Казахстанский мобильный оператор Kcell усилил защиту своей сигнальной сети при помощи решения DSR

Телеком-эксперты ИТ-компании «Инфосистемы Джет» за восемь месяцев повысили защищенность и провели централизацию функций сигнальной сети мобильного оператора Kcell.

Kcell – один из ведущих цифровых мобильных операторов Казахстана, который оказывает услуги мобильной связи с использованием технологий 2G/3G, 4G LTE и 5G. Перед Kcell стояла задача модернизировать свою сеть сигнализации мобильного трафика для повышения уровня безопасности и централизации функций маршрутизации сообщений. В качестве технического партнера была выбрана ИТ-компания «Инфосистемы Джет».

«Kcell непрерывно работает над усилением периметра защиты от атак на мобильную сеть, чтобы защитить самое важное — приватность своих абонентов, в том числе и их персональные данные. Так как компания постоянно разрабатывает и внедряет новые цифровые услуги и сервисы, для их непрерывной работы крайне важна превентивность и своевременное распознавание возможных атак. Поэтому, одним из весомых преимуществ данного решения является то, что с его помощью происходит сбор данных для глубокой аналитики, с целью оперативного реагирования при атаках на сигнальную сеть компании», — прокомментировал Айдар Серикбаев, менеджер технического департамента Kсell.

В рамках модернизации сигнальной сети, специалисты «Инфосистемы Джет» внедрили программный маршрутизатор Diameter Signaling Router (DSR), который выполняет функции передачи и распределения сигнального трафика протоколов Diameter и SS7. Благодаря этому решению у оператора появилась единая геораспределенная точка входа в сигнальную сеть, через которую он осуществляет взаимодействие со всеми внешними партнерами. 

Одним из ключевых факторов в обеспечении безопасности сигнальной сети стала централизация функций маршрутизации сообщений. Это необходимо для сбора статистики, скриннинга сообщений на входе в сеть, фильтрации нелегитимных сообщений от попадания во внутренний периметр оператора. Решение DSR используется в качестве инструмента для централизации сигнальной сети и выполняет функции внутреннего и пограничного агентов распределения сообщений Diameter (DRA/DEA), а также коммутатора пакетов сети SS7 (STP). Решение обеспечивает гибкую маршрутизацию сигнального трафика и его всестороннюю обработку в зависимости от потребностей оператора.

Централизация трафика упрощает ввод новых сервисов и услуг, за счет консолидации управленческих функций. Например, если оператор захочет внедрить новую услугу с задействованием ресурсов сигнальной сети, достаточно будет подключить новое оборудование к узлам DSR и выполнить большую часть настроек в одном месте. Такой подход существенно сокращает время Time-To-Market.

Централизация функций сигнальной сети позволила задействовать встроенные в DSR механизмы обеспечения безопасности, такие как Diameter Security Application для Diameter трафика и Stateful Security Application для трафика протоколов стека SS7. Оба приложения проверяют сигнальные сообщения на легитимность, в том числе с использованием информации, собранной при анализе уже обработанного трафика. Для хранения такой информации специалисты «Инфосистемы Джет» развернули и интегрировали ПО User Data Repository (UDR).

В качестве инструмента для сбора, анализа и выявления неисправностей в сигнальной сети, была внедрена система мониторинга сигнального трафика. С ее помощью оператор отслеживает качество предоставляемых услуг, выявляет проблемы и планирует расширение сети. Внедрение этой системы позволило отслеживать не только трафик, проходящий через DSR, но и трафик других сигнальных подсистем. Например, протоколы подсистемы RAN, данные по которым можно выгружать в удобном виде и в различных форматах, анализировать, а также искать информацию по конкретным абонентам за достаточно долгий период времени.

«В процессе реализации проекта мы впервые развернули комбинированное решение DSR с функциями безопасности Diameter и SS7 сетей. Приложение Diameter Security Application (DSA) позволяет предотвратить манипуляции злоумышленников с сигнальными сообщениями сети стандарта 4G LTE, а Stateful Application Firewall выступает брендмауэром с отслеживанием состояния транзакций SS7, который повышает безопасность сигнальной сети стандартов 2G/3G», — прокомментировал Андрей Мазур, эксперт по решениям для операторов связи компании «Инфосистемы Джет». — Для нас это был уникальный опыт, который мы будем в дальнейшем масштабировать и на другие проекты в телеком-сегменте».

После внедрения DSR-решения заказчик привлек сторонних экспертов, которые провели аудит и пентесты сигнальной сети оператора. В результате был составлен список рекомендаций по доработке программного решения, которые были реализованы экспертами «Инфосистемы Джет».