CUJAE
DISEÑO DE UN SISTEMA
PARA EL MONITOREO DE LA
SEÑALIZACIÓN NO.7
Sadiel de la Fé Siverio
La Habana, 2012
Diseño de un sistema para el monitoreo de la señalización No.7. – La Habana : Instituto
Superior Politécnico José Antonio Echeverría (CUJAE), 2012. – Tesis (Maestría).
Dewey: 621.3 INGENIERIA ELECTRICA. ELECTRONICA.
Registro No.: Maestria1140 CUJAE.
(cc) Sadiel de la Fé Siverio, 2012.
Licencia: Creative Commons de tipo Reconocimiento, Sin Obra Derivada.
En acceso perpetuo:
http://www.e-libro.com/titulosFacultad de Ingeniería Eléctrica
Departamento de Automática y Computación
Diseño de un sistema para el monitoreo de la
señalización no.7
Tesis en opción al grado académico de Master en Ciencias
Autor: Ing. Sadiel de la Fé Siverio
Tutor: Dr. Ing. René Yáñez de la Rivera
Deseo agradecer a mi familia por su apoyo, comprensión y confianza de siempre; a mi tutor René Yañez por su tiempo y su disposición; y de manera general a todo el que ha puesto su grano de arena para la culminación de este trabajo.
Especialmente deseo agradecer al colectivo de profesores de la Maestría en Sistemas Digitales, quienes me han permitido llegar hasta aquí, y de manera particular al profesor Alejandro Cabrera por su invaluable ayuda.
Tabla de contenidos
Resumen ... 7
Introducción... 8
Capítulo I. Fraude y monitoreo en la red telefónica ... 13
Introducción ... 13
I.1 Fraude en las telecomunicaciones... 13
I.2 Características generales de los sistemas antifraude... 15
I.2.1 Riesgos en el monitoreo de la red... 18
I.3 Sistema de señalización no.7 ... 19
I.3.1 Estructura y funciones del protocolo SS7... 19
I.3.2 Estructura del mensaje de señalización... 21
I.4 Sondas para monitoreo de la red ... 28
I.4.1 Sonda de la RAD. Estructura y funcionamiento ... 28
I.4.2 Sonda NSTS. Breve descripción... 31
I.4.3 Sondas IP ... 33
I.4.4 Valoraciones sobre las sondas descritas ... 36
Conclusiones ... 37
Capítulo II. Tecnología y diseño del sistema de monitoreo ... 38
Introducción ... 38
II.1 FPGA de Xilinx. Generalidades ... 38
II.1.1 Detalles de la estructura de un FPGA... 38
II.1.2 Desarrollo de sistemas con FPGA ... 39
II.1.3 Procesador MicroBlaze... 41
II.1.4 Desarrollo de sistemas basados en microprocesadores... 42
II.2 Diseño del sistema ... 43
II.2.1 Requerimientos ... 43
II.2.2 Etapa de desarrollo del sistema (fase 1) ... 45
Capítulo III. Comprobación de resultados ... 69
Introducción ... 69
III.1 Simulación de la etapa de adquisición de datos ... 69
III.2 Comprobación de la etapa de procesamiento de datos... 74
III.3 Comprobación de la etapa de transmisión de datos ... 78
Conclusiones... 80
Recomendaciones... 81
Bibliografía... 82
Otras webs consultadas ... 83
Anexo 1 ... 84
Anexo 2 ... 85
Anexo 3 ... 86
Anexo 4 ... 87
Anexo 6 ... 89
Anexo 7 ... 91
Anexo 8 ... 92
Resumen
El fenómeno del fraude causa grandes pérdidas a las operadoras de telecomunicaciones por concepto del uso inapropiado de sus servicios. Además, se emplea para el robo, alteración o destrucción de información valiosa; así como para enmascarar comunicaciones con fines ilegales y subversivos, al margen del control gubernamental.
Los sistemas antifraude foráneos son muy costosos, además de implicar altos riesgos de seguridad para nuestras redes, sin embargo, se utilizan en nuestro país.
No existe hoy un equipo desarrollado en Cuba capaz de procesar los mensajes de señalización no. 7, con el fin de servir de fuente de datos en tiempo real para el control del fraude. Por esta razón se emplean equipos extranjeros como parte del sistema antifraude.
El sistema desarrollado es capaz de tomar de un flujo de datos los mensajes que se intercambian entre varias centrales telefónicas a través de sus enlaces de señalización, seleccionar los mensajes relativos a los procesos de inicio y liberación de llamadas; y enviarlos a un servidor. En este servidor se conforma una base de datos con las trazas de las llamadas realizadas entre las centrales monitoreadas, incluyendo las llamadas en curso.
Introducción
La importancia del sector de las telecomunicaciones lo hace ser estratégico. Engloba los diversos canales por donde se transmite información y mueve en torno a sí grandes recursos económicos. Por esta razón se requiere de una tecnología puntera. No obstante, la tecnología, aun con sus complejidades y su continuo desarrollo, tiene debilidades que suelen ser explotadas.
Si a lo anterior se suma el despliegue de las tecnologías de la información (TI) en muchos de los aspectos de la vida cotidiana y la ubicuidad del acceso a estas tecnologías, entonces el escenario de un delito en este campo se hace muy complejo. La identificación del defraudador, por ende, también resulta compleja.
El fraude es la vía empleada por no pocos individuos, y organizaciones inclusive, para obtener fuertes sumas de dinero o evitar el pago de los servicios. Según un estudio publicado en junio de 2009 por Communications Fraud Control Association (CFCA, siglas en inglés), se estima que entre los años 2005 y 2008 el fraude creció en un 34%. Esto significa pérdidas entre 72 y 80 billones de dólares, lo cual se corresponde aproximadamente con el 4.5% de los ingresos del sector [1].
El delito sobre las TI también puede ser empleado por terroristas, redes de narcotráfico y organizaciones criminales de cualquier tipo para garantizar el anonimato en sus comunicaciones. En este aspecto nuestro país ha sido víctima de intentos de fraude de bypass (ver página 14) con el objetivo de implementar redes de datos y voz fuera del control del gobierno y las empresas proveedoras de servicio de Internet, con fines subversivos.
Producto de la convergencia de servicios de telecomunicaciones sobre las redes de datos, muchas de las modalidades de fraude se concentran sobre estas redes. La suplantación o robo de identidad, ataques de denegación de servicios (DoS) contra servidores corporativos, secuestro de páginas web, robo de información sensible, alteración o eliminación de información y robo de contraseñas, entre otros, son ejemplos de fraude en la red. Nótese que mediante algunas de estas técnicas el defraudador puede hacerse con el control de números de tarjetas de crédito, cuentas bancarias, plataformas de pago e incluso cuentas de juegos online [2] [3] [4].
Las pizarras telefónicas modernas (PABX) también son atacadas, resultando grandes pérdidas en lo económico y en el funcionamiento de la empresa. En nuestro país se han registrado casos donde la afectación económica supera los 80 mil dólares por concepto de llamadas internacionales (no se menciona la fuente por ser información privada de ETECSA). Este tipo de fraude en particular es de los más realizados, según la CFCA.
Pero esta problemática no solo afecta a las grandes redes de datos o al sector empresarial. Los usuarios particulares de cualquier servicio de telecomunicaciones también son víctimas potenciales. El fraude conocido como Premium Rate Service (ver página 14) afecta a numerosos usuarios de telefonía fija y móvil. Esta modalidad es también una de las más difundidas según la CFCA.
De lo anterior se puede definir el fraude como el acceso no autorizado a los sistemas o servicios de telecomunicaciones con fines de lucro, enmascaramiento, o para lograr mayores privilegios sobre los recursos de la red.
Para minimizar las consecuencias del fraude, además de los propios recursos de seguridad que traen consigo los sistemas de comunicaciones, existen los sistemas de control de fraude (FMS, siglas en inglés) y sistemas contra intrusos (IDS, siglas en inglés). Estos sistemas, están destinados a prevenir, detectar y cortar acciones de fraude. Si bien no pueden asumir la responsabilidad de controlar el 100% de esta actividad en las redes, garantizan un elevado índice de eficiencia. El uso de estos sistemas de seguridad minimiza en gran medida las pérdidas económicas a las operadoras; por lo cual se invierten grandes sumas en su adquisición.
