CC BY
0
УДК 004.05
DOI: 10.24412/2071 -6168-2024-3 -67-68
ОСОБЕННОСТИ И ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТЕЙ НОВОГО
ПОКОЛЕНИЯ NGN
Нгуен Фук Хау, Нгуен Тхи Тху, Р.С. Зарипова, Нгуен Ван Зьен
С развитием сетей нового поколения (Next Generation Networks, NGN) возникают новые возможности, однако они также порождают и новые угрозы. Обеспечение безопасности этих сетей представляет собой важную задачу, требующую комплексного и внимательного подхода. В условиях цифровой трансформации защита сетевых элементов от несанкционированного доступа очень актуальна и важна. Безопасность сетей NGN является главным приоритетом для поставщиков услуг. В данной статье рассмотрены особенности и проблемы обеспечения безопасности сетей NGN. Выявлены потенциальные угрозы и предложены соответствующие меры по защите сетей нового поколения.
Ключевые слова: NGN, сеть нового поколения, угрозы, вирусы, атаки, SNMP, TCP/IP, IPSec, IP NGN, сетевая безопасность NGN.
Введение. Сети нового поколения (NGN) играют ключевую роль в современной цифровой инфраструктуре. С их развитием открываются широкие возможности для передачи данных и обеспечения коммуникаций [1]. Вместе с тем также возникают и новые угрозы, влияющие на их безопасность. С момента появления сетей NGN она стала привлекательной целью для разного рода атак. Угрозами для NGN являются различные хакерские атаки, атаки вторжения, вирусы, сетевые черви, отказ в обслуживании (DoS), подслушивание, активные атаки, маскировка, изменение пакетов и т. д. [2] Понимание роли NGN и анализ потенциальных угроз, с которыми они сталкиваются, имеет важное значение для разработки стратегий обеспечения их безопасности. Обеспечение защиты сетей NGN становится ключевой задачей в контексте растущих технологических возможностей и динамично развивающейся цифровой среды [3, 4].
Исследование угроз и уязвимостей в системах сетевого оборудования NGN является актуальной задачей, поскольку NGN становятся привлекательной целью для различных типов атак, таких как хакерские атаки, вирусы, DoS-атаки и другие. Это требует разработки новых стратегий и методов обеспечения безопасности сетей NGN в динамично развивающейся цифровой среде. Кроме того, проведение анализа потенциальных угроз, а также выработка соответствующих стратегий по обеспечению безопасности NGN, представляет собой значимый вклад в область кибербезопасности и сетевых технологий. Научная новизна заключается в выявлении особенностей и уязвимо-стей, с которыми сталкиваются сети нового поколения, понимании важности безопасности сетей нового поколения (NGN) в контексте развития и расширения их возможностей, а также разработке инновационных подходов к защите этих сетей от потенциальных угроз.
В рамках данного исследования проведем анализ угроз и уязвимостей, которые могут существовать в системах сетевого оборудования NGN, а также исследуем особенности и потенциальные угрозы, с которыми сталкиваются сети нового поколения, выработаем соответствующие стратегии по обеспечению их безопасности.
Сетевая безопасность и проблемы безопасности протоколов. Традиционная защита от атак заключается в изоляции сетевых доменов, поддерживающих сложные приложения и несколько протоколов управления, от несанкционированного влияния с помощью «брандмауэров». Эти «брандмауэры» следует рассматривать лишь как первые шаги защиты.
Подход «глубокой защиты» к защите сетевых компонентов от повреждений заключается в применении мер безопасности к каждому сетевому элементу, базовой коммуникационной инфраструктуре внутри и между каждым сетевым доменом, а также к протоколам управления. Цель подхода состоит в том, чтобы настроить брандмауэр по такому принципу: чем больше у него уровней защиты, тем больше он минимизирует проблему несанкционированного доступа. Очевидно, что внутренняя защита так же важна, как и внешняя [5]. Кроме этого, необходимо разработать межсетевые экраны, обеспечивающие надлежащий мониторинг протоколов управления VoIP и не создающие уязвимых мест для атак [6].
