[srg555]

Рассмотрим автонастройку voip-шлюзов через TR-069. По идентфикатору устройства(мак-адресу) нужно передать настройки SIP(включая логин и пароль).

 

Проблема в том, что никто не мешает хацкерам сформировать фейковый запрос к ACS-серверу, указав чужой MAC и получить логин/пароль на SIP. Как можно защищаться от такого рода перебора? Мне известны следующие техники:

 

1. После выдачи настроек, ACS-сервер более не выдаёт настройки до тех пор, пока оператор не установит галочку "выдавать настройки". В случае, если абонент сделает hard-reset CPE-шки, ему придётся звонить в тех.поддержку и просить установить галочку "выдавать настройки". В принципе, это не позволяет украсть пароли уже работающих абонентов путём перебора мак-адресов(идентификаторов устройств)

 

2. Используется http digest auth при взаимодействии CPE с ACS-сервром, где пароль=hash(mac+secret_key), при этом secret_key знает производитель CPE-шек и заказчик конкретной партии. Не очень надёжно, т.к. есть шанс что secret_key извлекут из флешки CPE.

 

Какие ещё бывают методы, реально затрудняющие хацкерам вытянуть не свои настройки с TR-069 сервера?

[-Ars-]

https с предустановленным в СРЕ сертификатом?

В смысле, по бутстрапу первое соединение, ACS URL переконфигурируется с http на https. Соответственно, если сертификата нет, то и соединения не будет.

Увы, если у хацкера есть взломанная СРЕ-шка, то и сертификат в ней уже есть...

Вобщем, СРЕ-шки тоже нужны кастомизированные, запароленные и заблокированные по самое нехочу ;)

[srg555]

Это почти тоже самое, что и 2. Если ключ один на всех и его извлекут из CPE, то опять же можно самому обращаться к tr069-серверу.

 

Вопрос в том, насколько сложно производителю CPE-шек залить в каждую CPE свой секретный ключ?

 

Насколько мне известно, мак-адрес хранится на флешке и он уникален(ну не считая некоторых эпик-фейлов длинка) и нет принципиальных сложностей в каждую CPE прошить ещё уникальный ключ? Или я ошибаюсь и мак-адрес у современных CPE прошивается не на общую флешку?

[-Ars-]

Вопрос в том, насколько сложно производителю CPE-шек залить в каждую CPE свой секретный ключ?

Несложно. Ему, строго говоря, пофиг. В процессе производства указывается, например, МАС, уникальный ключ для WiFi, может указываться и уникальный ключ для ACS. Я знаю как минимум одного провайдера+производителя, у которого схожее требование (уникальный сертификат для каждого борда) соблюдается.