SS7 Protokolle
SS7 ist ein vertrauensbasiertes Signalisierungsprotokoll für Mobilfunk-, Festnetz- und Roaming-Dienste. Fehlende durchgängige Authentifizierung auf klassischen Signalisierungspfaden kann bei kompromittierten oder missbrauchenden Interconnect-Partnern Angriffe auf Standort-, SMS-, Routing- und Teilnehmerdaten ermöglichen.
Keine MITRE Quellen vorhanden.
Details:
Das Signaling System No. 7 (SS7) wurde für eine vertrauensbasierte Umgebung zwischen bekannten Netzbetreibern entwickelt. Das klassische Vertrauensmodell bietet auf vielen Signalisierungsebenen keine durchgängige Ende-zu-Ende-Authentifizierung und Verschlüsselung. Die tatsächliche Schutzwirkung hängt deshalb stark von Netzgrenzen, Betreibervereinbarungen, Screening und zusätzlichen Signaling-Sicherheitskomponenten ab.
Über SS7 beziehungsweise darauf aufbauende Mobilfunkprotokolle werden unter anderem Mobilität, Roaming, SMS-Zustellung, Routing und Teilnehmerdienste unterstützt. Je nach Netzarchitektur und Nachrichtentyp können unzureichend geprüfte Signalisierungsnachrichten beispielsweise Standortabfragen, SMS-Umleitung oder -Abfang, Manipulation von Routing- und Teilnehmerdaten sowie Anrufumleitungen begünstigen.
Die Angriffsfläche liegt nicht nur im Protokoll selbst, sondern auch an Signalisierungsgrenzen, bei Interconnect- und Roaming-Partnern, in Fehlkonfigurationen und in kompromittierten Signaling-Systemen. Traffic Monitoring kann Anomalien sichtbar machen, ersetzt aber keine regelbasierte Prüfung der Herkunft, Richtung, Berechtigung und des fachlichen Kontexts einzelner Nachrichten.
Die Schutzkomponente wird üblicherweise als SS7- beziehungsweise Signaling Firewall bezeichnet. Sie sollte unter anderem SCCP-Global-Title-Screening sowie eine kontextbezogene Prüfung relevanter MAP- und CAP-Operationen unterstützen.
Quellen/Links:
- ITU-T Q.700: Introduction to CCITT Signalling System No. 7
- Tobias Engel: Locating Mobile Phones using SS7, 25C3
- ETSI: Signalling Security
- 3GPP 29-Series: Core Network Protocols
Erkennung:
Eine Erkennung am Smartphone ist bei netzseitigen SS7-Angriffen in der Regel nicht zuverlässig möglich. Die Überwachung muss deshalb an Signalisierungsgrenzen und in den Kernnetzsystemen erfolgen.
Relevante Indikatoren sind ungewöhnlich viele oder geografisch unplausible Standortabfragen, MAP- oder CAP-Operationen durch nicht erwartete Partner, wiederholte Fehler- und Ablehnungsmuster, unerwartete SMS-Zustell- oder Routingänderungen, massenhafte Abfragen einzelner Teilnehmer sowie Aktivitäten außerhalb üblicher Partner- und Zeitprofile.
Für eine belastbare Bewertung sollten Signaling-Firewall-Logs, SCCP- und MAP-/CAP-Protokolle, Roaming- und Interconnect-Daten sowie Änderungen an Routing- und Teilnehmerkonfigurationen zentral korreliert werden.
Quellen/Links:
Gegenmaßnahmen:
An allen Signalisierungsgrenzen sollten dedizierte SS7- beziehungsweise Signaling-Firewalls eingesetzt werden. Erforderlich sind striktes SCCP- und Global-Title-Screening, die Beschränkung auf erwartete Partner und Herkunftsnetze sowie eine regelbasierte Prüfung relevanter MAP- und CAP-Nachrichten.
Nicht benötigte Operationen und Parameter sollten blockiert werden. Abfragen zu Standort, SMS, Routing und Teilnehmerdaten müssen auf Richtung, Partner, Ziel, Häufigkeit und fachlichen Kontext geprüft werden. Roaming- und Interconnect-Partner sind regelmäßig zu überprüfen; Vertrauensbeziehungen und Routingtabellen müssen nach dem Prinzip der minimalen Berechtigung gepflegt werden.
Zusätzlich erforderlich sind zentrale manipulationsgeschützte Logs, SIEM-Anbindung, Alarmierung bei Anomalien, getrennte Administrationszugänge, starke Authentifizierung sowie regelmäßige Tests der Filterregeln. Bei einem Verdacht sollten betroffene Partnerverbindungen oder Operationen kontrolliert eingeschränkt, Beweisdaten gesichert und die Konfiguration forensisch geprüft werden.
Quellen/Links: