Нам в Tottoli GSM довелось участвовать в проекте, суть которого заключалась в развёртывании локальной сети GSM на территории организации с выходом в телефонную сеть общего пользования и объединением с существующей офисной АТС.
Задача проекта:
Максимальное снижение рисков утечки информации в GSM сети.
Вся архитектура уложилась в одной железке OsmoBTS – UmDESK ( MSC/ HLR/ VLR/ AuC/ SMSC ). Данный проект является открытым и очень гибким, он позволяет разрабатывать свои приложения и создавать свои сервисы. Ну и что немаловажно – цена. Весь программно-аппаратный стэк open source, о нём написано множество статей, и пересказывать суть ещё раз нет смысла.
В нашей конфигурации получилось следующее:
Радиоинтерфейс
Вопрос легитимности использования частот решается заказчиком, на его стороне лежит и ответственность. Тем не менее, чтобы лишний раз не привлекать к себе внимание, был просканирован радиочастотный спектр для выявления свободных частот и определения используемых каналов ARFCN.
По результатам сканирования были выбраны два свободных канала.
OsmoBTS мы сконфигурировали таким образом, чтобы затухание за стенами организации было максимальным, при этом уровень сигнала на подконтрольной территории был достаточным.
Абонентская часть
Всем сотрудникам были выданы SIM-карты с предустановленными профилями ( IMSI/ KI/ MSISDN) и специально разработанными апплетами. Триплеты аутентификации были занесены в HLR/ UmDESK в белый список. Конфигурация HLR была сделана таким образом, чтобы в локальной сети могли регистрироваться любые SIM-карты, но звонки совершать наружу могли только симки из белого списка HLR. Это дало возможность отслеживать «гостевые» телефонные аппараты на уровне своей сети, по сути IMSI-catcher. На SIM-карте создан образ локальной сети, где единственной разрешённой сетью являлась локальная сеть. Это было достигнуто путем записи параметров сети в области PLMN, ну и с помощью специального апплета. Таким образом, сотрудник, попадая в зону действия локальной сети, пересаживался на неё без возможности перехода на другую сеть (например, подобную виртуальную BTS «активный комплекс перехвата»).
SIP PBX
Для взаимодействия OsmoBTS с железом используется библиотека libusrp. Далее, с помощью библиотек oSIP и oRTP, OsmoBTS создаёт SIP-звонки, которые, в свою очередь, направляются на Asterisk PBX. На стороне клиента находится биллинг и дополнительные сервисы.
Вот несколько критериев, которые были заданы заказчиком:
1. Сотрудники должны быть мобильными и иметь доступ к специальным сервисам в любой момент времени.
2. Сотрудники могут использовать свои мобильные устройства, к которым они привыкли.
3. Все сервисы должны быть доступны независимо от операционной системы мобильного устройства.
4. Весь используемый трафик с мобильных устройств должен быть доступен Службе Безопасности компании для анализа.
5. Все коммуникации внутри сети не должны попадать на оборудование хост-операторов.
6. Необходимо максимально снизить угрозу перехвата трафика по воздуху.
7. Гостевой абонент не может воспользоваться услугами связи хост-оператора внутри компании.
8. Гостевой абонент имеет контролируемую возможность использовать услуги связи только внутри локальной сети.
9. Объединить офисы, находящиеся в разных странах, в единую сеть.
Как очень часто бывает, аппетит приходит во время еды. Заказчик в процессе эксплуатации предложил реализовать еще и следующие задачи:
1. Сотрудник должен иметь возможность использовать служебную SIM-карту вне локальной сети.
2. Сотруднику должны быть доступны все сервисы вне локальной сети.
3. В сетях общего пользования у сотрудника должна производиться смена аутентификаторов (IMEI/IMSI).
4. Возможность обмениваться конфиденциальной информацией с помощью мгновенных сообщений в зашифрованном виде.
5. Мобильное устройство сотрудника должно иметь механизмы выявления ложных BTS вне локальной сети.
6. Мобильное устройство сотрудника должно выявлять атаки активных комплексов перехвата.
7. Весь трафик (GSM/SMS/DATA/USSD) должен быть доступен Службе Безопасности компании для анализа вне локальной сети.
8. Весь интернет трафик, как внутри локальной сети, так и вне локальной сети, должен проходить через APN заказчика и анализироваться по средствам DPI.
Если данный проект вызовет интерес, в следующих статьях блога Tottoli GSM мы опишем каждый пункт более подробно с картинками и пояснениями.
Комментарии (30)
AndreyBadin
14.07.2016 16:57+1Всё, что описано, всё реализовано, и частично из хотелок. Всё сразу описывать слишком масштабно, поэтому и решил разбить
dobergroup
14.07.2016 19:30>> 3. В сетях общего пользования у сотрудника должна производиться смена аутентификаторов (IMEI/IMSI).
С IMSI понятно. А вот как реализовать смену IMEI без привязки к аппаратной платформе абонента?AndreyBadin
14.07.2016 22:16Данный функционал реализован на аппаратном уровне. Алгоритм смены IMEI/IMSI, за параллелен и может производится по трём событиям: по таймингу ( напрмер один раз в сутки), при каждом включении телефона и после каждого звонка исходящего/входящего.
dobergroup
14.07.2016 22:21Ну, логика использования — это дело десятое, не зная задач заказчика, сложно ее оценивать.
Меня интересует сама реализация смены IMEI.
>> Данный функционал реализован на аппаратном уровне.
На аппаратном уровне чего? Абонентского терминала?AndreyBadin
14.07.2016 22:29Думаю тут без вариантов — в нашем случае модификация прошивки, но можно реализовать и на чипсетах МТК(но это китай)
dobergroup
14.07.2016 22:32Спасибо за пояснение, этот метод понятен. Я испугался, что существует метод сделать это исключительно апплетом SIM, а я не могу сообразить — как именно.
EvgK
19.11.2016 17:01Что касается когерентности, фотоны являются частью когерентного состояния, но это состояние включает в себя как сигнальные, так и холостые фотоны (они запутаны). Сами по себе сигнальные фотоны не являются когерентными. Кстати даже в вашей цитате написано, что для эксперимента на рис 7.5а нет даже слабого намека на интерференционную картину.
AndreyBadin
15.07.2016 12:58Это был первый этап работ, там не было задачи смены IMEI, Задача о смене IMEI появилась позже и в этом случае мы смогли предложить только аппараты с изменённой прошивкой.
yaka
16.07.2016 22:14Очень интересно название аппарата и хотя бы поверхностное описание процесса изменения прошивки.
AndreyBadin
16.07.2016 22:16На базе Самсунга. Процедура изменения прошивки не вызывает трудности при наличии исходников. О аппарате и его возможностях, подробно опишу в следующих статьях.
dobergroup
18.07.2016 05:30Модифицировали samsung-ril из Replicant?
Варианты с МТК не захотел заказчик?AndreyBadin
18.07.2016 10:23Заказчик даже не рассматривал МТК, тем более, необходимо было реализовать не только подмену IMEI, необходимо вывести в пользовательский интерфейс управление с каналами визуализацию пингов
agic
15.07.2016 13:58с радостью бы почитал техническую реализацию проекта
AndreyBadin
15.07.2016 14:01Не думаю, что есть смысл описывать технические детали, В данном проекте нет каких либо инноваций и каждый из этапов неоднократно описывался в деталях. Я лишь хочу поделиться конфигурацией данного проекта, постараюсь описать максимально подробно.
sn1054
15.07.2016 14:49>4. Весь используемый трафик с мобильных устройств должен быть доступен Службе Безопасности компании для анализа.
>7. Гостевой абонент не может воспользоваться услугами связи хост-оператора внутри компании.
>8. Гостевой абонент имеет контролируемую возможность использовать услуги связи только внутри локальной сети.
Т.е. трафик гостей-посетителей также перехватывается и доступен местной СБ? Мне кажется, или это несколько незаконно?AndreyBadin
15.07.2016 14:51Я написал в статье, что юридические вопросы на стороне заказчика, и он сам решает эти вопросы.
sn1054
15.07.2016 14:54>Вопрос легитимности использования частот решается заказчиком, на его стороне лежит и ответственность.
В статье есть отсылка про использование частот, но в общем ок.
Интереснее понять, действительно ли был развернут MitM мобильного трафика для всех и вся (в пределах здания).AndreyBadin
15.07.2016 15:32Тут как раз никаких сложностей нет. У нас не стояло задачи делать процедуру хэндовера не заметную для абонента. В зоне действия локальной сети гостевой абонент теряет сеть и далее два варианта:1. автоматический перевыбор доступных сетей ( работает не у всех)и 2. ручной перевыбор. В теории можно развернуть три БТС с разными конфигурациями, где прописать MCC/MNC большой тройки и в этом случае гость с симкой от МТС может перейти без подозрений на БТС локалки из доверенного списка PLMN на симке гостя.
DarkTiger
15.07.2016 20:43Как я понимаю, решение будет продаваться оборонке?
Помнится, рассказывал я подобную историю (про Самсунговские R&D центры, где уже давно так сделано) безопаснику одного оборонного завода, и такие печаль и зависть были в его глазах…AndreyBadin
15.07.2016 21:00Думаю оборонка и без нас решит свои задачи. Этот проект скорее даёт возможность с наименьшими затратами развернуть свою GSM сеть и при этом сфокусироваться на безопасности. Если запускать подобный проект с нуля, потребуются значительные затраты, один только опорный договор и доступ к SS7, чего стоит. Да и с производством сим карт не всё просто. А так как у нас всё это есть и мы открыты к сотрудничеству, этот проект и состоялся.
Ghool
16.07.2016 12:33Не понял, как реализуется
> Сотруднику должны быть доступны все сервисы вне локальной сети.
ведь вы выдавали свои симки, как они будут работать в чужих сетях?
Кроме варианта, что вы регистрируете свою сотовую сеть *)dobergroup
16.07.2016 20:02Эта компания усиленно рекламирует технологии MVNO, так что оператора регистрировать не обязательно, он уже зарегистрирован.
kinoz
16.07.2016 21:37Я думаю да, эта компания в основном делает транки между инфраструктурой оператора связи и pbx клиента
Я думаю что в данном случаи был сделан туннель до osmobtsAndreyBadin
16.07.2016 21:56Не обязательно. Да, мы можем по средствам SS7 использовать общесетевую инфраструктуру, но в этом нет необходимости, а главное противоречит нашим обязательствам перед GSMA. Разделение локальной сети и общесетевой, на наш взгляд оптимальное решение. Таким образом, наши профиля на сим картах могут работать в сетях всего мира и в то же время в локальной сети, при этом правила предоставления услуг, упревление и доступ к трафику из одной концоли.
dobergroup
19.07.2016 13:43А вот про этот момент уже мне бы хотелось прочитать подробнее. Что выбрано (мультипрофильные карты, один профиль MVNO), какие альтернативы рассматривались, что с накладными расходами.
Все остальное вроде вопросов не вызывает, а ну разве что то, что я уже спрашивал — какие исходники RIL использовались
PavelPV
Интересно (очень!), что из желаний заказчика вы смогли реализовать?