Все під контролем: захищаємо корпоративні розмови

Кейси по вже звичній конвергенції GSM/SIP неодноразово описані на просторах мережі і на Хабре зокрема. У цій статті ми хочемо розповісти трохи про інше.

Нам Tottoli GSM довелося брати участь у проекті, суть якого полягала в розгортанні локальної мережі GSM на території організації з виходом у телефонну мережу загального користування і об'єднанням з існуючою офісної АТС.

image

Завдання проекту:
Максимальне зниження ризиків витоку інформації в мережі GSM.

Вся архітектура вклалася в одній залізці OsmoBTS – UmDESK (MSC/HLR/VLR/AuC/SMSC ). Даний проект є відкритим і дуже гнучким, він дозволяє розробляти свої додатки і створювати свої сервіси. Ну і що важливо – ціна. Весь програмно-апаратний стек open source, про нього написано безліч статей, і переказувати суть ще раз немає сенсу.

В нашій конфігурації вийшло наступне:

Радіоінтерфейс
Питання легітимності використання частот вирішується замовником, на його боці лежить і відповідальність. Тим не менш, щоб зайвий раз не привертати до себе увагу, був просканувати радіочастотний спектр для виявлення вільних частот і визначення використовуваних каналів ARFCN.

image

За результатами сканування були обрані два вільних каналу.

OsmoBTS ми вас є відповідні таким чином, щоб згасання за стінами організації було максимальним, при цьому рівень сигналу на підконтрольній території був достатнім.

Абонентська частина
Усім співробітникам були видані SIM-карти з попередньо встановленими профілями (IMSI/KI/MSISDN) і спеціально розробленими апплетами. Триплети аутентифікації були занесені в HLR/ UmDESK в білий список. Конфігурація HLR була зроблена таким чином, щоб в локальній мережі могли реєструватися будь SIM-карти, але дзвінки здійснювати назовні могли тільки сімки з білого списку HLR. Це дало можливість відстежувати «гостьові» телефонні апарати на рівні своєї мережі, по суті IMSI-catcher. На SIM-карті створений образ локальній мережі, де єдиною дозволеною мережею була локальна мережа. Це було досягнуто шляхом запису параметрів мережі в області PLMN, ну і з допомогою спеціального аплету. Таким чином, працівник, потрапляючи в зону дії локальної мережі, пересідав на неї без можливості переходу на іншу мережу (наприклад, подібну віртуальну BTS «активний комплекс перехоплення»).

SIP PBX
Для взаємодії OsmoBTS з залізом використовується бібліотека libusrp. Далі, з допомогою бібліотек oSIP і oRTP, OsmoBTS створює SIP-дзвінки, які, в свою чергу, спрямовуються на Asterisk PBX. На стороні клієнта знаходиться біллінг та додаткові сервіси.

image

Ось кілька критеріїв, які були задані замовником:

1. Співробітники повинні бути мобільними і мати доступ до спеціальних сервісів в будь-який момент часу.
2. Співробітники можуть використовувати свої мобільні пристрої, до яких вони звикли.
3. Всі сервіси повинні бути доступні незалежно від операційної системи мобільного пристрою.
4. Весь використовуваний трафік з мобільних пристроїв повинен бути доступний Службі Безпеки компанії для аналізу.
5. Всі комунікації всередині мережі не повинні потрапляти на обладнання хост-операторів.
6. Необхідно максимально знизити загрозу перехоплення трафіку по повітрю.
7. Гостьовий абонент не може скористатися послугами зв'язку хост-оператора всередині компанії.
8. Гостьовий абонент має контрольовану можливість використовувати послуги зв'язку тільки в межах локальної мережі.
9. Об'єднати офіси, що знаходяться в різних країнах, в єдину мережу.

Як дуже часто буває, апетит приходить під час їжі. Замовник в процесі експлуатації запропонував реалізувати ще й наступні завдання:

1. Співробітник повинен мати можливість використовувати службову SIM-карту поза локальної мережі.
2. Працівникові мають бути доступні всі сервіси поза локальної мережі.
3. В мережах загального користування у співробітника повинна проводитися зміна аутентификаторов (IMEI/IMSI).
4. Можливість обмінюватися конфіденційною інформацією за допомогою миттєвих повідомлень у зашифрованому вигляді.
5. Мобільний пристрій співробітника повинно мати механізми виявлення помилкових BTS поза локальної мережі.
6. Мобільний пристрій співробітника повинне виявляти атаки активних комплексів перехоплення.
7. Весь трафік (GSM/SMS/DATA/USSD) повинен бути доступний Службі Безпеки компанії для аналізу поза локальної мережі.
8. Весь інтернет-трафік, як усередині локальної мережі, так і поза локальної мережі, повинен проходити через APN замовника та аналізуватися за коштами DPI.

Якщо цей проект викличе інтерес, в наступних статтях блогу Tottoli GSM ми опишемо кожен пункт більш докладно з ілюстраціями і поясненнями.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.