Sin embargo, estas soluciones generalmente incorporan equipos para el monitoreo de las redes, interceptando los enlaces de voz y datos. Al ser de factura extranjera, con tecnología propietaria, los detalles del diseño y la programación son desconocidos y no revelados por el fabricante. De manera que solo se logra conocer lo que el vendedor dice que hace y poco más. Estos equipos, por sus características, son ideales para implementar “puertas traseras”, por donde puede desviarse información, re-configurarse para determinados objetivos especiales y provocar fallas de funcionamiento temporales o definitivas. Por otra parte, el soporte técnico especializado corre a manos de especialistas extranjeros. Todo esto hace que este equipamiento sea ideal para el espionaje electrónico.
Lo anterior es una razón más que indica lo apremiante de la necesidad de contar con nuestros propios sistemas. El factor económico es importante, pero tanto o más lo es la seguridad de nuestras redes y de la información que transportan.
Luego, el trabajo que se propone a continuación pretende contribuir a garantizar la seguridad de nuestras redes y servicios de telecomunicaciones. Este trabajo debe sentar las bases para el diseño de un equipo de mayores prestaciones capaz de sustituir una sonda para señalización no. 7 (SS7) del sistema antifraude instalado en ETECSA (Empresa de Telecomunicaciones de Cuba).
Para la realización de este trabajo se ha determinado la siguiente Situación problémica:
“Combatir el fraude en las telecomunicaciones sería menos costoso y más seguro para el país, si se contara con un sistema antifraude de factura nacional. El sistema actualmente instalado no solo requirió de una gran inversión, sino que sigue costando cifras elevadas por concepto de soporte técnico. Además, los equipos desplegados en las centrales telefónicas representan un riesgo potencial para la seguridad de nuestras redes”
Definimos entonces como el Problema a resolver, el hecho de que “En el país no se cuenta con el
equipamiento necesario para garantizar un sistema antifraude totalmente cubano que cumpla con la calidad requerida, así como con los requerimientos que impone la seguridad de los servicios y las redes de telecomunicaciones”
Dentro del conjunto de equipos que conforman la plataforma hardware de un sistema antifraude se encuentran las sondas de señalización y de voz, concentradores de flujos, conmutadores (switches), enrutadores y servidores de aplicación y bases de datos. Dentro de este universo definimos como nuestro Objeto de Estudio “la sonda de señalización”.
El Objetivo general que se persigue con este trabajo es “Diseñar un sistema para el monitoreo de la señalización no.7”.
Los Objetivos específicos propuestos para este trabajo son:
1. Capturar un flujo de datos de 2 Mbps e interpretar los mensajes de la SS7 contenidos en sus tramas
2. Procesar los mensajes de la SS7 relativos a las llamadas en curso para conformar las trazas que se enviarán al servidor
3. Transmitir a un servidor, vía Ethernet, las trazas de las llamadas con las cuales se conformarán los registros de detalle de llamadas (CDR) que se guardarán en una base de datos posteriormente
Para cumplir con los objetivos propuestos se han definido un conjunto de Tareas, recogidas además en un cronograma de ejecución para este proyecto.
1. Análisis del estado del arte de los sistemas antifraude (incluye estudio de las sondas SS7)
2. Diseño, programación y simulación del módulo de adquisición de datos del flujo de 2 Mbps
3. Diseño, programación y comprobación del módulo de procesamiento de mensajes
5. Integración de los módulos y comprobación del sistema mediante la generación de mensajes de señalización
Hoy tenemos acceso a algunas de las más avanzadas tecnologías de diseño digital. Esto, unido al conocimiento acumulado y a la disponibilidad de información científico técnica, sobre todo en Internet, hace que podamos plantearnos como Hipótesis lo siguiente: “Haciendo uso de la
documentación y las herramientas de diseño digital avanzado necesarias, es posible desarrollar, en nuestro escenario cubano, un sistema capaz de resolver el problema de la adquisición y procesamiento de los mensajes de señalización no. 7, con una alta eficacia y un coste significativamente menor que sus equivalentes en el mercado internacional”.
Los Métodos de trabajo que se emplearán en el transcurso de este proyecto serán los siguientes:
Métodos de investigación teóricos: Permitirán analizar, sintetizar y comprender en profundidad la información recopilada relativa a los sistemas antifraude y fundamentalmente las sondas SS7.
Métodos de investigación valorativos: Permitirán establecer una comparación fundamentalmente entre las diferentes tecnologías y características de las sondas. De igual manera permitirán evaluar y seleccionar los componentes a utilizar y la estrategia para el diseño del prototipo
Métodos de investigación experimentales: Fundamentalmente ayudarán a validar la hipótesis planteada. Permitirán verificar de manera objetiva que la información contenida en la señalización SS7 puede capturarse interviniendo un flujo de datos de 2 Mbps. Además demostrarán que los datos necesarios para conformar los CDR pueden ser recibidos en una computadora.
La factibilidad de la investigación se garantiza en un alto grado ya que se emplearán recursos materiales reutilizables. Fundamentalmente se utilizará una tarjeta de evaluación de un FPGA Spartan 3 (ver pág. 38) con un valor de menos de 200 USD; así como la herramienta de desarrollo
Xilinx Platform Studio. Se invertirán 15 meses de trabajo del autor para la culminación del
proyecto. En cualquier caso este trabajo aportará un conocimiento y experiencia significativos para futuros proyectos similares; y sobre todo destaca el hecho de que un resultado favorable puede conducir a la sustitución de un equipo de comunicaciones de un alto coste en el mercado internacional por uno similar con tecnología propia.
El trabajo se compone de una introducción, tres capítulos de contenido específico, conclusiones, recomendaciones, bibliografía y anexos.
En el capítulo primero se caracterizan de manera general los sistemas antifraudes, sus objetivos, alcance y fuentes de información. Se brinda una panorámica del sistema de señalización no.7. Finalmente se describen algunas de las sondas respecto a principio de funcionamiento, modos de interconexión en la red, riesgos para la seguridad y diferentes tecnologías de fabricación.
El capítulo segundo aborda algunas características de los FPGA y la tarjeta de evaluación empleada en el diseño. No obstante, lo fundamental de este capítulo es el diseño del sistema en sí. Se describe la estructuración y programación de sus módulos.
El tercer capítulo se centra en mostrar los resultados de la comprobación e integración de los componentes del sistema.
Capítulo I. Fraude y monitoreo en la red telefónica
Introducción
El panorama actual de las telecomunicaciones exhibe un ritmo de incremento vertiginoso en todos los sentidos, fundamentalmente el tecnológico. Las nuevas tendencias de diseño digital, acompañadas de los avances científico-técnicos en el ámbito de las transmisiones de señales, han logrado desarrollar infraestructuras y sistemas de comunicaciones cada vez más orientados a cubrir las crecientes necesidades de la sociedad. Las comunicaciones móviles, por ejemplo, han ganado un espacio importante, multiplicando el acceso a las redes de datos desde su introducción en el mercado. Por otra parte las Redes de Próxima Generación (NGN) se expanden integrando servicios de telecomunicaciones casi imprescindibles ya en una sociedad informatizada.
En este ámbito, garantizar la seguridad de sistemas y servicios se hace vital para las operadoras de comunicaciones y para los propios usuarios.
Este capítulo aborda algunas cuestiones relativas al fraude sobre las redes de telecomunicaciones, así como aspectos sobre el monitoreo que se realiza sobre estas redes.
I.1 Fraude en las telecomunicaciones
Las operadoras centran sus esfuerzos en lograr cada vez mayores ingresos y mejorar el desempeño de sus redes y sistemas. Para ello intentan captar cada vez una mayor cantidad de clientes. La satisfacción del cliente, entre otros aspectos, está determinada por la disponibilidad y confiabilidad que le brinden los servicios a los que está suscrito. El fraude contribuye de manera muy negativa a este propósito.
ETECSA, como operadora de telecomunicaciones de Cuba no está exenta de este mal. Cada año las pérdidas de ETECSA se valoran en miles de dólares a causa de la actividad de fraude. Por citar un ejemplo; un estudio realizado en 2007 por el autor, en la Gerencia Antifraude de ETECSA, determinó una afectación económica en un mes de 30 mil USD por concepto de llamadas ilegales desde teléfonos públicos.
