Всем привет! Представляю вашему вниманию, следующую часть цикла статей о VoIP.
В этой публикации я постараюсь максимально доступно объяснить работу стека протоколов SS7, показать активное рабочее оборудование и провести анализ уязвимостей на одном из рабочих SS7 шлюзов.
В следующих статьях, я расскажу о SIGTRAN, ТФоП, MGCP и многом другом, но пока сделаем акцент именно на SS7, так что, придется вам это прочесть.
Структура цикла VoIP:
Спецификация SS7 (Signalling System 7 – система сигнализации №7, ОКС-7) была разработана CCITT. SS7 представляет собой общеканальную систему сигнализации. Это означает, что один из каналов используется для передачи сигнальной информации, независимо от количества поддерживаемых каналов передачи данных.
Так же распространено название ОКС-7 (общий канал сигнализации № 7). В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
ОКС-7 предоставляет универсальную структуру для организации сигнализации, сообщений, сетевого взаимодействия и технического обслуживания телефонной сети. Начиная с установки соединения, протокол работает для обмена пользовательской информацией, маршрутизации звонков, взаимодействия с биллингом и поддержки интеллектуальных услуг.
Аппаратные и программные функции стека протоколов SS7 поделены на уровни, близкие уровням эталонной модели OSI.
Ниже представлена схема реализации подключений с использованием SS7:
В настоящее время SS7 составляет сигнальную инфраструктуру операторов местной, междугородной, международной и беспроводной связи. Эта пакетная сеть передачи данных стала важной частью телефонных и сотовых сетей. В телефонных сетях общего пользования (ТфОП — Public Switched Telephone Network, PSTN) сети SS7 работают во многих странах уже не один десяток лет. Сфера их применения распространяется и на широкополосные сети, и на приложения компьютерной телефонии. Общеканальная сигнализация SS7 стала важным элементом крупных телекоммуникационных сетей.
Структура стека протоколов SS7.
Стек протоколов ОКС-7 отталкивается от модели OSI и имеет только четыре уровня. Уровни совпадают с уровнями OSI:
1. MTP 1
2. MTP 2
3. MTP 3
4. Уровень 4 ОКС-7 содержит несколько различных пользовательских уровней:
Обзор сигнализации стека протоколов SS7.
Режимы сигнализации:
Режим сигнализации - это связь между путем, по которому проходит сигнальное сообщение в сети сигнализации, и сигнальным отношением, к которому относится это сообщение.
Возможны следующие режимы сигнализации:
Часть передачи сообщений - MTP (Message Transfer Part) является транспортной подсистемой SS7, предназначенной для надежной передачи сигнальных сообщений в правильной последовательности и без ошибок.
Части пользователей - UP (User Parts) функциональные блоки SS7, где генерируются и обрабатываются сигнальные сообщения. Примерами частей пользователей являются:
На скриншоте базовая функциональная схема.
Пример обмена сообщениями в стеке протоколов SS7 в дампе звонка:
ISUP реализует функции управления вызовами с возможностью предоставления абонентам услуг ISDN.
Подсистема ISUP использует стандартные сообщения, формат которых определен спецификациями Q.767.
Сообщения, используемые при установлении и окончании вызова:
Сообщения ISUP передают по принципу «от звена к звену»
VoIP шлюз Mediant – 3000
Многие операторы VoIP использую данный шлюз для обеспечения возможности работать со стеком протоколов SS7, для дальнейшей конвертации голосового трафика в SIP, мы не являемся исключением, хотя и существуют другие варианты.
Mediant™ 3000 – это компактное решение операторского класса с высотой корпуса 2U, имеющее 1 или 2 оптических интерфейса OC-3/STM-1, в каждом из которых может быть организовано от 480 до 2 016 голосовых каналов.
Mediant 3000 предназначены для организации точек присутствия операторов средней емкости, с включением в ТфОП по PRI и/или ОКС-7. Телефонные шлюзы Mediant3000 обеспечивают полное дублирование с автоматическим переключением.
