PDF de programación - Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort

Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



Análisis de ataques/vulnerabilidades SS7/Sigtran

empleando Wireshark (y/o tshark) y Snort

Madrid, marzo de 2018.



Por: Alejandro Corletti Estrada ([email protected] - [email protected])

INDICE



1. Objetivo de este documento.

2. Presentación.

3. Introducción a SS7/Sigtran.

3.1. Señalización SS7.

3.2. Sigtran.

4. Presentación de los diferentes tipos de ataques.

4.1. Análisis de IR 82 GSM (Security SS7 implementation on SS7 network.

4.2. Clasificación de los diferentes tipos de ataques.

4.3. Análisis de detalle.

5. Análisis de capturas de tráfico: patrones a buscar, empleo de Wireshark.

6. Análisis de capturas de tráfico empleando Snort.

6.1. El Archivo de configuración.

6.2. Salidas.

6.3. Las SS7.rules.

7. Otras herramientas adicionales.

7.1. MATE (Meta Analysis and Tracing Engine) para Wireshark.

7.2. Tshark.

7.3. Unificar tramas (mergecap).

7.4. Información de capturas (capinfos).

8. Conclusiones.



REFERENCIAS



Alejandro Corletti Estrada



Pág 1



Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



1. Objetivo de este documento.

Presentar una metodología de trabajo eminentemente técnica que permita:
detectar, identificar y evaluar ataques en redes SS7/Sigtran por medio del
“análisis de tráfico” basado en las herramientas “Wireshark” (y/o tshark) y
“Snort”.



2. Presentación.

Desde hace ya algunos años (podríamos decir que en fechas cercanas a 2010), se
ha empezado a escuchar que este sistema de señalización (verdadero corazón de
toda la red mundial de voz y cierto tipo de datos) presenta serios problemas de
seguridad. La explotación de los mismos abre un abanico a todo tipo de ataques,
en la actualidad ya se están ejecutando en varias operadoras telefónicas,
robando dinero de cuentas bancarias, interceptando llamadas telefónicas,
localizando la posición de teléfonos móviles, realizando diferentes tipos de
fraudes en voz y navegación, ejecutando negaciones de servicio, etc.

En estas líneas, no vamos a desarrollar el SS7 (Sistema de Señalización 7), ni
tampoco Sigtran (Señalización de Transporte), haremos únicamente una muy
breve presentación de los mismos para poder comprender el problema.

Cabe mencionar que el “análisis de tráfico” es la ÚNICA metodología que
tenemos para poder comprender y evaluar este tipo de anomalías en nuestros
flujos de señalización. Nos atrevemos a hacer esta afirmación, sustentados en
una serie de documentos y normas que iremos presentando en este documento.

Nos encontramos ante un problema grave a nivel mundial y que necesariamente
se extenderá al menos durante los próximos diez años, pues esta señalización
sólo será reemplazada cuando todas las troncales mundiales empleen SIP y/o
DIAMETER, que son los protocolos de voz sobre IP, es decir cuando la
conectividad de extremo a extremo para todos los servicios de voz sea
paquetizada por medio de la pila TCP/IP.



Alejandro Corletti Estrada



Pág 2



Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort


3. Introducción a SS7/Sigtran.

3.1. Señalización.

El propósito básico de la señalización es establecer un lenguaje de
intercambio de información de control que permita que dos líneas
telefónicas ubicadas en cualquier parte de la red telefónica se
comuniquen entre sí.

En concreto cubre todos los aspectos relacionados a:

Establecimiento.

Mantenimiento

Cierre

De una comunicación (hoy en día, sea de voz o datos).

los procedimientos y protocolos para

SS7 entra en producción en los años 80’ como una red “cerrada” de los
operadores telefónicos, definido como Señalización por canal común.
Establece
intercambio de
información entre las entidades residentes de una red de señalización
{telefonía fija (PSTN) – red de paquetes (PDTN) – telefonía móvil (PLMN)}
para supervisión, control, acceso, gestión y enrutamientos de servicios
de voz o datos Transmitido en los canales digitales de los enlaces PCM
(Modulación por Pulsos Codificada - Pulse Code Modulation).

Si queremos entrar un poco más en detalle, existen dos tipos de
Señalización:

De acceso (o de abonado)

o DSS (Digital Subscriber Signaling) → datos (canal D de

RDSI)

o PSTN

(abonado

analógico)

por

frecuencias

independientes

Troncal

o CAS (Señalización por canal asociado)

o CCS (Señalización por canal común)  Esto es SS7
La base de este sistema, tal cual mencionamos PCM, se sustenta en los
primeros pasos sobre digitalización de la “voz analógica”, donde en
nuestra parte del planeta se adoptó como “ancho de banda aceptable”
para una rango vocal el valor de 4000 Hercios (o Hertz) y según el
teorema del muestreo se tomaron dos veces su ancho de banda en
“muestras”, es decir 8000 muestras/segundo, las que finalmente se
“codificaron” con 8 bit, obteniendo lo que se denominó “canal básico de
voz digitalizado” = 64.000 bits/segs = 64 Kbps.

