Что нового

Article VoIP. Система сигнализации SS7 (ОКС-7)

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
Приветствую уважаемую аудиторию форума Protey!​

В этой публикации я постараюсь максимально доступно объяснить работу стека протоколов SS7, показать активное рабочее оборудование и провести анализ уязвимостей на одном из рабочих SS7 шлюзов.

В следующих статьях, я расскажу о SIGTRAN, ТФоП, MGCP и многом другом, но пока сделаем акцент именно на SS7.

1580922424077.png
Структура этой части:
  • Общее понятие стека протоколов SS7.
  • Структура стека протоколов SS7.
  • Обзор сигнализации стека протоколов SS7.
  • VoIP шлюз Mediant – 3000
  • Сканирование на уязвимости SS7 действующего хоста SS7
Общее понятие протокола SS7.

Спецификация SS7 (Signalling System 7 – система сигнализации №7, ОКС-7) была разработана CCITT. SS7 представляет собой общеканальную систему сигнализации. Это означает, что один из каналов используется для передачи сигнальной информации, независимо от количества поддерживаемых каналов передачи данных.

1580922676112.png

Так же распространено название ОКС-7 (общий канал сигнализации № 7). В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.

ОКС-7 предоставляет универсальную структуру для организации сигнализации, сообщений, сетевого взаимодействия и технического обслуживания телефонной сети. Начиная с установки соединения, протокол работает для обмена пользовательской информацией, маршрутизации звонков, взаимодействия с биллингом и поддержки интеллектуальных услуг.

Аппаратные и программные функции стека протоколов SS7 поделены на уровни, близкие уровням эталонной модели OSI.

Ниже представлена схема реализации подключений с использованием SS7:

1580922769633.png

В настоящее время SS7 составляет сигнальную инфраструктуру операторов местной, междугородной, международной и беспроводной связи. Эта пакетная сеть передачи данных стала важной частью телефонных и сотовых сетей. В телефонных сетях общего пользования (ТфОП — Public Switched Telephone Network, PSTN) сети SS7 работают во многих странах уже не один десяток лет. Сфера их применения распространяется и на широкополосные сети, и на приложения компьютерной телефонии. Общеканальная сигнализация SS7 стала важным элементом крупных телекоммуникационных сетей.

Структура стека протоколов SS7.

Стек протоколов ОКС-7 отталкивается от модели OSI и имеет только четыре уровня. Уровни совпадают с уровнями OSI:
  • Первый уровень (физический)
  • Второй уровень (канальный)
  • Третий уровень (сетевой).
  • Четвертый уровень ОКС-7 соответствует уровню 7 OSI.
Уровни называются MTP (Message Transfer Part):

1. MTP 1
2. MTP 2
3. MTP 3
4. Уровень 4 ОКС-7 содержит несколько различных пользовательских уровней:

  • MTP – Message Transfer Part – часть передачи сообщений
  • ISUP – Integrated Services Digital Network (ISDN) User Part – пользователькая часть сети ISDN
  • SCCP – Signaling Connection Control Part – часть управления сигнальными соединениями
  • TCAP – Transaction Capabilities Application Part – прикладная часть возможностей транзакций
  • BSSAP – Base Station System Application Part – прикладная часть подсистемы базовых станций GSM. Состоит из:
  • DTAP (Direct Transfer Part) - прикладной части обмена сигнализацией между MS и MSC,
  • BSSMAP (BSS Management Application Part) – прикладной части взаимодействия BSC и MSC
  • RANAP – Radio Access Network Application Part – прикладная часть подсистемы радиодоступа в сетях UMTS
  • MAP– Mobile Application Part – прикладная часть поддержки мобильности сетей GSM
  • INAP– Intelligent Network Application Part – прикладная часть интеллектуальных сетей (фиксированная связь)
  • CAP – CAMEL Application Part – прикладная часть интеллектуальных сетей (подвижная связь)

