0x00 前言
在移動網際網路深入普及和物聯網開始規模應用的今天,網絡安全公司怎能不研究移動安全,要研究移動安全,怎能沒有4G/LTE僞基站研究測試環境?
本文介紹如何利用開源項目和SDR,合法的搭建并使用便攜式4G/LTE僞基站,用于實驗室的安全研究,或者用于使用者授權的實體滲透測試。
0x01 合法開展研究活動
根據國家無線電管理法規,我們需要先取得頻率、裝置和人員許可才能合法的在通信業務頻段進行收發。而已經配置設定給營運商的頻段,需要該營運商同意才能使用。是以,我們做通信實驗時,通常的做法不是申請許可,而是構造一個封閉的電磁空間,即法拉第籠,在這個空間裡進行無線信号的發射和接收不會影響到外部世界。
法拉第籠是由金屬或金屬網包圍形成的一個空間,大可以到一個大房子,小可能就是一個小箱子。測試時,如果法拉第籠比較小,我們就隻把發射和接收無線電信号的天線放在法拉第籠裡面,其它部分仍可放在外面,内外通過饋線連接配接。
0x02 硬體準備
SBC:UP Board, Intel Atom x5-Z8350 四核CPU,4GB RAM,64GB eMMC
SDR:USRP B200mini + USB電纜
天線+饋線+雙工器
充電寶:5V 3A(非常重要)
0x04 軟體準備
1.Ubuntu 16.04 LTS
安裝之後更新
2.必備軟體:Git
國内專享:Shadowsocks、Privoxy
科學上網配置略。
0x05 安裝步驟
1.eNodeB: OpenAirInterface
<a></a>
2.EPC: OpenAir-CN
0x06 配置
1.eNodeB:
找到 ~/openairinterface5g/targets/PROJECTS/GENERIC-LTE-EPC/CONF/enb.band3.tm1.usrpb210.conf 進行如下修改,并另存為enb.band3.tm1.usrpb200.conf。
2.EPC:
修改hosts檔案和hostname,然後重新啟動。
複制EPC配置檔案:
編輯hss.conf
編輯mme.conf
編輯spgw.conf
編輯HSS freediameter配置檔案 (/usr/local/etc/oai/freeDiameter/hss_fd.conf):
編輯MME freediameter配置檔案 (/usr/local/etc/oai/freeDiameter/mme_fd.conf):
0x07 運作
安裝證書:
首次運作HSS:
之後每次運作HSS:
運作MME:
安全測試通常不需要運作SP-GW。
運作eNB:
0x08 進階玩法
1.對TD-LTE的支援
OAI本身支援TD-LTE。但是因為TD系統全網收發同步的要求,僞基站要正常工作,就必須與營運商現網同步。OAI已含有部分通過空中接口信号實作TD同步的代碼,需要進一步修改才能完成與現網同步。
2.精簡代碼
如果我們隻做網絡安全研究,不做通信研究,就不需要完整的EPC。大部分公司隻是研究空口的DoS攻擊和RRC重定向攻擊,每次隻有少量固定格式的網絡封包從MME傳回,是以可以修改代碼,直接傳回我們想要的封包,或者執行我們想要的邏輯,就可以精簡掉EPC,隻運作lte-softmodem一個程序就好了。
3.連接配接營運商核心網
如果能從營運商核心網獲得安全認證四元組:Kasme、AUTN、RAND、XRES,就能通過雙向鑒權,讓LTE手機相信我們的基站是真基站。這需要修改MME的代碼和freeDiameter的配置來實作。
4.同一硬體內建LTE+GSM僞基站
5.架設自己的測試網
如果你對某一種進階玩法感興趣,并且知道大體怎麼實作,歡迎找我組隊,可以一起做點有意思的(開源)通信安全項目,Seeker老師的微信:70772177。
0x09 結束語
在萬物互聯時代,了解LTE可用性和安全性的邊界,事關我們每個人的人身安全和資料安全。
不管你是在開發無人駕駛汽車、醫療裝置、智能電表,還是普通的移動應用,過于相信營運商網絡的可用性和安全性都會帶來安全威脅。不隻是網絡安全公司需要研究無線通信的安全,産品開發者同樣需要。
本文轉自 K1two2 部落格園部落格,原文連結:http://www.cnblogs.com/k1two2/p/7420134.html ,如需轉載請自行聯系原作者