Особенности:
Различные варианты телефонных сигнальных протоколов:
В нашем случае Mediant – 3000 является точкой коммуникации со многими крупными операторами c помощью технологии передачи каналов с временным уплотнением (Е1) через сети с коммутацией пакетов. Иными словами, когда на совместном колокейшене есть точка присутствия другого оператора, мы можем соединиться с ним проводочком через Mediant, как в локальной сети, тем самым уменьшив нагрузку на VoIP шлюзы и обеспечив отличное качество связи.
Схематичный пример использования Mediant в сети:
Так выглядит панель управления потоками SS7 в Medant:
Сканирование на уязвимости SS7 действующего хоста SS7
Как показала практика Mediant-3000 не содержит публичных эксплоитов. Обычно доступ к такому оборудованию есть только из корпоративной VPN, к которой нужен отдельный доступ.
Но это осложняется тем, что к VPN могут подключиться только те пользователи, MAC – адрес которых прописан в RADIUS конфиге (Имеются ввиду только рабочие компьютеры)
Запуск сканирования nmap из другой сети на этот адрес, дает такой результат:
При том, что из VPN, сканирование дает совершенно иной результат.
Nmap точно определяет открытые порты, коих много, и версию OS Mediant’a.
Так, что анализ уязвимостей Mediant-3000 пока совершенно не продуктивен.
На этом, можно заканчивать. В следующих частях мы попробуем поближе подобраться к VoIP сети извне, проводя анализ уязвимостей других типов аппаратного и программного обеспечения. Ну и конечно, я буду рассказывать о принципах работы Телекоммуникационных операторов и всего, что можно определить термином VoIP и связанных с ним.
Специально для Codeby.net.
В этой публикации я постараюсь максимально доступно объяснить работу стека протоколов SS7, показать активное рабочее оборудование и провести анализ уязвимостей на одном из рабочих SS7 шлюзов.
В следующих статьях, я расскажу о SIGTRAN, ТФоП, MGCP и многом другом, но пока сделаем акцент именно на SS7, так что, придется вам это прочесть.
Структура цикла VoIP:
- [0] VoIP. Введение. SIP, H.323, T.38
- [1] VoIP. Транспорт и кодирование голоса
- [2] VoIP. Мониторинг эффективности сети
- Общее понятие стека протоколов SS7.
- Структура стека протоколов SS7.
- Обзор сигнализации стека протоколов SS7.
- VoIP шлюз Mediant – 3000
- Сканирование на уязвимости SS7 действующего хоста SS7
Спецификация SS7 (Signalling System 7 – система сигнализации №7, ОКС-7) была разработана CCITT. SS7 представляет собой общеканальную систему сигнализации. Это означает, что один из каналов используется для передачи сигнальной информации, независимо от количества поддерживаемых каналов передачи данных.
Так же распространено название ОКС-7 (общий канал сигнализации № 7). В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
ОКС-7 предоставляет универсальную структуру для организации сигнализации, сообщений, сетевого взаимодействия и технического обслуживания телефонной сети. Начиная с установки соединения, протокол работает для обмена пользовательской информацией, маршрутизации звонков, взаимодействия с биллингом и поддержки интеллектуальных услуг.
Аппаратные и программные функции стека протоколов SS7 поделены на уровни, близкие уровням эталонной модели OSI.
Ниже представлена схема реализации подключений с использованием SS7:
В настоящее время SS7 составляет сигнальную инфраструктуру операторов местной, междугородной, международной и беспроводной связи. Эта пакетная сеть передачи данных стала важной частью телефонных и сотовых сетей. В телефонных сетях общего пользования (ТфОП — Public Switched Telephone Network, PSTN) сети SS7 работают во многих странах уже не один десяток лет. Сфера их применения распространяется и на широкополосные сети, и на приложения компьютерной телефонии. Общеканальная сигнализация SS7 стала важным элементом крупных телекоммуникационных сетей.
Структура стека протоколов SS7.
Стек протоколов ОКС-7 отталкивается от модели OSI и имеет только четыре уровня. Уровни совпадают с уровнями OSI:
- Первый уровень (физический)
- Второй уровень (канальный)
- Третий уровень (сетевой).