Набор протоколов TCP/IP уязвим для различных атак, начиная от перехвата паролей и заканчивая отказом в обслуживании. Программное обеспечение для осуществления большинства таких атак находится в свободном доступе в интернете. Эти уязвимости, если их тщательно не контролировать, могут подвергнуть значительному риску пользование интернета или интранета [7].
Хакеры обладают хорошим пониманием того, что такое маршрутизатор и принципы подключения к сети TCP/IP. Именно поэтому они используют широкий спектр как старых, так и новых инструментов, а также методов взлома протокола TCP/IP. В частности, голосовые IP-сети (VoIP) подвержены атакам с использованием методов отказа в обслуживании, подслушивания, изменения данных и кражи услуг. Следовательно, протокол TCP/IP становится уязвимым в следующих случаях:
- потеря безопасности. Если функция IP-безопасности не установлена, то данные, передаваемые через IP-сеть в открытом виде, могут быть подвержены утечке, то есть содержимое этих данных будет потенциально доступно для чтения в процессе их передачи по IP-сети. Аналогично разговоры могут быть подслушаны.
- потеря целостности. IP-сети управляются с помощью протоколов, которые по своей сути имеют низкую безопасность (например, SNMP - простой протокол сетевого мониторинга), что непреднамеренно создаёт уязвимости и предоставляет злоумышленникам широкие возможности для атак на IP-узлы через каналы управления (рис. 1).
- подмена адреса. Это наиболее распространенный метод атаки с использованием IP-сообщений, который также может способствовать потере целостности и увеличивать вероятность мошенничества.
- потеря аутентификации. Подмена адреса также может приводить к потере аутентификации сообщения, если злоумышленник будет отправлять поддельные сообщения, которые представляются получателям как исходящие от доверенных источников [8].
- потеря надежности. Если надлежащее тестирование безопасности не применяется ко всем сетевым устройствам, то злоумышленники могут инициировать атаки типа «отказ в обслуживании», которые приведут к простою глобальной сети.
Развертывание недавно разработанных методов конвейерной IP-безопасности, таких как IPSec, может быть хорошим решением для обеспечения информационной безопасности, но не защитит от DoS-атак. Сетевые устройства по-прежнему нуждаются в хорошей защите.
Рис. 1. Компоненты SNMP
Проблема безопасности функциональных элементов сети. Все функциональные элементы сети должны иметь возможность блокировать несанкционированный доступ к системе или несанкционированное использование системных ресурсов [9]. Любой преднамеренный доступ к системе и использование сетевых ресурсов должны регистрироваться в целях контроля отслеживания [10]. Функциональные требования к безопасности элементов системы можно разделить на такие категории:
- идентификация. Процесс распознавания неоднозначной и поддающейся проверке личности инициатора запроса сеанса, например идентификатора пользователя;
- подтверждение. Процесс определения подтвержденной личности, запрашивающего сеанс (использование пароля, цифровой подписи и др.);
- контроль доступа к системе. Подтверждает установление сеанса (например, вход в систему) и продолжение сеанса до его завершения (выход из системы);
- контроль доступа к ресурсам обеспечивает возможность запрета доступа к нескольким уровням ресурсов сетевых элементов в случае отсутствия соответствующей аутентификации (разрешения пользователя, разрешения канала);
- система обнаружения вторжений. Предоставляет автоматизированные инструменты и человеческие ресурсы для мониторинга конфиденциальных системных файлов и сетевого трафика в случае аномалий;
- укрепление защиты операционной системы. Применение всех стандартных тестов к операционным системам и их сетевым функциям для обеспечения целостности [11].