1580922936223.png

  • MTP - описывает транспортные протоколы, включая сетевые интерфейсы, обмен данными, обработка сообщений и маршрутизация их на верхний уровень.
  • SCCP — это подуровень из других протоколов 4 уровня, и вместе с MTP 3 может быть назван Network Service Part (NSP).
  • NSP - обеспечивает адресацию и маршрутизацию сообщений, и сервис управления для других частей 4 уровня.
  • TUP — это система сигнализации точка-точка для обслуживания вызовов.
  • ISUP — это ключевой протокол, предоставляющий канально-ориентированный протокол для установки, подключения и завершения соединения при звонке. Выполняет все функции TUP и множество дополнительных.
  • TCAP - используется для создания запросов к базе данных и используется при расширенной функциональности сети или как связующий протокол с интеллектуальными сетями (INAP), мобильными службами (MAP) и т. д.
Ниже, наглядно представлена архитектура SS7 по сравнению с моделью OSI.

1580922973678.png

Обзор сигнализации стека протоколов SS7.
  • Пункт сигнализации - SP (Signalling Point) - это узел сети сигнализации, в котором реализованы части пользователей SS7.
  • Звено сигнализации - SL (Signalling Link) - средство передачи сигнальных единиц между двумя пунктами сигнализации.
  • Транзитный пункт сигнализации - STP (Signalling Transfer Point) - узел сети сигнализации без функций частей пользователей, осуществляющий только функции части передачи сообщений SS7.
Режимы сигнализации:

Режим сигнализации - это связь между путем, по которому проходит сигнальное сообщение в сети сигнализации, и сигнальным отношением, к которому относится это сообщение.

Возможны следующие режимы сигнализации:

Режим сигнализации - это связь между путем, по которому проходит сигнальное сообщение в сети сигнализации, и сигнальным отношением, к которому относится это сообщение.
  • Связанный режим (Associated Mode) - режим, при котором сообщение, относящееся к данному сигнальному отношению между двумя SP, передается непосредственно по пучку звеньев, соединяющий эти SP. При этом режиме путь сигнального сообщения 'совпадает' с сигнальным отношением.
  • Несвязанный режим - режим, при котором путь сигнального сообщения не 'совпадает' с сигнальным отношением между отправителем и получателем данного сообщения, причем путь этот заранее не определен.
  • Квазисвязанный режим - частный случай несвязанного режима, когда путь сигнального сообщения заранее определен.
ОКС-7 предназначен для использования при связанном и квазисвязанном режимах. Подсистема пользователя не имеет средств, позволяющих избежать нарушения последовательности поступления сообщений, которое возможно при полностью несвязанном режиме с динамичесской маршрутизацией сообщений.

1580923064697.png

Часть передачи сообщений - MTP (Message Transfer Part) является транспортной подсистемой SS7, предназначенной для надежной передачи сигнальных сообщений в правильной последовательности и без ошибок.

Части пользователей - UP (User Parts) функциональные блоки SS7, где генерируются и обрабатываются сигнальные сообщения. Примерами частей пользователей являются:
  • TUP - Telephone User Part
  • ISUP - ISDN User Part
  • MAP - Mobile Application Part
1580923117411.png


На скриншоте базовая функциональная схема.
Пример обмена сообщениями в стеке протоколов SS7 в дампе звонка:

1580923150141.png

ISUP реализует функции управления вызовами с возможностью предоставления абонентам услуг ISDN.

Подсистема ISUP использует стандартные сообщения, формат которых определен спецификациями Q.767.

Сообщения, используемые при установлении и окончании вызова:
  • IAM – Initial Address Мessage – начальное адресное сообщение
  • SAM – Subsequent Address Message – последующее адресное сообщени
  • ACM – Address Complete Message – адрес полный
  • ANM – Answer Message – ответ
  • REL – Release Message – освобождение
  • RCM – Release Complete Message – освобождение выполнено
Содержимое сообщения IAM в дампе:

1580923204087.png

Сообщения ISUP передают по принципу «от звена к звену»

VoIP шлюз Mediant – 3000

1580923369916.png

Многие операторы VoIP использую данный шлюз для обеспечения возможности работать со стеком протоколов SS7, для дальнейшей конвертации голосового трафика в SIP, мы не являемся исключением, хотя и существуют другие варианты.