Este canal básico, se fue integrando en lo que se llaman “Jerarquías
digitales”, de las cuáles la primera de ellas (en su versión Plesiócrona o
PDH) fue la famosa trama E1 (reitero que para nuestra parte del mundo

Alejandro Corletti Estrada



Pág 3



Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



occidental, pues existen otras) Esta trama, no es más que la suma de 32
canales de 64 Kbps agrupadas en “ranuras de tiempo” (o Slots). De estos
32 slots, 30 son canales donde baja “voz”, el primero es para
“sincronismo” y en el caso de SS7 sólo se emplea el “Time Slot 16” en
este canal viaja TODA la señalización SS7 por medio del empleo de dos
grupos de 4 bits (denominados ABCD) los cuáles van señalizando
únicamente dos canales de voz por trama, de los 30 de cada E1. Como,
una vez que la trama E1 se “inyecta” en la red troncal, la misma tiene una
duración total de 125 µs (Micro segundos), cada 8 tramas pasa 1
milisegundo, por lo tanto, cada 2 milisegundos pasan 16 tramas con los
cuáles vuelve a señalizar los dos canales de la primer trama E1. A
continuación se presenta un ejemplo de este formato:

Formato básico de una trama E1



Formato de time slot 16


La red SS7 se basa en una pila de protocolos de 7 niveles que responde
al modelo ISO/OSI (no accesible desde la pila TCP/IP). Este modelo de
capas permite mover información por medio de tres tipos de nodos,
llamados:

SP (Signaling Point).

SSP (Signaling Switching Point).

STP (Signaling Transfer Point) → Router o GW, no genera

mensajes, solo encamina, hace mediciones de transferencia.

SCP (Signaling Control Point) provee acceso a Aplicaciones (Ej

BBDD, etc).

Alejandro Corletti Estrada



Pág 4



Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



Red SS7



SS7 cono mencionamos, nace en los 80` dentro de un marco “cerrado”,
únicamente accesible por las operadoras de telefonía…………. El
problema nace con la “Inteligencia” que empezamos a ponerle a
nuestras redes (NGIN: Next Generation Intelligent Network).

Concretamente esta “inteligencia” de forma resumida, comienza tal vez
con las primeras redes RDSI (Red digital de Servicios Integrados) y se
implanta un protocolo llamado ISUP (que presentaremos más adelante)
en la pila de SS7, cuando comienzan las primeras redes móviles se
incorpora una capa más, bajo la forma de BSSAP (que también
presentaremos a continuación) y finalmente el protocolo MAP (Mobile
Application Part) para todos los aspectos de perfiles, mensajería,
sistemas de doble autenticación, movilidad, roaming, servicios no
estructurados, etc. A continuación se presenta una imagen donde
aparecen estos nuevos aspectos que en definitiva se ofrecen por medio
de Servidores o aplicaciones de software (cosa nueva en la jerarquía SS7).



Red SS7 y NGIN



A medida que se incorporan estos nuevos protocolos, la infraestructura
de SS7 bajo el modelo de siete capas ISO/OSI comienza a hacerse

Alejandro Corletti Estrada



Pág 5

Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



inoperable, y de esta forma nace “Sigtran”, el cual incorpora la pila
TCP/IP por debajo de esta familia SS7….. y entramos en el mundo IP (con
lo bueno…… y también lo malo….) Aquí concretamente empiezan
nuestros problemas y vulnerabilidades potencialmente accesibles
desde cualquier lugar del mundo a través del enrutamiento IP. A
continuación presentamos un par de imágenes de los modelos de capas.



Pila SS7



Pila OSI - Pila SS7 – Pila Sigtran



Como mencionamos al principio, este no es un texto sobre SS7/sitgtran,
sino una breve presentación de ambos, por lo tanto los únicos aspectos
que deseamos destacar son:



En la pila SS7 (central) podemos apreciar un modelo que
responde a las siete capas de la pila OSI (izquierda). Reiteramos
que NO tiene ninguna comunicación con el mundo TCP/IP. Los
protocolos que más nos interesan de este modelo son: SCCP,
TCAP, MAP, CAP (Camel) e ISUP.

Alejandro Corletti Estrada



Pág 6



Análisis de vulnerabilidades SS7/Sigtran empleando Wireshark (y/o tshark) y Snort



En la pila Sigtran (dere