Kcell – один из ведущих цифровых мобильных операторов Казахстана, который оказывает услуги мобильной связи с использованием технологий 2G/3G, 4G LTE и 5G. Перед Kcell стояла задача модернизировать свою сеть сигнализации мобильного трафика для повышения уровня безопасности и централизации функций маршрутизации сообщений. В качестве технического партнера была выбрана ИТ-компания «Инфосистемы Джет».
Kcell непрерывно работает над усилением периметра защиты от атак на мобильную сеть, чтобы защитить самое важное — приватность своих абонентов, в том числе и их персональные данные. Так как компания постоянно разрабатывает и внедряет новые цифровые услуги и сервисы, для их непрерывной работы крайне важна превентивность и своевременное распознавание возможных атак. Поэтому, одним из весомых преимуществ данного решения является то, что с его помощью происходит сбор данных для глубокой аналитики, с целью оперативного реагирования при атаках на сигнальную сеть компании.
Айдар Серикбаев,
менеджер технического департамента Kсell
В рамках модернизации сигнальной сети, специалисты «Инфосистемы Джет» внедрили программный маршрутизатор Diameter Signaling Router (DSR), который выполняет функции передачи и распределения сигнального трафика протоколов Diameter и SS7. Благодаря этому решению у оператора появилась единая геораспределенная точка входа в сигнальную сеть, через которую он осуществляет взаимодействие со всеми внешними партнерами.
Одним из ключевых факторов в обеспечении безопасности сигнальной сети стала централизация функций маршрутизации сообщений. Это необходимо для сбора статистики, скриннинга сообщений на входе в сеть, фильтрации нелегитимных сообщений от попадания во внутренний периметр оператора. Решение DSR используется в качестве инструмента для централизации сигнальной сети и выполняет функции внутреннего и пограничного агентов распределения сообщений Diameter (DRA/DEA), а также коммутатора пакетов сети SS7 (STP). Решение обеспечивает гибкую маршрутизацию сигнального трафика и его всестороннюю обработку в зависимости от потребностей оператора.
Централизация трафика упрощает ввод новых сервисов и услуг, за счет консолидации управленческих функций. Например, если оператор захочет внедрить новую услугу с задействованием ресурсов сигнальной сети, достаточно будет подключить новое оборудование к узлам DSR и выполнить большую часть настроек в одном месте. Такой подход существенно сокращает время Time-To-Market.
Централизация функций сигнальной сети позволила задействовать встроенные в DSR механизмы обеспечения безопасности, такие как Diameter Security Application для Diameter трафика и Stateful Security Application для трафика протоколов стека SS7. Оба приложения проверяют сигнальные сообщения на легитимность, в том числе с использованием информации, собранной при анализе уже обработанного трафика. Для хранения такой информации специалисты «Инфосистемы Джет» развернули и интегрировали ПО User Data Repository (UDR).
В качестве инструмента для сбора, анализа и выявления неисправностей в сигнальной сети, была внедрена система мониторинга сигнального трафика. С ее помощью оператор отслеживает качество предоставляемых услуг, выявляет проблемы и планирует расширение сети. Внедрение этой системы позволило отслеживать не только трафик, проходящий через DSR, но и трафик других сигнальных подсистем. Например, протоколы подсистемы RAN, данные по которым можно выгружать в удобном виде и в различных форматах, анализировать, а также искать информацию по конкретным абонентам за достаточно долгий период времени.
В процессе реализации проекта мы впервые развернули комбинированное решение DSR с функциями безопасности Diameter и SS7 сетей. Приложение Diameter Security Application (DSA) позволяет предотвратить манипуляции злоумышленников с сигнальными сообщениями сети стандарта 4G LTE, а Stateful Application Firewall выступает брендмауэром с отслеживанием состояния транзакций SS7, который повышает безопасность сигнальной сети стандартов 2G/3G. Для нас это был уникальный опыт, который мы будем в дальнейшем масштабировать и на другие проекты в телеком-сегменте.
Андрей Мазур,
эксперт по решениям для операторов связи компании «Инфосистемы Джет».
После внедрения DSR-решения заказчик привлек сторонних экспертов, которые провели аудит и пентесты сигнальной сети оператора. В результате был составлен список рекомендаций по доработке программного решения, которые были реализованы экспертами «Инфосистемы Джет».