[Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 4: Angriffe auf das Zeichengabesystem 7
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Kapitel 4: Angriffe auf das Zeichengabesystem 7

Sicherheit im ISDN

4Das Zeichengabesystem 7

4.1Einleitung

Dieses Kapitel beschäftigt sich mit der Sicherheit in den oberen Ebenen der Telekommunikationsnetze. Nachdem in den beiden vorangegangenen Kapiteln die Sicherheit der Endgeräte und der Vermittlungsstellen betrachtet wurde, steht jetzt das Netzwerk zwischen den Vermittlungsstellen im Vordergrund. Dieses Netzwerk erstreckt sich von den Teilnehmervermittlungsstellen in der Ortsebene über mehrere Hierarchiestufen bis hin zum weltumspannenden internationalen Zeichengabenetz. Große Teile davon werden mit dem CCITT-Zeichengabesystem 7 betrieben.

4.2Zeichengabesysteme

Zur Steuerung der Telekommunikationsnetze benötigt man die Möglichkeit, Informationen parallel zu den eigentlichen Nutzdaten der Verbindungen zu übertragen. Dazu gibt es prinzipiell zwei Möglichkeiten: Signalisierung im Sprachkanal und in einem eigenen Steuerkanal.

4.2.1Im-Band-Signalisierung1

Früher verwendete man zur Steuerung die sogenannte Im-Band-Signalisierung: Auf die übertragene Sprache wird die Steuerinformation aufmoduliert und im selben Kanal übertragen. Auch heute noch funktionieren einige nationale analoge Netze nach diesem Prinzip. Darunter auch das analoge Netz der Telekom. Hier kommen Impuls- und Mehrfrequenzzeichengabe zum Einsatz:

Bei den noch nicht digitalisierten Ortsvermittlungsstellen im Netz der Telekom wird das Impulszeichengabesystem verwendet.

Für jede zu wählende Ziffer wird eine entsprechende Anzahl Unterbrechungen auf der Telefonleitung erzeugt. Es gibt nur die Ziffern 0-9. Die Sonderwählzeichen * und # können nicht dargestellt werden.

Auch die bereits digitalisierten Ortsvermittlungsstellen verstehen die Impulszeichengabe noch, damit die Kunden ihre alten Endgeräte weiterverwenden können. Neue Endgeräte sind aber immer für Mehrfrequenzzeichengabe ausgerüstet.

Bis Ende 1997 werden alle Ortsvermittlungsstellen in Deutschland digitalisiert sein.

Die Mehrfrequenzzeichengabe wird in Deutschland erst seit Beginn der Digitalisierung des Telekommunikationsnetzes verwendet. Sie kommt bei analogen Anschlüssen an digitalen Vermittlungsstellen2 zum Einsatz

In den USA wird dieses Verfahren schon länger verwendet. Die Endgeräte erzeugen für jede zu wählende Ziffer einen Ton, der aus zwei verschiedenen Frequenzen zusammengesetzt wird. Der Teilnehmer kann an seinem Endgerät Töne für die Ziffern 0-9 und die Sonderziffern * und # erzeugen und so Verbindungen zu anderen Teilnehmern aufbauen und steuern.

Mit anderen Frequenzen, aber nach dem selben Prinzip wurde in den USA auch die Steuerung der Vermittlungsstellen durchgeführt. Inzwischen wird dort auch das Zeichengabesystem 7 eingesetzt.

4.2.2Das Problem des Blueboxing

Hacker haben schnell herausgefunden, daß sie die passenden Töne zur Steuerung des Netzes auch selbst erzeugen und damit kostenlos telefonieren können: Sie wählten eine kostenlose Telefonnummer, signalisierten dem Netz, sie hätten aufgelegt und ließen sich von der überlisteten Vermittlungsstelle zu einem Gesprächspartner ihrer Wahl verbinden. Nach der Farbe des ersten dafür gebauten Geräts nennt man diese Art des Gebührenbetrugs auch Blueboxing.

Die Telefongesellschaften reagierten auf den Betrug zunächst, indem sie regelmäßig die verwendeten Frequenzen wechselten. Doch die Hacker waren schneller. Sie hatten die neuen Codes meist schon vor dem Inkrafttreten von Mitarbeitern der Telefongesellschaften gekauft.

In einem zweiten Schritt wurde zusätzliche Hardware in den Vermittlungsstellen installiert, die die betrügerischen Töne filterte, wenn sie von einem Teilnehmer kamen. Zum Teil waren diese Filter aber genauer eingestellt, als die Auswerter für die Töne, die geschützt werden sollten: Die Hacker variierten die Frequenzen ein wenig und konnten weiter betrügen. Daraufhin wurden Geräte installiert, die ein breiteres Frequenzspektrum filtern konnten, indem sie Töne aus diesem Bereich etwas anhoben oder senkten, so daß sie außerhalb des erkannten Bereichs lagen. Doch auch das konnte Hacker nicht aufhalten: Sie sendeten Töne, die entsprechend zu hoch oder zu tief lagen. Diese wurden dann von den Filtern in die richtige Frequenz umgesetzt.

In Deutschland war blueboxing nie weit verbreitet. Die wenigen Blueboxer wählen sich über 0130-Nummern ausländischer Unternehmen in andere Netze und treiben dort ihr Unwesen.

