Jump to content
Калькуляторы

вопрос про NAT и логи

Вопрос про NAT и логи, в контексте СКАТа:

 

Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.)

Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента.

А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них  в это время подключены к ВКонтакте по 443 порту

 

Как на инфраструктуре СКАТа ведётся учёт этой темы?

Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта?

 

Спасибо.

Share this post


Link to post
Share on other sites

51 минуту назад, Urs_ak сказал:

Вопрос про NAT и логи, в контексте СКАТа:

 

Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.)

Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента.

А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них  в это время подключены к ВКонтакте по 443 порту

 

Как на инфраструктуре СКАТа ведётся учёт этой темы?

Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта?

 

Спасибо.

 Скат тут не поможет.

Share this post


Link to post
Share on other sites

1 час назад, Urs_ak сказал:

Приходит запрос из МВД

Если у вас стоит СОРМ, то отправляете их в ФСБ, в теме про документы была информация, что это корректный подход, многие так поступают.

Если стоит СОРМ СКАТ, то можете сами сделать запрос по БД (текст запроса можно уточнить в ТП).

Если СОРМа нет, то либо собираете логи NAT трансляций (пишите их текстовый лог или по сети, как указано в документации, загружаете в свою БД и делаете по ней запросы),

либо отправляете в МВД список всех этих пользователей и говорите, что нет технической возможности их отличить, - тоже прокатывает.

Share this post


Link to post
Share on other sites

2 часа назад, YuryD сказал:

Скат тут не поможет.

Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ?

Сервисы СКАТа ничего нового тут не добавят ?

Share this post


Link to post
Share on other sites

3 часа назад, Urs_ak сказал:

выйти на конкретного абонента не получится ?

получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :)

а так верно, в https скат не заглядывает...  

 

Share this post


Link to post
Share on other sites

3 часа назад, Urs_ak сказал:

Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ?

Сервисы СКАТа ничего нового тут не добавят ?

Конкретный абонент - не ваша головная боль.

Нужно ответить на запрос, даже если под него попадет треть вашей абонентской базы.

Впрочем, если искомый абонент в выборку не попадет вообще (неправильное время на оборудовании, часовой пояс, etc) разбираться никто не станет.

Share this post


Link to post
Share on other sites

3 часа назад, DimaM сказал:

получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :)

Вовсе необязательно.

Зависит от того, сколько абонентов за конкретным внешним ip и насколько часто посещаем IP ресурса. У меня в похожем случае по нетфлоу нашелся ровно один конкретный абонент.

А вот однажды ФСБ неофициально попыталось узнать, кто из абонентов (дословно) завершал TCP сессию в такое-то время с такого-то внешнего IP (IP назначения был секретный)  - тут я уже намекнул насчет синхронизации часов)) Ну и если задать интервал 10 секунд, в круге поиска уже было 400 человек. Так же неофициально объяснил, отстали. Причем, по их словам, если бы было 40 или даже 140 - вполне пошло бы в разработку, но 400 уже перебор)

 

10 часов назад, Urs_ak сказал:

кто в такое-то время подключался во ВКонтакте

А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть?

Share this post


Link to post
Share on other sites

В 9/28/2017 в 23:16, Барагоз сказал:

А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть?

Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад.

Share this post


Link to post
Share on other sites

В 07.11.2017 в 10:49, ShyLion сказал:

Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад.

Я на это отвечал примерно следующее "в связи с отсутствием IP конечного узла идентифицировать абонента не представляется возможным"

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.