Срок хранения NetFLOW

Susanin · August 10, 2020

Уже точно и не помню согласно какому закону - но точно помню что нужно хранить запись NetFLOW для предоставления информации определенным органам. И срок хранения - 36 месяцев.

Я правильно понимаю, что все записи до 10.08.2017 я могу сегодня смело удалять ?

Или три года - это 2017 полностью включительно ?

Вопрос вырос из-за нехватки места на nas-е.

yvatfwp · August 11, 2020

Вообще да 36 месяцев, следственно все что раньше можно смело убирать, но в целях осторожности что мешает старые записи на другой хард, на него бумажку (от - до) и на всякий случай на полку?

jffulcrum · August 11, 2020

23 часа назад, Susanin сказал:

согласно какому закону

Никакому закону. Хранят в основном для удобства ответа на всякие письма товарищей майоров (ибо все всраные в СОРМЫ-Яровые средства никаких адекватных инструментов для органов, ха-ха, не обеспечивают - извлечение данных из систем идет неделями и их вид обычно почти бесполезен), а также для возможных разборок с абонентами по поводу оказания услуг - вот тут как раз 3 года стандартный срок исковой давности.

st_re · August 11, 2020

ну вообще то тт майоры бывают из разных ведомств.. и большинство из них в сорм не пустят.. поэтому все остальные всё так же шлют запросы. ну и сорм (пока яровой то нету по факту, да и для начала там будет храниться всего ничего) не хранит 3 года поэтому те, которых пустят, тоже могут что то там спрашивать..

не совсем понятно только на основании чего они все надеются что у оператора это есть.

LostSoul · August 11, 2020

В ЗоС было, обязан хранить информацию о соединениях 3 года.

Там, судя по формулировке речь о телефонных cоединениях. Но не конкретизировано, что позволяет трактовать и как netflow

st_re · August 11, 2020

там чтото о соединениях (ну да, телефонисты же писали, даже если и имели в виду интернет, то всеравно телефонисты же), что можно трактовать как лог порт ап - порт даун, для IPoE или лог начала - конца сессий для всяких PPTP/L2TP и по тем временам диалапов. Вот это точно никаких тт майоров не интересует. но вот соеденился-разъеденился. храню.

особенно радовали запросы вида кто ходил на такой то ресурс за последние пол года.. пф...ресурс живет в какмонить амазоне и соотв IP меняет по желаюнию левой пятки их управлялки. откуда я знаю какой IP бы ла этом ресурсе пол года назад.. да и даже постоянный опрос DNS не тему их IP не гарантирует что у клиента не другой ДНС ресолвер настроен и он неполучил другой IP для того же ресурса в тот же момент времени.

ayf · August 19, 2020

В 12.08.2020 в 00:29, st_re сказал:

там чтото о соединениях (ну да, телефонисты же писали, даже если и имели в виду интернет, то всеравно телефонисты же), что можно трактовать как лог порт ап - порт даун, для IPoE или лог начала - конца сессий для всяких PPTP/L2TP и по тем временам диалапов. Вот это точно никаких тт майоров не интересует. но вот соеденился-разъеденился. храню.

особенно радовали запросы вида кто ходил на такой то ресурс за последние пол года.. пф...ресурс живет в какмонить амазоне и соотв IP меняет по желаюнию левой пятки их управлялки. откуда я знаю какой IP бы ла этом ресурсе пол года назад.. да и даже постоянный опрос DNS не тему их IP не гарантирует что у клиента не другой ДНС ресолвер настроен и он неполучил другой IP для того же ресурса в тот же момент времени.

Самое эпичное у меня было: Проверьте, не появлялся ли на вашей сети за последние 2 года такой-то мак-адрес.

LostSoul · August 19, 2020

4 минуты назад, ayf сказал:

Проверьте, не появлялся ли на вашей сети за последние 2 года такой-то мак-адрес.

А это проблема посмотреть?

Andrei · August 19, 2020

5 часов назад, ayf сказал:

Проверьте, не появлялся ли на вашей сети за последние 2 года такой-то мак-адрес.

Такое мы точно не храним.

ayf · August 19, 2020

7 часов назад, LostSoul сказал:

А это проблема посмотреть?

Конечно проблема. Во-первых объем нетфлоу охренительный. Во-вторых, мак-адреса через роутеры не ходят. И даже если кто-то с этим маком сидит с моей сети, но через домашний роутер, я этого не узнаю.

LostSoul · August 19, 2020

23 минуты назад, ayf сказал:

И даже если кто-то с этим маком сидит с моей сети, но через домашний роутер, я этого не узнаю.

Так это вас и не просили. Просили тольео маки на вашей сети

pppoetest · August 19, 2020

11 часов назад, LostSoul сказал:

А это проблема посмотреть?

Если расскажите, как посмотреть клиентские маки за клиентским роутером, то нет. Самое интересное, гугл может посмотреть, а я нет.

st_re · August 21, 2020

ну не у всех операторов выдают всем рутеры, у некоторых можно втыкать езернет прямо в комп (и многие так и делают). опять же у рутера раньше часто была функция "клонировать мак", и тогда мак светился от того компа, с которого настраивали.. правда потом комп выбрасывается, покупается новый, а на рутере мак уже не менялся...

я так понимаю у когото украли комп и по маку хотят найти куда он делся ? Не понятно, правда, к чему "за 2 года".. или нашли на помойке комп с ДП и ищут владельца ?