4.2.3Außer-Band-Signalisierung3

Die richtige Lösung für das Problem des Blueboxing brachte erst der Umstieg auf die außer-Band-Signalisierung im Zusammenhang mit der Digitalisierung der Telekommunikationsnetze. Hier werden die Steuerinformationen über ein eigenes, von den Nutzverbindungen unabhängiges Netz übertragen. Damit stehen die Nutzkanäle voll transparent zur Verfügung: Die Kommunikationspartner können übertragen was sie wollen, sie werden damit nie das Netz an sich beeinflussen.

Ein weiterer Vorteil ist die Möglichkeit, Steuerungsinformationen auch unabhängig von einer Nutzkanal-Verbindung zu übertragen. Das wird vor allem bei intelligenten Netzen und bei Mobilfunknetzen genutzt.

Außerdem können bei Außer-Band-Signalisierung auch während einer aktiven Verbindung Steuerungsinformationen ausgetauscht werden, ohne die Verbindungsqualität zu beeinflussen.

Bei inband-Zeichengabe stört Übermittlung des Gebührenimpulses mit 16 kHz-Tönen beispielsweise die Datenübertragung mit Modems.

Ein System, mit dem außer-Band-Signalisierung durchgeführt wird, ist das Zeichengabesystem 7. Auch der Vorgänger, Zeichengabesystem 6 arbeitete bereits auf diese Weise, wurde aber wegen verschiedener Mängel abgelöst.

4.3Der Aufbau des CCITT Zeichengabesystems 74

In digitalen Telekommunikationsnetzen wird heute zunehmend das CCITT-Zeichen­gabesystem 75 zur Steuerung verwendet. Zahlreiche Netzbetreiber auf der ganzen Welt haben ein solches System bereits eingeführt oder planen die Einführung in naher Zukunft. Zwischen den Vermittlungsstellen innerhalb eines Netzes und zwischen verschiedenen Netzen existieren eigene Zeichengabe-7-Netzwerke, die die Steuerungsaufgaben wahrnehmen.

Im Folgenden werden das ZGS 7 und die damit aufgebauten Netze beschrieben, dann folgen Sicherheitsbetrachtungen.

Die ersten Teile des ZGS-7 sind bereits vor der Verabschiedung des ISO/OSI 7-Schichten-Modells veröffentlicht worden. Sie sind in vier Schichten gegliedert, die in ihren Aufgaben von denen des 7-Schichten-Modells abweichen. Bei später definierten Teilen des ZGS-7 wurde streng nach dem OSI-Modell vorgegangen.

Im Folgenden werden die für die ISDN-Netze wichtigsten Teile kurz beschrieben:

4.3.1Der message-transfer-part MTP6

Der Nachrichten-Transferteil (message-transfer-part, MTP) stellt eine Verbindung zwischen zwei benachbarten Zeichengabepunkten her und sorgt für eine ausfallsichere Übertragung der Steuerungsinformationen zwischen ihnen. Er übernimmt die Aufgaben der unteren drei Schichten des ZGS-7. Dazu gehören die physikalische Übertragung der Daten über den Kanal in Schicht 1, die Zeichengabestreckenfunktionen und Ausfallsicherungen in Schicht 2 und die Zeichengabenetzfunktionen mit routing7 in Schicht 3.

Die Funktionen des MTP sind grundlegend für alle anderen Teile und müssen deshalb in jedem Knoten des ZGS-7-Netzwerks implementiert sein.

Auf den MTP werden in der Schicht 4 verschiedene Anwenderteile aufgesetzt. Sie stellen virtuelle Ende-zu-Ende-Beziehungen zwischen der Ursprungs- und der Zielvermittlungsstelle her und sind im Folgenden näher beschrieben:

4.3.2Der ISDN-user-part ISUP8

Der ISDN-Anwenderteil (ISDN-user-part, ISUP) ist die Schnittstelle zwischen den Vermittlungsstellen und dem ZGS-7-Netz. Er wurde als hardwareunabhängige Schnittstelle zwischen ISDN-Vermittlungsstellen definiert. Dadurch können Vermittlungsstellen verschiedener Hersteller über ihn kommunizieren und Nutzkanalverbindungen zwischen je zwei benachbarten Vermittlungsstellen auf- und abbauen. Durch das Hintereinanderschalten mehrerer Verbindungsabschnitte werden Ende-zu-Ende Verbindungen von der Ursprungs- zur Zielvermittlungsstelle erzeugt. Der ISUP stellt damit die Unmittelbare Verlängerung des D-Kanal-Protokolls über die Grenzen einer Vermittlungsstelle hinaus dar.

4.3.3Der signalling-connection-control-part SCCP9

Der Steuerteil für Zeichengabeverbindungen (signalling-connection-control-part, SCCP) nimmt eine besondere Rolle ein: Er baut selbst auf der Ebene 3 auf, stellt aber auch für andere Schicht-4-Teile besondere Funktionen der Schicht 3 bereit. Je nach Betrachtungsweise gehört er deshalb der Schicht 3 oder 4 an.

Über den SCCP werden die virtuellen Ende-zu-Ende-Verbindungen zwischen den Vermittlungsstellen auf- und abgebaut.

