АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

Зареєстровано в Міністерстві юстиції України
31 грудня 2021 р. за N 1706/37328

Про затвердження Технічних вимог до мереж мобільного зв'язку України і технічних засобів електронних комунікацій щодо моніторингу та фільтрації сигнального трафіку

(заголовок із змінами, внесеними згідно з наказом Адміністрації
 Державної служби спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Із змінами і доповненнями, внесеними
 наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації України
 від 31 грудня 2021 року N 782,
від 25 травня 2023 року N 443
(враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14 червня 2023 року N 515)

Відповідно до статті 6 Закону України "Про електронні комунікації", пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411, на виконання доручення Першого віце-прем'єр-міністра України - Міністра економічного розвитку і торгівлі України від 15 листопада 2017 року N 45158/1/1-17 до листа заступника Секретаря Ради національної безпеки і оборони України від 10 листопада 2017 року N 2030/16-06/2-17, для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж

(преамбула із змінами, внесеними згідно з наказами Адміністрації
 Державної служби спеціального зв'язку та захисту інформації України
 від 31.12.2021 р. N 782,
від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

НАКАЗУЮ:

1. Затвердити Технічні вимоги до мереж мобільного зв'язку України і технічних засобів електронних комунікацій щодо моніторингу та фільтрації сигнального трафіку, що додаються.

(пункт 1 із змінами, внесеними згідно з наказом Адміністрації
 Державної служби спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

2. Департаменту розвитку електронних комунікацій Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
17 грудня 2021 року N 744

ТЕХНІЧНІ ВИМОГИ
до мереж мобільного зв'язку України і технічних засобів електронних комунікацій щодо моніторингу та фільтрації сигнального трафіку

(заголовок Технічних вимог із змінами, внесеними згідно з наказом
Адміністрації Державної служби спеціального зв'язку та захисту інформації
України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

I. Загальні положення

1. Пункт 1 розділу I виключено

(згідно з наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515,
у зв'язку з цим пункти 2, 3 вважати пунктами 1, 2)

1. Дія цих Технічних вимог поширюється на мережі мобільного зв'язку України та на технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, зокрема повідомлень системи спільноканальної сигналізації N 7 та команд протоколу "Diameter", з метою підвищення безпеки електронних комунікаційних мереж, а також для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж.

(пункт 1 розділу I із змінами, внесеними згідно з наказом Адміністрації
Державної служби спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

2. Ці Технічні вимоги застосовують суб'єкти господарювання, які здійснюють проєктування, побудову, реконструкцію, розвиток та експлуатацію мереж мобільного зв'язку, а також орган державного нагляду (контролю) у сфері електронних комунікацій.

(пункт 2 розділу I із змінами, внесеними згідно з наказом Адміністрації
Державної служби спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

II. Терміни та визначення понять

1. У цих Технічних вимогах застосовуються такі терміни та визначення понять:

агент протоколу "Diameter" - вузол протоколу "Diameter", що забезпечує ретрансляцію, проксі, перенаправлення або передавання;

візитний регістр місцезнаходження (VLR) - база даних мережі мобільного зв'язку, призначена для запису та зберігання інформації з метою забезпечення надання електронних комунікаційних послуг абоненту, кінцеве (термінальне) обладнання якого перебуває в межах зони дії певного центру комутації мобільного зв'язку;

(абзац третій пункту 1 розділу II із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту інформації
 України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

власний абонент електронної комунікаційної мережі - абонент, для якого ця електронна комунікаційна мережа є домашньою;

(абзац четвертий пункту 1 розділу II із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту інформації
 України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

домашній регістр місцезнаходження (HLR) - база даних мережі мобільного зв'язку, призначена для запису та зберігання інформації про власних абонентів цієї мережі;

домашня мережа (home network) - мережа мобільного зв'язку, в якій мобільний код країни (MCC) та код мережі мобільного зв'язку (MNC) збігаються з МСС та MNC міжнародного ідентифікатора абонента мобільного зв'язку (IMSI);

сигнальний трафік - сукупність інформаційних сигналів службової інформації, що передаються електронною комунікаційною мережею за визначений інтервал часу;

(абзац сьомий пункту 1 розділу II із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту інформації
 України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

SMS-маршрутизатор - технічний засіб електронних комунікацій, що здійснює доставку вхідних коротких повідомлень (SM) власним абонентам мережі;

фільтрація - функція виявлення та блокування недопустимої сигнальної інформації.

