移动数据网络基础
在移动数据网络中,设备位置追踪至关重要。以KPN为例,其在全国部署约5000个基站,每个基站拥有唯一的蜂窝标识符。为进行区域分组,网络使用路由区域码,而每个国家都有独特的移动国家代码。
网络接入需要三大要素:接入点名称、国际移动用户识别码以及存储在SIM卡中的通用集成电路卡。从网络架构角度看,还需基站、归属位置寄存器、GPRS服务支持节点等组件协同工作。
当手机发送数据包时,首先进入数据网络,经SGSN进行身份验证后,设备通过DNS解析APN名称。随后流量被发送至网关,网关之后的所有通信均采用标准TCP/IP协议。
GPRS隧道协议与安全隐患
为确保设备间通信隔离,GPRS隧道协议应运而生。该协议基于UDP,存在三个主要版本。电信系统遭入侵时,黑客可能对协议中的国际移动用户识别码、隐藏APN及位置标识字段感兴趣。
漫游数据与GRX网络
移动漫游架构与国内网络类似,设备通过本地SGSN连接至归属国的HLR进行认证。为实现跨国流量传输,运营商采用GPRS漫游交换网络。理论上GRX应与其他网络隔离,但实际存在严重安全隐患。
技术渗透方法
研究团队采用典型渗透测试方法:
- 通过BGP路由表分析识别4.8K个子网
- 使用zmap进行GTP ping扫描发现启用GTP的设备
- 利用SGSNEMU模拟器尝试建立PDP上下文
- 对运营商DNS服务器进行安全评估,发现多数运行存在漏洞的旧版Bind
网络暴露现状
扫描结果显示GRX网络中存在大量非必要服务:
- 可公开访问的SMTP服务器集群
- 存在漏洞的FTP/Telnet服务
- 42K个GRX主机中5.5K个可直接从互联网访问 这种架构缺陷使得攻击者可能通过入侵外围设备渗透GRX核心网络。
对比比利时电信攻击案例
与直接攻击管理员的方式不同,本研究展示了通过技术漏洞渗透的可能性。GRX流量包含用户身份、位置和行为数据,其网络隔离不足问题亟待解决。
安全加固建议
运营商应采取以下措施:
- 从BGP表中移除GRX前缀
- 实施BGP身份验证
- 配置路由器仅接受特定自治系统的前缀
- 实施入口过滤策略,遵循最小权限原则
演讲者背景
Stephen Kho是KPN的首席信息安全官团队渗透测试专家,拥有十年以上安全测试经验。Rob Kuiters作为KPN-CERT事件响应专家,长期从事移动网络安全研究。二人曾共同发表关于4G LTE安全的突破性研究报告。