4.3.4Der transaction-capability-application-part TCAP10

Der Anwenderteil für Transaktions-Funktionen (transaction-capability-application-part, TCAP) dient dazu, nicht-Nutzkanal-bezogene Informationen über das Zeichengabenetz auszutauschen. Die Einrichtungen des Zeichengabenetzes werden zunehmend dezentralisiert. Außerdem werden immer neue Dienste hinzugefügt. Um beides weiterhin verwalten zu können wurde ein Nutzkanal-unabhängiger Informationsaustausch nötig.

Mit Hilfe des TCAP können Funktionen intelligenter Netze bereitgestellt werden. Dazu gehören beispielsweise die Datenbanken für die Services 0130, 0180 und 0190. Sie sind nur wenige Male in replizierter Form im gesamten deutschen Netz vorhanden. Will ein Teilnehmer eine solche Nummer anwählen, so sendet die Ursprungsvermittlungsstelle mittels einer TCAP-Nachricht eine Anfrage an die zuständige Datenbank. Als Antwort erhält sie die tatsächliche Rufnummer des gewünschten Teilnehmers. Zu diesem wird dann auf dem üblichen Wege eine Nutzkanalverbindung aufgebaut.

aus [ban95] Seite 177

4.3.5Der operations-maintenance-and-administration-part OMAP11

Der Anwenderteil für Bedienen und Unterhalten (operations-maintenance-and-admini­stration-part, OMAP) stellt Funktionen für die Steuerung des Netzes selbst bereit. Diese Funktionen dienen nicht dem Auf- und Abbau von Nutzkanälen, sondern sollen ausschließlich die Funktionsfähigkeit des Zeichengabenetzes sicherstellen.

Management-Funktionen des TMN12 sind sowohl Funktionen zur Steuerung der Vermittlungsstellen als auch solche zur Steuerung des ganzen Netzes. Zu den Funktionen zur Steuerung der Vermittlungsstellen gehören zum Beispiel das Einrichten und Verwalten von Teilnehmern. Zu den Netzsteuerungs-Funktionen gehört das Verkehrsmanagement. Hinzu kommen Funktionen zur Verwaltung der routing-Tabellen in den Zeichengabepunkten.13

Das Folgende Bild14 verdeutlicht die Zusammenhänge. Links stehen die Schichten des ISO/OSI-7-Schichten-Modells und rechts die Ebenen des Zeichengabesystems 7.


4.4Zeichengabe-7-Netzwerke

4.4.1Aufbau und Bestandteile

Ein ZGS-7 Netzwerk besteht im wesentlichen aus drei Komponenten: Zeichengabe-Endpunkten, Zeichengabe-Transferpunkten und Zeichengabestrecken.

Zeichengabe-Endpunkte15 sind die Einrichtungen im Netz, von denen eine Zeichengabebeziehung ausgeht oder bei denen sie endet. Das können neben Vermittlungsstellen auch Datenbanken für Mobilfunk- oder intelligente Netze sein.

Zeichengabe-Transferpunkte16 sind die Einrichtungen im Netz, die der Verbindung der beiden Zeichengabe-Endpunkte einer Zeichengabebeziehung dienen. Sie werten ankommende Informationen nicht aus sondern leiten sie auf dem Weg zum Empfänger an den nächsten Zeichengabe-Punkt weiter. Sie übernehmen also die Aufgabe der Router des Netzwerks.

Zeichengabestrecken sind die Verbindungen zwischen Zeichengabe-Punkten.

Ein Zeichengabenetz wird so aufgebaut, daß von jedem Zeichengabe-Endpunkt jeder andere Zeichengabe-Endpunkt zu erreichen ist. Je mehr verschiedene Wege es dabei gibt, desto besser ist das Netz gegen Ausfälle geschützt. Wichtige Einrichtungen wie zum Beispiel Flughäfen können immer über verschiedene Leitungswege erreicht werden. Beim Ausfall des Hauptweges kann zumindest ein Notbetrieb über einen Ersatzweg aufrecht erhalten werden.

4.4.2Kapazität des Zeichengabenetzes

Ein großer Nachteil der Nutzkanal-abhängigen Zeichengabe im herkömmlichen Telefonnetz ist die schlechte Netzauslastung. Hier wird vor und nach der eigentlichen Nutzverbindung ein Ende-zu-Ende-Kanal für die Zeichengabe benötigt. Da es nur Nutzkanäle einheitlicher Kapazität gibt, müssen diese dafür verwendet werden. In der Verbindungsauf- und abbauphase wird aber nur ein sehr geringer Teil ihrer Bandbreite genutzt.

Diesen Nachteil haben eigene Zeichengabenetze nicht. Sie können mit einem einzigen 64 kBit/sec-Kanal etwa 1000 bis 2000 Nutzkanäle gleichzeitig steuern.

Dafür wird ein solcher Nutzkanal zum Zeichengabekanal umfunktioniert. Gemäß einer CCITT-Empfehlung handelt es sich dabei meist um den 16. der insgesamt 32 Kanäle einer 2 MBit-Leitung. Fällt dieser aus, wird ein anderer Nutzkanal belegt.

4.4.3Routing im ZGS-7

Jeder Zeichengabe-Punkt17 wird eindeutig durch einen 14bit langen Zeichengabe-Punkt-Code (signalling-point-code, SPC) gekennzeichnet. Jede Nachricht enthält sowohl den SPC des Ursprungs- (OPC - originating PC) als auch des Ziel-Zeichengabepunkts (DPC - destination PC).