Los métodos para cometer fraude y los mismos defraudadores han evolucionado considerablemente al ritmo del avance de las tecnologías. El fraude puede ser cometido por elementos ajenos a las operadoras de comunicaciones o por personal interno. Estos últimos son los que más daño pueden ocasionar, en tanto tienen conocimiento de los sistemas y en ocasiones incluso, conocen los métodos y técnicas de detección.
El fraude tiene como principal objetivo el lucro. Los defraudadores, por concepto de re-venta de servicios (por los que ellos no pagan) pueden ganar altas sumas de dinero. Además existen otras razones para cometer fraude, como son el ocultamiento de la identidad y el establecer comunicaciones fuera del control legal o gubernamental. Esto puede ser empleado por sujetos u organizaciones dedicadas al terrorismo, espionaje y otro tipo de actividades ilegales.
Entre los tipos de fraude conocidos se encuentran:
Fraude de suscripción: Es aquel donde un supuesto cliente contrata líneas telefónicas utilizando identificación falsa. De esta manera no es posible su localización para efectuar el cobro por los servicios.
Bypass: Con esta modalidad se establecen llamadas a terminales telefónicos burlando el
sistema de facturación de la operadora. Generalmente usan servicios de voz sobre IP (VoIP) o comunicaciones satelitales para establecer los enlaces.
Premium Rate Service (PRS): Son números telefónicos que generan ganancias a su
suscriptor proporcionales a la cantidad de llamadas que reciben. Existen aplicaciones llamadas dialers que se pueden comportar como un programa maligno y realizan llamadas automáticas desde computadoras, a través de un MODEM, hacia número PRS
Clonación: Existe fundamentalmente en servicios de telefonía móvil y pública. En la telefonía móvil es posible duplicar una tarjeta telefónica. La nueva tarjeta funciona en un nuevo terminal que cursa tráfico de llamadas y mensajería que paga el cliente original. En el caso de la telefonía pública es posible clonar las tarjetas chips prepagadas con dispositivos electrónicos programables que responden al intercambio de señales con el equipo telefónico, como si fuesen tarjetas legítimas.
Desvío de líneas (en inglés, clip on): Consiste en conectar un terminal en paralelo sobre una línea telefónica ajena y ejecutar llamadas (fundamentalmente internacionales) que posteriormente se facturarán al propietario legítimo del servicio telefónico.
Fraude de PABX: Esta modalidad consiste en acceder de manera no autorizada a los recursos de una PABX. Una vez obtenidos los permisos necesarios, el atacante es capaz de escuchar mensajes de voz de los usuarios, apropiarse de los buzones de voz para su propio uso, efectuar llamadas de manera remota, etc.
Fraude sobre teléfonos públicos: Aprovechando las muchas vulnerabilidades que puede tener un terminal de telefonía pública, un defraudador puede efectuar llamadas gratuitamente. Entre las vulnerabilidades se pueden encontrar fallos ante variaciones de
voltaje en la línea, no autenticación del equipo terminal (permite hacer clip on sobre una línea dedicada a un teléfono público) y las tarjetas chips clonadas mencionadas antes, por ejemplo [5].
Dado el creciente desarrollo y la iniciativa de los defraudadores, los especialistas de control de fraude están obligados a alcanzar un nivel profesional elevado. Los medios técnicos también deben estar en continuo desarrollo e implementar medidas de seguridad preventivas y correctivas que contrarresten las vulnerabilidades de los sistemas de comunicaciones.
I.2 Características generales de los sistemas antifraude
Un sistema antifraude tiene como objetivos la prevención, detección y corte oportunos de actividades sospechosas de fraude. Estos sistemas se componen de manera general por una plataforma software y una plataforma basada en equipos distribuidos por la red. Entre ellos se encuentran sondas de voz y de señalización, concentradores de flujo, módulos para bloqueo de llamadas (en dependencia de la tecnología empleada) y equipos de interconexión de redes Ethernet.
Las sondas monitorean la señalización y la voz entre centrales telefónicas. Para esto, los concentradores de flujo previamente muestrean los enlaces inter-centrales y combinan en una trama digital de salida hasta 31 canales de datos, de los contenidos en los enlaces de señalización y voz. La cantidad de enlaces que soporta a la entrada un concentrador varía según el fabricante. Esta trama se envía para ser analizada por la sonda.
Dos centrales telefónicas están interconectadas mediante varios enlaces del tipo E1. Estos enlaces operan a una velocidad de 2 Mbps y cuentan con un canal de sincronismo (canal cero) y 31 canales de datos, cada uno de 8 bits.
Fig. I.1 Diagrama de la trama digital E1
La duración de la trama (125us) se corresponde con el período de muestreo de la señal telefónica, cuya frecuencia de muestreo por Ley de Nyquist es de 8 KHz. El tiempo de bit es de 488ns según normativa de la UIT (Unión Internacional de Telecomunicaciones). De ahí que resulten 32 canales
multiplexados de 8 bits con ventanas de tiempo de 3.9us por octeto. Suele llamársele a los canales
time slot. Los time slot portan muestras de voz de las llamadas telefónicas o mensajes de
señalización, según se hayan configurado en la central telefónica. La codificación de línea empleada en los enlaces entre centrales es HDB3 [6].
El primer octeto de la trama E1 se utiliza para el alineamiento de trama. En el capítulo 2, cuando se describa el módulo de adquisición de datos del sistema diseñado se detallará este mecanismo.
Todos los enlaces que comparten las centrales telefónicas poseen mecanismos de sincronización, de manera que en un estado de funcionamiento estable, no debe haber desfase entre los enlaces. Los concentradores de flujo se conectan directamente al flujo de datos entre las centrales, y generan su propia señal de reloj. Estos equipos, además de agrupar en una trama digital de salida varios canales de datos (según configuración) de entre los enlaces tomados, generan una señal de reloj de salida para sincronizar dicha trama. Como se mencionó antes, esta señal de salida porta los datos que analiza la sonda posteriormente.
Fig. I.2 Conexión del concentrador de flujos en la red telefónica
La plataforma software está compuesta por varias aplicaciones corriendo en servidores con funciones específicas dentro del sistema. También existen estaciones de trabajo con un módulo “cliente” para el control manual del fraude. De manera general existe una aplicación servidor encargada de gestionar la información que es tributada al sistema. Un primer módulo recibe los datos directamente de fuentes externas, incluidas las sondas. Para el caso de los datos provenientes de las sondas, este módulo se comporta como una interfaz de adquisición de datos en tiempo real e interpreta los datos binarios recibidos y construye los CDR. En otro módulo se interpretan los campos de la señalización según las características específicas de la red donde se instale el sistema. Luego, los CDR pasan a un módulo de distribución, desde donde son enviados al proceso que los almacena finalmente en la base de datos.
Una aplicación de uso obligatorio en cualquier sistema antifraude es un gestor de base de datos. Diariamente se reciben en los servidores millones de trazas de llamadas. Una gran capacidad de almacenamiento es indispensable para este tipo de sistemas. Luego, un gestor de BD debe contar con suficiente espacio disponible para almacenar las trazas de llamadas.
Finalmente un motor de búsqueda es el que implementa una estrategia para detectar y alertar sobre la posible ocurrencia de un fraude. Para ello los diferentes algoritmos que se emplean utilizan la información contenida en la base de datos, así como los datos en tiempo real provenientes de las sondas. También se usan bases de datos externas con información de los departamentos de facturación y clientes mayoritariamente [7].
Al registro de detalle de llamadas se pueden añadir datos propios del sistema, como el identificador de la sonda que capturó el mensaje SS7 y la fecha y hora de captura, por ejemplo. Los campos más significativos de un CDR son:
Fecha/hora de inicio de llamada Fecha/hora de fin de llamada Duración de llamada
Categoría de llamada (nacional o internacional) Nivel de prioridad del abonado
Categoría de abonado (particular, PABX, teléfono público, etc.)
OPC y DPC (puntos de origen y destino del mensaje SS7 respectivamente)
Los Sistemas Antifraude han transitado por varias generaciones. En un principio el proceso de detección se realizaba mediante reglas y umbrales definidos por el administrador del sistema. Una regla constituye una serie de parámetros de una o varias llamadas que se chequean, y que al cumplirse generan una alerta. Por otra parte, los umbrales son límites definidos para determinados parámetros relativos a las llamadas que cuando se sobrepasan también generan alertas. Un ejemplo de esto puede ser que un abonado que realice 10 llamadas internacionales de más de 2 minutos en un mismo día. Si el umbral estaba definido para 9 llamadas de este tipo, este caso particular generaría una alerta.
Luego se incorporan en una segunda generación, los perfiles de usuarios. Los perfiles describen de manera cuantitativa el comportamiento de un usuario en cuanto al uso del servicio telefónico, en diferentes contextos como días laborables, fines de semana, horario de la mañana, de la tarde y de la noche. El sistema es capaz de “aprender” de cada usuario durante un tiempo determinado
y elaborar su perfil individual. Luego de este período de aprendizaje es capaz de detectar variaciones notables en los perfiles y generar la alerta correspondiente [7].
La tercera generación de los Sistemas Antifraude usa una combinación de los métodos de detección anteriores con otras técnicas novedosas. Se suman entonces la implementación de redes neuronales para mejorar el aprendizaje de los sistemas, nuevos algoritmos estadísticos y reconocimiento de patrones. Estos sistemas son capaces de actuar sobre comunicaciones de voz y datos. Las técnicas de minería de datos también se incorporan en esta nueva generación de Sistemas Antifraude; pues la búsqueda y correlación de información en bases de datos voluminosas requiere de mecanismos eficientes [8].
Subex Azure Fraud Management System (SAFMS) es ejemplo de un sistema antifraude de tercera generación de la firma SUBEX AZURE. Existen otros bien posicionados en el mercado mundial como el de Hewlett Packard, el Watch Dog de la firma Basset Labs, el Fraud View de ECTEL, Deffiant de procedencia italiana, entre otros.
I.2.1 Riesgos en el monitoreo de la red
No obstante, a pesar de la reconocida calidad de estos sistemas, su carácter intrusivo en las redes los hace un peligro potencial, como antes se mencionó. Por el propósito específico de estos se justifica tener en sus bases una gran cantidad de información; y además, el acceso a información externa con datos de los usuarios, facturación, etc. Estos sistemas, basados en las características de operación de las sondas y módulos hardware de bloqueo de llamadas, pueden ser capaces de interferir las comunicaciones nacionales y con el exterior. La señal para ejecutar esto puede enviarse en el DTMF (tono dual multi-frecuencia) de una llamada telefónica, por ejemplo. Además de esto, es posible recopilar información sobre la estructura de la red conociendo identificadores de nodos de señalización, OPC (código del punto de origen) de centrales telefónicas, cantidad de circuitos y otros elementos.
Al tener acceso a las bases de clientes y facturación, un proceso oculto del sistema puede hacer búsquedas de abonados específicos y realizar análisis de tráfico de determinados abonados de interés. La información referente a los casos de fraude que estén en investigación se almacena regularmente en las estaciones de trabajo donde reside una aplicación cliente del sistema. Esta información, como toda la que se encuentre en la red del sistema, es de muy fácil acceso por procesos ocultos que luego pueden enviarla a través de una sonda mediante la generación de una llamada telefónica en un canal vacío o bien sustituyendo la voz por datos en determinadas llamadas telefónicas. Por tanto, las medidas de seguridad para la instalación y explotación de
sistemas extranjeros deben ir más allá de la instalación en una red cerrada. La variante más económica y segura es, sin dudas, la creación de un sistema antifraude cubano.
I.3 Sistema de señalización no.7
El sistema de señalización no.7 (SS7) garantiza, en una red telefónica, la gestión de los enlaces y circuitos, el enrutamiento de las llamadas; y el proceso de establecimiento, mantenimiento y liberación de estas fundamentalmente. SS7, frecuentemente llamado protocolo SS7 también, realiza todas sus notificaciones cursando mensajes cuyos formatos y códigos están normados por la UIT.
SS7 en nuestro país sigue un esquema de señalización por canal común. Esto significa que se emplea un canal dedicado para el intercambio de los mensajes de gestión y establecimiento de llamadas. O sea, entre los flujos E1 que enlazan a las centrales telefónicas para la transmisión de señales de voz, se encuentra, al menos un canal exclusivo para el intercambio de mensajes. Generalmente se hallan dos de estos canales operando en paralelo (nunca ambos en el mismo flujo E1). Cada uno soporta una carga del 50% del volumen de mensajes de señalización, y asumen el total de la carga cuando el otro presenta una avería.
En el caso de la Red Pública de Servicios Telefónicos (PSTN, siglas en inglés), SS7 cuenta con Puntos de Señalización (SP, siglas en inglés). Estos SP se logran dotando a los nodos de conmutación (centrales telefónicas) de la PSTN, de las funcionalidades necesarias para el manejo de la señalización. Luego la red de señalización coexiste (en el esquema de canal común) con la red de enlaces de voz.
I.3.1 Estructura y funciones del protocolo SS7
El protocolo de señalización no.7 posee una estructura de capas que cumple con el estándar del modelo OSI, como muestra la figura I.3.
Fig. I.3 Analogía entre el modelo OSI y SS7.
La estructura del sistema SS7 se puede dividir desde el punto de vista funcional en una parte de transferencia de mensajes (en inglés, MTP) y varias partes de usuario (en inglés, UP) diferentes.
Cada una de las UP se sirve de la capacidad de transporte que posee la MTP, cuya función principal es por tanto, garantizar la transferencia de los mensajes desde y hacia los niveles superiores de este protocolo.
Aunque los módulos hardware que intervienen en el intercambio de los mensajes de señalización no se puedan separar por bloques en su estructura, sí es posible establecer un límite entre las funciones de cada nivel del protocolo. Cada nivel del sistema de señalización tiene sus funciones bien definidas.
MTP L1. Nivel físico
La capa física de SS7 establece las características eléctricas, físicas y funcionales del enlace de datos de señalización. En la Rec. Q.702 de la UIT-T se norman estas características. Aquí se establece, por ejemplo, que el enlace de datos ha de ser un trazado bidireccional, con dos canales de datos que operen de conjunto y en sentido opuesto a una misma velocidad de transmisión. También se plantea que los canales de transmisión digitales pueden derivarse de señales multiplexadas con velocidades de 1544, 2048 ó 8448 Kbps [10] [12].
En nuestro país se emplea específicamente la señalización entre centrales telefónicas sobre enlaces de 2 Mbps (2048 Kbps) con canales a 64 Kbps.
En la capa 2, donde se implementa el enlace de datos, se lleva a cabo un intercambio de mensajes (unidades de señalización) con características similares al del protocolo HDLC (en inglés, High Level Data Link Controller). Este último envía los datos en forma de mensajes delimitados por una bandera de inicio e incluye un campo de corrección de errores de transmisión, además de uno o dos octetos para el control de transmisión. En la capa 2 de SS7 se lleva a cabo un grupo importante de funciones tales como:
delimitación de las unidades de señalización alineación de las unidades de señalización detección de errores
corrección de errores alineación inicial
supervisión de errores en el enlace de señalización control de flujo
Cada una de las anteriores funciones está soportada por campos específicos que componen la unidad de señalización. Más adelante se aborda la estructura del mensaje y su vinculación con algunas de estas funciones [10] [13].
MTP L3. Nivel de red
El nivel 3 implementa dos grupos de funciones: Tratamiento de los mensajes de señalización y Gestión de los enlaces de señalización.
Las funciones de tratamiento de los mensajes, transfieren la unidad de señalización hacia el enlace de señalización o hacia la UP que corresponda. Esto implica que los mensajes enviados desde una UP determinada en el punto de señalización transmisor deben llegar hasta la misma UP en el punto de señalización receptor. De esto se encarga la función de distribución de mensajes.
El otro grupo de funciones se encarga de la gestión de la red de señalización. Estas funciones garantizan el control del encaminamiento de los mensajes. Controlan y configuran las facilidades de la red, resolviendo las fallas que puedan ocurrir para mantener estable la transferencia de mensajes. Además se controla la congestión en la red [10] [14].
I.3.2 Estructura del mensaje de señalización
Todo el intercambio de información de señalización se realiza a través de mensajes. Cada mensaje constituye una unidad de señalización. La unidad de señalización de mensaje (MSU) está compuesta por un campo de información de señalización (SIF) de longitud variable, que porta los
datos de la parte de usuario; y además se compone de varios campos de longitud fija los cuales intervienen en la transferencia del mensaje.
La longitud total de una unidad de señal no debe superar los 280 octetos. La transmisión de los mensajes se realiza enviando el bit menos significativo primero y comenzando por el campo BSN tras la bandera de inicio. Se finaliza con el campo de bits de verificación de errores, y puede enviarse una bandera de cierre tras este campo.
