Interceptación de comunicaciones DSL – TR069 – parte 4

Inicio/Blog de ciberseguridad/Interceptación de comunicaciones DSL – TR069 – parte 4

Buscar por:

Interceptación de comunicaciones DSL – TR069 – parte 4

Continuamos con los artículos sobre análisis de seguridad de routers ADSL e interceptación de comunicaciones (Ver ParteI, Parte II y Parte III)

Tras haber configurado correctamente nuestra infraestructura ADSL podemos empezar a analizar el tráfico de administración TR-069. Este protocolo es una sucesión de mensajes SOAP sobre HTTP, con una capa de cifrado opcional.

TR069 protocol stack

Por si hasta ahora no ha quedado claro, un ACS es el dueño completo de toda la infraestructura de routers de un ISP ya que puede forzar prácticamente cualquier acción sobre ellos. La URL del ACS, a la que se conecta el CPE, se puede establecer o modificar en el CPE a través de varios mecanismos:

  • En el firmware que viene preinstalado en el dispositivo.
  • De forma local mediante TR-064, interfaz web, telnet o ssh.
  • Desde el propio ACS mediante el propio protocolo TR-069.
  • A través de DHCP mediante la opción 43 (siempre cuando no se haya configurado previamente)

Lo habitual suele ser que la conexión entre el CPE y el servidor vaya cifrada a través de HTTPS. Para ofrecer más seguridad, la comunicación se cifra con un certificado SSL almacenado en el propio router o cablemodem. Por ello es necesario extraer previamente el certificado SSL del firmware de un router de un ISP para poder establecer conexiones SSL con el ISP.

De cara a capturar completamente el tráfico de administración generado realizaríamos un ataque del estilo de SSLstrip, configurando el router para que se conecte al ACS por HTTP mientras hacemos un MITM redirigiendo el tráfico contra el servicio SSL del ACS. A partir de este momento tendríamos una captura sin cifrar

Lo que estaríamos viendo con una conexión al ACS sobre HTTP, o con el MITM, sería lo siguiente:

TR069 connection against ACS

La conexión contra el ACS siempre es iniciada por el CPE mediante el envío de un mensaje TR-069 de tipo “inform”. Trás el intercambio de información entre ellos, el CPE queda inactivo durante un tiempo hasta que volverá a establecer la conexión para volver a intercambiar información.

El ACS también podrá establecer conexiones directamente contra el CPE para mandarle información o para indicarle que se conecte contra el ACS. Para ello debe acceder a un URL específica del CPE que normalmente requiere autenticación Digest (MD5).

El nombre de usuario siempre sigue el esquema:

  • <OUI>-<ProductClass>-<SerialNumber>
  • <OUI>-<SerialNumber>

Como curiosidad, la conexión entre el CPE y el ACS se realiza sobre HTTP, no existiendo cifrado.Más info en próximas ediciones.

By | 2016-12-11T15:39:35+00:00 16 Feb. 2015|1 Comment

One Comment

  1. Muy bueno 8 junio, 2015 at 2:00 pm - Reply

    Buena serie de artículos, hacía tiempo que quería saber cómo ‘ver’ el lado WAN.
    Esperando al siguiente artículo

Deja un comentario