- Четвертый уровень ОКС-7 соответствует уровню 7 OSI.
1. MTP 1
2. MTP 2
3. MTP 3
4. Уровень 4 ОКС-7 содержит несколько различных пользовательских уровней:
- MTP – Message Transfer Part – часть передачи сообщений
- ISUP – Integrated Services Digital Network (ISDN) User Part – пользователькая часть сети ISDN
- SCCP – Signaling Connection Control Part – часть управления сигнальными соединениями
- TCAP – Transaction Capabilities Application Part – прикладная часть возможностей транзакций
- BSSAP – Base Station System Application Part – прикладная часть подсистемы базовых станций GSM. Состоит из:
- DTAP (Direct Transfer Part) - прикладной части обмена сигнализацией между MS и MSC,
- BSSMAP (BSS Management Application Part) – прикладной части взаимодействия BSC и MSC
- RANAP – Radio Access Network Application Part – прикладная часть подсистемы радиодоступа в сетях UMTS
- MAP– Mobile Application Part – прикладная часть поддержки мобильности сетей GSM
- INAP– Intelligent Network Application Part – прикладная часть интеллектуальных сетей (фиксированная связь)
- CAP – CAMEL Application Part – прикладная часть интеллектуальных сетей (подвижная связь)
- MTP - описывает транспортные протоколы, включая сетевые интерфейсы, обмен данными, обработка сообщений и маршрутизация их на верхний уровень.
- SCCP — это подуровень из других протоколов 4 уровня, и вместе с MTP 3 может быть назван Network Service Part (NSP).
- NSP - обеспечивает адресацию и маршрутизацию сообщений, и сервис управления для других частей 4 уровня.
- TUP — это система сигнализации точка-точка для обслуживания вызовов.
- ISUP — это ключевой протокол, предоставляющий канально-ориентированный протокол для установки, подключения и завершения соединения при звонке. Выполняет все функции TUP и множество дополнительных.
- TCAP - используется для создания запросов к базе данных и используется при расширенной функциональности сети или как связующий протокол с интеллектуальными сетями (INAP), мобильными службами (MAP) и т. д.
Обзор сигнализации стека протоколов SS7.
- Пункт сигнализации - SP (Signalling Point) - это узел сети сигнализации, в котором реализованы части пользователей SS7.
- Звено сигнализации - SL (Signalling Link) - средство передачи сигнальных единиц между двумя пунктами сигнализации.
Режимы сигнализации:
Режим сигнализации - это связь между путем, по которому проходит сигнальное сообщение в сети сигнализации, и сигнальным отношением, к которому относится это сообщение.
Возможны следующие режимы сигнализации:
- Связанный режим (Associated Mode) - режим, при котором сообщение, относящееся к данному сигнальному отношению между двумя SP, передается непосредственно по пучку звеньев, соединяющий эти SP. При этом режиме путь сигнального сообщения 'совпадает' с сигнальным отношением.
- Несвязанный режим - режим, при котором путь сигнального сообщения не 'совпадает' с сигнальным отношением между отправителем и получателем данного сообщения, причем путь этот заранее не определен.
- Квазасвязанный режим - частный случай несвязанного режима, когда путь сигнального сообщения заранее определен.
Часть передачи сообщений - MTP (Message Transfer Part) является транспортной подсистемой SS7, предназначенной для надежной передачи сигнальных сообщений в правильной последовательности и без ошибок.
Части пользователей - UP (User Parts) функциональные блоки SS7, где генерируются и обрабатываются сигнальные сообщения. Примерами частей пользователей являются:
- TUP - Telephone User Part
- ISUP - ISDN User Part
- MAP - Mobile Application Part
На скриншоте базовая функциональная схема.
Пример обмена сообщениями в стеке протоколов SS7 в дампе звонка:
ISUP реализует функции управления вызовами с возможностью предоставления абонентам услуг ISDN.
Подсистема ISUP использует стандартные сообщения, формат которых определен спецификациями Q.767.