Además de la MSU existen dos clases de unidades de señalización: la unidad de señalización del estado del enlace (LSSU, siglas en inglés) y la unidad de señalización de relleno (FISU, siglas en inglés). La unidad de señalización FISU se envía cada 72 ms insertada entre el flujo de banderas, cuando no hay datos que transmitir a través del enlace.
El orden de transmisión de cada unidad de señalización es como se muestra en la figura I.4. Dentro de cada campo se transmiten los bits comenzando por el menos significativo.
Cada MSU está formada por los siguientes campos. F: bandera
BSN: número de secuencia hacia atrás BIB: bit indicador hacia atrás
FSN: número de secuencia hacia adelante FIB: bit indicador hacia adelante
LI: indicador de longitud del mensaje SIO: octeto de información de servicio SIF: información de señalización SF: campo de estado
CK: bits de verificación
El campo SIF está compuesto a su vez por una etiqueta de encaminamiento con los códigos de origen y destino del emisor y el receptor del mensaje (OPC y DPC respectivamente), y el identificador del enlace de señalización (SLS).
Fig. I.4 Formato de las unidades de señalización
Bandera
La bandera es el campo que indica el comienzo o fin de un mensaje. Este campo se denota por el valor constante ´01111110´.
Este valor de la bandera no se puede repetir en ninguno de los octetos del mensaje de señalización. Por lo tanto, el punto transmisor garantiza “romper” cada cadena de seis unos consecutivos en cada mensaje insertando un cero tras el quinto uno detectado. Este mecanismo de transparencia solo se lleva a cabo después de transmitir la bandera. Luego, en el receptor, se lleva a cabo el proceso inverso. Se elimina un cero tras cada cadena de cinco unos que se detecte luego de recibir la bandera de inicio de mensaje.
La bandera es insertada en el mensaje en el nivel 2 de la MTP por el procedimiento de delimitación de la unidad de señalización.
Indicador de longitud
Este campo indica la longitud (en octetos) del mensaje entre el propio campo LI y el campo CK. Nótese en la figura 4 que para las FISU, el campo LI es cero. Para LSSU el indicador puede tomar los valores 1 ó 2; en tanto para MSU puede llegar hasta 63. Se sobreentiende que un valor de 63 indica que entre los campos SIO y SIF de una MSU pueden existir hasta 272 octetos.
Información de servicio
Este campo se subdivide en indicador de servicio y campo de subservicio. El primero de ellos está destinado a informar a qué parte de usuario corresponde el mensaje; y solo se emplea en las MSU.
Cuando el campo indicador de servicio se codifica como 0101 significa que el mensaje corresponde al nivel de Parte de Usuario del protocolo. El campo SIF se denomina mensaje ISUP en este caso.
Números secuenciales e indicadores de bits (FSN, BSN, FIB, BIB)
A través de los números secuenciales y los indicadores de bits se garantiza el control de los mensajes enviados. Este mecanismo se conoce como control básico de errores; y garantiza que no haya inconsistencias en la secuencia de las unidades de señalización. Para esto implementa un mecanismo eficaz de retransmisión ante fallos. Sobre estos campos se basa la operación de varias funciones del nivel 2 de la MTP mencionadas anteriormente.
FSN es un número secuencial (entre 0 y 127) que se le asigna a un mensaje al ser transmitido. A cada mensaje transmitido corresponde un acuse de recibo. La parte receptora de señalización acusa el recibo de uno o varios mensajes con uno al que pone en su campo BSN (entre 0 y 127) el número del último FSN recibido. O sea, con esto se indica al transmisor que el actual y los mensajes previos fueron recibidos de manera ordenada.
El transmisor de unidades de señalización almacena todas las unidades enviadas hasta tanto las mismas no sean reconocidas explícitamente por el receptor. Cuando el receptor no acusa recibo de una o varias unidades el transmisor las reenvía.
Es indispensable para el reconocimiento positivo de una unidad de señalización que los campos FIB y BIB sean iguales. Cuando se recibe una unidad con los campos FIB y BIB diferentes, todas las unidades que almacena el transmisor para retransmisión serán enviadas nuevamente. Entonces se cambia en cada una de las retransmitidas el FIB y se iguala al BIB. La referencia 7, en su página 15 abunda sobre este mecanismo.
Bits de verificación
Luego de que en el receptor se eliminan los ceros insertados en el transmisor para transparencia, se verifica que el mensaje tenga un número entero de octetos y que estos cuenten seis como mínimo, contando la bandera de apertura. De no ser así, se descarta el mensaje.
Tras lo anterior, tiene lugar en el nivel 2 de la MTP una función de corrección de errores de transmisión. Esta utiliza los 16 bits (CK) que anteceden a la bandera de cierre del mensaje o apertura del próximo (según corresponda). Estos 16 bits son generados en el extremo transmisor.
Los 16 bits son el complemento a uno (´1´) de la suma módulo dos de: el resto de xk
(x15 + x14 + x13 + x12 … + x2 + x + 1) dividido (módulo 2) por el polinomio generador x16 + x12 + x5 + 1, siendo k el número de bits existentes en la unidad de señalización sin incluir la bandera de apertura y los bits de control, excluidos además los ceros insertados para transparencia; y
el resto obtenido después de multiplicar por x16
, y seguidamente dividir (módulo 2) por el polinomio generador x16 + x12 + x5 + 1, el contenido de la unidad de señalización existente entre (pero sin incluir), el último bit de la bandera de apertura y el primero de los bits de control, excluidos los bits insertados para transparencia.
En el extremo receptor se realiza la comprobación de los bits de verificación y el resto del mensaje para detectar errores de transmisión. Para esto se toman todos los bits protegidos (incluidos los 16 bits de verificación) y se dividen entre el polinomio generador. El resto de la división debe ser el número ´0001110100001111´ si no hubo errores de transmisión. En caso contrario se descarta el mensaje [13].
Información de señalización (para MSU)
El campo de información de señalización incluye datos que se utilizan tanto en el nivel 3 de la MTP como en la Parte de Usuario (nivel 4), como se observa en la figura I.5.
Los primeros 32 bits del SIF los ocupa la etiqueta de encaminamiento. Esta etiqueta permite conocer los puntos de origen y destino del mensaje (OPC y DPC respectivamente), así como el enlace de señalización asignado (SLS) en caso de que exista compartimiento de carga entre más de un enlace. La etiqueta de encaminamiento es indispensable para el envío de un mensaje a un punto de señalización en el nivel 3 de la MTP.
El CIC es un identificador de 8 bits con el que se denota el circuito de voz que se asignó a la llamada.
El código de tipo de mensaje es un identificador para cada mensaje ISUP. Existen varios tipos de mensajes para tipificar diversos eventos en la red (ver anexo 1). La estructura de cada mensaje ISUP está formado por tres partes (ver anexo 2):
Parte Fija Obligatoria Parte Variable Obligatoria Parte Opcional
Cada parte de un mensaje ISUP, a su vez, está formada por varios parámetros. Los parámetros son unidades de información y para cada tipo de mensaje están normados los parámetros que debe contener, la longitud en bits y el orden de transmisión de estos. Algunos de los parámetros son el número llamador, número llamado, categoría del llamador, causa de terminación de la llamada, número de reenvío, referencia de llamada, entre otros. La codificación de bits de cada parámetro es el más bajo nivel donde aparece la información contenida en un mensaje de señalización. En la referencia 11 (página 47 a la 55) se abunda sobre la estructura de los parámetros a nivel de bits.
La Parte Fija Obligatoria está conformada por varios parámetros fijos y de longitud conocida. Cada mensaje tiene su configuración particular. El primero de los parámetros obligatorios se ubica justo después del código del tipo de mensaje en la unidad de señalización.
La Parte Variable Obligatoria está conformada por punteros, indicadores de longitud y parámetros. Los punteros son números de 8 bits que indican la posición de comienzo de un parámetro. El valor de un puntero es la cantidad de octetos que hay entre el comienzo de este y el primer bit del parámetro correspondiente. Cada parámetro comienza con un indicador de longitud (un octeto). El indicador de longitud contiene la cantidad de octetos del parámetro menos uno (no se cuenta a sí mismo).
El último puntero dentro de la Parte Variable Obligatoria señala la ubicación del inicio de la Parte Opcional. El valor de este puntero es la cantidad de octetos que existen entre él y la Parte Opcional.