Mediant™ 3000 – это компактное решение операторского класса с высотой корпуса 2U, имеющее 1 или 2 оптических интерфейса OC-3/STM-1, в каждом из которых может быть организовано от 480 до 2 016 голосовых каналов.

Mediant 3000 предназначены для организации точек присутствия операторов средней емкости, с включением в ТфОП по PRI и/или ОКС-7. Телефонные шлюзы Mediant3000 обеспечивают полное дублирование с автоматическим переключением.

Особенности:

Различные варианты телефонных сигнальных протоколов:
  • CAS (MF-R1: Wink Start, delay dial, immediate start, FGB, FGD, E911 CAMA, MFC/R2)
  • ISDN PRI (ETSI EURO ISDN, ANSI NI2, DMS100, 5ESS, QSIG)
  • SIGTRAN (M3UA/M2UA)
Различные варианты поддерживаемых кодеков, независимо для каждого канала:
  • VoIP (G.711, G.723.1, G.726/7, G.729A/B, EG.711, G.722, G.722.2, G.729.1, RTA-WB, SPEEX, SILK)
  • GSM/UMTS (GSM-FR, GSM-EFR, AMR (8 rates), AMR-WB, iLBC)
  • CDMA (EVRC-B1, C1)
Дополнительный функционал:
  • Передача факсов: T.38, автоматический переход на G.711
  • Поддержка плана набора, маршрутизации и преобразования номера
  • Поддержка QOS
  • PSTN Backup
Контрольные протоколы:
  • MGCP (RFC 3435), TGCP (PacketCable)
  • MEGACO (H.248, RFC 3015)
  • SIP (RFC 3261)
  • IMS Mn - TS 29.332, IMS Mc (TS 29.232)
Конфигурации:
  • 1+0 – один интерфейс OC-3/STM-1 (до 2016 голосовых каналов)
  • 1+1 – два интерфейса OC-3/STM-1 (до 4 032 голосовых каналов)
  • 2+0 – один интерфейс OC-3/STM-1 (до 2016 голосовых каналов) с полным дублированием и автоматическим переключением
Mediant 3000 обеспечивает от 480 до 4032 одновременных голосовых каналов и поддерживает стык с PSTN посредством интерфейсов OC-3/STM1. Таким образом, Mediant 3000 позволяет оператору организовать пакетную передачу голоса по IP, ATM или смешанным IP/ATM сетям.

В нашем случае Mediant – 3000 является точкой коммуникации со многими крупными операторами c помощью технологии передачи каналов с временным уплотнением (Е1) через сети с коммутацией пакетов. Иными словами, когда на совместном колокейшене есть точка присутствия другого оператора, мы можем соединиться с ним проводочком через Mediant, как в локальной сети, тем самым уменьшив нагрузку на VoIP шлюзы и обеспечив отличное качество связи.

Схематичный пример использования Mediant-3000 в сети:

E-SBC_scheme.png

Так выглядит панель управления потоками SS7 в Medant:

1580923797491.png

Сканирование на уязвимости SS7 действующего хоста SS7.

Как показала практика Mediant-3000 не содержит публичных эксплоитов. Обычно доступ к такому оборудованию есть только из корпоративной VPN, к которой нужен отдельный доступ.

Но это осложняется тем, что к VPN могут подключиться только те пользователи, MAC – адрес которых прописан в RADIUS конфиге (Имеются ввиду только рабочие компьютеры)

Запуск сканирования nmap из другой сети на этот адрес, дает такой результат:

1580923831400.png

При том, что из VPN, сканирование дает совершенно иной результат.

Nmap точно определяет открытые порты, коих много, и версию OS Mediant’a.

Так, что анализ уязвимостей Mediant-3000 пока совершенно не продуктивен.

На этом, можно заканчивать. В следующих частях мы попробуем поближе подобраться к VoIP сети извне, проводя анализ уязвимостей других типов аппаратного и программного обеспечения. Ну и конечно, я буду рассказывать о принципах работы Телекоммуникационных операторов и всего, что можно определить термином VoIP и связанных с ним.

Спасибо за внимание, материал подготовлен специально для protey.net.
 
Верх Низ