In der Ebene 3 des MTP wird anhand dieser Information jedes eingehende Paket in einem Zeichengabepunkt überprüft, ob es für diesen Punkt bestimmt ist oder nicht. Pakete für andere Zeichengabepunkte werden anhand einer routing-Tabelle18 weitergeleitet. Dazu verfügt er über eine Tabelle, in der alle möglichen Ziel-Zeichengabepunkte und der zu verwendende Zeichengabeweg eingetragen sind. Jeder Zeichengabepunkt hat mehrere direkte Nachbarn, mit denen er über Zeichengabewege verbunden ist. Zusätzlich sind in der routing-Tabelle deshalb bis zu drei alternative Zeichengabewege eingetragen. Über sie wird bei Ausfall eines Hauptweges umgeleitet.

Die routing-Tabellen sind fest vorgegeben und werden nicht dynamisch an die Last auf einzelnen Streckenabschnitten angepaßt. Das erhöht die Gefahr der lokalen Überlast, obwohl im Netz genügend freie Kapazitäten vorhanden sind. Die Tabellen werden von Wartungspersonal mit Hilfe von Computerprogrammen bestimmt und von Zeit zu Zeit an Veränderungen im Netz angepaßt.

4.4.4Netzübergänge

Die verschiedenen ZGS-7-Netze weltweit sind zunächst gegeneinander abgeschottet. Damit auch Kunden unterschiedlicher Netzbetreiber miteinander telefonieren können, müssen aber Verbindungen zwischen deren Zeichengabenetzen bestehen. Zu diesem Zweck gibt es ganz bestimmte Netzübergänge, sogenannte Gateways. Sie gehören jeweils zwei Zeichengabenetzen an. In beiden Netzen haben sie einen eigenen signalling-point-code (SPC) und eine eigene Zeichengabeverbindung zu den Nachbarn. In den routing-Tabellen in einem Netz wird eingetragen, daß alle Nachrichten, die das Netz verlassen sollen, an einen der Netzübergänge zu schicken sind. Der sendet das Paket seinerseits über seine andere Verbindung in das andere Netz. Das muß nicht unbedingt das Zielnetz sein.

Die festgelegten Netzübergänge geben den Netzbetreibern die Chance, Sicherheitsüberprüfungen einzubauen. Alle Pakete, die einen Netzübergang passieren wollen, werden in mehreren Ebenen überprüft, ob sie den internationalen Normen entsprechen. Erst wenn ein Paket die Prüfungen überstanden hat, wird es in das andere Netz gesendet. Natürlich kann man die Überwachung an dieser Stelle auch auf den Inhalt der Nachrichten ausdehnen.

4.4.5Das Telekom-Netz

Das Fernsprech- und ISDN-Netz der Telekom umfaßt etwa 6200 Ortsvermittlungsstellen in etwa 4000 Ortsnetzen. Einige Ortsnetze haben also mehrere Vermittlungsstellen. In der Regel werden dann die Teilnehmernummern in Bereiche gleicher Anfangsziffern aufgeteilt.

Die Vermittlungsstellen sind zum Teil direkt mit ihren Nachbarn verbunden. Damit Ferngespräche nicht über eine große Anzahl von Zwischenvermittlungsstellen geleitet werden müssen, gibt es zusätzlich ein eigenes Fernnetz. Es besteht aus etwa 600 weiteren Vermittlungsstellen. An sie sind keine Teilnehmer direkt angeschlossen.

Es gibt auf logischer Ebene zwei dieser Netze: Eins für die Nutzkanäle und ein weiteres für die Steuerkanäle des ZGS-7-Netzes. Physikalisch gesehen benutzt das Zeichengabenetz aber normale Nutzkanäle. Sie werden lediglich für die Zeichengabe reserviert. Das ist zum einen wirtschaftlicher, weil keine eigenen Kanäle vorgehalten werden müssen und zum anderen ausfallsicher, weil jeder beliebige Nutzkanal für die Zeichengabe verwendbar ist.

4.4.6Das nationale Netz

Zusätzlich zum ZGS-7-Netz der Telekom gibt es in Deutschland noch die unabhängigen Netze der Mobilfunkbetreiber und zunehmend der privaten Festnetzbetreiber. Sie sind ganz ähnlich aufgebaut wie das Telekom-Netz und arbeiten auch mit dem Zeichengabesystem-7. Damit Kunden der verschiedenen Netzbetreiber mit Kunden aus anderen Netzen kommunizieren können, wurde ein deutsches Transfernetz eingerichtet. Es enthält nur Zeichengabe-Transferpunkte und keine Zeichengabe-Endpunkte.

Die folgende Abbildung19 zeigt schematisch die deutsche Netzlandschaft. In der Mitte ist das nationale Transfernetz dargestellt. Daran schließen sich die Netze der verschiedenen Netzbetreiber an.

