Urs_ak Опубликовано 28 сентября, 2017 · Жалоба Вопрос про NAT и логи, в контексте СКАТа: Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.) Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента. А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них в это время подключены к ВКонтакте по 443 порту Как на инфраструктуре СКАТа ведётся учёт этой темы? Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 сентября, 2017 · Жалоба 51 минуту назад, Urs_ak сказал: Вопрос про NAT и логи, в контексте СКАТа: Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.) Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента. А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них в это время подключены к ВКонтакте по 443 порту Как на инфраструктуре СКАТа ведётся учёт этой темы? Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта? Спасибо. Скат тут не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 28 сентября, 2017 · Жалоба 1 час назад, Urs_ak сказал: Приходит запрос из МВД Если у вас стоит СОРМ, то отправляете их в ФСБ, в теме про документы была информация, что это корректный подход, многие так поступают. Если стоит СОРМ СКАТ, то можете сами сделать запрос по БД (текст запроса можно уточнить в ТП). Если СОРМа нет, то либо собираете логи NAT трансляций (пишите их текстовый лог или по сети, как указано в документации, загружаете в свою БД и делаете по ней запросы), либо отправляете в МВД список всех этих пользователей и говорите, что нет технической возможности их отличить, - тоже прокатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 28 сентября, 2017 · Жалоба есть еще netflow, который умеет СКАТ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 28 сентября, 2017 · Жалоба 2 часа назад, YuryD сказал: Скат тут не поможет. Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ? Сервисы СКАТа ничего нового тут не добавят ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 28 сентября, 2017 · Жалоба 3 часа назад, Urs_ak сказал: выйти на конкретного абонента не получится ? получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :) а так верно, в https скат не заглядывает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 28 сентября, 2017 · Жалоба 3 часа назад, Urs_ak сказал: Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ? Сервисы СКАТа ничего нового тут не добавят ? Конкретный абонент - не ваша головная боль. Нужно ответить на запрос, даже если под него попадет треть вашей абонентской базы. Впрочем, если искомый абонент в выборку не попадет вообще (неправильное время на оборудовании, часовой пояс, etc) разбираться никто не станет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 28 сентября, 2017 · Жалоба 3 часа назад, DimaM сказал: получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :) Вовсе необязательно. Зависит от того, сколько абонентов за конкретным внешним ip и насколько часто посещаем IP ресурса. У меня в похожем случае по нетфлоу нашелся ровно один конкретный абонент. А вот однажды ФСБ неофициально попыталось узнать, кто из абонентов (дословно) завершал TCP сессию в такое-то время с такого-то внешнего IP (IP назначения был секретный) - тут я уже намекнул насчет синхронизации часов)) Ну и если задать интервал 10 секунд, в круге поиска уже было 400 человек. Так же неофициально объяснил, отстали. Причем, по их словам, если бы было 40 или даже 140 - вполне пошло бы в разработку, но 400 уже перебор) 10 часов назад, Urs_ak сказал: кто в такое-то время подключался во ВКонтакте А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 7 ноября, 2017 · Жалоба В 9/28/2017 в 23:16, Барагоз сказал: А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть? Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mst Опубликовано 8 ноября, 2017 · Жалоба В 07.11.2017 в 10:49, ShyLion сказал: Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад. Я на это отвечал примерно следующее "в связи с отсутствием IP конечного узла идентифицировать абонента не представляется возможным" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