Укрепление системы должно быть основано на определенном решении, включающем устранение всех ненужных функций и служб (например, закрытие неиспользуемых портов, удаление неиспользуемых приложений), выполнение патчей или обновление программного обеспечения до последних версий (таким образом устраняя обнаруженные ранее слабые места) и иметь безопасный процесс управления изменениями.
Вышеупомянутые проблемы требуют, чтобы каждый элемент сети NGN был способен выполнять эти функции безопасности как на системном оборудовании, так и на уровне приложений, так как в современных условиях защита сетевых элементов и функций от несанкционированного вторжения очень актуальна и важна.
Принципы безопасности. При разработке стратегии обеспечения безопасности следует соблюдать следующие принципы:
- защита сетевой инфраструктуры оператора сети, так как угрозы могут исходить откуда угодно - от клиентов, от сотрудников внутри сети, сетевых операторов с общими подключениями или от компонентов, удаленно подключенных к сети NGN через доступ в интернет;
- оператор не должен быть источником уязвимостей и недостатков обеспечения безопасности в доменах межсетевых соединений, например, между оператором и поставщиком услуг;
- позволить сетевым операторам обеспечивать безопасность: клиенты часто ожидают, что голосовые/мультимедийные услуги на базе NGN будут иметь хорошее качество обслуживания и меры безопасности;
- внешние части сети (интернет, операторы одноранговых сетей NGN, сторонние поставщики услуг) должны быть защищены надежными механизмами, такими как межсетевые экраны;
- главные системы управления и серверы сигнализации/управления являются чрезвычайно чувствительными элементами, поэтому требуют тщательной защиты с помощью межсетевых экранов;
- трафик управления между рабочими станциями управления и необходимыми сетевыми элементами должен быть защищен с помощью целостности/ аутентификации трафика. Управление безопасностью также включает обновление аппаратного обеспечения модема xDSL (цифровая абонентская линия) от удаленного оператора связи;
- базовый механизм безопасности должен быть реализован индивидуально внутри каждого элемента сети для аспектов управления и контроля [12];
- сетевая инфраструктура должна быть сегментирована, чтобы серверы, которые будут иметь клиентский доступ, генерирующий трафик, были полностью отделены от высокочувствительных серверов.
Основные меры обеспечения безопасности. В настоящее время изучается архитектура безопасности сетей NGN, которая направлена на обеспечение защиты пользователей мобильной сети, передаваемых данных и базо-
вой сети. Данная архитектура предусматривает выполнение процедуры многопроходной аутентификации и согласование общего ключа для получения доступа к услугам мультимедийной подсистемы (IMS) со стороны пользователей беспроводной локальной сети (WLAN).
Также одним из решений обеспечения безопасности является использование централизованной службы аутентификации для упрощения управления учетными записями, создания и удаления учетных записей пользователей только на одном сервере [131.
Использование протокола сетевого времени NTP (протокол сетевого времени) позволяет синхронизировать системные часы хостов в Интернете со Всемирным координированным временем (UTC). Использование NTP позволяет системе точно фиксировать время событий. Майнеры могут просмотреть файл данных заметки, чтобы проверить состояние сети.
Разделение между стороной управления и стороной данных. Некоторые сетевые устройства имеют системную архитектуру, предназначенную для обеспечения разделения между стороной управления и стороной данных [141. Если сторона управления (например, механизм маршрутизации) подвергается DoS-атаке, то сторона данных (например, механизм доставки пакетов) продолжает работать.
Развертывание пограничного контроллера сеанса SBC (пограничный контроллер сеанса). Это устройство, обычно используемое в сетях VoIP, размещается в середине пути сигнала между вызывающей и вызываемой стороной. SBC работает, когда вызываемая сторона использует VoIP и осуществляет второй вызов вызываемой стороне. Результатом этого действия является то, что через SBC проходит не только сигнальный трафик, но и медиатрафик (голос, видео). Без SBC медиатрафик передается напрямую между телефонами VoIP. Персональные SBC часто поставляются с брандмауэрами, позволяющими осуществлять вызовы VoIP в защищенную сеть и из нее. Поставщики общедоступных услуг VoIP используют SBC, чтобы обеспечить возможность использования протоколов VoIP из выделенных сетей, подключенных к Интернету, с использованием средства трансляции адресов NAT (трансляция сетевых адресов).
