TOP
AutoresTOTAL
LecturasSET 11
75066 visitas
- Contenidos - SET Staff
- Editorial - Editor
- Noticias - SET Staff
- Panorama del hack espa~ol - SET Staff
- Telefonia Movil Celular (TMA 900-A) - Falken
- Unix Internet Daemons - Net-Yonkie
- Entendiendo el trafico NFS - Paseante
- Colaboraciones y Peticiones - SET Staff
- Analisis y seguridad del protocolo FTP - Duke de Sicilia
- Backdoors - Hades
- Firewalls y Proxys (y III) - Paseante
- La voz del lector - SET Staff
- Los bugs del mes - Varios
- Despedida - Editor
Telefonia Movil Celular (TMA 900-A)
Autor: Falken
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII o 05. SISTEMAS DE TELEFONIA MOVIL CELULAR (TMA 900-A) o IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII _/_/_/_/ Sistemas de telefonia movil celular \_\_\_\_ _/_/_/_/ TMA 900-A \_\_\_\_ _/_/_/_/ \_\_\_\_ _/_/_/_/ por el Profesor Falken \_\_\_\_ AVISO: Si alguna persona con animo de conseguir pillar a alguien considera que la informacion que se recoge en el presente articulo es delito, que se compre un buen libro de telefonia. EL AUTOR NO SE HACE RESPONSABLE DEL USO DE ESTA INFORMACION Introduccion ============ En este articulo vamos a explicar en que consiste la telefonia movil celular, profundizando en el sistema TMA 900-A. La idea de realizar este articulo nace de la practica inexistencia de informacion sobre el sistema de telefonia movil espa€ol en el ambiente under. Desde luego que existen muchos articulos en otras muchas publicaciones sobre telefonia celular, y los principios son los mismos, pero como mas adelante veremos, en Espa€a no se usa la banda de frecuencias que podemos ver en estos articulos. De ahora en adelante hablaremos de TMA, refiriendonos a la telefonia movil automatica. (šA quin se le ocurriria lo de automatica?) :) Algo de historia ================ Si, ya se que esto es una revista tecnica, y que la historia es otra cosa, y bla bla bla. Pero a veces es util conocer algo de historia. La primera vez que se usaron servicios de radio movil, o telefonia movil, que viene a ser lo mismo, comerciales fue en los USA (y abusa) alla por los a€os 30. Por aquel entonces solo los usaba, como no, la policia. Con el tiempo se mejoraron los sistemas de radio, apareciendo el concepto de modulacion y mejorandose posteriormente los metodos de modulacion. šPero de que sirve tener un terminal movil si no puedo llamar a un telefono fijo? Aqui es donde aparecen los autenticos servicios de telefonia movil, por 1946, aproximadamente. (šA alguien le recuerda algo esta fecha?) ;) Despues de periodos de mejora de la calidad del servicio (Ja!), se automatizan los servicios, dando origen al TMA. Y se desarrollan nuevos sistemas. Al principio, a cada terminal se le asignaba una frecuencia fija. Esto es lo que se denomina un sistema no trunking. šOs imaginais el caos que se formaria actualmente si todos los telefonos moviles tuvieran asignada una frecuencia fija? Pues aqui es donde aparece el sistema celular. El sistema celular ================== La idea principal del sistema celular se basa en la reutilizacion de frecuencias. Se define un grupo de frecuencias que pueden ser usadas por todos los terminales moviles. Bueno, pero no es la reutilizacion de frecuencias la unica ventaja aportada por el sistema celular. En el sistema celular se definen ciertas areas limitadas en las que opera un transmisor/receptor. A partir de ahora llamaremos al tandem transmisor/receptor EB (Estacion Base). Veamos, tenemos una EB en un area. Esta EB tiene limitada la potencia de transmision de tal forma que no salga de su area, o salga ligeramente. ademas, esta EB tiene asignado un conjunto de radiocanales, que puede ser usado en otro area. Este conjunto de radiocanales es un conjunto de frecuencias, por si no lo sabiais. Para evitar interferencias, las EB vecinas usan conjuntos de frecuencias diferentes. Asi tenemos un sistema que con un rango limitado de frecuencias puede manejar un numero elevado de comunicaciones. Este sistema es el sistema celular. Y si sustituis en el parrafo anterior la palabra area por celula puede que os suene mejor. Veamoslo de forma grafica: ______ ______ En un pais multicolor, /* \ / \ nacio una abeja bajo el sol... / EB \______/ EB \______ Ups, esto no tiene nada que \ C / \ B / \ ver. \______/ EB \______/ EB \ / \ D /* \ A / Bueno, co€as aparte, vemos / EB \______/ EB \______/ que existe un EB por cada \ B / \ C / \ celula. Ademas, aparecen \______/ EB \______/ EB \ 4 letras, A, B, C, D. Estas / \ A / \ D / letras representan distintos / EB \______/ EB \______/ grupos de frecuencias. \ C / \ B / \______/ \______/ Como podemos observar, nunca coinciden dos grupos de frecuencias iguales en celulas adyacentes. Esto se hace asi para evitar interferencias. La distancia que separa dos celulas que usan el mismo set de frecuencias, como las marcadas por el asterisco, viene definida por lo que los tecnicos llaman Distancia de Reutilizacion. Esta es la distancia minima en la que no existen interferencias entre dos comunicaciones que usen la misma frecuencia. šQue sucede si aumenta el numero de usuarios en una celula de tal forma que no quedan frecuencias libres? Muy sencillo, dividimos la celula en otras mas peque€as. Esto es lo que se llama fragmentacion celular. Para el ejemplo anterior: ______ ______ / \ / \ / \______/ __ \______ \ / \__/ \__/ \ \______/ __/ \__/ \ \ / \ __/ \__/ \__/ / / \/ \__/ \__/ \______/ \ /\__/ \__/ \__/ \ \______/ \__/ \__/ \ \ / \ \__/ \__/ / / \______/ \__/ \______/ \ / \ / \______/ \______/ Otra mejora del servicio consiste en asignar las frecuencias, a partir de ahora canales, de forma dinamica. Estos canales podrian estar asignados de forma fija a un terminal movil (TM). De esta forma necesitariamos tantos canales en una celula como TM estan en ella. Al realizar la signacion de forma dinamica, se consigue una mejor optimizacion del servicio, pudiendo existir mas TM en una celula que canales pueda gestionar. Esto es lo que se denomina un sistema trunking. Existen otros dos servicios, que aunque similares, realizan funciones distintas: el roaming (seguimiento) y el handover (traspaso). Ambos se encargan de trasladar la gestion de un TM a una celula adyacente cuando el TM se esta moviendo de una celula a otra. La diferencia esta en que el roaming se hace siempre, para tener localizado al TM permanentemente. El handover, por su parte, se produce en plena comunicacion, de forma que el usuario "no se entere" que se le ha cambiado de canal. Para completar el sistema existen las Centrales de Telefonia Movil (CTM o MSC), que se encargan de realizar las tareas de conmutacion, interconectando las EB con la RTC (Red Telefonica Conmutada. Vamos, la que teneis en casa a menos que seais unos bichos raros con RDSI) El sistema TMA 900-A ==================== Despues de todo este rollo que parece pelotero a telefonica pasemos a algo mas interesante, el sistema TMA 900-A. Este es el sistema que usa telefonica en sus TM analogicos (MoviLine). Ademas, como detalle curioso, se usa tambien en algunos servicios de emergencia. Buscad, buscad y os sorprendereis. Pero antes un aviso, estos servicios de emergencia como es logico usan una codificacion por subtonos en sus sistemas de comunicacion que usan la malla trunking. Los radioaficionados ya sabran por donde voy. Bueno, al grano. El sistema TMA 900-A esta basado en la especificacion del sistema TACS del Reino Unido, basado este a su vez en el sistema americano AMPS. La se€al que se transmite en este sistema se encuentra modulada en frecuencia (FM) en las transmisiones de voz y tonos de supervision y modulada en FSK en la se€alizacion de control. Aquellos interesados en un articulo sobre la modulacion, que lo pidan. Si interesa me lo curro. Pero este sistema no se llama TMA 900-A porque haya 900 sistemas anteriores, o porque al que lo bautizo le dio la gana. Se llama asi por utilizar la banda de 900 MHz. Se dispone de 1320 canales duplex (esto quiere decir que permite mantener una comunicacion bidireccional simultanea, como un telefono normal). Estos canales estan separados entre si 25 KHz. Las portadoras de emision y de recepcion correspondientes a un mismo canal se encuentran separadas a 45 MHz. Detallemos un poco mas esta distribucion de canales. Las portadoras de emision pertenecen a una banda de frecuencias que van desde los 884 MHz a los 917 MHz. En algunos sitios dicen que van de 890 MHz a 915 MHz, pero calculad: 915 - 890 = 25 MHz 25 MHz / 25 KHz = 1000 canales (25 KHz entre canales) Como veis no cuadra. Y es que algunas informaciones... Y las portadoras de recepcion se distribuyen desde los 929 MHz a los 962 MHz. Esto ultimo lo podriais haber calculado vostros: 884 MHz + 45 MHz = 929 MHz 917 MHz + 45 MHz = 962 MHz (45 MHz entre portadoras) šHa quedado claro? Las EB proporcionan dos tipos de canales: - Canal de control -> Usados para la se€alizacion en las llamadas hacia los TM. Tambien conocido por canal de llamada. - Canales de trafico -> Son los que mantienen las conversaciones telefonicas. Pueden estar en reposo o libres. (Ya se que suena absurdo, pero luego quedara claro). Por supuesto, ademas el sistema TMA 900-A es un sistema celular. Y como tal, Las EB deberan supervisar las comunicaciones de los TM para asegurar su calidad. Esta supervision la realizan enviando una se€al piloto no audible de 4 KHz desde la EB. Esta se€al es retransmitida por el TM a la EB. Cuando la se€al que recibe la EB pasa por debajo de un cierto limite de intensidad la MSC ordena medidas en las centrales adyacentes para seleccionar aquella en la que el TM tiene mejor se€al. Canales en TMA 900-A ==================== Se define como canal al camino entre el Terminal Movil (TM) y la Central de Telefonia Movil (CTM o MSC). Un canal esta compuesto de: - Una conexion a 4 hilos entre la central MSC y la EB. šAdivinais que sistema de transmision usa esta conexion? - Un canal de radio entre la EB y el TM, usando una frecuencia para transmision y otra para recepcion, tal y como ya se ha visto. Asimismo podemos diferenciar los siguientes tipos de canales: - Canales de radio -> Usados en la se€alizacion entre la MSC y los TM y en la conversacion: - Canal de llamada (CC) -> Llamadas hacia TM. - Canal de trafico (TC) - Libre (free-TC) -> Llamada y conversacion hacia TM. - reposo (idle-TC) -> Conversacion hacia TM. - Canal combinado (CC/TC) -> Usado indistintamente. - Canales de datos -> Solo se usan en la se€alizacion entre la EB y la MSC. Cada EB consta con un unico CC, siendo el resto TC. Tanto el canal CC como los canales free-TC se estan identificando continuamente como tales en la zona de cobertura de la EB. Los canales idle-TC no son operativos hasta que no sean asignados a una llamada dirigida hacia un TM. Todos los TM cuelgan del unico CC de la EB de su zona de cobertura. Ejemplos de procedimientos TMA 900-A ==================================== A continuacion se recogen los procedimientos que se siguen en la mayor parte de las comunicaciones por telefonia TMA 900-A. Cabe destacar que cualquier llamada dirigida a un TM se comunicara a todas las EB del area de localizacion (AL) donde se encuentra el TM. El AL lo constituyen todas las EB que cuelgan de la misma MSC donde se encuentra el TM. Llamadas a terminales moviles ----------------------------- Una llamada a un TM se constituye de los siguientes pasos: - Llamada al TM. - Asignacion de un idle-TC al TM. - Identificacion del TM. - Llamada al abonado. - Supervision. Esquematicamente: MSC EB TM | | | | Canal de llamada (CC) | Canal de llamada (CC) | |--------------------------------->|--------------------------------->| | Llamada (CC) | Llamada (CC) | |--------------------------------->|--------------------------------->| | Confirmacion (CC) | Confirmacion (CC) | |<---------------------------------|<---------------------------------| | Inicio de TC (TC) | | |--------------------------------->| | | TC Iniciado (TC) | | |<---------------------------------| | | Asignacion de TC (CC) | Asignacion de TC (CC) | |--------------------------------->|--------------------------------->| | Peticion de identificacion (TC) | Peticion de identificacion (TC) | |--------------------------------->|--------------------------------->| | Identificacion (TC) | Identificacion (TC) | |<---------------------------------|<---------------------------------| | Orden de llamada (TC) | Orden de llamada (TC) | |--------------------------------->|--------------------------------->| | Respuesta (TC) | Respuesta (TC) | |<---------------------------------|<---------------------------------| | Inicio supervision | | |--------------------------------->| | | Calidad de transmision (TC) | | | | | | Supervision iniciada (TC) | | |<---------------------------------| | | | | """ """ """ Llamadas desde terminales moviles --------------------------------- Los pasos que constituyen una llamada desde un TM son: - Llamada desde el TM. - Identificar el TM. - Marcar las cifras del abonado llamado. - Supervision. MSC EB TM | | | | Canal de llamada (CC) | Canal de llamada (CC) | |--------------------------------->|--------------------------------->| | Canal FREE-TC | Canal FREE-TC | |--------------------------------->|--------------------------------->| | | | | Llamada (TC) | Llamada (TC) | |<---------------------------------|<---------------------------------| | Peticion de identificacion (TC) | Peticion de identificacion (TC) | |--------------------------------->|--------------------------------->| | Identificacion (TC) | Identificacion (TC) | |<---------------------------------|<---------------------------------| | Orden envio cifras (TC) | Orden envio cifras (TC) | |--------------------------------->|--------------------------------->| | Cifra 1 (TC) | Cifra 1 (TC) | |<---------------------------------|<---------------------------------| | Cifra 2 (TC) | Cifra 2 (TC) | |<---------------------------------|<---------------------------------| : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : | | | | Marcacion completa (TC) | Marcacion completa (TC) | |--------------------------------->|--------------------------------->| | Inicio supervision | | |--------------------------------->| | | Calidad de transmision (TC) | | | | | | Supervision iniciada (TC) | | |<---------------------------------| | | | | """ """ """ Procedimiento de cambio de canal -------------------------------- Antes de explicar este procedimiento debemos recordar como funciona la supervision. La EB emite un tono no audible de 4 KHz al TM continuamente. El TM recibe la se€al y la retransmite a la EB. Entonces la EB compara la relacion se€al/ruido (S/N) del tono recibido con dos niveles prefijados. Si se la relacion S/N se encuentra por encima del primer nivel, la comunicacion sigue de la forma en la que estaba. Si por el encontrario, esta por debajo del primer nivel, se inicia el proceso de HANDOVER, o cambio de canal. Pero si esta por debajo del segundo nivel, simplemente se corta la comunicacion. Los pasos que se siguen a la hora de realizar el handover son: - La EB comunica a la MSC que la relacion S/N esta por debajo del primer nivel en el TC en uso. - La MSC solicita una medida de la relacion S/N de la se€al en todas las EB colindantes a la anterior, y a esta misma. - La MSC selecciona el TC de la EB con mejor relacion S/N. - La MSC informa al TM del cambio. - El TM se identifica en el nuevo canal. - Supervision. MSC EB1 EB2 TM | | | | | Supervision (TC) | | | |<----------------------| | | | Orden medida (TC) | | | |---------------------->| | | | Orden medida (TC) | | | |------------------------------------------------| | | Resultado medida (TC) | | | |<----------------------| | | | | Resultado medida (TC) | | |<-----------------------------------------------| | | Inicio de TC (TC*) | | | |----------------------------------------------->| | | | TC Iniciado (TC*) | | |<-----------------------------------------------| | | | Asignacion de TC* (TC) | | |----------------------------------------------->|---------------------->| | | | | | Peticion ID (TC*) | | Peticion ID (TC*) | |----------------------------------------------->|---------------------->| | | Identificacion (TC*) | Identificacion (TC*) | |<-----------------------------------------------|<----------------------| | Inicio supervision | | | |----------------------------------------------->| | | Calidad de | | | | transmision (TC*) | | | | | Supervision | | | | iniciada (TC*) | | |<-----------------------------------------------| | | | | | | | | | """ """ """ """ Seguimiento (Roaming) --------------------- Ya hemos explicado porque es necesario mantener controlado constantemente a un TM. Cuando un TM sale de una celula, inicia una llamada al MSC para actualizar el area de localizacion. Entonces pueden suceder dos cosas: - El TM se encuentra localizado en un area que pertenece a la central propia. Entonces la MSC actualiza el registro de residentes inscribiendo al TM. - El area de localizacion pertenece a otra central que no es la propia. Entonces se llama a la central propia para que actualice el registro de residentes con el nuevo MSC y el area de localizacion. Ademas, se inscribe al TM en el registro de visitantes del nuevo AL. MSC EB TM | | | | Canal de llamada (CC) | Canal de llamada (CC) | |--------------------------------->|--------------------------------->| | | | | Llamada de actualizacion (TC) | Llamada de actualizacion (TC) | |<---------------------------------|<---------------------------------| | | | | Peticion de identificacion (TC) | Peticion de identificacion (TC) | |--------------------------------->|--------------------------------->| | | | | Identificacion (TC) | Identificacion (TC) | |<---------------------------------|<---------------------------------| | | | | Desconexion (TC) | Desconexion (TC) | |<---------------------------------|<---------------------------------| | | | | | | """ """ """ šY como #$@!!?! se identifica un TM? ==================================== Pues esto es lo mas sencillo. El aparato lleva consigo un numero de serie denominado ESN, ademas de almacenar el numero telefonico asignado o MIN. De entre otros datos que se transmiten en la identificacion, estos dos son los que pueden ser mas utiles. Y si estais pensando en hackear un telefono movil, recordad, esta informacion se refiere a telefonia analogica. No sirve para los moviles GSM. Sobre GSM ya hablaremos en siguientes articulos. Pero lo que os debe quedar muy claro es que hagais lo que hagais es cosa vuestra. Seguro que pensais que con clonar, ahora que esta tan de moda, el chip del movil donde se almacena el par MIN/ESN ya podeis llamar como si del movil de otro se tratara. Bueno, esto es cierto en parte. Aparte de la identificacion, las centrales realizan otros controles. šOs imaginais a una EB atendiendo a dos telefonos moviles en la misma celula que tengan la misma identificacion? Si el primer movil no tiene autorizado el uso de un segundo movil... Despedida y cierre (Ta - ta - ta chan !!!) ========================================== Como habeis visto, esta informacion ha sido un poco mas orientada a que conozcais uno de los sistemas de telefonia movil usado en Espa€a que a ver como conseguir intervenir una llamada o cosas de esas. De todas formas, os aseguro que hay informacion de sobra para que si lo pensais detenidamente os deis cuenta de la inseguridad de las comunicaciones moviles, por mucho que las compa€ias telefonicas se empe€en en vanagloriarse de sus sistemas de codificacion (solo usados en GSM) y demas. Ademas, si habeis leido algo de telefonia movil en otras publicaciones, sobre todo del extranjero, habreis notado que las frecuencias y algunos procesos son totalmente diferentes. Eso se debe a que la Telefonica no es tan tonta como parece, pero si es un tanto ...... bueno, mejor no decirlo que luego hay problemas, y ya se sabe. Have P/Hun El profesor Falken falken@lettera.skios.es