2. Інші терміни, що використовуються у цих Технічних вимогах, вживаються у значеннях, наведених у Законі України "Про електронні комунікації", Правилах надання та отримання телекомунікаційних послуг, затверджених постановою Кабінету Міністрів України від 11 квітня 2012 року N 295, нормативному документі "Спільноканальна сигналізація N 7. Національна версія України. Правила використання у телефонній мережі загального користування. Версія 3.0", затвердженому наказом Міністерства транспорту та зв'язку України від 13 грудня 2007 року N 1164, нормативному документі "Телекомунікаційна мережа загального користування. Телефонна мережа. Технічні вимоги (у трьох частинах)", затвердженому наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 07 травня 2015 року N 252.

(пункт 2 розділу II із змінами, внесеними згідно з наказом Адміністрації
Державної служби спеціального зв'язку та захисту інформації України
 від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

3. У цих Технічних вимогах вживаються такі скорочення та позначення:

СКС-7 - система спільноканальної сигналізації N 7;

3GPP - проєкт партнерства третього покоління (3^rd Generation Partnership Project);

AVP - пара атрибут-значення (Attribute Value Pair);

CAMEL - персоналізовані застосунки для мереж мобільного зв'язку з розширеною логікою (Customised Applications for Mobile networks Enhanced Logic);

CAP - підсистема використання CAMEL (CAMEL Application Part);

DEA - крайовий агент протоколу "Diameter" (Diameter Edge Agent);

DoS attack - відмова в обслуговуванні (Denial Service);

DRA - агент маршрутизації протоколу "Diameter" (Diameter Routing Agent);

GSM - глобальна система мобільного зв'язку (Global System for Mobile Communications);

GSMA - Асоціація GSM (GSM Association);

GT - глобальний заголовок (Global Title);

HLR - домашній регістр місцезнаходження (Home Location Register);

ID - ідентифікатор (Identity);

IP - інтернет-протокол (Internet Protocol);

IMSI - міжнародний ідентифікатор абонента мобільного зв'язку (International Mobile Subscriber Identity);

ISDN - цифрова мережа з інтеграцією послуг (Integrated Services Digital Network);

LTE - довгостроковий розвиток (Long Term Evolution);

MAP - підсистема використання мобільного зв'язку (Mobile Application Part);

MCC - мобільний код країни (Mobile Country Code);

MNC - код мережі мобільного зв'язку (Mobile Network Code);

MSC - центр комутації мобільного зв'язку (Mobile Switching Centre);

MSISDN - ISDN-номер абонента мобільного зв'язку (Mobile Subscriber ISDNNumber);

SCCP - підсистема управління з'єднанням сигналізації (Signalling Connection Control Part);

SCTP - протокол передавання з керуванням потоком (Stream Control Transmission Protocol);

SendRoutingInfo_for_SM - надсилання інформації маршрутування для SM;

SGSN - обслуговуючий вузол підтримки GPRS (Serving GPRS Support Node);

SM - коротке повідомлення (Short Message);

SMS - послуга коротких повідомлень (Short Message Service);

SMS Home Routing - домашнє маршрутування SMS;

SMS TCAP Handshake - підтвердження SMS TCAP;

STP - транзитний пункт сигналізації (Signalling Transfer Point);

TCAP - підсистема використання можливостей транзакцій (Transaction Capabilities Application Part);

TCAPsec - безпека користувачів TCAP - набір протоколів безпеки шлюзів безпеки СКС-7 (TCAP user security - the SS7 security gateway security protocol suite);

UMTS - універсальна система мобільного зв'язку (Universal Mobile Telecommunications System);

VLR - візитний регістр місцезнаходження (Visitor Location Register).

III. Технічні вимоги до мереж мобільного зв'язку України щодо запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж

(заголовок розділу III із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

1. Для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж необхідно застосовувати моніторинг і фільтрацію сигнального трафіку міжмережевого обміну.

