Document 5011642

Безопасность мобильного
интернета изнутри и снаружи
Сафронов Илья
Мобильный интернет снаружи
― APN : internet.operator.ru
― login: internet
― password: internet
APN(Acсess Point Name) – обозначение шлюза
между мобильной сетью и другой сетью
(например Интернет)
Процедура подключения
1. GPRS Attach
2. PDP Context Activation
GPRS Attach
- Начало общения абонентского терминала с пакетной
сетью оператора начинается с процедуры GPRS Attach
- В процедуре GPRS Attach происходит аутентификация и
авторизация по следующим параметрам:
•
•
•
•
Идентификация абонента(IMSI)
Аутентификация(Зашитый в SIM ключ)
Проверка IMEI (опционально)
Проверка доступных абоненту сервисов(Internet, MMS, WAP)
- После успешной процедуры GPRS Attach абонент может
пользоваться услугами пакетной передачи данных
(загорается значок).
3GPP TS 29.060
Словарик
SGSN
GGSN
SGSN – Устройство обеспечивающее основные функции
мобильной передачи пакетных данных
GGSN – Маршрутизатор, обеспечивающий
связь клиентов с внешними сетями
(например Интернет)
(APN)
GTP
Группа протоколов туннелирования и
управления пакетным трафиком в
мобильных сетях
3GPP TS 29.060
PDP Context Activation
Phone
SGSN
DNS
GGSN
RADIUS
1. Activate PDP Context Request
2a. DNS Request
internet.operator.com
2b. DNS Response
GGSN IP
3. Create PDP Context Request
4a. Radius Authenticate Request
4b. Radius Authenticate Response
5a. DHCP Address Request
5a. DHCP Address Assignment
6. Create PDP Context Response
7. Activate PDP Context Accept
GTP U
GTP C + GTP U
DHCP
Логическая схема подключения
DHCP
DNS
RADIUS
internet
internet
internet.operator.ru ?
1.1.1.1
GTP
RADIO
internet.operator.ru
Internet
internet
Теле
фон
SGSN
GGSN
OK
GGSN –
Маршрутизатор с
поддержкой GTP
1.1.1.1
SGSN – Устройство обеспечивающее
основные функции мобильной
передачи пакетных данных
Internet
GRX
Оп.2
Оп.3
Оп.1
GRX
GRX (Global Roaming Exchange)– сеть для обмена
пакетных данных роуминговых абонентов мобильных
сетей
Internet Roaming
Roaming
Phone
Overseas
SGSN
Overseas
DNS
GRX
DNS
Home
DNS
1. internet.operator.com?
2. internet.operator.com?
3. internet.operator.com?
4. internet.operator.com?
5. Home GGSN IP
6. Home GGSN IP
7. Home GGSN IP
8. PDP Context activation request (internet.operator.com)
9. PDP Context activation response
GTP U
GTP C + GTP U
Home
GGSN
Интернет в роуминге for dummies
Домашний
Оп.
GRX
Интернет
Зарубежный
Оп.
Абонент в
отпуске
SGSN+GGSN на коленке
Схема
SGSNemu
SGSN
Cisco 7200
GGSN
Телеф
он
Radio
Internet
How it works
SGSNemu(LINUX)
SGSN
10.0.172.92
Cisco 7200
192.168.0.2
GGSN
Radio
Phone
Internet
Dumps
SGSNemu(LINUX)
SGSN
10.0.172.92
Cisco 7200
GRX
192.168.0.2
GGSN
Radio
Phone
HACKER
Internet
GTP (безопасность)
― Протокол туннелирования
3GPP TS 29.060
GTP (безопасность)
― Туннели отделяет только id
GTP (безопасность)
― Отсутствует аутентификация/шифрование
3GPP TS 29.060
GTP (безопасность)
- Может использоваться для передачи биллинговой
информации (GTP’ )
+
Bits
0-2
3
0
Versi
on
PT
[0]
4
5
Reserved
6
7
Hdr
len
8-15
Type
16-31
Length
32-47
Sequence
Number
DNS Flood Attack
DNS
internet.operator.com?
10000000 requests per
second
GRX
Operator
internet.operator.com?
10000000 requests per
second
HACKER
GTP Flood attack
GGSN
Create PDP context request
10000000 requests per
second
GRX
Operator
Create PDP context request
10000000 requests per
second
HACKER
PDP context delete
TEID = 0x00000001
TEID = 0x00000002
SGSN
GGSN
TEID = 0x00000003
Overseas operator
Home operator
GRX
For i in range(0,100000):
pdp_context_delete(TEID = i)
HACKER
Overbilling attack
ip: 10.0.0.1
Телефон
жертвы
GGSN
Get a TONN OF GIGABYTES for
10.0.0.1
Оператор
Ваш баланс:
- 5346 руб
Here is a TONN OF GIGABYTES for
10.0.0.1
FILE
SERVER
Internet
source ip: 10.0.0.1
dest ip: FILE SERVER
Get a TONN OF GIGABYTES
HACKER
Что имеем
Что имеем
Что дальше?
― Исследование реальных сетей операторов
― Анализ видимых в Интернет gtp хостов
― Изучение LTE
Конец рассказа
Спасибо за внимание
Сафронов Илья
isafronov@ptsecurity.com