Безопасность мобильного интернета изнутри и снаружи Сафронов Илья Мобильный интернет снаружи ― APN : internet.operator.ru ― login: internet ― password: internet APN(Acсess Point Name) – обозначение шлюза между мобильной сетью и другой сетью (например Интернет) Процедура подключения 1. GPRS Attach 2. PDP Context Activation GPRS Attach - Начало общения абонентского терминала с пакетной сетью оператора начинается с процедуры GPRS Attach - В процедуре GPRS Attach происходит аутентификация и авторизация по следующим параметрам: • • • • Идентификация абонента(IMSI) Аутентификация(Зашитый в SIM ключ) Проверка IMEI (опционально) Проверка доступных абоненту сервисов(Internet, MMS, WAP) - После успешной процедуры GPRS Attach абонент может пользоваться услугами пакетной передачи данных (загорается значок). 3GPP TS 29.060 Словарик SGSN GGSN SGSN – Устройство обеспечивающее основные функции мобильной передачи пакетных данных GGSN – Маршрутизатор, обеспечивающий связь клиентов с внешними сетями (например Интернет) (APN) GTP Группа протоколов туннелирования и управления пакетным трафиком в мобильных сетях 3GPP TS 29.060 PDP Context Activation Phone SGSN DNS GGSN RADIUS 1. Activate PDP Context Request 2a. DNS Request internet.operator.com 2b. DNS Response GGSN IP 3. Create PDP Context Request 4a. Radius Authenticate Request 4b. Radius Authenticate Response 5a. DHCP Address Request 5a. DHCP Address Assignment 6. Create PDP Context Response 7. Activate PDP Context Accept GTP U GTP C + GTP U DHCP Логическая схема подключения DHCP DNS RADIUS internet internet internet.operator.ru ? 1.1.1.1 GTP RADIO internet.operator.ru Internet internet Теле фон SGSN GGSN OK GGSN – Маршрутизатор с поддержкой GTP 1.1.1.1 SGSN – Устройство обеспечивающее основные функции мобильной передачи пакетных данных Internet GRX Оп.2 Оп.3 Оп.1 GRX GRX (Global Roaming Exchange)– сеть для обмена пакетных данных роуминговых абонентов мобильных сетей Internet Roaming Roaming Phone Overseas SGSN Overseas DNS GRX DNS Home DNS 1. internet.operator.com? 2. internet.operator.com? 3. internet.operator.com? 4. internet.operator.com? 5. Home GGSN IP 6. Home GGSN IP 7. Home GGSN IP 8. PDP Context activation request (internet.operator.com) 9. PDP Context activation response GTP U GTP C + GTP U Home GGSN Интернет в роуминге for dummies Домашний Оп. GRX Интернет Зарубежный Оп. Абонент в отпуске SGSN+GGSN на коленке Схема SGSNemu SGSN Cisco 7200 GGSN Телеф он Radio Internet How it works SGSNemu(LINUX) SGSN 10.0.172.92 Cisco 7200 192.168.0.2 GGSN Radio Phone Internet Dumps SGSNemu(LINUX) SGSN 10.0.172.92 Cisco 7200 GRX 192.168.0.2 GGSN Radio Phone HACKER Internet GTP (безопасность) ― Протокол туннелирования 3GPP TS 29.060 GTP (безопасность) ― Туннели отделяет только id GTP (безопасность) ― Отсутствует аутентификация/шифрование 3GPP TS 29.060 GTP (безопасность) - Может использоваться для передачи биллинговой информации (GTP’ ) + Bits 0-2 3 0 Versi on PT [0] 4 5 Reserved 6 7 Hdr len 8-15 Type 16-31 Length 32-47 Sequence Number DNS Flood Attack DNS internet.operator.com? 10000000 requests per second GRX Operator internet.operator.com? 10000000 requests per second HACKER GTP Flood attack GGSN Create PDP context request 10000000 requests per second GRX Operator Create PDP context request 10000000 requests per second HACKER PDP context delete TEID = 0x00000001 TEID = 0x00000002 SGSN GGSN TEID = 0x00000003 Overseas operator Home operator GRX For i in range(0,100000): pdp_context_delete(TEID = i) HACKER Overbilling attack ip: 10.0.0.1 Телефон жертвы GGSN Get a TONN OF GIGABYTES for 10.0.0.1 Оператор Ваш баланс: - 5346 руб Here is a TONN OF GIGABYTES for 10.0.0.1 FILE SERVER Internet source ip: 10.0.0.1 dest ip: FILE SERVER Get a TONN OF GIGABYTES HACKER Что имеем Что имеем Что дальше? ― Исследование реальных сетей операторов ― Анализ видимых в Интернет gtp хостов ― Изучение LTE Конец рассказа Спасибо за внимание Сафронов Илья isafronov@ptsecurity.com