Jump to content

Хранение NAT трансляций.

unfraget
 Share

Recommended Posts

darkagent

darkagent

Posted
Posted

Обоснование - Постановление Правительства РФ от 27 августа 2005 г. N 538 "Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность" (п.14)

 

14. Базы данных должны содержать следующую информацию об абонентах оператора связи:

 

фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа, - для абонента-гражданина;

 

наименование (фирменное наименование) юридического лица, его место нахождения, а также список лиц, использующих оконечное оборудование юридического лица, заверенный уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, - для абонента - юридического лица;

 

сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.

 

Надо хранить сессии в трактовке "этот абонент скачал в такое-то время с такого-то сайта столько байт".

 

Я походу в глаза долблюсь, но где в п.14 сказано про то что надо хранить ЭТО? Вы, видимо, путаете реалтайм-миррор на сорм с хранением идентификационных данных. Если вас смутило в последней строчке слово "трафик", то вы банально не правильно трактуете постановку вопроса.

Если вы в силах определить абонента исходя из данных, снятых с бордеров - это все, что требуется. Потому и хранят flow с бордеров, данные по сессиям(ppp/isg) и логи нат трансляций в том или ином виде.

Для всего прочего делают миррор на сорм.

Andrei

Andrei

Posted
Posted

Я ничего не путаю. Реал-тайм-миррор СОРМа - отдельно, ИС оператора - отдельно.

Я был бы рад согласиться с вашей трактовкой п.14, но

14. Базы данных должны содержать следующую информацию об абонентах оператора связи:

...

сведения баз данных ... в том числе о соединениях, трафике и ...

трактуется именно так как я указал. Причем трактуется не мной.

Я тоже думал - как классно! У меня pppoe/pptp - это же сессии? Да. Сведения о трафике там есть? Есть. Ну вот их и покажу. Например дам доступ в биллинг в режиме "только для чтения" - там есть и сессии, и трафик, и платежи, и ФИО. Но увы. Это все из практического опыта общения с надзором и ФСБ.

alibek

alibek

Posted
Posted

Это все из практического опыта общения с надзором и ФСБ.

Вот именно. Практика у всех разная.

У нас для ФСБ RO-доступа в биллинг более чем достаточно.

 

Надо хранить сессии в трактовке "этот абонент скачал в такое-то время с такого-то сайта столько байт".

Им это не нужно. Им нужна идентификация абонента, чтобы по известным данным с веб-ресурса (дата, время, IP-адрес) определить личность клиента.

Andrei

Andrei

Posted
Posted

Им это не нужно. Им нужна идентификация абонента, чтобы по известным данным с веб-ресурса (дата, время, IP-адрес) определить личность клиента.

То, что им нужно, ФСБ написали в ТУ к ИС. А надо именно то, что я описывал выше.

Уж сорри, но выдержки из ТУ публиковать не буду - скорее всего это документ ограниченного распространения.

darkagent

darkagent

Posted
Posted

Но увы. Это все из практического опыта общения с надзором и ФСБ.

А "промахов" ранее не было? А то как-то ну очень похоже на то что вам просто вставляют палки в колеса.

NikAlexAn

NikAlexAn

Posted
Posted

Им это не нужно. Им нужна идентификация абонента, чтобы по известным данным с веб-ресурса (дата, время, IP-адрес) определить личность клиента.

То, что им нужно, ФСБ написали в ТУ к ИС. А надо именно то, что я описывал выше.

Уж сорри, но выдержки из ТУ публиковать не буду - скорее всего это документ ограниченного распространения.

Наверно не "ТУ к ИС" а "Регламент предоставления данных ..." - там в приложении и виды запросов и что должны содержать ответы.

Andrei

Andrei

Posted
Posted

Но увы. Это все из практического опыта общения с надзором и ФСБ.

А "промахов" ранее не было? А то как-то ну очень похоже на то что вам просто вставляют палки в колеса.

Нет, это первый план СОРМа. Ранее выдавали справки, что не требуется, но как известно те времена давно прошли. Другим операторам в нашем городе тоже прислали в конце лета аналогичные требования.

 

Уж сорри, но выдержки из ТУ публиковать не буду

У меня они есть, так что достаточно сослаться на номер пункта.

Конкретика прописана в разделе 7, подпункт 7.1.4

 

Наверно не "ТУ к ИС" а "Регламент предоставления данных ..." - там в приложении и виды запросов и что должны содержать ответы.

Документ называется "ТЕХНИЧЕСКИЕ УСЛОВИЯ

на информационную систему ________ «________», содержащую базы данных об абонентах, базы данных систем расчета за оказанные услуги связи (в том числе о соединениях, трафике и платежах абонентов), подключение к пункту управления УФСБ ___ области технических средств СОРМ"

NikAlexAn

NikAlexAn

Posted
Posted

Документ называется "ТЕХНИЧЕСКИЕ УСЛОВИЯ

на информационную систему ________ «________», содержащую базы данных об абонентах, базы данных систем расчета за оказанные услуги связи (в том числе о соединениях, трафике и платежах абонентов)

Ни фига се 8-(

Мне одному показалось что под это определение практически попадает биллинг?

Andrei

Andrei

Posted
Posted

Документ называется "ТЕХНИЧЕСКИЕ УСЛОВИЯ

на информационную систему ________ «________», содержащую базы данных об абонентах, базы данных систем расчета за оказанные услуги связи (в том числе о соединениях, трафике и платежах абонентов)

Ни фига се 8-(

Мне одному показалось что под это определение практически попадает биллинг?

Если почитать документ, то это не биллинг. Там 2 этапа. Один относительно простой, второй - пока темный лес. Пока мыслей нет как его реализовывать.

mikezzzz

mikezzzz

Posted
Posted

что-то не могу я разобраться с NAT HSL, сам CG NAT настроил (крутится в отдельном VRF), включаю ip nat log translation тра-та-та destionation,

 

запускаю port scanner с клиентского устройства, на ASR1k вижу около 1000 трансляций, а в сторону коллектора ни одного пакета не прилетает, уж пробовал и разные Source прописывать в разных VRF - никак.

 

p.s. на ASR1k прописано еще два netflow collectora V5

p.s.s asr1000rp1-adventerprise.03.10.06.S.153-3.S6-ext.bin

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.