移动数据网络基础

在移动数据网络中，设备位置追踪至关重要。以KPN为例，其在全国部署约5000个基站，每个基站拥有唯一的蜂窝标识符。为分组管理，采用路由区域码进行区域划分，每个国家拥有独特的移动国家代码。

设备接入网络需具备三大要素：接入点名称、国际移动用户识别码以及存储于SIM卡中的通用集成电路卡。从网络架构角度看，还需基站、归属位置寄存器、GPRS服务支持节点、GPRS网关支持节点及DNS服务器共同协作。

GPRS隧道协议与数据传输

当手机发送数据包时，首先抵达数据网络，经SGSN进行身份验证后，设备通过DNS解析APN名称。随后流量被发送至网关，网关之后的所有通信均采用标准TCP/IP协议。为保障设备独立通信，GPRS隧道协议应运而生，该协议基于UDP实现，具体规范可参考3GPP官方文档。

GRX漫游网络的安全隐患

移动漫游架构与国内网络类似，设备先连接本地网络，本地SGSN再通过归属国HLR进行认证。为实现跨国通信，运营商采用GRX交换网络。理论上GRX应与其他网络隔离，但实际扫描发现：

• 通过BGP路由表分析识别出4800个子网
• 使用zmap进行GTP ping扫描发现4.2万个存活主机
• 其中5500台主机来自15个运营商可直接从互联网访问
• 网络中存在大量老旧易受攻击的BIND DNS和SMTP服务器

渗透测试方法论

研究团队采用典型渗透测试流程：

1. 通过masscan进行端口扫描
2. 使用SGSNEMU模拟SGSN连接GGSN
3. 尝试建立PDP上下文并转发数据包
4. 对网络服务进行全面漏洞扫描

防护建议

运营商可采取以下措施加强GRX安全：

• 从BGP表中移除GRX前缀
• 实施BGP身份验证
• 配置路由器仅接受特定AS号码的前缀
• 实施入口过滤策略，遵循最小权限原则

关于演讲者

Stephen Kho作为KPN首席安全官团队的渗透测试专家，拥有超过10年安全测试经验。Rob Kuiters担任KPN事件响应负责人，长期专注于移动网络安全研究。二人曾共同在OHM 2013安全会议上发表关于4G LTE安全的专题演讲。