In den meisten anderen Ländern gibt es keine nationalen Zwischennetze. Dort werden die Netze der einzelnen Betreiber direkt miteinander und mit dem internationalen Netz verbunden. Das spart zwar die zusätzlichen Kosten, ist aber unsicherer, weil kritische Pakete nicht erkannt und gefiltert werden.20

4.4.7Das internationale Netz

Auch auf internationaler Ebene müssen die Betreiber der Telekommunikationsnetze Informationen zur Steuerung ihrer Netze austauschen. Dafür wurde ein eigenes internationales Zeichengabe-Transitnetz geschaffen, das wiederum über Gateways zu allen nationalen Netzen21 verfügt. Das internationale Zeichengabe-Transitnetz hat eine eigene Netzkennung: Alle signalling-point-codes dieses Netzes beginnen mit einer 0, alle nationalen mit einer 1. Da nie zwei nationale Netze direkt verbunden sind, dürfen die nationalen SPCs frei vergeben werden, nur die internationalen werden koordiniert.

Nicht alle Telekommunikationsnetze weltweit werden mit dem ZGS-7 betrieben. Deshalb muß das internationale Netz auch über Gateways in Netze mit anderen Zeichengabesystemen verfügen. In den Gateways wird die jeweilige Protokollumsetzung vorgenommen. Die Zusammenarbeit zwischen verschiedenen Netzprotokollen nennt man Interworking.

Das folgende Bild22 zeigt schematisch die Funktion des internationalen Transitnetzes und das Zusammenwirken mit den Netzen der einzelnen Länder.

4.4.8Interworking23

Man kann in einem internationalen Netz wie dem Telefonnetz nicht schlagartig ein neues Zeichengabesystem einführen. Deshalb sind immer mehrere Zeichengabesysteme parallel im Einsatz, manchmal sogar innerhalb eines Landes. Diese Systeme müssen zusammenarbeiten können.

Das Zeichengabesystem 7 setzt sich weltweit immer mehr durch. Daneben gibt es aber noch eine ganze Reihe analoger und ein paar digitale Zeichengabesysteme. Damit Verbindungen zwischen den Netzen mit unterschiedlichen ZGS möglich sind, müssen Schnittstellen geschaffen werden. Das sind Protokollumsetzer in den Vermittlungsstellen, die an zwei verschiedenen Netzen angeschlossen sind.24 Ihre Aufgabe ist es, Zeichen gleicher Bedeutung zwischen den Darstellungen in den Systemen zu übersetzen. Das ist aber nicht immer möglich, denn in manchen Zeichengabesystemen gibt es Zeichen, die in anderen nicht vorgesehen sind oder nicht benötigt werden. Unter Umständen muß also ein Zeichen aus dem einen System in mehrere Zeichen des anderen übersetzt werden. Manchmal ist eine Übersetzung auch gar nicht möglich. Dann geht in jedem Fall Information verloren.

Solange nicht in allen Netzen weltweit ein Zeichengabesystem eingesetzt wird, das Sicherheitsfunktionen bietet, kann Sicherheit nicht zum Pflichtteil der Zeichengabe werden: Bei der Umsetzung der Pakete aus einem Netz ohne Sicherheitsunterstützung in ein Netz mit solchen Funktionen müssen Pakete als unsicher gekennzeichnet werden können. Dann kann aber auch ein Angreifer die Sicherheitsmechanismen umgehen.

4.5Ablauf eines Telefonats aus Sicht des Zeichengabesystems


aus [ban95] Seite 252

Das linke Bild zeigt exemplarisch den Verbindungsaufbau zwischen zwei Teilnehmern in verschiedenen Ortsnetzen. Der initiierende Teilnehmer A ist links dargestellt, der Angerufene B rechts. Die verwendeten Symbole sind im Bild rechts erklärt.

4.5.1Zwischen dem Anrufer und seiner Ortsvermittlungsstelle

Der Anrufer A kommuniziert mit seiner Vermittlungsstelle über den D-Kanal seines Anschlusses:

  • A nimmt den Hörer ab

  • sein Endgerät sendet „setup“ zur Vermittlungsstelle

  • diese Antwortet mit „setup acknowledge“

  • und legt das Freizeichen an den ausgewählten B-Kanal

  • In aufeinanderfolgenden „information“-Nachrichten sendet A die Ziffern der Telefonnummer von B

  • Wenn es bei B klingelt, sendet die Vermittlungsstelle „alerting“ an A und erzeugt im B-Kanal die hörbaren Klingelzeichen

4.5.2Zwischen der Ursprungs- und der Transitvermittlungsstelle

Die Vermittlungsstellen untereinander kommunizieren über ZGS-7-Nachrichten:

Die Ursprungsvermittlungsstelle wird im Folgenden mit UVSt, die Transitvermittlungsstelle mit TVSt und die Zielvermittlungsstelle mit ZVSt abgekürzt.

  • Sobald die UVSt die „setup“-Nachricht von A erhalten hat, sendet sie eine erste Adressierungs-Nachricht (initial address-message IAM) an die TVSt

  • Jede von A eintreffende Wahlziffer wird in einer weiteren Adress-Nachricht (subsequent address message, SAM) an die TVSt durchgereicht

  • Diese antwortet, sobald es beim B-Teilnehmer klingelt

  • Außerdem schickt die TVSt eine address-complete-message (ACM). Ab dann werden weitere Wahlziffern nicht mehr weitergeleitet oder ausgewertet

  • Sobald sich der Angerufene gemeldet hat, sendet die TVSt der UVSt eine „answer“-Nachricht (ANS)

  • Jetzt ist der Nutzkanal durchgeschaltet

4.5.3Zwischen der Transit- und der Zielvermittlungsstelle

Auch hier findet das ZGS-7 Anwendung.

