Сергей Машуков - positive technologiesdiameter roaming • s6a/s6d для...
TRANSCRIPT
![Page 1: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/1.jpg)
ptsecurity.ru
Сергей Машуков
Уязвимости Diameter в LTE
![Page 2: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/2.jpg)
Что такое LTE
LTE — стандарт беспроводной
высокоскоростной передачи
данных для мобильных
телефонов и других терминалов,
работающих с данными
![Page 3: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/3.jpg)
Что такое LTE
Новый радиоинтерфейс
Схема: EUTRAN architecture as part of a LTE and SAE network/ Crati / CC BY-SA 3.0
![Page 4: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/4.jpg)
Что такое LTE
• Новая архитектура ядра сети
• Разделение user-plane-и control-plane-траффика
• All-IP
Схема: EPC nodes and interfaces / Joe Deu-Ngoc / CC BY-SA 4.0
![Page 5: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/5.jpg)
Нет SS7 — нет проблем
Более 50 разных SS7-атак:• определение IMSI по MSISDN• определение местоположения
абонента• DoS на абонента• перехват и манипуляция SMS• перехват разговоров• чтение чатов Telegram, WhatsApp
![Page 6: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/6.jpg)
Diameter
• AAA-протокол сеансового уровня • Клиент-серверная архитектура• Cleartext• SCTP• IPsec или TLS/DTLS для
шифрования• Расширяемый
![Page 7: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/7.jpg)
Diameter повсюду
UE S-GWeNodeB P-GW
MME HSS
CSCFAS
PCRF
EIR
OCS/OFCS
Internet
IMS
EPC
S1-U S5/S8
S1-MME S11
S13 Sh
Cx
S6a
Rx Ro
Gy
GxGxx
![Page 8: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/8.jpg)
Маршрутизация в Diameter
HopbyHopEndtoEnd
0x111111110x33333333
0x222222220x33333333
HopbyHopEndtoEnd
0x222222220x33333333
0x111111110x33333333
Маршрутизация запросов осуществляется на основании Application Id, Destination-Host AVP и Destination-Realm AVP
DEAHSSMME
![Page 9: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/9.jpg)
Маршрутизация в Diameter: спуфинг
• Злоумышленник посылает запрос, используя Diameter IdentityMME
• Ответы всегда возвращаются по тому же пути, по которому пришел запрос!
DEAHSS
MME
Attacker
![Page 10: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/10.jpg)
Другие проблемы Diameter
• Динамический поиск узлов• IPsec не используется• Трансляция менее
защищенных протоколов
![Page 11: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/11.jpg)
Diameter Roaming
• S6a/S6d для управления мобильностью в роуминге
• 3GPP TS29.272
Схема: End to end Diameter Architecture / GSMA IR.88: LTE Roaming Guidelines / Copyright © 2013 GSM Association
![Page 12: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/12.jpg)
Как попасть в IPX
• Общая IPX-сеть объединяет операторов — вопрос доверия
• IR.21 • Ошибки в конфигурации
и видимость через Shodan• Злоумышленник внутри
организации
![Page 13: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/13.jpg)
IMSI Disclosure: Radio
• IMSI catcher• Фальшивая точка
доступа к WLAN
![Page 14: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/14.jpg)
IMSI Disclosure: SS7
• Достаточно знать только MSISDN• Четыре SS7-сообщения:
• SRI4SM• SRI• SRI4LCS• SendIMSI SS7 Attacker
MSCVLR
STP2
1
3
Subscriber Number
HLRSubscriber IMSIMSC AddressHLR Address
![Page 15: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/15.jpg)
IMSI Disclosure: тяжелое наследие SS7
• Diameter S6c SRR (Send-Routing-Info-for-SM-Request),посланное на S6c (IWF)
IPX HSSAttackerDEA
SRR (MSISDN,Fake SMSC address)SM Delivery Not Intended flag
1 2
![Page 16: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/16.jpg)
IMSI Disclosure: тяжелое наследие SS7
• Diameter S6c SRR (Send-Routing-Info-for-SM-Request),посланное на S6c (IWF)
IPX HSSAttackerSRA (IMSI,Serving Node Identity)
DEA
1 2
34
![Page 17: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/17.jpg)
S6a Insert-Subscriber-Data-Request: определение местоположения абонента
IPX
HSS
AttackerDEA
IDR (IMSI andUE Reachability Request, EPS Location Information Request, Current Location Request, Local Time Zone Request flags are set)
MME
1
2
• Location tracking via S6a IDR towards MME
![Page 18: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/18.jpg)
S6a Insert-Subscriber-Data-Request: определение местоположения абонента
IPX
HSS
AttackerDEA
IDA (EPS Location Information, Time Zone)
MME
1
2
3
4
• Location tracking via S6a IDR towards MME
![Page 19: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/19.jpg)
S6a Insert-Subscriber-Data-Request: Subscriber DoS
• DoS on a subscriber via S6a IDR towards MME
IPX
HSS
AttackerDEA
IDR (IMSI andAll bits in Operator Determined Barring AVP are set)
MME
1
2
![Page 20: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/20.jpg)
S6a Insert-Subscriber-Data-Request: Subscriber DoS
• DoS on a subscriber via S6a IDR towards MME
IPX
HSS
AttackerDEA
MME
IDA 2
3
4
1
Detach procedure started
![Page 21: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/21.jpg)
S6a Insert-Subscriber-Data-Request: мошенничество
• Fraud via S6a IDR towards MME
IPX
HSS
Attacker
DEA
IDR (IMSI andAll bits in Operator Determined Barring AVP are unset)
MME
1
2
![Page 22: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/22.jpg)
S6a Insert-Subscriber-Data-Request: мошенничество
• Fraud via S6a IDR towards MME
IPX
HSS
Attacker
DEA
MME
DEA
IDA
2
3
1
4
Злоумышленник пользуется связью, несмотря на то что ранее она была заблокирована
![Page 23: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/23.jpg)
S6a Cancel-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLR (IMSI, Cancellation-Type=Subscription Withdrawal, CLR-Flags=1(Reattach is not required))
MMEDetach procedure started
1
2
![Page 24: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/24.jpg)
S6a Cancel-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLA
MME
1
2
Detach procedure started
3
4
![Page 25: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/25.jpg)
S6a Cancel-Location-Request: DoS on Equipment
• DoS on equipment via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLR (IMSI, Cancellation-Type=Subscription Withdrawal, CLR-Flags=3(Reattach is required))
MMEDetach procedure
1
2
Attach procedure
![Page 26: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/26.jpg)
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
ULR (IMSI, Initial Attach Indicator is set)
MME
1
2
![Page 27: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/27.jpg)
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
MMEDetach procedure started
1
2
3 CLR
![Page 28: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/28.jpg)
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
ULR (IMSI, Initial Attach Indicator is set)
MMEDetach procedure started
1
2
3CLA 4
5
6ULA
![Page 29: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/29.jpg)
Рекомендации
• Использовать IPsec
• Применять Diameter Firewall в связке с Diameter IDS
• Использовать статическую конфигурацию узлов Diameter
• Исключить из конфигурации DEA все неиспользуемые
интерфейсы
• Контролировать доступность IR.21 в сети
• Использовать SMS Home Routing
![Page 30: Сергей Машуков - Positive TechnologiesDiameter Roaming • S6a/S6d для управления мобильностью в ... • IR.21 • Ошибки в конфигурации](https://reader031.vdocuments.site/reader031/viewer/2022041509/5e273c2aef1c8f370f7d9e3e/html5/thumbnails/30.jpg)
Спасибо!
ptsecurity.ru