(пункт 1 розділу III із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

2. Моніторинг і фільтрація сигнального трафіку повинні виконуватися у вузлах, які отримують міжмережевий сигнальний трафік, зокрема:

системах виявлення та запобігання вторгненням (за наявності);

транзитних та шлюзових вузлах обробки сигналізації (STP та шлюзові STP);

вузлах, які надсилають/отримують міжмережевий трафік (MSC, SGSN, HLR, VLR тощо);

SMS-маршрутизаторі;

мережевих системах моніторингу;

інших елементах мережі, які отримують міжмережевий сигнальний трафік.

3. Для забезпечення можливості аналізу, встановлення походження (джерела) підозрілої/шкідливої активності та планування заходів реагування на виявлені атаки необхідно накопичувати та зберігати сигнальний трафік міжмережевого обміну за останні 7 діб.

4. Для запобігання несанкціонованому втручанню в роботу електронних комунікаційних мереж з використанням SMS застосовується "SMS Home Routing" згідно з прийнятим консорціумом 3GPP документом 3GPP TR 23.840 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Study into routeing of MT-SMs via the HPLMN.

(абзац перший пункту 4 розділу III із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

"SMS Home Routing" передбачає модифікацію оброблення вхідних SM таким чином, щоб доставкою SM до кінцевого (термінального) обладнання абонента керувала його домашня мережа.

Усі вхідні запити "SendRoutingInfo_for_SM" MAP, які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, перенаправляються для оброблення до SMS-маршрутизатора. У відповідь SMS-маршрутизатор надсилає підтвердження "sendRoutingInfo_for_SM ack", вказавши адресу SMS-маршрутизатора замість адреси MSC/VLR, та спеціально згенероване (замість реального) значення IMSI. Таким чином, стороні, яка надіслала запит, не повідомляється реальне місцезнаходження кінцевого (термінального) обладнання абонента та його IMSI.

(абзац третій пункту 4 розділу III із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Після отримання SM SMS-маршрутизатор пересилає його до MSC/VLR, у зоні дії якого знаходиться кінцеве (термінальне) обладнання абонента.

Для запобігання обходу "SMS Home Routing" повинні застосуватися такі механізми:

усі вхідні запити "SendRoutingInfo_for_SM" MAP, які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, повинні бути перенаправлені для оброблення до SMS-маршрутизатора, а всі "SendRoutingInfo_for_SM", в яких адресою призначення у GT SCCP вказано HLR, повинні бути заблоковані;

(абзац шостий пункту 4 розділу III із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

усі прямі вхідні SM (MT_Forward_SM MAP), які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, повинні бути перенаправлені до SMS-маршрутизатора. Після впровадження "SMS Home Routing" вхідні повідомлення, в яких адресою призначення у GT SCCP вказано MSC/VLR, повинні бути заблоковані, оскільки адресою призначення у GT SCCP повинен бути SMS-маршрутизатор;

(абзац сьомий пункту 4 розділу III із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

вхідні SM, призначені для кінцевого (термінального) обладнання абонентів інших електронних комунікаційних мереж, що знаходяться у роумінгу, не повинні блокуватися.

(абзац восьмий пункту 4 розділу III із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

IV. Загальні технічні вимоги до технічних засобів електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку

1. Технічний засіб електронних комунікацій, що здійснює моніторинг і фільтрацію сигнального трафіку, повинен відповідати таким технічним вимогам:

мати змогу відстежувати весь сигнальний трафік, який необхідно моніторити та фільтрувати;

бути типовим елементом електронної комунікаційної мережі та забезпечувати надійне передавання та обробку трафіку;

(абзац третій пункту 1 розділу IV із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

враховувати всі існуючі маршрути сигнального трафіку міжмережевого обміну;

виявляти підозрілу/шкідливу активність та перешкоджати несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж під час міжмережевого обміну сигнальним трафіком;

(абзац п'ятий пункту 1 розділу IV із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

виконувати поглиблений аналіз стека протоколів, які використовуються у мережі мобільного зв'язку, тобто аналіз визначених параметрів повідомлень (команд) протоколу.

2. Технічний засіб електронних комунікацій, що здійснює моніторинг і фільтрацію сигнального трафіку, не повинен:

створювати технічний ризик для електронної комунікаційної мережі або для її безпеки (не повинен призводити до технічних збоїв у роботі електронної комунікаційної мережі, переривання надання електронних комунікаційних послуг, не бути вразливим до несанкціонованого втручання в роботу та/або використання електронних комунікаційних мереж тощо). Надійність передавання трафіку повинна бути збережена. Безпека технічного засобу електронних комунікацій, що здійснює моніторинг та фільтрацію сигнального трафіку, повинна бути перевірена в установленому порядку;

(абзац другий пункту 2 розділу IV із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

впливати на дозволений трафік;

впливати на роботу технічних засобів, необхідних для забезпечення проведення оперативно-розшукових заходів.

3. Технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, повинні мати можливість накопичувати та зберігати статистичні дані для отримання інформації про якість роботи мережі, аналізу проблем, виявлення та аналізу підозрілої/шкідливої активності, для можливості з'ясування причин і походження підозрілого міжмережевого сигнального трафіку та пошуку можливих нових атак.

У разі виявлення несанкціонованого втручання в роботу та/або використання електронної комунікаційної мережі повинна бути забезпечена можливість зберігання пов'язаного з подією трафіку до 30 діб. Також для узагальнення даних про такі події має формуватися файл з інформацією про час та вид події, ініціатора (джерело) несанкціонованого втручання, про ідентифікатори абонентів, які були ціллю атаки/інциденту.

(абзац другий пункту 3 розділу IV із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

V. Технічні вимоги до технічних засобів електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, щодо повідомлень СКС-7

1. Моніторинг і фільтрація повідомлень СКС-7 технічними засобами електронних комунікацій виконуються відповідно до категорій, визначених згідно з прийнятими GSMA документами: GSMA PRD FS.11 SS7 Interconnect Security Monitoring and Firewall Guidelines (далі - FS.11) та GSMA PRD IR.82 SS7 Security Network Implementation Guidelines.

2. Категорія 1 містить усі повідомлення СКС-7, які отримуються тільки в межах однієї мережі. Повідомлення СКС-7 категорії 1, отримані у точках взаємоз'єднання з іншими мережами та призначені вузлам всередині мережі, повинні блокуватися, якщо інше не передбачено угодами між постачальниками електронних комунікаційних мереж про взаємодію електронних комунікаційних мереж.

(абзац перший пункту 2 розділу V із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Ідентифікація повідомлень СКС-7 категорії 1 проводиться лише на основі типу повідомлення (за значенням поля "OperationCode" (код операції) для повідомлень MAP та CAP).

Перелік повідомлень СКС-7 категорії 1 наведено у FS. 11.

3. Категорія 2 складається з повідомлень СКС-7, що стосуються кінцевого (термінального) обладнання абонента, який знаходиться у роумінгу, та надходять з його домашньої мережі. Такі повідомлення, отримані у точках взаємоз'єднання з іншими електронними комунікаційними мережами, не повинні призначатися кінцевому (термінальному) обладнанню власного абонента електронної комунікаційної мережі.

(абзац перший пункту 3 розділу V із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Категорія 2 передбачає перевірку достовірності повідомлень СКС-7, зокрема повідомлень SCCP та MAP, на основі аналізу походження (джерела) повідомлення.

Повинні блокуватися повідомлення MAP категорії 2, які надійшли від інших електронних комунікаційних мереж, якщо вони призначені кінцевому (термінальному) обладнанню власного абонента мережі. Також повинні блокуватися повідомлення MAP категорії 2, якщо вони отримані для кінцевого (термінального) обладнання абонента, який знаходиться в національному роумінгу, але мережа, визначена на основі MSISDN або IMSI (тобто MCC + MNC) на рівні MAP, не відповідає мережі, вказаній у GT параметра "Calling party address" (адреса сторони, що викликає) на рівні SCCP.

(абзац третій пункту 3 розділу V із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Повідомлення MAP категорії 2 можна додатково розділити на дві категорії:

категорія 2.1: повідомлення MAP, які потребують відповіді;

категорія 2.2: повідомлення MAP, які не потребують відповіді.

Перелік повідомлень MAP категорії 2 наведено у FS.11.

4. Категорія 3: повідомлення з достовірної мережі. Повідомлення СКС-7 категорії 3 стосуються кінцевого (термінального) обладнання власних абонентів мережі, які перебувають у роумінгу, та надсилаються з телекомнікаційної мережі поточного або можливого (відносно поточного) місцезнаходження кінцевого (термінального) обладнання абонента. Категорія 3 передбачає перевірку достовірності повідомлень СКС-7 на основі аналізу місцезнаходження кінцевого (термінального) обладнання абонента та часу (швидкості) зміни місцезнаходження.

Повідомлення СКС-7 категорії 3 можна додатково розділити на три категорії:

1) категорія 3.1: повідомлення, в яких місцезнаходження кінцевого (термінального) обладнання абонента може бути підтверджено попередньою/поточною інформацією про VLR за допомогою перевірки SGSN/VLR. Повинні блокуватися всі повідомлення, отримані в точках взаємоз'єднання з іншими мережами, що стосуються кінцевого (термінального) обладнання власних абонентів мережі, які перебувають у роумінгу, якщо адреса VLR (VLR Id), що зберігається у HLR, не відповідає мережі, вказаній у параметрі "Calling party address" (адреса сторони, що викликає) на рівні SCCP;

2) категорія 3.2: повідомлення, в яких місцезнаходження кінцевого (термінального) обладнання абонента не може бути підтверджене за допомогою попередньої/поточної інформації про VLR. Для визначення достовірності таких повідомлень (за наявності технічної можливості) використовують перевірку місцезнаходження кінцевого (термінального) обладнання абонента та часу (швидкості) зміни місцезнаходження;

3) категорія 3.3: повідомлення, які стосуються SMS і до яких потрібно застосувати специфічні перевірки та заходи безпеки SMS, зокрема:

перевірка кореляції адрес на рівнях SCCP, MAP, MTP (або іншого протоколу транспортного рівня), а також їх кореляція з топологією мережі;

застосування "SMS Home Routing" та заходів щодо запобігання його обходу;

застосування (за умови технічної можливості) механізму SMS TCAP Handshake згідно з прийнятим консорціумом 3GPP документом 3GPP TS 33.200 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Network Domain Security; MAP application layer security та/або SMS TCAPsec згідно з прийнятими консорціумом 3GPP документами 3GPP TS 29.204 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Signalling System No. 7 (SS7) security gateway; Architecture, functional description and protocol details та 3GPP TS 33.204 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Network Domain Security (NDS); Transaction Capabilities Application Part (TCAP) user security.

Перелік повідомлень СКС-7 категорії 3 наведено у FS.11.

VI. Технічні вимоги до технічних засобів електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, щодо команд протоколу "Diameter"

1. Загальні технічні вимоги

DEA та DRA повинні забезпечувати встановлення тільки тих з'єднань та пересилання тільки тих команд протоколу "Diameter", які використовуються для забезпечення роумінгу і взаємодії та надходять від електронних комунікаційних мереж, з постачальниками електронних комунікаційних мереж яких є відповідні угоди. Для цього у DEA/DRA визначають, які команди відповідають безпечному обміну інформацією та які команди і на яких інтерфейсах можуть бути прийняті у випадках взаємоз'єднань. Інтерфейси для взаємоз'єднання з іншими електронними комунікаційними мережами також повинні бути обмежені лише інтерфейсами, необхідними для цього використання.

(абзац перший глави 1 розділу VI із змінами, внесеними згідно з наказом
 Адміністрації Державної служби спеціального зв'язку та захисту інформації
 України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Технічними засобами електронних комунікацій команди протоколу "Diameter" необхідно фільтрувати на рівні AVP та прапорців, залежно від угод про роумінг та відповідно до категорій. Команди протоколу "Diameter" згідно з прийнятими GSMA документами: GSMA PRD FS.19 Diameter Interconnect Security (далі - FS.19) та GSMA PRD IR.88 LTE and EPC Roaming Guidelines можуть бути розподілені на кілька категорій та методів фільтрації, залежно від того, який тип фільтрації може бути для них застосований.

Таблиця 1. Категорії та методи фільтрації протоколу "Diameter"

(таблиця 1 глави 1 розділу VI із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та
 захисту інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

2. Фільтрація за форматом нижнього шару

Метою фільтрації за форматом нижнього шару є виявлення технічними засобами електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, спроб підроблення повідомлень у мережі.

Фільтрація за форматом нижнього шару відповідає перевірці нижнього (базового) рівня протоколу "Diameter" без потреби повного розуміння застосунків вищого рівня або декодування певних AVP. Зазвичай вона базується на перевірці всієї інформації нижнього рівня (IP, SCTP, host (вузол), realms (область адрес)), а також перевірці формату команди протоколу "Diameter".