La Parte Opcional se compone de un nombre de parámetro, longitud del parámetro y el parámetro mismo. El puntero que señala a esta parte, apunta al nombre del primer parámetro. A continuación del nombre aparece el indicador de longitud del parámetro, el cual contiene la cantidad de octetos de este (sin contar el propio indicador ni el nombre del parámetro). La misma estructura se repite para los parámetros subsiguientes. El octeto ´00000000´ indica el fin de la Parte Opcional y del campo SIF [11] [13].
Resumiendo, el campo SIF contiene justamente la información útil del mensaje de señalización. Contiene el origen del mensaje, su destino, el enlace que lo transporta, el circuito de voz al que se le asocia (en caso de mensaje de gestión de llamada), un identificador del tipo de mensaje y parámetros que detallan en profundidad la notificación. El establecimiento de una llamada, por ejemplo, comienza con un mensaje IAM (mensaje de dirección inicial) [14].
Un segmento del código binario del campo SIF para un mensaje IAM sería:
………….. 00000011 00001010 00000001 00100000 00000000 00000001 00010100 0001 00000000000010 00000000000001 (LSB, primer bit transmitido)
En la cadena anterior se relacionan, desde el LSB hacia atrás:
DPC (14 bits) OPC (14 bits) SLS (4 bits) CIC (8 bits)
Tipo de mensaje “IAM” (8 bits)
Parámetro 1 obligatorio “Nature of connection indicators” (8 bits) Parámetro 2 obligatorio “Forward call indicators” (16 bits)
Parámetro 3 obligatorio “Calling party`s category (8 bits)
Parámetro 4 obligatorio “Transmission medium requirement” (8 bits)
El conjunto de mensajes que se intercambian en el proceso de establecimiento y liberación de una llamada se puede observar en el anexo 3.
I.4 Sondas para monitoreo de la red
La sonda es uno de los componente de mayor importancia dentro de un sistema antifraude. La tarea fundamental de una sonda de señalización consiste en analizar todos los mensajes SS7 que se intercambian entre centrales telefónicas, y enviar a un servidor los datos que sirven para conformar un CDR.
Las sondas SS7 constituyen un equipamiento muy especializado, con un alto nivel de integración y tecnología, y muy costoso. Solo determinadas firmas se dedican a comercializar este producto. Algunas de ellas son la RAD (Israel), Cibertec (Costa Rica) y Tekno Telecom (EE.UU.). Las sondas israelíes instaladas en nuestro país tienen un valor de más de 150 mil USD cada una [15] [16] [17].
El nivel de información sobre las características de estos equipos es muy limitado, por lo que se dificulta hacer un estudio a profundidad sobre su estructura y funcionamiento. La experiencia de trabajo con sondas SS7 de la RAD ha permitido un mayor conocimiento sobre estas. Por lo tanto este acápite abundará mayormente en las características de este equipamiento.
I.4.1 Sonda de la RAD. Estructura y funcionamiento
Este equipo está concebido para el análisis de los mensajes de señalización no.7. La captura de los mensajes puede realizarse mediante una conexión directa a los enlaces entre las centrales telefónicas (ver figura I.6). No obstante, una configuración más eficiente sería tomar como señal de entrada un flujo E1 proveniente de un concentrador de flujos, donde cada canal porte solo información de señalización (figura I.2). La sonda de la RAD permite además monitorear canales de voz.
El equipo se divide en dos secciones. La sección superior o Sección de Interfaces está conformada por las tarjetas de interfaces externas. La sección inferior o Sección de Análisis y Procesamiento la componen las tarjetas de procesamiento de datos. Estas tarjetas se interconectan a través de un bus PCI.
Para la adquisición de los datos de la red, cada sonda tiene una capacidad de conexión para 20 flujos E1, para lo cual pueden instalarse hasta 5 tarjetas de interfaces externas I/O OCDI con capacidad de 4 flujos cada una. Las interfaces Ethernet con que cuenta la Sección de Interfaces posibilita la comunicación de la Sonda con otros elementos del sistema. Las interfaces Ethernet se ubican en las tarjetas I/O SSIG y I/O MCPU.
La tarjeta I/O OCDI es capaz de interpretar la codificación HDB3 y AMI. Esta interfaz cumple con la Rec. G. 703 de la UIT-T, relativa a las características físicas y eléctricas de las señales a 2 Mbps. Esta tarjeta, luego de capturar los datos de los flujos conectados, los envía a una tarjeta de procesamiento OCDI, quien se encarga de evaluar el estado del E1 de entrada, verifica si existen errores en la trama E1, y genera alarmas por pérdidas de señal o sincronismo. Además verifica el canal muestreado y determina si es un canal de señalización o voz. Para esto debe estar previamente configurada con el detalle de los canales que se usarán para voz y para señalización dentro de un flujo E1 determinado. Si el canal muestreado es de voz, OCDI redirecciona los datos hacia la tarjeta de procesamiento FDSP (ó FDSPE); en caso de ser un canal de señalización se envían a la SSIG. El flujo de datos entre estas tarjetas se realiza a través del bus PCI del equipo.
SSIG es una tarjeta de la Sección de Análisis y Procesamiento. Está destinada a la interpretación de los mensajes SS7. Esta tarjeta interpreta los mensajes de señalización y extrae los campos necesarios para conformar un CDR. Una vez procesados los mensajes, envía los campos a la interfaz I/O SSIG. Esta última es la encargada de transmitir la información al servidor de aplicaciones. I/O SSIG emplea una interfaz Ethernet para la transmisión de los pre-CDR hacia el servidor; utiliza el protocolo TCP/IP para el envío de los datos.
Esta sonda permite el muestreo de canales de voz, como se mencionó anteriormente. Para esto se emplean las tarjetas FDSP (ó FDSPE). Estas tarjetas analizan el canal de voz intentando detectar tonos DTMF en una llamada, que serán un dato más a incluir en los futuros CDR que se obtendrán en el servidor. La información extraída de los canales de voz es enviada hacia el servidor a través de la interfaz Ethernet de la tarjeta I/O MCPU.
La tarjeta I/O MCPU posee su propia dirección IP para el envío de datos hacia el servidor. Estos datos son los procesados por una tarjeta MCPU. MCPU es el núcleo de la Sonda. A través de esta
de datos entre las diferentes tarjetas a través del bus PCI, gestiona de manera centralizada las alarmas y otros mensajes emitidos por los diferentes componentes y envía esta información al servidor de gestión del equipo. También MCPU es quien mantiene la configuración del software del equipo.
La sonda envía hacia el servidor una serie de datos adicionales para su incorporación al CDR. El identificador (ID) de cada equipo y la fecha y hora de captura del mensaje de señalización son datos que se incluyen en el pre-CDR.
La tarjeta I/O OCDI cuenta con unos interruptores de rápida conmutación que realizan un by-pass para las líneas tomadas de manera intrusiva (conexión serie de la Sonda). Esto permite que no se afecten las llamadas telefónicas cuando exista una falla en el equipo. La conexión intrusiva no supone tomar muestras de los flujos de datos con una conexión paralela como aparece en la figura 6, sino que la sonda se conecta en serie con el flujo de datos, interviniéndolo totalmente. Esta configuración de instalación de la sonda se utiliza cuando se van a tomar enlaces de voz, y específicamente se utiliza para poder implementar el bloqueo de llamadas.
Existe una versión compacta de esta Sonda, el modelo PRBm-20. Las características y especificaciones técnicas de este modelo se pueden consultar donde indica la referencia 14.
Software de gestión
Existe el software RADview para la configuración y gestión de la Sonda. Este software permite el acceso a todos los recursos del equipo, incluso de manera remota. La Sonda tiene un puerto serie para el acceso local a su configuración. También se puede acceder de manera remota a través de la interfaz Ethernet de la tarjeta I/O MCPU; o a través de un canal dedicado de uno de los flujos E1 monitoreados.
La interfaz del usuario puede ser a nivel de comandos, mediante un menú de texto o gráfica. En cualquiera de los casos se tiene acceso completo a la configuración del equipo y sus componentes.