  • Die TVSt reicht alle eintreffenden Wahlziffern an die ZVSt weiter

  • Die ZVSt reserviert einen Nutzkanal

  • Sobald die Rufnummer vollständig ist, wird B gerufen

  • Das zeigt die ZVSt der TVSt durch die address-complete-message (ACM) an

  • Sobald B den Hörer abhebt, sendet die ZVSt der TVSt eine answer-Nachricht

  • Gleichzeitig schaltet sie den Nutzkanal von der TVSt mit dem ausgewählten B-Kanal von B zusammen

4.5.4Zwischen der Zielvermittlungsstelle und dem Angerufenen

Hier wird wieder über das D-Kanal-Protokoll signalisiert.

  • Sobald die Wahlziffern vollständig bei der ZVSt eingetroffen sind, sendet sie eine „setup“-Nachricht an B

  • Die kompatiblen Endgeräte bei B antworten mit „alerting“, daß sie klingeln

  • Sobald B den Hörer abhebt, sendet das Endgerät „connect“ zur ZVSt

  • Die schaltet den Nutzkanal durch und antwortet mit „connect acknowledge“

4.6Sicherheit im Zeichengabesystem 7

Die Telekommunikationsnetze weltweit bilden zusammen ein hochkomplexes System. Je stärker die Netze verflochten sind, desto größer ist ihre Angreifbarkeit und das mögliche Schadensausmaß. Für die Sicherheit in den Netzen sind die jeweiligen Netzbetreiber selbst verantwortlich. Es darf einem Angreifer nicht gelingen, von irgendeinem Ort in der Welt Telekommunikationsnetze in anderen Ländern zu attackieren.

Das Zeichengabesystem 7 ist aber nicht unter Sicherheitsaspekten entworfen worden. Es verwendet weder Authentisierung noch Verschlüsselung und ist deshalb prinzipiell angreifbar.

Hinzu kommt, daß die ZGS-7-Netze der verschiedenen Ebenen wegen ihrer Komplexität nicht leicht zu überblicken sind. Ein Angreifer kann deshalb darauf hoffen, eine Weile unentdeckt zu bleiben.

Dem versuchen die Netzbetreiber mit folgenden Sicherheitsmaßnahmen zu begegnen:

4.6.1Transitnetze und Paketfilter in den Netzübergängen

Der wirksamste Schutz ganzer Zeichengabenetze ist das Transitnetz.25 Dadurch werden die Netze verschiedener Betreiber voneinander abgeschottet.

An den Grenzen der Netze werden unzulässige Pakete aus dem Datenstrom herausgefiltert. Damit sichern sich die Betreiber gegen verschiedene Angriffe ab: Zum einen gegen die unbefugte und unentgeltliche Benutzung ihrer Netze durch Andere. Zum anderen aber auch gegen Angriffe auf die Stabilität ihres Netzes.

In den USA gibt es solche Netzübergänge nur zum internationalen Netz. Die verschiedenen nationalen Netzbetreiber haben ihre Zeichengabenetze stark vermascht. Ein nationales Zeichengabe-Transfernetz wie in Deutschland gibt es dort nicht. Das macht die einzelnen Netze untereinander angreifbar, was in der Vergangenheit auch schon zu großen Problemen geführt hat.

4.6.2Umleitung bei Ausfall eines Knotens26

Ein ZGS-7-Knoten wird so ausgelegt, daß er in 95% aller Fälle etwa zu 20% ausgelastet ist. Bei Ausfall eines Netzknotens kann so der Informationsfluß über einen anderen Knoten umgeleitet werden, ohne diesen gleich zu überlasten.

4.6.3Lastabwehr

Wenn ein Netz mehr mit Nachrichten zur eigenen Steuerung als mit Nachrichten zur Steuerung von Nutzkanälen beschäftigt ist, wird der Betrieb der Nutzkanäle erheblich gestört. Obwohl dann ausreichend freie Nutzkanäle vorhanden sind, können neue Verbindungen zum Teil nicht aufgebaut werden.

Um zu verhindern, daß das Netz durch Überlast nicht mehr funktionsfähig ist, setzt die Schicht 2 des MTP gezielt Verfahren zur Lastabwehr ein:27

Wenn ein Zeichengabepunkt überlastet ist, füllt sich sein Eingangspuffer immer mehr. Bei Erreichen einer kritischen Grenze quittiert der Knoten keine empfangenen Nachrichten mehr und sendet statt dessen die Statuskennung für Überlast.28 Dadurch können benachbarte Knoten ihre Pakete aber auch nicht mehr absenden, so daß bei ihnen auch eine Überlast entstehen kann. Lawinenartig könnten so immer mehr Teile des Zeichengabenetzes betroffen werden. Deshalb ist der Zustand „Überlast“ nur für wenige Sekunden erlaubt. Wenn der Zeichengabepunkt danach nicht in den Normalzustand zurückkehrt, wird er vorübergehend außer Betrieb genommen. Die angestauten Informationen in den Nachbarknoten werden dann über alternative Wege geleitet.

4.6.4Das Überwachungssystem AcceSS7

Das weltweit am häufigsten eingesetzte Sicherheitssystem für das Zeichengabesystem 7 ist AcceSS7 von der Firma Hewlett-Packard.