Можливі такі варіанти неправильного формування команди протоколу "Diameter":

команда протоколу "Diameter" сформована так, що не може бути декодована відповідно до формату протоколу "Diameter" (наприклад, пошкоджена двійкова структура);

базова частина команди протоколу "Diameter" містить AVP, тип або довжина яких відрізняється від визначеного у словнику протоколу "Diameter" (наприклад, словник визначає тип AVP як ціле число, а в отриманій команді протоколу "Diameter" - рядок);

наявність повторювань AVP, які мають бути наявні тільки одноразово або їх взагалі не має бути, що робить команду протоколу "Diameter" невідповідною специфікації (наприклад, у команді "Update-Location-Request" (запит оновлення місцезнаходження) повторення дозволено лише для AVP "Route-Record" (запис маршруту), Proxy-Info (інформація проксі), Supported-Features (підтримувані функції). Інші AVP не повинні повторюватися);

команда протоколу "Diameter" містить AVP, несумісні з її характеристиками, що може бути використано для обходу фільтрації або зміни обробки у вузлі, який отримує команду (наприклад, команда "Answer" (відповідь) містить AVP "Destination-Host" (вузол призначення));

команда протоколу "Diameter" містить одну або більше AVP перед AVP "Session-Id" (ідентифікатор сесії). AVP "Session-Id" завжди повинна декодуватися першою у команді протоколу "Diameter".

Під час обробки вхідного трафіку протоколу "Diameter" технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, повинні дозволяти тільки:

команди протоколу "Diameter", у яких AVP "Session-Id" є першою AVP;

команди протоколу "Diameter", у яких AVP "Origin-Host" (вихідний вузол) та "Origin-Realm" (вихідна область) наявні тільки по одному разу. Команди протоколу "Diameter", у яких AVP "Origin-Host" та/або "Origin-Realm" немає або наявні більше ніж один раз, повинні блокуватися;

вхідні команди-відповіді протоколу "Diameter", що відповідають вихідному запиту;

команди протоколу "Diameter", які містять AVP, сумісні з характеристиками самої команди;

команди протоколу "Diameter", які містять очікувані AVP (набір очікуваних AVP визначається технічною специфікацією та може змінюватися залежно від конфігурації конкретної точки взаємоз'єднання);

команди протоколу "Diameter", що містять AVP, кодування даних у яких відповідають специфікаціям за типом та довжиною;

команди протоколу "Diameter", що містять AVP, значення яких відповідають специфікаціям застосунку;

команди протоколу "Diameter", у яких формат AVP "Origin-Realm" відповідає прийнятому консорціумом 3GPP документу 3GPP TS 23.003 Technical Specification Group Core Network and Terminals; Numbering, addressing and identification (далі - 3GPP TS 23.003);

команди протоколу "Diameter", у яких формат AVP "Origin-Host" відповідає документу 3GPP TS 23.003;

команди протоколу "Diameter", у яких значення AVP "Origin-Host" відповідає значенню AVP "Origin-Realm".

У разі безпосереднього взаємоз'єднання з мережею, з якої надійшла команда, необхідно перевірити, що значення AVP "Origin-Host" та "Origin-Realm" відповідають узгодженій IP-адресі вузла, з якого надсилаються команди.

3. Категорія 1: фільтрація команд протоколу "Diameter" за полями "Application ID" (ідентифікатор застосунка) та "Command Code" (код команди)

Категорія 1 передбачає перевірку технічними засобами електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, полів "Application ID" (ідентифікатор застосунка) та "Command Code" (код команди) без потреби декодування конкретних AVP.

Дозволяються лише команди, визначені відповідними документами, для кожного з інтерфейсів, які використовуються для взаємоз'єднання з електронними комунікаційними мережами інших постачальників електронних комунікаційних мереж.

(абзац другий глави 3 розділу VI із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Для взаємоз'єднання з електронними комунікаційними мережами інших постачальників електронних комунікаційних мереж інтерфейси також повинні бути обмежені лише інтерфейсами, необхідними для цього використання.

(абзац третій глави 3 розділу VI із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Для роумінгу в мережах LTE найчастіше використовують інтерфейс S6a/S6d.