Кроме того, некоторые SBC могут позволять устанавливать VoIP-вызовы между двумя телефонами с использованием разных протоколов сигнализации VoIP, а также выполнять перекодирование медиапотоков, когда несколько разных кодеков используются вместе. Многие SBC также предоставляют функции брандмауэра для трафика VoIP (защита от DoS, фильтрация вызовов, управление полосой пропускания и т. д.).
Для защиты администратора сети от несанкционированного доступа необходимо развернуть брандмауэр. В этом случае брандмауэр должен защитить администратора от некоторых типов несанкционированных атак, таких как DoS, присоединение и выгрузка TCP-пакетов, удаление подозрительных пакетов и т. д. Брандмауэры тщательно проверяют входящий трафик на основе заранее определенных правил безопасности и фильтруют трафик, поступающий из небезопасных или подозрительных источников, чтобы предотвратить атаки. Защита трафика осуществляется в точках входа компьютера, называемых портами, через которые происходит обмен информацией с внешними устройствами. (рис. 2).
Q.
Рабочий ^^
стол ^
а
Ноутбук
Трафик разрешав
Ограниченный
«известный трафик.
Модем
Машина Брандмауэр
Телефон^
Безопасная частная LAN Публичная сеть
Рис. 2. Архитектура межсетевого экрана
□
Заключение. Обеспечение безопасности - это сложный вопрос. Необходимо учитывать множество аспектов. Решение безопасности для VoIP/мультимедиа должно быть продумано от начала и до конца. И производители, и операторы должны согласиться на одинаковые процедуры безопасности. Решением для обеспечения безопасности подразделений и предприятий является использование продуктов безопасности от авторитетных технологических компаний с использованием единой платформы безопасности для комплексной, многоуровневой защиты. В развивающейся архитектуре IP NGN, которая интегрирована в сетевую инфраструктуру поставщика услуг и интегрирована с другими сетевыми компонентами, необходимо сделать упор на интегрированную, совместную и адаптивную безопасность. Таким образом, при интеграции каждого компонента в сеть применение технологий безопасности позволяет сети выступать в роли надежной защитной структуры, обеспечивая повышенный уровень безопасности.
Таким образом, проведенный анализ угроз и уязвимостей в системах сетевого оборудования NGN, а также выработанные стратегии по обеспечению их безопасности представляют собой важный шаг в обеспечении цифровой безопасности и развитии сетевых технологий.
Список литературы
1. Смирнов Ю.Н., Фатыхов Р.И. Об информационной безопасности промышленных предприятий в условиях цифровизации // Приборостроение и автоматизированный электропривод в топливно-энергетическом комплексе и жилищно-коммунальном хозяйстве. материалы IV Национальной научно-практической конференции. Казанский государственный энергетический университет. 2019. С. 43-46.
69
2. Менциев А.У., Пахаев Х.Х., Айгумов Т.Г. Угрозы безопасности узкополосного интернета вещей и меры противодействия // Инженерный вестник Дона. 2021. № 10 (82). С. 32-41.
3. Шакиров А.А., Зарипова Р.С. Актуальность обеспечения информационной безопасности в условиях цифровой экономики // Инновационное развитие экономики. Будущее России: сборник материалов и докладов V Всероссийской (национальной) научно-практической конференции. 2018. С.257-260.
4. Силкина О.Ю., Зарипова Р.С. Актуальность проблемы обеспечения информационной безопасности организаций // Наука: опыт, проблемы, перспективы развития: материалы международной научно-практической конференции. Красноярск, 2023. С.114-119.
