Перейти к содержимому
Калькуляторы

вопрос про NAT и логи

Вопрос про NAT и логи, в контексте СКАТа:

 

Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.)

Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента.

А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них  в это время подключены к ВКонтакте по 443 порту

 

Как на инфраструктуре СКАТа ведётся учёт этой темы?

Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта?

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
51 минуту назад, Urs_ak сказал:

Вопрос про NAT и логи, в контексте СКАТа:

 

Допустим ядро сети построено на СКАТе (BRAS, CGNAT, DPI + СОРМ3 и т.п.)

Приходит запрос из МВД - кто в такое-то время подключался во ВКонтакте с такого внешнего ip, дайте паспортные данные абонента.

А у нас, допустим, 100 пользователей за одним внешним ip и 20 из них  в это время подключены к ВКонтакте по 443 порту

 

Как на инфраструктуре СКАТа ведётся учёт этой темы?

Как будет происходить поиск такого абонента для отчёта МВД ? Как это выглядит с точки зрения экспуатанта?

 

Спасибо.

 Скат тут не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Urs_ak сказал:

Приходит запрос из МВД

Если у вас стоит СОРМ, то отправляете их в ФСБ, в теме про документы была информация, что это корректный подход, многие так поступают.

Если стоит СОРМ СКАТ, то можете сами сделать запрос по БД (текст запроса можно уточнить в ТП).

Если СОРМа нет, то либо собираете логи NAT трансляций (пишите их текстовый лог или по сети, как указано в документации, загружаете в свою БД и делаете по ней запросы),

либо отправляете в МВД список всех этих пользователей и говорите, что нет технической возможности их отличить, - тоже прокатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть еще netflow, который умеет СКАТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, YuryD сказал:

Скат тут не поможет.

Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ?

Сервисы СКАТа ничего нового тут не добавят ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Urs_ak сказал:

выйти на конкретного абонента не получится ?

получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :)

а так верно, в https скат не заглядывает...  

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Urs_ak сказал:

Я правильно понимаю, что если в это время с этого ip сидело несколько человек во вконтакте по https, то выйти на конкретного абонента не получится ?

Сервисы СКАТа ничего нового тут не добавят ?

Конкретный абонент - не ваша головная боль.

Нужно ответить на запрос, даже если под него попадет треть вашей абонентской базы.

Впрочем, если искомый абонент в выборку не попадет вообще (неправильное время на оборудовании, часовой пояс, etc) разбираться никто не станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, DimaM сказал:

получится, если в запросе будет указано не только с какого ip, но и с какого порта пришел запрос, или указано время запроса с миллисекундной точностью :)

Вовсе необязательно.

Зависит от того, сколько абонентов за конкретным внешним ip и насколько часто посещаем IP ресурса. У меня в похожем случае по нетфлоу нашелся ровно один конкретный абонент.

А вот однажды ФСБ неофициально попыталось узнать, кто из абонентов (дословно) завершал TCP сессию в такое-то время с такого-то внешнего IP (IP назначения был секретный)  - тут я уже намекнул насчет синхронизации часов)) Ну и если задать интервал 10 секунд, в круге поиска уже было 400 человек. Так же неофициально объяснил, отстали. Причем, по их словам, если бы было 40 или даже 140 - вполне пошло бы в разработку, но 400 уже перебор)

 

10 часов назад, Urs_ak сказал:

кто в такое-то время подключался во ВКонтакте

А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 9/28/2017 в 23:16, Барагоз сказал:

А что такое "во вконтакте"? Конкретный IP дают? Нетфлоу логи есть?

Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 07.11.2017 в 10:49, ShyLion сказал:

Да щаззз... vk.com говорят, а ты сам определяй, какой адрес был у сервиса полгода назад.

Я на это отвечал примерно следующее "в связи с отсутствием IP конечного узла идентифицировать абонента не представляется возможным"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас