PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w firmie energa operator s.a. Tomasz Gierszewski, Przemysław Mączkowski

1. ARCHITEKTURA BEZPIECZEŃSTWA
NA POTRZEBY WDROŻENIA SYSTEMU
TETRAW FIRMIE ENERGA-OPERATOR S.A.
Tomasz Gierszewski
Przemysław Mączkowski
Energa Operator SA

2. Plan prezentacji
 ○ Motywacja towarzysząca opracowaniu standardu.
 ○ Cechy standarduTETRA.
 ○ Zagadnienia bezpieczeństwa projektowanej instalacji.
 ○ Ogólna architektura rozwiązania w Energa-Operator.

3. TETRA – wprowadzenie
 ○TETRA –Trans EuropeanTrunked Radio system; obecnie
TerrestrialTrunked Radio.
 ○ Otwarty standard opracowany przez organizację ETSI.
 ○ Pozwala zrealizować cyfrową łączność radiową z
wykorzystaniem trunkingu, czyli dynamicznego
zarządzania zasobami radiowymi.

4. TETRA – motywacja
 ○ Efektywniejsze wykorzystanie pasma niż transmisje
analogowe.
 ○ Integracja usług w terminalu radiowym.
 ○ Uniezależnienie od innych technik komunikacyjnych.
 ○ Dostarczenie usług na potrzeby zastosowań
mission-critical.

5. Wdrożenia systemuTETRA
 ○ Ponad 125 krajów, w których eksploatowany jest standard.
 ○ Przykłady wdrożeń na świecie:
 Niemcy, BDBOS – ogólnokrajowy system na potrzeby służb
publicznych
 Finlandia,VIRVE – j.w.
 ○ Przykłady wdrożeń w Polsce:
 Policja w kilku miastach w Polsce, m. in.Warszawie
 ZKM Gdańsk

6. Motywacja do wdrożenia systemu
 ○ Relatywnie duży obszar, na którym działa Energa-
Operator SA – wymagane skalowalne rozwiązanie, w
szczególności geograficznie.
 ○ Alternatywny system łączności dla istniejących,
stosowanych do tej pory rozwiązań.
 ○ Dostarczenie łączności dla scenariuszy mission-critical.

7. Szczegóły techniczne rozwiązania
 ○Wykorzystywany jest wielodostęp ze zwielokrotnieniem
czasowym (TDMA).
 ○ Kanały radiowe o szerokości 25 kHz.
 ○W pojedynczym kanale radiowym realizowane są cztery
kanały cyfrowe na potrzeby komunikacji głosowej i/lub
transmisji danych.
 ○ Funkcjonalność zróżnicowanych priorytetów transmisji
umożliwiająca wywłaszczenie zasobów.

8. Szczegóły techniczne rozwiązania
 ○ Zakresy częstotliwości w Europie:
 380 – 390 MHz (UL), 390 – 400 MHz (DL)
 410 – 420 MHz (UL), 420 – 430 MHz (DL)
 450 – 460 MHz (UL), 460 – 470 MHz (DL)
 870 – 888 MHz (UL), 915 – 933 MHz (DL)
 ○ Najnowsze implementacje pozwalają zwiększyć oferowaną
przepływność do:
 115,2 kb/s w kanale 25 kHz
 691,2 kb/s w kanale 150 kHz.
 ○W systemach o zapotrzebowaniu na wyższe przepływności stosuje
się rozwiązania hybrydowe –TETRA + 3G/LTE.

9. Cechy użytkowe rozwiązania
 ○ Zestawienie połączenia w czasie 300 ms.
 ○Transmisja danych o przepływności 28,8 kb/s.
 ○ SDS (Short Data Service) – krótkie wiadomości tekstowe
(podobnie do SMS).
 ○ Możliwość pracy bez stacji bazowej – DMO (Direct Mode
Operation), w odróżnieniu od podstawowego trybuTMO.

10. Cechy użytkowe rozwiązania
 ○ Różnorodne sposoby zestawiania kanałów rozmównych:
 -indywidualne (PtP)
 -grupowe
 -bezpośrednie między terminalami – DMO
 -połączenia grupowe z potwierdzeniem
 -połączenia rozsiewcze

11. Usługi dodatkowe systemuTETRA
 ○ Identyfikowanie abonenta.
 ○Tworzenie grup abonentów.
 ○ Możliwość przerywania trwających połączeń.
 ○ Możliwość konfiguracji priorytetów połączeń.
 ○ Możliwość dyskretnego podsłuchiwania połączeń (lawful
interception).
 ○ Możliwość potwierdzenia autentyczności abonenta.

12. Funkcjonalności związane z bezpieczeństwem
 ○ Standard oferuje szereg poziomów bezpieczeństwa
transmisji.
 ○Wzajemne uwierzytelnianie terminali mobilnych oraz
infrastruktury.
 ○ Szyfrowanie transmisji radiowej dla głosu.
 ○ Funkcjonalność współpracy różnych instalacji systemów
TETRA – ISI – Inter-System Interface.