5. Гибадуллин Р.Ф., Лекомцев Д.В., Перухин М. Ю. Анализ параметров промышленных сетей с применением нейросетевой обработки // Искусственный интеллект и принятие решений. 2020. № 1. С. 80-87.
6. Гизатуллин З.М., Гизатуллин Р.М., Нуриев М.Г., Назметдинов Ф.Р. Снижение электромагнитных помех и защита информации в вычислительной технике с помощью экранирующих стекол // Вестник Казанского государственного энергетического университета. 2017. №3(35). С.46-57.
7. B. Harris, R. Hunt. TCP/IP security threats and attack methods. Computer Communications. Vol. 22. 1999. P.
885-897.
8. Хамитов Р.М., Шорина Т.В. Аспекты обеспечения качества программных продуктов // Научно-технический вестник Поволжья. 2023. № 12. С. 625-627.
9. Пырнова О.А. Информационная безопасность в эпоху квантовых технологий // Энергетика, инфоком-муникационные технологии и высшее образование: материалы Международной конференции. Казань, 2023. С. 439443.
10. Нгуен Фук Хау, Нгуен Тхи Ань Туйет, Зарипова Р.С. Zero Trust как инструмент защиты информационных активов компаний // Научно-технический вестник Поволжья. 2023. № 9. С. 656-658.
11. Чудинов Н.В., Халидов А.А. Разработка программного комплекса для защиты программ от нелегального использования // Современные цифровые технологии: проблемы, решения, перспективы. национальная научно-практическая конференция. Казань, 2022. С. 140-142.
12. Юртаев В.В., Николаева С.Г. Базы данных как уязвимость организации // Технологический суверенитет и цифровая трансформация. Международная научно-техническая конференция. Казань, 2023. С. 256-260.
13. Аникин И.В., Катасёв А.С., Черняков А.С. Модель и программный комплекс анализа атак на web -приложения // Научно-технический вестник Поволжья. 2023. № 7. С. 17-20.
14. Chupaev A.V., Zaripova R.S., Galyamov R.R., Sharifullina A.Y. The use of industrial wireless networks based on standard ISA-100.11a and protocol wirelesshart in process control // E3S Web of Conferences. 2019 International Scientific and Technical Conference Smart Energy Systems, SES 2019. 2019. P. 03013.
Нгуен Фук Хау, канд. техн. наук, [email protected], Вьетнам, Ханой, Университет Тхань До,
Нгуен Тхи Тху, сотрудник, Вьетнам, Чи Линь, Университет Шао-До,
Зарипова Римма Солтановна, канд. техн. наук, доцент, [email protected], Россия, Казань, Казанский государственный энергетический университет,
Нгуен Ван Зьен, сотрулник, Вьетнам, Ханой, Университет Тхань До
PECULIARITIES AND PROBLEMS OF ENSURING SECURITY OF NEW GENERATION NGN NETWORKS
Nguyen Phuc Hau, Nguyen Thi Thu, R.S. Zaripova, Nguyen Van Dien
As Next Generation Networks (NGNs) evolve, new opportunities arise, but they also bring new threats. Securing these networks is a significant challenge that requires a comprehensive and careful approach. In the context of digital transformation, protecting network elements _ from unauthorised access is very relevant and important. The security of NGN networks is a top priority _ for service providers. This article discusses the _ features and challenges of securing NGN networks, identifies potential threats and proposes appropriate measures to protect next-generation networks.
Key words: NGN, next generation network, threats, viruses, attacks, SNMP, TCP/IP, IPSec, IP NGN, NGN network security.
Nguyen Phuc Hau, candidate of technical sciences, phuchauptit@gmail. com, Vietnam, Hanoi, Thanh Do University,
Nguyen Thi Thu, employee, Vietnam, Chi Linh, Sao Do University,
Zaripova Rimma Soltanovna, candidate of technical sciences, docent, [email protected], Russia, Kazan, Kazan State Power Engineering University,
Nguyen Van Dien, employee, Vietnam, Hanoi, Thanh Do University
