаковый ключ шифрования, который и используется для защиты передаваемых данных.

Алгоритм A3, отвечающий за аутентификацию абонента, похож наалгоритм A8 и также использует случайное число, получаемое в моментподключения к сети, и индивидуальный ключ абонента.

Для доступак функциям SIM-карты необходимо использовать специальный персональный код (другими словами, пароль) PIN (Personal Identification Number), после 3-х неправильных попыток ввода которого, SIM-карта блокируется.

Безопасность самого телефона какуже было сказано выше, обеспечивается, двумя механизмами:

• алгоритмом шифрования A5, который обеспечивает защиту данных, циркулируемых между мобильной станцией и узлом обслуживания абонентов SGSN;

• уникальным 14-тиразрядным международным идентификатором аппаратуры мобильной связи (International Mobile Equipment Identity, IMEI), который однозначно идентифицирует телефон. (Узнать этот номер очень просто - достаточно набрать на телефоне комбинацию *#06#.

Несовпадение высвеченного числа с записанным на задней крышке телефонауказываетнавероятный имевшийся взлом аппарата.) Номера IMEI хранятся в реестреидентификационных данных оборудования EIR, который ведет три типасписков IMEI [2]:

1. "белый" список, содержащий идентификаторы всех разрешенных аппаратов;

2. "серый" список, содержащий идентификаторы всех незапрещенных аппаратов, но используемых для различных целей, например, тестирования и т.п;





3. "черный" список, содержащий идентификаторы всех запрещенных аппаратов.

Идентификаторы IMEI и IMSI - независимы между собой. Более того - они решают различные задачи: IMEI идентифицирует мобильный терминал, а IMSI - абонента.

Безопасность соединения мобильной станции с узлом обслуживания абонентов SGSN обеспечивается алгоритма шифрования GPRS-A5, выбор версии которого происходит в процессе подключения мобильной станции к узлу обслуживания абонентов SGSN Безопасность данных в процессе их передачи по сети GPRS между узлами поддержки (SGSN и GGSN) обеспечивается с помощью специального протокола передачи данных GTP (GPRS Tunneling Protocol), который включает в себялюбые пользовательские протоколы, например, HTTP, Telnet, FTP и т.д. По умолчанию GTP-трафик не шифруется. Невозможность прямого доступа к сетевому оборудованию из внешних сетей обеспечивается тем, что опорная сеть строится на базе частных IP-адресов [2].

Безопасность в процессе взаимодействия с различными операторами GPRS-услуг возлагается на устройства, называемые пограничными шлюзами (border gateway, BG), которые очень похожи на обычные межсетевые экраны, защищающие корпоративные сети от внешних атак В частности, этот шлюз.

защищает оператора от атак связанных с подменой адреса (IP Spoofing).

, Настройка такого шлюза включает в себя создание правил, разрешающих входящий/исходящий пользовательский трафик, данные биллинговой системы, аутентификацию роуминговых абонентов и т.п.

Безопасность в процессе взаимодействия с Internet обеспечивается прежде всего на узле маршрутизации GGSN, в состав которого входит межсетевой экран, который определяет тип входящего и исходящего GPRSтрафика Задачамежсетевого экрана входящего в состав узла маршрутизации., GGSN, - защитить мобильную станцию от внешних (из Internet) атак. Защита от атакс других мобильных станций возлагается наузел обслуживания абонентов SGSN. Для предотвращения доступак сетевому оборудованию опорной сети от внешних злоумышленников используется трансляция адресов (network address translation). Все остальные механизмы защиты могут быть взяты из классической практики обеспечения информационной безопасности Internetсетей и устройств [2].

Процедура подключения мобильной станции к сети GPRS может быть описана следующим образом [2]:

1. Мобильная станция посылает запрос (Attach Request) на получение доступак сети, который содержит ряд параметров, включая и IMSI.

2. Узел обслуживания абонентов SGSN, получив такой запрос, проверяет наличие аутентифицирующей данного абонента информации в своей базе. Если такая информация отсутствует, то SGSN посылает запрос в реестр собственных абонентов сети HLR, который возвращает так называемый аутентификационный триплет, содержащий:

• случайное число, используемое в алгоритмах A3 и A8 для выработки ключа шифрования и аутентификации абонента;

• 32-хразрядный ключ аутентификации абонента, который вырабатывается на основе индивидуального ключа хранящегося как на мобильной, станции, так и в реестре HLR;

• ключ шифрования данных, получаемый также на базе индивидуального ключа абонента.

3. Полученное случайное число передается намобильную станцию, которая на его основе вырабатывает ключ шифрования и ключ аутентификации. Так как индивидуальные ключи, хранящиеся в реестре собственных абонентов сети HLR и на мобильной станции, совпадают, то и ключи шифрования и аутентификации также должны совпадать, что и является фактом правомочности запроса данным абонентом оплаченных GPRS-услуг.

4. После идентификации абонента осуществляется идентификация оборудования, которое посылает на узел обслуживания абонентов SGSN идентификатор IMEI. Узел обслуживания абонентов SGSN, в свою очередь, проводит проверку данного оборудования по реестру идентификационных данных оборудования EIR.

5. После аутентификации абонента и оборудования происходит процедура определения местоположения абонента (с использованием реестрасобственных абонентов сети HLR и реестра перемещений VLR), после чего происходит завершение процедуры подключения мобильной станции к сети GPRS. В том случае, если мобильная станция не смогла пройти аутентификацию, то узел обслуживания SGSN посылает нанее сообщение Attach Reject.

2. Информационная безопасность IP-телефонии IP-телефония - технология, позволяющая использовать интернет-протокол (IP – Internet Protocol) пакетной передачи данных в качестве средства организации и ведения телефонных разговоров и передачи факсов в режиме реального времени.

2.1. Структура системы IP-телефонии Центральным компонентом IP-телефонии является сервер (шлюз), который отвечает за соединение телефонной и IP сетей, т.е. он подключен как к телефонной сети и может дозвонитьсядо любого обычного телефона, таки к сети передачи данных (например, Internet) и может получить доступ к любому компьютеру. В функции данного устройства входят [3]:

- ответнавывоз вызывающего абонента;

- установление соединение с удаленным шлюзом и вызываемым абонентом;

- оцифровка (кодирование), сжатие, разбиение напакеты и восстановление сигнала.

На вход шлюза поступает обычный телефонный сигнал, который шлюз оцифровывает, сжимает и передает в IP-сеть в виде обычных пакетов. На другом концешлюз восстанавливает сигнал в обратном порядке Шлюз может.

и не использоваться, если не планируется интегрировать IP-телефоны в телефонную сеть общего пользования [3].

Pages:     || 2 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.