Fig. I.7. Interfaz de usuario para gestión de la Sonda (Telnet)
I.4.2 Sonda NSTS. Breve descripción
NSTS es un sistema de vigilancia para redes de telecomunicaciones, según lo define la firma Cibertec Int. radicada en Costa Rica. Este sistema está destinado a monitorear el tráfico en la red telefónica analizando el contenido de la señalización no. 7. Además de su función principal de adquisición de información para un sistema antifraude, NSTS puede emplearse como un sistema de medición de la calidad de la red. De esta manera logra dar seguimiento al comportamiento de diferentes parámetros en la red como congestión, demora en la respuesta a los mensajes, entre otros. También es capaz de interpretar el tráfico SMS (en inglés, Short Message Service) en redes de telefonía celular.
Una configuración mínima de una Sonda de Cibertec estaría compuesta por: Una tarjeta de adquisición de datos de la PSTN (SS7 y voz)
Una tarjeta DSP para el análisis de los canales de voz Un controlador (Servidor)
Un módulo BK-7 (para el bloqueo de las llamadas)
La interfaz de adquisición de datos se sincroniza con las tramas E1 y toma la información de la señalización de los flujos inter-centrales. De estos flujos extrae los mensajes de señalización y los envía al Controlador. La tarjeta está preparada para la asimilación de varios canales de señalización sobre un mismo flujo, por lo que se puede conectar a la salida de un concentrador de flujos.
Se conoce que las tarjetas de adquisición fueron diseñadas mediante la herramienta software Orcad y empleando microcontroladores. El firmware de los controladores se almacena en memorias EEPROM. Cada tarjeta es capaz de asimilar hasta 31 canales de señalización, independientemente de la cantidad de flujos E1 que permite conectar (8 intrusivos ó 16 no intrusivos).
La configuración previa de la tarjeta de adquisición debe indicar de cada flujo E1 cuáles canales son de señalización y cuales de voz. Para el análisis de la voz, la tarjeta envía los datos de los canales correspondientes para su procesamiento a la tarjeta DSP a través de un bus abierto de la firma Mitel (ST-Bus). Los datos pre-procesados (fundamentalmente tonos DTMF) son enviados posteriormente al Controlador. Toda la comunicación entra las tarjetas se lleva a cabo a través del ST-Bus. La toma de canales de voz se realiza mediante conexiones intrusivas. El sistema garantiza la continuidad de las líneas de datos al retirar o salir de funcionamiento una tarjeta de adquisición, con lo cual no se interrumpe la comunicación.
Cada tarjeta (adquisición y DSP) contiene un módulo HDLC. Este permite la comunicación de las tarjetas con los Controladores a través del protocolo HDLC.
El Controlador realiza tareas de interpretación de la señalización. En este punto se filtran los mensajes que son de interés del sistema de monitoreo. De los mensajes relativos al proceso de establecimiento y liberación de llamadas, el Controlador extrae los campos necesarios para conformar un CDR. Estos datos son enviados posteriormente a un servidor de BD. El Controlador almacena además las configuraciones del resto de los componentes del sistema. A través de este se lleva a cabo también la gestión de las tarjetas de adquisición y la DSP. En un sistema con dimensiones considerables, pueden utilizarse varios Controladores, entre los cuales se comparte la carga del análisis de los mensajes de la señalización.
Existe un Controlador dedicado exclusivamente al proceso de bloqueo de llamadas (Controlador BK-7). A este servidor se envían los datos de aquellas llamadas que se requiere bloquear. Este dato lo aporta el sistema antifraude. El servidor envía esta orden a una tarjeta de adquisición cuyo
firmware responde a las tareas de un módulo de bloqueo. Esta tarjeta tiene asociado un código de
punto de señalización propio, con lo cual puede enviar mensajes de señalización a la PSTN. La tarjeta necesita recibir el punto de origen, punto de destino y código identificador del circuito de la llamada que se quiere bloquear. Con estos datos conforma los mensajes REL y RLC (mensajes de liberación de llamadas), según corresponda mediante el cual lleva a efecto la terminación de esa llamada [16] [18].
I.4.3 Sondas IP
En los últimos años ha habido una tendencia a implementar más servicios sobre el protocolo IP, como la voz (VoIP), telefonía (ToIP) y televisión (IPtv). Por otra parte la difusión de contenido multimedia y las novedosas redes de próxima generación (NGN) también le han dado un protagonismo significativo al protocolo IP. Esta convergencia de servicios requiere de redes con un mejor rendimiento y calidad, por lo que la implementación de sistemas de control se hace imprescindible para la evaluación del desempeño de las redes.
En este contexto aparecen las sondas IP. Estos dispositivos están orientados a la medición de parámetros del funcionamiento de la red, con el objetivo de determinar fundamentalmente demoras en las respuestas, congestiones, pérdida de paquetes, entre otros. Evidentemente, estos inconvenientes van en detrimento de los servicios que brinda la red. Teniendo en cuenta que muchos servicios de comunicaciones también se implementan sobre el protocolo IP, una Sonda en este ámbito puede estar orientada también a registrar los eventos de inicio y fin de sesión. Esta última funcionalidad las hace idóneas como fuente de información para los sistemas antifraude.
Si bien la tecnología y estructura de diseño de las sondas anteriores responde a equipos o sistemas compuestos, las sondas IP pueden implementarse también mediante software o sistemas embebidos como se verá seguidamente.
Sistema ORENETA
ORENETA (One-way delay REaltime NETwork Analyzer) es una plataforma de análisis para redes IP orientada a la medición de parámetros de calidad de los servicios de red. Específicamente se centra en la medición de los retardos y sus variaciones para servicios de tiempo real. La herramienta provee a los administradores de una interfaz visual para el análisis comparativo de la implementación de las diferentes políticas de gestión de la red en tiempo real.
El sistema se compone de dos sondas ubicadas en diferentes puntos de la red. Estas actúan en modo pasivo, o sea, no interfieren en el tráfico muestreado. Esta configuración garantiza realizar un chequeo más exacto sobre el tiempo de recorrido de los paquetes, ya que no ocurre interferencia durante la captura.
Los paquetes capturados son enviados a un analizador (software) el cual realiza los cálculos correspondientes según las mediciones tomadas. El analizador separa el total de paquetes capturados en flujos unidireccionales. El análisis de los flujos en un sentido y de manera independiente garantiza realizar una caracterización más exacta del tráfico. Las funciones de gestión y control de las sondas se realizan desde el mismo analizador.
Para las mediciones diferenciales de tiempo que realiza este sistema, requiere que las sondas se encuentren sincronizadas. Para lograr tal cosa se utiliza el protocolo NTP (Protocolo de tiempo de red). No obstante, este protocolo no es eficiente para estas mediciones cuando las sondas se encuentran próximas (en cuanto a su conexión en la red). Luego, las sondas también utilizan una fuente de sincronización externa como GPS (Sistema de Posicionamiento Global).
La marca del tiempo de captura de los paquetes se realiza a nivel de aplicación. Esto introduce un margen de error que según el fabricante es despreciable.
Las sondas de ORENETA asimilan paquetes IPv4 e IPv6. Estas marcan cada paquete con un identificador que generan mediante la función CRC-32 utilizando información de la cabecera del propio paquete. En total una Sonda envía 28 octetos de información al analizador por cada paquete IPv4 interceptado y 42 octetos por cada paquete IPv6.
Este sistema realiza un monitoreo de manera pasiva, por lo que no introduce ningún flujo de paquetes adicional en la red. El modo pasivo tiene el inconveniente de no poder utilizar la marca de los paquetes IP pues en ocasiones se le elimina por cuestiones de seguridad, y en el caso de IPv6 no existe. Por tal razón, es necesario generar una marca para cada paquete antes de enviarlo al analizador, como se explica en el párrafo anterior.
Tanto las sondas como el analizador se implementan sobre microcomputadoras, sin otro hardware adicional. Las sondas efectúan la captura de los datos de la red mediante las tarjetas de red estándar y haciendo uso de la librería libpcap aplican los filtros necesarios para la discriminación de paquetes. Los requerimientos de hardware y software del sistema se detallan en la siguiente tabla.
Tabla I.1. Requerimientos HW/SW de ORENETA
Sondas Analizador
Hardware PC Pentium III, 600 MHz PC Pentium IV, 2.4 GHz
Software C++ / GNU-Linux Java / Multi-plataforma
Además de soportar el protocolo IP, el fabricante asegura que las sondas pueden operar en redes ATM e inalámbricas [19].
LIMS (Light Weight IP Measurements System)
Como su nombre lo indica, este sistema está destinado para realizar mediciones sobre una red IP. LIMS específicamente está concebido para medir de manera continua y en tiempo real diferentes parámetros de calidad de la red como la disponibilidad de conexión a nodos IP, la latencia
(distancia temporal entre nodos), el jitter (variación de la latencia entre paquetes consecutivos) y el ancho de banda.
La infraestructura de LIMS se compone de: Sondas IP
Servidores STUB Servidor Central
Los servidores STUB llevan a cabo las tareas de medición de conjunto con las sondas. Estos responden a estímulos enviados por las sondas y generan transacciones que luego son monitoreadas por estas. Estos servidores son del tipo Sun FIRE V100 con un Sistema Operativo Solaris 10.
Al servidor central se envían los resultados de las mediciones, se almacena la configuración de los componentes del sistema y se lleva a cabo la gestión de estos a través de una red dedicada. El servidor es del tipo Sun FIRE V440 con un Sistema Operativo Solaris 10.
Las sondas están destinadas a la captura de los paquetes de red y a realizar algunas tareas de mediciones de los parámetros de calidad. Los resultados de las mediciones efectuadas los envían al Servidor Central a través de una interfaz Ethernet.
Las sondas fueron diseñadas en un Sistema Linux Embebido. Para esto se empleó un kit de desarrollo del tipo Vortex 86-6076L2/EB-303 con un núcleo GNU-Linux versión 2.4. Algunas de las características del componente hardware se relacionan en la tabla 2.
Tabla I.2. Especificaciones del Kit de desarrollo Vortex 86-6076 SoC Microprocesador DM&P Vortex86 a 200 MHz
Bus PCI (32 bits) compatible con PCI Rev. 2.2
Memoria 128 MB (SDRAM on board)
Interfaz LAN Controlador Realtek 8100B, 10/100 Mbps
Interfaces I/O
Puerto Paralelo RS 232
USB IDE
Las sondas se caracterizan por su bajo coste de inversión, contando con un sistema operativo gratuito. La protección contra intrusiones en el dispositivo se garantiza mediante el cortafuegos IPCop. El sistema Linux empleado es de código abierto, luego, el diseño de la Sonda puede evolucionar de manera muy fácil [20].
I.4.4 Valoraciones sobre las sondas descritas
Las diferentes sondas estudiadas arrojan una gama de estructuras y tecnologías diversas. La Sonda de la RAD exhibe un excelente nivel de especialización en cuanto a sus módulos. Posee una capacidad de 20 flujos de entrada, lo cual significa una capacidad de análisis de 620 canales entre señalización y voz. Las interfaces gráficas de usuario para la gestión son muy intuitivas y completas, teniendo acceso a todas las opciones de configuración del equipo. A pesar de esto se ha demostrado en su operación numerosas trazas de llamadas que la sonda no ha registrado.
Desde el punto de vista de seguridad, la nacionalidad del fabricante constituye en sí un riesgo potencial para nuestro país por razones políticas conocidas. Luego no se descarta la posibilidad de puertas traseras para desvíos de información, así como de interrupciones provocadas en la solución implementada en ETECSA. Las sondas conectadas de manera intrusiva pueden interrumpir las comunicaciones de ETECSA con el extranjero manteniendo abiertos los circuitos de enlaces de las centrales internacionales.
En cuanto al sistema NSTS, posee una estructura eficiente para la adquisición y clasificación de los datos tomados de la red telefónica. Su tecnología de diseño basada en microcontroladores lo hace un prototipo de fácil reconfiguración con posibilidades viables de evolución en cuanto a desempeño y funcionalidades. Sin embargo, el uso de aplicaciones software en el sistema posee varios inconvenientes. El procesamiento software de la señalización es más lento que si se empleara un sistema hardware, como en el caso de la RAD. Por otra parte, el empleo del STBus de Mitel hace el diseño poco flexible. En su lugar, la sonda de la RAD usa el bus PCI, estandarizado y de alta velocidad. El sistema de monitoreo se encarece por el costo de los servidores; a la vez que se incrementa el riesgo de ataques informáticos, intrusiones y virus; y la probabilidad de fallos en el sistema es elevada dadas las complejidades intrínsecas de un sistema operativo involucrado.
Las sondas IP mantienen un objetivo común: las mediciones de parámetros en la red. De ellas no son muy publicitadas por los fabricantes sus posibilidades de interceptar la información relativa al inicio de sesión de usuarios, lo cual sería una alternativa viable para la implementación de un sistema antifraude en redes NGN. En las sondas IP se observa el uso de los sistemas embebidos, lo cual ofrece la ventaja del procesamiento hardware de los datos, con lo que se logra una mayor velocidad con respecto al procesamiento software.
Además de los costos de adquisición y mantenimiento elevados de las sondas, tienen un aspecto de considerable interés en contra. Estos equipos pueden comportarse como elementos activos en
las redes, a través de los cuales se establece el flujo de datos. Al ser de factura extranjera, con tecnología propietaria, los detalles de la programación y diseño de sus módulos (tanto SW como HW) son desconocidos y no revelados por el fabricante. De manera que solo se logra conocer lo que el vendedor dice y demuestra que hace. Estos equipos, por sus características, son ideales para implementar “puertas traseras”, por donde pueden llevar a cabo el desvío de información, la re-configuración del HW para determinados objetivos especiales, interrupciones provocadas o fallas de funcionamiento temporales o definitivas. Mecanismos similares a las bombas lógicas, o la re-programación de determinados circuitos integrados (CI) on board permiten lo mencionado antes. Por otra parte, el soporte técnico especializado corre a manos de especialistas extranjeros. Todo esto hace que se incurra en un riesgo potencial al instalar este tipo equipamiento en nuestras redes.
Lo anterior constituye, además del factor económico, una razón más que demuestra la necesidad de disponer de un sistema de monitoreo propio.
Conclusiones
El estudio del protocolo de señalización SS7 indica que existen los conocimientos y la documentación suficientes como para diseñar un sistema capaz de interpretar sus mensajes y detectar así comportamientos fraudulentos sobre la red telefónica.
Por otra parte, las características que se han descrito de las sondas, dan una medida de que es posible llevar a cabo el diseño de un equipo similar en nuestro país para el monitoreo de la señalización no.7, dado que se cuenta con la tecnología necesaria para esto.
Capítulo II. Tecnología y diseño del sistema de monitoreo
Introducción
Los FPGA (Arreglo de Compuertas Programables) son circuitos integrados programables similares a los microcontroladores o los PLD (Dispositivos Lógicos Programables). Esta tecnología ha impulsado el proceso de desarrollo de hardware imprimiéndole una mayor velocidad. De hecho, hoy en día, un gran número de los sistemas electrónicos profesionales cuentan con FPGA como componentes fundamentales y el diseño de hardware digital ha transitado vertiginosamente de la pura interconexión de circuitos integrados con funciones específicas a la programación software de dispositivos programables.
Las tarjetas de evaluación de estos dispositivos poseen múltiples recursos periféricos, que en el caso del sistema que se presenta en este trabajo, resultan de gran utilidad. Algunas de las características de una tarjeta de evaluación Spartan-3 Starter Kit se relacionan a continuación:
Hasta 173 señales de entrada-salida disponibles 4 DCM
Memoria PROM Flash de 2 Mb
Memoria SRAM de 1 MB (dos bancos de 256Kx16) 1 puertos serie RS-232 de 9 pines
Puerto VGA de 3 bits (8 colores) Oscilador de 50 MHz
Fundamentalmente por la disponibilidad, por muchas de sus características y por las facilidades que ofrecen las herramientas de desarrollo de Xilinx, se escogió esta tarjeta de evaluación Spartan-3 Starter Kit para el diseño del sistema de monitoreo de la señalización. No obstante, como se verá más adelante, se necesita una interfaz Ethernet, que no se incluye en esta tarjeta. Posteriormente se detallará la solución encontrada, sin embargo, sería deseable emplear otro modelo que contara con este recurso; el Spartan 3A Starter Kit, por ejemplo.
II.1 FPGA de Xilinx. Generalidades
II.1.1 Detalles de la estructura de un FPGA
Las potencialidades de los FPGA hacen que se puedan agrupar en ellos un gran número de funciones y componentes complejas que antes constituían cada una un circuito integrado. De aquí que se denomine System on Chip (SoC) a todo un sistema encapsulado enteramente en un FPGA.