У таблиці 2 наведені команди згідно з FS.19 зазвичай потрібні для роумінгу і тому дозволені на інтерфейсі S6a/S6d (Application-ID="16777251").

Усі інші команди протоколу "Diameter" на інтерфейсі S6a/S6d слід або заблокувати, або перевірити чи дійсно вони потрібні.

Таблиця 2. Команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d

Фільтрація також може враховувати походження (джерело) команди.

Крім того, необхідно перевірити, щоб у командах протоколу "Diameter" не були наявні більше ніж один раз такі AVP:

"Vendor-Specific-Application-ID" (постачальник визначеного ID застосунку);

"Visited-PLMN-ID" (ID візитної наземної електронної комунікаційної мережі мобільного зв'язку).

(абзац десятий глави 3 розділу VI із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

4. Категорія 2: фільтрація команд протоколу "Diameter" на рівні AVP

Категорія 2 передбачає виконання технічними засобами електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, фільтрації команд протоколу "Diameter" на основі аналізу AVP "User-Name" (ім'я користувача) за IMSI та MSISDN, але яка також може бути поширена на інші AVP. AVP "User-Name" (ім'я користувача) повинна бути наявна лише один раз для уникнення обходу фільтрації.

Команди категорії 2, що стосуються власних абонентів електронної комунікаційної мережі та надходять з електронних комунікаційних мереж інших постачальників електронних комунікаційних мереж, повинні бути заблоковані.

(абзац другий глави 4 розділу VI із змінами, внесеними згідно з
 наказом Адміністрації Державної служби спеціального зв'язку та захисту
 інформації України від 25.05.2023 р. N 443,
враховуючи зміни, внесені наказом Адміністрації Державної служби
 спеціального зв'язку та захисту інформації України від 14.06.2023 р. N 515)

Отримання команд категорії 2 повинно бути дозволено лише по визначених інтерфейсах тільки для обслуговування кінцевого (термінального) обладнання абонентів, що перебувають у роумінгу.

Отримання команд категорії 2, які стосуються кінцевого (термінального) обладнання абонентів, що перебувають у національному роумінгу, повинно бути дозволено лише по визначених інтерфейсах і тільки якщо вони надіслані з їхньої домашньої мережі.

Для роумінгу в мережах LTE найбільш широко використовують інтерфейс S6a/S6d.

У таблиці 3 наведено команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d (Application-ID="16777251"), якщо вони стосуються кінцевого (термінального) обладнання абонентів, які перебувають у роумінгу.

Таблиця 3. Команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d, якщо вони стосуються кінцевого (термінального) обладнання абонентів, які перебувають у роумінгу^{1, 2}

Фільтрація на основі аналізу IMSI та MSISDN може поєднуватися з фільтрацією за форматом нижнього шару та з фільтрацією категорії 1.

5. Категорія 3: фільтрація команд протоколу "Diameter" на основі аналізу місцезнаходження кінцевого (термінального) обладнання абонента

Категорія 3 передбачає виконання технічними засобами електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, фільтрації пакетів на основі перевірки попереднього місцезнаходження кінцевого (термінального) обладнання абонента та перевірки часу (швидкості) зміни місцезнаходження. Отримання таких команд повинно відбуватися лише по визначених інтерфейсах.

У таблиці 4 наведено команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d (Application-ID="16777251"), якщо вони відповідають умові перевірки попереднього місцезнаходження кінцевого (термінального) обладнання абонента.

Таблиця 4. Команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d, якщо вони відповідають умові перевірки попереднього місцезнаходження кінцевого (термінального) обладнання абонента¹

У таблиці 5 наведено команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d (Application-ID="16777251"), якщо вони відповідають умові за часом (швидкістю) зміни місцезнаходження кінцевого (термінального) обладнання абонента.

Таблиця 5. Команди протоколу "Diameter", дозволені на інтерфейсі S6a/S6d, якщо вони відповідають умові за часом (швидкістю) зміни місцезнаходження кінцевого (термінального) обладнання абонента

Технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, повинні моніторити та за умови технічної можливості блокувати команди ULR та AIR, які вказують на невластиво швидку зміну місцезнаходження кінцевого (термінального) обладнання абонента (визначається за допомогою перевірки часу послідовних команд "Update-Location" (оновлення місцезнаходження) з країн, що не мають спільного кордону, протягом короткого періоду).

Назад