13. Analiza zagrożeń w opisie standardu
 ○ Klasyfikacja według celu ataku:
 zagrożenia związane z danymi
 zagrożenia związane z użytkownikami
 zagrożenia związane z systemem
 ○ Klasyfikacja według miejsca ataku
 w kanale radiowym
 w infrastrukturze naziemnej
 ○ Klasyfikacja według rodzaju zagrożenia
 podsłuch
 manipulacja (wyróżniany przypadek podszywania)

14. Podsłuchiwanie danych
 ○ Zagrożenie jest zależne od rodzaju danych:
 głos, dane użytkowników – ujawnienie poufnej
informacji
 dane kontrolne – informacje na temat składu grupy,
cech terminala, śledzenie terminali
 dane zarządzające – monitorowanie funkcjonowania
systemu, informacje o stykach z innymi systemami,
usługi rozliczania, klucze używane do uwierzytelniania

15. Manipulacja danymi
 ○ Rozważa się następujące rodzaje manipulacji:
 -proste zmiany (np. zanegowanie bitu)
 -usunięcie lub wstawienie części wiadomości lub pliku
 -usunięcie lub wstawienie całej wiadomości lub pliku
 -wstawienie nowych danych lub treści komunikacji
głosowej
 -zmiana kolejności wiadomości
 -ponowne wstrzyknięcie wcześniej przechwyconych
oryginalnych danych lub treści komunikacji głosowej

16. Elementy bezpieczeństwa dostarczane
przez standard
 ○ Uwierzytelnianie
 podmiot jest tym, za który się podaje
 ○ Poufność
 informacje podlegają ochronie
 ○ Integralność
 możliwe jest wykrycie ewentualnej modyfikacji przekazu
 ○ Dostępność
 dostarczane są mechanizmy redundancji
 ○ Niezaprzeczalność
 można zidentyfikować rzeczywiste źródło informacji

17. Algorytmy dostępne w standardzie
Przeznaczenie Algorytm Rozpowszechnianie
Uwierzytelnianie TAA1 ogólnego przeznaczenia,
eksportowalny
Szyfrowanie uniwersalne TEA1 ogólnego przeznaczenia,
eksportowalny
Szyfrowanie na potrzeby
policji
TEA2 policja w krajach Europy,
ścisłe regulacje eksportowe
Szyfrowanie na potrzeby
służb publicznych
TEA3 bezpieczeństwo publiczne
poza krajami Europy, ścisłe
regulacje eksportowe
Szyfrowanie uniwersalne TEA4 ogólnego przeznaczenia,
eksportowalny

18. Klasy terminali
 ○ OTAR – Over-the-Air Rekeying – algorytmy odpowiedzialne za
rotację kluczy sesyjnych.
 ○ Dostarczają funkcjonalności:
 -bezpiecznej zmiany używanych aktualnie kluczy szyfrujących
 -bezpiecznego usunięcia (wyzerowania) materiału
kryptograficznego terminala
 -zdalnego odcięcia terminala
 -zdalnego ponownego podłączenia terminala
Klasa Uwierzytelnianie Szyfrowanie Zarządzanie kluczami sesyjnymi
1 opcja brak brak
2 opcja statyczne opcja
3 tak dynamiczne tak – OTAR

19. Uwierzytelnianie i autoryzacja
 ○ Uwierzytelnianie
 -terminali radiowych (MS)
 -przełączników (dispatcher)
 -aplikacji
 -powtórne użycie identyfikatora hyperramki możliwe po relatywnie
długim okresie 22 dni
 ○ Autoryzacja
 -zróżnicowane poziomy uprawnień użytkowych
 -uprawnienia administracyjne
 -uprawnienia do komunikacji
 -mechanizm grup podlegający zarządzaniu

20. Uwierzytelnianie i autoryzacja
 ○Wzajemne uwierzytelnianie terminali mobilnych i
infrastruktury.
 ○ Klucze uwierzytelniające nie są transmitowane drogą
radiową podczas uwierzytelniania.
 ○ Unikalne klucze dla każdego z terminali.
 ○Wykorzystywany mechanizm challenge-response
 – klucz uwierzytelniający jest wykorzystany do
przetworzenia informacji o charakterze losowym
przesłanym przez stronę uwierzytelniającą.

21. Poufność
 ○ Zarządzanie kluczami sesyjnymi.
 ○ Możliwość pracy z szyfrowaniem od krańca do krańca
(end-to-end).
 ○Wykorzystanie szyfrowania symetrycznego.

22. Obszary architektury bezpieczeństwa
wdrożeniaTETRA w Energa-Operator SA
 ○Transmisja danych w radiu i uwierzytelnianie terminali.
 ○ Uwierzytelnianie komponentów systemu.
 ○ Redundancja, mechanizmy wysokiej dostępności.
 ○ Zarządzanie poświadczeniami użytkowników.
 ○ Zarządzanie funkcjonalnością.
 ○ Interoperacyjność rozwiązania.
 ○ Elementy obsługi i utrzymania.

23. Architektura ogólna

24. Telefonia

25. Sterowanie

26. Bezpieczeństwo wewnętrzne systemu
TETRA
 ○ Poziom zaufania z punktu widzenia systemów
technologicznych.
 ○Wysoki stopień autonomii działania.

27. Zabezpieczenia na styku z systemami
Energa-Operator
 ○ Filtrowanie ruchu na styku systemu.
 ○ Podział na strefy bezpieczeństwa.
 ○ Uwierzytelnienie użytkowników uprzywilejowanych.

28. Zabezpieczenie na styku z innymi sieciami
 ○ Aktualizacja i konserwacja systemów.
 ○ Sieci zewnętrzne dzierżawione.
 ○ Radiolinie – sieci tranzytowe.
 ○ Dostęp serwisowy do wnętrza systemuTETRA.