у меня у матери соседа приняли.. "удачно" купил ноут с магазине с рук.. как нашли - не знаю, но могли и по маку найти. особенно если у тогоже оператора засветился.

ayf · August 22, 2020

23 часа назад, st_re сказал:

ну не у всех операторов выдают всем рутеры, у некоторых можно втыкать езернет прямо в комп (и многие так и делают). опять же у рутера раньше часто была функция "клонировать мак", и тогда мак светился от того компа, с которого настраивали.. правда потом комп выбрасывается, покупается новый, а на рутере мак уже не менялся...

я так понимаю у когото украли комп и по маку хотят найти куда он делся ? Не понятно, правда, к чему "за 2 года".. или нашли на помойке комп с ДП и ищут владельца ?

у меня у матери соседа приняли.. "удачно" купил ноут с магазине с рук.. как нашли - не знаю, но могли и по маку найти. особенно если у тогоже оператора засветился.

Да, там была кража ноута за 2 года до этого.

roma33rus · August 28, 2020

Так в итоге чего, храним нетфлоу или нет? Если да, то сколько? а то срок в 36 месяцев как-то не радует

Tosha · September 1, 2020

В 10.08.2020 в 15:46, Susanin сказал:

Вопрос вырос из-за нехватки места на nas-е.

Никто не требует хранить вживую на сервере. Мы пишем на жесткие диски и складываем в сейф. Затраты примерно 10т в месяц.

Пришел запрос - достал, развернул, выбрал данные, написал ответ.

ayf · September 1, 2020

7 часов назад, Tosha сказал:

Никто не требует хранить вживую на сервере. Мы пишем на жесткие диски и складываем в сейф. Затраты примерно 10т в месяц.

Пришел запрос - достал, развернул, выбрал данные, написал ответ.

А чем разворачиваете?

Tosha · September 2, 2020

А чем заворачивали исходные логи тем и разворачиваем. Можно просто копировать.

Галушко Дмитрий · September 8, 2020

В 12.08.2020 в 00:10, LostSoul сказал:

В ЗоС было, обязан хранить информацию о соединениях 3 года.

Там, судя по формулировке речь о телефонных cоединениях. Но не конкретизировано, что позволяет трактовать и как netflow

вообще обо ВСЕХ соединениях пользователей услугами связи, не важно телефон или другое: ППРФ 538 от 27.08.2005

Цитата

12. Оператор связи обязан своевременно обновлять информацию, содержащуюся в базах данных об абонентах оператора связи и оказанных им услугах связи, в том числе информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи (далее - базы данных).
Указанная информация должна храниться оператором связи в течение 3 лет на территории Российской Федерации и предоставляться органам федеральной службы безопасности, а в случае, указанном в пункте 3 настоящих Правил, органам внутренних дел путем осуществления круглосуточного удаленного доступа к базам данных.

st_re · September 8, 2020

Ну это как трактовать.... мы не передаём голосовую итд информацию (а то сразу станет вопрос, а где лицензия на голос.. то что он там унутре гонял СИП, это не наша зона ответственности). и звуки мы тоже не передаём.. мы передаём IP пакеты.. за отчетный период было получено от абонента 100000000 пакетов, было передано ему 100500100000 пакетов.

нет ?

Галушко Дмитрий · September 9, 2020

17 часов назад, st_re сказал:

Ну это как трактовать.... мы не передаём голосовую итд информацию (а то сразу станет вопрос, а где лицензия на голос.. то что он там унутре гонял СИП, это не наша зона ответственности). и звуки мы тоже не передаём.. мы передаём IP пакеты.. за отчетный период было получено от абонента 100000000 пакетов, было передано ему 100500100000 пакетов.

нет ?

вы о чем вообще?

ip пакеты = иные сообщения

st_re · September 9, 2020

вот у меня и есть статистика по годам. сколько пакетов он получил за каждый день.. это совсем не тоже самое что нетфлоу по объёмам, но в постановку задачи укладывается..

Tosha · September 9, 2020

4 часа назад, st_re сказал:

сколько пакетов он получил за каждый день..

Этого мало. В идеале для каждого сообщения (пакета) надо хранить когда, откуда, куда, сколько. В принципе даже вроде как были утвержденные перечни чего именно надо хранить. Это шло в комплекте закона "Яровой".

И хранение Netflow это еще по-божески, когда хранятся данные "откуда и куда" по потокам а не по пакетам.

jffulcrum · September 9, 2020

@Tosha В Яровой это хранит оборудование Яровой. В упомянутом Дмитрием ППРФ (я уже сам забыл про такое) - именно провайдер.

Галушко Дмитрий · September 9, 2020

1 час назад, jffulcrum сказал:

@Tosha В Яровой это хранит оборудование Яровой. В упомянутом Дмитрием ППРФ (я уже сам забыл про такое) - именно провайдер.

не провайдер, а оборудование, купленное им..

Но у Прова запрет на доступ к данным оборудования СОРМ.

Sign In

Срок хранения NetFLOW

Recommended Posts

Susanin

yvatfwp

jffulcrum

st_re

LostSoul

st_re

ayf

LostSoul

Andrei

ayf

LostSoul

pppoetest

st_re

ayf

roma33rus

Tosha

ayf

Tosha

Галушко Дмитрий

st_re

Галушко Дмитрий

st_re

Tosha

jffulcrum

Галушко Дмитрий

Join the conversation