Odată cu dezvoltarea rețelelor mobile, se dezvoltă și Internetul mobil. Toți sunt obișnuiți cu Internetul obișnuit: pereche răsucită, Ethernet, TCP / IP. Și ce este ascuns în Internet mobil? Să încercăm să aflăm! În studiul nostru, vom aborda principiile generale ale Internetului mobil, vom examina Protocolul de tunelizare GPRS mai aproape, vom vorbi despre rețeaua GRX și vom discuta câteva abordări practice privind securitatea rețelei de pachete mobile.
Cum ne conectăm fiecare dintre noi la Internetul mobil? În principiu, trebuie să știți numai trei parametri. APN, login și parolă. APN este un punct de acces prin care un abonat se poate conecta la serviciul de care are nevoie (WAP, MMS, Internet); pentru operatorii noștri seamănă de obicei cu internetul.
Odată ce cunoaștem parametrii necesari, ne putem conecta la Internetul mobil! Cum apare această procedură misterioasă? Se întâmplă în două etape:
- GPRS Attach,
- PDP activare context.
Să luăm în considerare fiecare dintre ele în detaliu.
- IMSI (identitatea internațională a abonaților mobili) - pentru identificarea abonaților;
- chei. stocate pe cartela SIM - pentru autentificarea abonatului;
- verificarea serviciilor disponibile abonatului (Internet, MMS, WAP) prin înregistrarea în baza de date a abonatului.
De asemenea, poate fi verificată și IMEI (Identitatea internațională a echipamentului mobil). Acest identificator poate fi utilizat pentru a verifica listele de echipamente furate și dacă un IMEI specific se află pe lista de bunuri furate, accesul la rețea poate fi interzis sau chiar raportat "unde ar trebui să meargă" :)
După finalizarea cu succes a procedurii GPRS Attach, se pornește procedura de activare a contextuului PDP (Protocol Packet Data Protocol). Pentru a înțelege această procedură, să abordăm și să definim unele concepte.
SGSN (Serving GPRS Support Node) este un dispozitiv care implementează funcțiile de bază ale procesării de pachete de date într-o rețea mobilă.
GGSN (GPRS Gateway Service Node) este un dispozitiv care asigură transferul de date de la rețeaua operatorului către rețele externe (de exemplu, la Internet). De fapt, acesta poate fi un router normal cu suport pentru anumite funcții specifice.
GTP (GPRS Tunneling Protocol) - o stivă de protocol utilizat în GPRS-, UMTS- și LTE-net.
Deci, PDP Activation Context (schema este mult simplificată).
Ce se întâmplă atunci când această schemă este implementată?
Se ridică imediat întrebarea: cum funcționează toate în roaming? Se pare că există o rețea specială: GRX (Global Roaming Exchange) - o rețea pentru schimbul de date pachet de abonați în roaming pentru rețelele mobile. Prin aceasta și "rulează" tot traficul nostru. Aproximativ astfel:
Ce vedem? Vedem. că pachetele cu seria noastră preferată se desfășoară pe jumătate din lume de la operatorul nostru către operatorul într-o țară caldă. Ei rulează într-o rețea specială, înfășurată în protocolul GTP. Și toate negocierile dintre glandele operatorilor speciali se desfășoară pe același GTP.
Apoi vine ideea: ar trebui să încercăm să găsim ceva în laborator? Construiți SGSN și GGSN. Ei bine, cum ajungem la descoperiri incredibile?
SGSN + GGSN pe genunchi
După o lungă căutare, am aflat următoarele.
Există un software special care implementează anumite funcții ale SGSN. Seamănă cu un script sub Linux, care poate emula toate procedurile necesare (GPRS Attach și PDP Activation Context) și oferă o interfață gata pentru a accesa Internetul, ca și cum am fi blocat un modem 3G. Învățând despre acest lucru, ne-am grăbit să găsim un dispozitiv gata pentru a umple funcțiile GGSN. Sa dovedit că popularul router Cisco 7200 este destul de potrivit.
După scurte manipulări, ajustări și teste, am așteptat succesul.
Standul a ridicat tunele ușor prin care Internetul real era "vizibil".
Am început imediat să arătăm ce pachete merge între SGSN și GGSN. Sunt similare cu cele reale? Cu o inimă scufundată, deschidem o groapă - și totuși da. pachete ca reale.
Pachete similare pot merge în rețeaua GRX și pot fi auzite de un hacker rău. Ce va vedea acolo? Să încercăm să aflăm.
Protocolul GTP poate fi de mai multe tipuri: GTP-U este utilizat pentru ambalarea directă și transferul de date de utilizator, GTP-C pentru gestionarea sesiunilor (prin procedura PDP Activation Context și alte proceduri de service); Există, de asemenea, GTP '(GTP Prime) - este folosit pentru a transmite informații de facturare. GTP nu acceptă autentificare și criptare la egal la egal. funcționează pe lângă UDP. Ce interesant? Este interesant aici aproape totul!
Luați GTP-U și vedeți cum arată tunelul cu datele utilizatorului. Tunelurile sunt separate prin parametrul TEID (identificatorul final al tunelului).
Cu un studiu ulterior sa constatat că, dacă se dorește, câmpul cu TEID poate fi schimbat și trimiterea unui pachet cu un ID tunel înlocuit poate fi rupt în mod neașteptat în sesiunea altcuiva.
Și aici este GTP-C. În mod surprinzător, după ce am descoperit că nu există nici o autentificare sau sugestii privind criptarea datelor transmise, puteți încerca nu numai să ascultați, dar, de asemenea, să-mi pare rău, trimiteți ceva. De exemplu, cererile "stânga" pentru a stabili sau întrerupe o sesiune.
Să încercăm astfel să evidențiem vectorii posibilelor atacuri și să le luăm mai aproape.
Sau, atacatorul va începe să trimită cereri generate în mod obișnuit pentru a crea un context PDP. GGSN, văzând un astfel de cap, ar putea să gândească bine și chiar să atârne complet. Care din nou duce la negarea serviciului pentru clienți.
Și dacă încercați să trimiteți cereri pentru o pauză de sesiune în loc să creați cereri? De exemplu, astfel:
După ce schițăm mai mulți vectori, ne întoarcem ochii către obiecte reale. pentru a atinge totul. Introducem interogarea "GGSN" în shodan. Iată o parte din rezultate.
Toate acestea arata ca reale GGSN, expuse pe Internet.
Sau încercați să scrieți un script care trimite cereri de ecou GTP. și lăsați-l să meargă pe Internet. cine va răspunde brusc. Iar respondenții sunt:
Uneori chiar și cu telnet deschis.
În standardul noii generații, codul LTE utilizează încă protocolul GTP și, prin urmare, toate cele de mai sus sunt relevante și vor fi relevante în viitorul apropiat.
Asta e tot pentru ziua de azi. Până data viitoare!
Articole similare
Trimiteți-le prietenilor: