Все под контролем: защищаем корпоративные разговоры

    Кейсы по ставшей уже привычной конвергенции GSM/SIP неоднократно описаны на просторах сети и на Хабре в частности. В этой статье мы хотим рассказать немного о другом.

    Нам в Tottoli GSM довелось участвовать в проекте, суть которого заключалась в развёртывании локальной сети GSM на территории организации с выходом в телефонную сеть общего пользования и объединением с существующей офисной АТС.

    image

    Задача проекта:


    Максимальное снижение рисков утечки информации в GSM сети.



    Вся архитектура уложилась в одной железке OsmoBTS – UmDESK ( MSC/ HLR/ VLR/ AuC/ SMSC ). Данный проект является открытым и очень гибким, он позволяет разрабатывать свои приложения и создавать свои сервисы. Ну и что немаловажно – цена. Весь программно-аппаратный стэк open source, о нём написано множество статей, и пересказывать суть ещё раз нет смысла.

    В нашей конфигурации получилось следующее:

    Радиоинтерфейс


    Вопрос легитимности использования частот решается заказчиком, на его стороне лежит и ответственность. Тем не менее, чтобы лишний раз не привлекать к себе внимание, был просканирован радиочастотный спектр для выявления свободных частот и определения используемых каналов ARFCN.

    image

    По результатам сканирования были выбраны два свободных канала.

    OsmoBTS мы сконфигурировали таким образом, чтобы затухание за стенами организации было максимальным, при этом уровень сигнала на подконтрольной территории был достаточным.

    Абонентская часть


    Всем сотрудникам были выданы SIM-карты с предустановленными профилями ( IMSI/ KI/ MSISDN) и специально разработанными апплетами. Триплеты аутентификации были занесены в HLR/ UmDESK в белый список. Конфигурация HLR была сделана таким образом, чтобы в локальной сети могли регистрироваться любые SIM-карты, но звонки совершать наружу могли только симки из белого списка HLR. Это дало возможность отслеживать «гостевые» телефонные аппараты на уровне своей сети, по сути IMSI-catcher. На SIM-карте создан образ локальной сети, где единственной разрешённой сетью являлась локальная сеть. Это было достигнуто путем записи параметров сети в области PLMN, ну и с помощью специального апплета. Таким образом, сотрудник, попадая в зону действия локальной сети, пересаживался на неё без возможности перехода на другую сеть (например, подобную виртуальную BTS «активный комплекс перехвата»).

    SIP PBX


    Для взаимодействия OsmoBTS с железом используется библиотека libusrp. Далее, с помощью библиотек oSIP и oRTP, OsmoBTS создаёт SIP-звонки, которые, в свою очередь, направляются на Asterisk PBX. На стороне клиента находится биллинг и дополнительные сервисы.

    image

    Вот несколько критериев, которые были заданы заказчиком:


    1. Сотрудники должны быть мобильными и иметь доступ к специальным сервисам в любой момент времени.
    2. Сотрудники могут использовать свои мобильные устройства, к которым они привыкли.
    3. Все сервисы должны быть доступны независимо от операционной системы мобильного устройства.
    4. Весь используемый трафик с мобильных устройств должен быть доступен Службе Безопасности компании для анализа.
    5. Все коммуникации внутри сети не должны попадать на оборудование хост-операторов.
    6. Необходимо максимально снизить угрозу перехвата трафика по воздуху.
    7. Гостевой абонент не может воспользоваться услугами связи хост-оператора внутри компании.
    8. Гостевой абонент имеет контролируемую возможность использовать услуги связи только внутри локальной сети.
    9. Объединить офисы, находящиеся в разных странах, в единую сеть.

    Как очень часто бывает, аппетит приходит во время еды. Заказчик в процессе эксплуатации предложил реализовать еще и следующие задачи:


    1. Сотрудник должен иметь возможность использовать служебную SIM-карту вне локальной сети.
    2. Сотруднику должны быть доступны все сервисы вне локальной сети.
    3. В сетях общего пользования у сотрудника должна производиться смена аутентификаторов (IMEI/IMSI).
    4. Возможность обмениваться конфиденциальной информацией с помощью мгновенных сообщений в зашифрованном виде.
    5. Мобильное устройство сотрудника должно иметь механизмы выявления ложных BTS вне локальной сети.
    6. Мобильное устройство сотрудника должно выявлять атаки активных комплексов перехвата.
    7. Весь трафик (GSM/SMS/DATA/USSD) должен быть доступен Службе Безопасности компании для анализа вне локальной сети.
    8. Весь интернет трафик, как внутри локальной сети, так и вне локальной сети, должен проходить через APN заказчика и анализироваться по средствам DPI.

    Если данный проект вызовет интерес, в следующих статьях блога Tottoli GSM мы опишем каждый пункт более подробно с картинками и пояснениями.

    Читать еще:


    Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат
    Все под контролем: защищаем корпоративные разговоры. Часть 3: защищенная SIM-карта
    Tottоli GSM
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 30

      +1
      Интересно (очень!), что из желаний заказчика вы смогли реализовать?
        +1
        Нужно было каждый пункт описывать сразу, а не потом.
          +1
          Всё, что описано, всё реализовано, и частично из хотелок. Всё сразу описывать слишком масштабно, поэтому и решил разбить
            0
            >> 3. В сетях общего пользования у сотрудника должна производиться смена аутентификаторов (IMEI/IMSI).

            С IMSI понятно. А вот как реализовать смену IMEI без привязки к аппаратной платформе абонента?
              0
              Данный функционал реализован на аппаратном уровне. Алгоритм смены IMEI/IMSI, за параллелен и может производится по трём событиям: по таймингу ( напрмер один раз в сутки), при каждом включении телефона и после каждого звонка исходящего/входящего.
                0
                Ну, логика использования — это дело десятое, не зная задач заказчика, сложно ее оценивать.
                Меня интересует сама реализация смены IMEI.

                >> Данный функционал реализован на аппаратном уровне.
                На аппаратном уровне чего? Абонентского терминала?
                  0
                  Думаю тут без вариантов — в нашем случае модификация прошивки, но можно реализовать и на чипсетах МТК(но это китай)
                    0
                    Спасибо за пояснение, этот метод понятен. Я испугался, что существует метод сделать это исключительно апплетом SIM, а я не могу сообразить — как именно.
                      0
                      > 2. Сотрудники могут использовать свои мобильные устройства, к которым они привыкли.

                      Вы модифицировали прошивку на ВСЕХ абонентских аппаратах? Или данная хотелка ограничивается каким-то одним аппаратом выдаваемым организацией?
                        0
                        Это был первый этап работ, там не было задачи смены IMEI, Задача о смене IMEI появилась позже и в этом случае мы смогли предложить только аппараты с изменённой прошивкой.
                          0
                          Очень интересно название аппарата и хотя бы поверхностное описание процесса изменения прошивки.
                            0
                            На базе Самсунга. Процедура изменения прошивки не вызывает трудности при наличии исходников. О аппарате и его возможностях, подробно опишу в следующих статьях.
                              0
                              Модифицировали samsung-ril из Replicant?
                              Варианты с МТК не захотел заказчик?
                                0
                                Заказчик даже не рассматривал МТК, тем более, необходимо было реализовать не только подмену IMEI, необходимо вывести в пользовательский интерфейс управление с каналами визуализацию пингов
                0
                Ждем подробностей в развернутом виде! Надо больше кишок!!!
                  0
                  Я готовлю следующую статью, в ближайшие дни будет готова.
                  0
                  с радостью бы почитал техническую реализацию проекта
                    0
                    Не думаю, что есть смысл описывать технические детали, В данном проекте нет каких либо инноваций и каждый из этапов неоднократно описывался в деталях. Я лишь хочу поделиться конфигурацией данного проекта, постараюсь описать максимально подробно.
                      0
                      это я и имел ввиду.
                    0
                    >4. Весь используемый трафик с мобильных устройств должен быть доступен Службе Безопасности компании для анализа.
                    >7. Гостевой абонент не может воспользоваться услугами связи хост-оператора внутри компании.
                    >8. Гостевой абонент имеет контролируемую возможность использовать услуги связи только внутри локальной сети.

                    Т.е. трафик гостей-посетителей также перехватывается и доступен местной СБ? Мне кажется, или это несколько незаконно?
                      0
                      Я написал в статье, что юридические вопросы на стороне заказчика, и он сам решает эти вопросы.
                        0
                        >Вопрос легитимности использования частот решается заказчиком, на его стороне лежит и ответственность.

                        В статье есть отсылка про использование частот, но в общем ок.

                        Интереснее понять, действительно ли был развернут MitM мобильного трафика для всех и вся (в пределах здания).
                          0
                          Тут как раз никаких сложностей нет. У нас не стояло задачи делать процедуру хэндовера не заметную для абонента. В зоне действия локальной сети гостевой абонент теряет сеть и далее два варианта:1. автоматический перевыбор доступных сетей ( работает не у всех)и 2. ручной перевыбор. В теории можно развернуть три БТС с разными конфигурациями, где прописать MCC/MNC большой тройки и в этом случае гость с симкой от МТС может перейти без подозрений на БТС локалки из доверенного списка PLMN на симке гостя.
                      0
                      Как я понимаю, решение будет продаваться оборонке?

                      Помнится, рассказывал я подобную историю (про Самсунговские R&D центры, где уже давно так сделано) безопаснику одного оборонного завода, и такие печаль и зависть были в его глазах…
                        0
                        Думаю оборонка и без нас решит свои задачи. Этот проект скорее даёт возможность с наименьшими затратами развернуть свою GSM сеть и при этом сфокусироваться на безопасности. Если запускать подобный проект с нуля, потребуются значительные затраты, один только опорный договор и доступ к SS7, чего стоит. Да и с производством сим карт не всё просто. А так как у нас всё это есть и мы открыты к сотрудничеству, этот проект и состоялся.
                        0
                        Не понял, как реализуется
                        > Сотруднику должны быть доступны все сервисы вне локальной сети.
                        ведь вы выдавали свои симки, как они будут работать в чужих сетях?
                        Кроме варианта, что вы регистрируете свою сотовую сеть *)
                          0
                          Эта компания усиленно рекламирует технологии MVNO, так что оператора регистрировать не обязательно, он уже зарегистрирован.
                            0
                            Я думаю да, эта компания в основном делает транки между инфраструктурой оператора связи и pbx клиента
                            Я думаю что в данном случаи был сделан туннель до osmobts
                              0
                              Не обязательно. Да, мы можем по средствам SS7 использовать общесетевую инфраструктуру, но в этом нет необходимости, а главное противоречит нашим обязательствам перед GSMA. Разделение локальной сети и общесетевой, на наш взгляд оптимальное решение. Таким образом, наши профиля на сим картах могут работать в сетях всего мира и в то же время в локальной сети, при этом правила предоставления услуг, упревление и доступ к трафику из одной концоли.
                                0
                                А вот про этот момент уже мне бы хотелось прочитать подробнее. Что выбрано (мультипрофильные карты, один профиль MVNO), какие альтернативы рассматривались, что с накладными расходами.
                                Все остальное вроде вопросов не вызывает, а ну разве что то, что я уже спрашивал — какие исходники RIL использовались

                          Only users with full accounts can post comments. Log in, please.