Es basiert auf Multiprozessor-Rechnern des Typs HP9000 und dem HP-eigenen Unix HP-UX. Die Software ist in C geschrieben. Der Hersteller liefert verschiedene Pakete mit. Sie dienen der Abrechnung, der Abrechnungskontrolle, der Verkehrskontrolle, der Netzplanung, der Auslastungsanalyse und der Betrugsidentifikation. Darüber hinaus kann der Netzbetreiber als Nutzer eigene Software schreiben und so die Funktionen des Systems fast beliebig erweitern.

Von jedem Anruf wird ein Datensatz erzeugt, der sogenannte call-detail-record. Er enthält alle wichtigen Daten über den Anruf, darunter Datum, Uhrzeit, Dauer, anrufender Teilnehmer, angerufener Teilnehmer. Alle Datensätze werden zumindest für eine kurze Zeit gespeichert. Die Auswertungssoftware analysiert die gespeicherten Daten unter beliebigen Kriterien.

Sie kann Benutzerprofile für einzelne Vermittlungsstellen erzeugen und bei Abweichungen sofort Alarm schlagen. Wenn also beispielsweise aus einer einfachen Wohngegend urplötzlich eine sehr große Anzahl teurer Auslandsgespräche geführt wird, schlägt die Software Alarm.

Das Alarmsystem basiert dabei auf Mustererkennung:29 Die Programmierer beschreiben dem System, woran es einen Angriff oder Mißbrauch erkennen kann. Das System durchsucht daraufhin die gespeicherten Daten nach solchen Mustern.

Zum Beispiel können Wählautomaten erkannt werden, weil sie immer exakt gleich lang zwischen zwei Ziffern warten.

Wenn von einem Anschluß in kurzer Zeit eine große Anzahl von gebührenfreien Nummern - womöglich in aufsteigender Reihenfolge - gewählt wird, wird ebenso Alarm geschlagen wie bei besonders vielen kurzen oder einer extrem langen Verbindung.

Ein Operator bekommt die Alarme angezeigt und kann manuell eingreifen.

Daneben stellt AcceSS-7 auch Daten über den Zustand des Nutzkanal- und des Zeichengabenetzes bereit. Alle ZGS-7-Nachrichten werden ebenso wie die Gesprächsdatensätze zwischengespeichert. Sie erlauben so eine nachträgliche Fehleranalyse.

4.7Angriffe auf das Zeichengabesystem 7

Wie oben erwähnt, werden für das ZGS-7-Netzwerk normale Nutzkanäle verwendet.30 Damit könnte das Netz wie folgt angegriffen werden: Ein Angreifer findet eine Fernleitung, klemmt sich auf diese auf und findet diejenige 2Mbit/sec-Leitung heraus, auf deren 16. Zeitschlitz die Zeichengabenachrichten übertragen werden. Das ist zwar unter Umständen sehr zeitaufwendig, weil in Fernleitungen sehr, sehr viele Kupferadern oder zahlreiche Glasfasern geführt sind. Da die Zeichengabekanäle aber besondere Nachrichten übertragen, lassen sie sich anhand ihres Inhalts mit technischer Hilfe von den Nutzkanälen unterscheiden. Die Übertragungsstandards sind frei käuflich und die Zeichengabenachrichten werden unverschlüsselt übertragen.

Wenn ein Angreifer erst einmal den Zeichengabekanal gefunden hat, kann er verschiedene Angriffe probieren:

4.7.1Künstliche Überlast

Er kann versuchen, das Zeichengabenetz zu überlasten. Dann geht es in die Lastabwehr und einige Teile des Netzes werden automatisch abgeschaltet. So ließen sich beispielsweise ganze Stadtteile vom Telefonnetz abtrennen.31 Oder Angriffe auf Teilnehmer oder Vermittlungsstellen könnten nicht entdeckt werden, weil die Meldewege blockiert sind.

Dabei gibt es zwei Möglichkeiten, Überlast zu erzeugen: Übermäßig viele Anrufversuche und kreisende Pakete.

Jeder Verbindungsaufbau verursacht eine ganze Reihe von ZGS-7-Nachrichten, auch wenn gar kein Gespräch zustande kommt. Es kann deshalb vorkommen, daß das Telekommunikationsnetz in einem bestimmten Bereich zusammenbricht, wenn zu viele Benutzer gleichzeitig versuchen, Verbindungen aufzubauen. Entweder sind nicht ausreichend Nutzkanäle vorhanden, so daß die Verbindungswünsche abgewiesen werden müssen oder die Kapazität des Zeichengabenetzes reicht nicht aus. Das ZGS-7-Netz geht dann in die Überlast-Abwehr.32 Alle neuen Verbindungswünsche werden abgewiesen.

Bild: aus [ban95] Seite 112

Zeichengabepunkte oder Zeichengabestrecken zwischen zwei Punkten können ausfallen. Damit das Netz dennoch verfügbar bleibt, kennen alle Zeichengabepunkte mehrere alternative Strecken zum Ziel. In den routing-Tabellen wird neben dem Hauptweg immer mindestens eine Alternative eingetragen. Ein Angreifer kann versuchen, die routing-Tabellen zu manipulieren, so daß kreisende Pakete auftreten.

Da die Pakete in den Knoten sehr schnell bearbeitet und weitergeleitet werden, können schon wenige kreisende Pakete zu Überlast im betroffenen Netzabschnitt führen.

4.7.2Mißbrauch der Zustandskennungen

In der Schicht 2 des MTP werden auch Statusinformationen zwischen benachbarten Vermittlungsstellen ausgetauscht. Dabei gibt es auch eine Zustandskennung „außer Betrieb“33 und eine Kennung „Überlast“.34 Wenn es einem Angreifer gelingt, diese Zustandskennung fälschlicherweise einzuspielen, werden die benachbarten Zeichengabepunkte keine Pakete mehr über den betreffenden Knoten schicken. Er ist dann von der Außenwelt abgeschnitten. Außerdem müssen die anderen Zeichengabepunkte seine Last übernehmen. Das kann bei einem gezielten Angriff schnell zu Überlast führen.

4.7.3Angriffe aus anderen Zeichengabesystemen

Es reicht nicht aus, die Sicherheit im ZGS-7 zu betrachten. Jedes ZGS-7-Netz hat Übergänge zu Netzen mit anderen Zeichengabesystemen.35 An den Netzübergängen werden Protokollumsetzungen vorgenommen. Dabei dürfen nur solche Pakete neu erzeugt werden, die im ZGS-7 sicher sind. Unter Umständen kann aber die Sicherheit oder Echtheit einer Nachricht im anderen Zeichengabesystem nicht überprüft werden. Aus Sicherheitsgründen müßte der Protokollumsetzer sie dann verwerfen. Das kann aber die Zusammenarbeit der Netze stark behindern. Hier müssen die Netzbetreiber Kompromisse eingehen, die Angriffe auf ein ZGS-7-Netz über ein anderes Zeichengabesystem ermöglichen.

4.7.4Angriffe auf Vermittlungsstellen

Über das Zeichengabenetz lassen sich die Vermittlungsstellen wesentlich leichter angreifen als von der Teilnehmerseite her.

Vermittlungsstellen des Typs S12 von SEL-Alcatel werden über das ZGS-7-Netz ferngesteuert. Dazu wurde das ZGS-7 um einige Protokollelemente erweitert. Prinzipiell kann auch ein Angreifer diese Elemente mißbrauchen.

Die Siemens-Vermittlungsstellen des Typs EWSD werden über ein eigenes Datennetz gesteuert, das physikalisch vom ZGS-7 und vom Telekommunikationsnetz getrennt ist.

4.7.5Überlisten der Netzübergänge

Jedem service-point-code wird eine Netzkennung vorangestellt. Diese ist zwei Bit lang. Es gibt also weltweit nur vier verschiedene Netzkennungen. Zwei davon sind für das internationale Transitnetz vorgesehen. Sie beginnen mit 0. Die beiden anderen stehen den Netzbetreibern in den Ländern zur Verfügung.

Ein Angreifer kann seine Absenderadresse fälschen, indem er ihr eine falsche Netzkennung voranstellt. Im Netzübergang scheint das Paket dann aus dem Zielnetz zu stammen. Es wird zum Ziel geleitet und dabei nicht überprüft.

Möglich ist ein solcher Angriff, weil die Netzübergänge gleichzeitig auch Transferpunkte innerhalb beider Netze sein können, denen sie angehören.

Nach Aussagen der Telekom wird diese Art von Angriff in den Netzübergängen erkannt und entsprechende Pakete werden herausgefiltert.


1 inband-signalling

2 sog. ANIS-Teilnehmer

3 outband signalling

4 vgl. [ban-95]

5 ZGS-7, international als „signalling-system No. 7“ bezeichnet, abgekürzt „SS7“ oder „No. 7“

6 vgl. [kah92] Abschnitte 4.5.3.1-4.5.3.3 und [ban95] Abschnitt 6.3

7 siehe Abschnitt 4.4.2

8 vgl. [kah92] Abschnitt 4.9 und [ban95] Abschnitt 6.5

9 vgl. [ban95] Abschnitt 6.6

10 vgl. [ban95] Abschnitt 6.7

11 vgl. [ban95] Abschnitt 6.9

12 TMN = telecommunications management network

13 siehe Abschnitt 4.4.2, 4.4.2

14 aus [ban95], Seite 105

15 signalling-endpoints, SEP

16 signalling-transfer-points, STP

17 dazu gehören Zeichengabe-Endpunkte und Zeichengabe-Transferpunkte

18 vgl. [ban95] Abschnitt 6.3.3.4

19 aus [ban95], Seite 109

20 siehe Abschnitt 4.6

21 bzw. zu den nationalen Transitnetzen, sofern vorhanden

22 aus [ban95], Seite 109

23 vgl. [ban95] Abschnitt 7

24 sogenannte gateway-Vermittlungsstellen, siehe Abschnitt 4.4.4

25 siehe Abschnitt 4.4.4

26 Forced Rerouting, erzwungene Umleitung

27 vlg. [ban95] Abschnitt 6.3.2.9

28 status indication busy (SIB)

29 pattern matching

30 siehe Abschnitt 4.4.1

31 in diesem Fall funktionieren nur noch katastrophenberechtigte Anschlüsse, siehe Abschnitt

32 siehe Abschnitt 4.6.3.

33 SIOS, status indication out of service

34 SIB, status indication busy

35 siehe Abschnitt 4.4.8

18

 

  [Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 4: Angriffe auf das Zeichengabesystem 7
[Gescannte Version] [ -- ] [ ++ ] [Suchen]