Сообщения, используемые при установлении и окончании вызова:
- IAM – Initial Address Мessage – начальное адресное сообщение
- SAM – Subsequent Address Message – последующее адресное сообщение
- ACM – Address Complete Message – адрес полный
- ANM – Answer Message – ответ
- REL – Release Message – освобождение
- RCM – Release Complete Message – освобождение выполнено
Сообщения ISUP передают по принципу «от звена к звену»
VoIP шлюз Mediant – 3000
Многие операторы VoIP использую данный шлюз для обеспечения возможности работать со стеком протоколов SS7, для дальнейшей конвертации голосового трафика в SIP, мы не являемся исключением, хотя и существуют другие варианты.
Mediant™ 3000 – это компактное решение операторского класса с высотой корпуса 2U, имеющее 1 или 2 оптических интерфейса OC-3/STM-1, в каждом из которых может быть организовано от 480 до 2 016 голосовых каналов.
Mediant 3000 предназначены для организации точек присутствия операторов средней емкости, с включением в ТфОП по PRI и/или ОКС-7. Телефонные шлюзы Mediant3000 обеспечивают полное дублирование с автоматическим переключением.
Особенности:
Различные варианты телефонных сигнальных протоколов:
- CAS (MF-R1: Wink Start, delay dial, immediate start, FGB, FGD, E911 CAMA, MFC/R2)
- ISDN PRI (ETSI EURO ISDN, ANSI NI2, DMS100, 5ESS, QSIG)
- SIGTRAN (M3UA/M2UA)
- VoIP (G.711, G.723.1, G.726/7, G.729A/B, EG.711, G.722, G.722.2, G.729.1, RTA-WB, SPEEX, SILK)
- GSM/UMTS (GSM-FR, GSM-EFR, AMR (8 rates), AMR-WB, iLBC)
- CDMA (EVRC-B1, C1)
- Передача факсов: T.38, автоматический переход на G.711
- Поддержка плана набора, маршрутизации и преобразования номера
- Поддержка QOS
- PSTN Backup
- MGCP (RFC 3435), TGCP (PacketCable)
- MEGACO (H.248, RFC 3015)
- SIP (RFC 3261)
- IMS Mn - TS 29.332, IMS Mc (TS 29.232)
- 1+0 – один интерфейс OC-3/STM-1 (до 2016 голосовых каналов)
- 1+1 – два интерфейса OC-3/STM-1 (до 4 032 голосовых каналов)
- 2+0 – один интерфейс OC-3/STM-1 (до 2016 голосовых каналов) с полным дублированием и автоматическим переключением
В нашем случае Mediant – 3000 является точкой коммуникации со многими крупными операторами c помощью технологии передачи каналов с временным уплотнением (Е1) через сети с коммутацией пакетов. Иными словами, когда на совместном колокейшене есть точка присутствия другого оператора, мы можем соединиться с ним проводочком через Mediant, как в локальной сети, тем самым уменьшив нагрузку на VoIP шлюзы и обеспечив отличное качество связи.
Схематичный пример использования Mediant в сети:
Так выглядит панель управления потоками SS7 в Medant:
Сканирование на уязвимости SS7 действующего хоста SS7
Как показала практика Mediant-3000 не содержит публичных эксплоитов. Обычно доступ к такому оборудованию есть только из корпоративной VPN, к которой нужен отдельный доступ.
Но это осложняется тем, что к VPN могут подключиться только те пользователи, MAC – адрес которых прописан в RADIUS конфиге (Имеются ввиду только рабочие компьютеры)
Запуск сканирования nmap из другой сети на этот адрес, дает такой результат:
При том, что из VPN, сканирование дает совершенно иной результат.
Nmap точно определяет открытые порты, коих много, и версию OS Mediant’a.
Так, что анализ уязвимостей Mediant-3000 пока совершенно не продуктивен.
На этом, можно заканчивать. В следующих частях мы попробуем поближе подобраться к VoIP сети извне, проводя анализ уязвимостей других типов аппаратного и программного обеспечения. Ну и конечно, я буду рассказывать о принципах работы Телекоммуникационных операторов и всего, что можно определить термином VoIP и связанных с ним.
Специально для Codeby.net.
Вложения
Последнее редактирование:
