SokolovS Опубликовано 28 марта, 2009 · Жалоба Ну вот у нас такие реальные данные, трафик в месяц порядка 15 Тб, храним только самые необходимые поля, база данных на данный момент порядка 290 Гб и порядка 2 млрд. записей (храним в БД с использованием Partitioning по ЛС абонента и по номеру год-месяц). Пока храним, но я думаю проконсультируемся с куратором и будем для помегабайтников хрянить не более полугода, там для них совсем мало, а для анлимщиков вобще не более месяца. Просто при большом трафике на самом деле данных будет очень много, а смысл в них есть, как писали, только для внутренних разборок. А судя по моему опыту общения с органами, работают они не постфактно, а по реальным данным т.е. они не роются в архивах, а стараются взять преступника с поличным, мониторя СОРМ и сразу берут его на рабочем месте. Как мне объяснили по архивным данным сложно что-либо доказывать, нужно брать с поличным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 28 марта, 2009 (изменено) · Жалоба Гость, сам акстись.Как при таком подходе искать педофилов, шпионов и международных террористов? Или злобных пиратов? ;-) Никто не требует писать и хранить весь сеанс... Ага по вашему - собрать со всех операторов нетфлоу и искать в нём террористов :-)... Все проще такие службы как мэйл, однокласники и тому подобные при логоне сохраняют клиентские ИП. Трафик "педофильских" серверов сниферится он лайн на магистральных узлах. Органам только остается решить одну задачу, кто именно с ЭТОГО ИП в ЭТО ВРЕМЯ пользовался услугами. Мне вот интересно - АлексБТ - а у вас органы хоть раз данные нетфлоу просили? И вообще у КОГО-ТО их просили? Что бы пришли и сказали - ну ка, куда этот клиент посылал пакеты с 11 утра до 12 дня 15 марта позапрошлого года? И что они скажут когда увидят 1500 адресов скачаных веб страниц, банеров, днс, торентов и т.п. - да у любого следака от этого голова кругом пойдет. Так что - сомневаюсь что нетфлоу нужен кому-то кроме вас самих. Изменено 29 марта, 2009 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба Товарищ, Вас заклинило? Вы прочитали все, что написано, и до Вас не дошло? Вы что тут хотите получить? Индульгенцию? Вам написали, что нужно делать, а Вы продолжаете - скажите мне, что нетфло хранить ненадо... У Вас написано, что Вы за оператор? Где схема организации связи, где план мероприятий и ТУ от управления? А иностранные организации на Вашей сети есть? А клиенты с гостайной на предприятии? Нету, или не для печати? Телепатов здесь нет... Операторы разные бывают - у одних есть первый отдел и собственная служба безопасности - одни требования. А у других вообще ничего нет - и даже оборудования СОРМа на сети. И такое есть. Идите к куратору и все вопросы решайте с ним. Не пытайтесь думать за других, дорого может закончиться. И у Вас может ограничиться простым договором на аутосорминг с аплинком, или вообще без договора. И тогда Вам и нетфло или сфло нафиг ненужно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 (изменено) · Жалоба а на вопрос Вы так и не ответили - требуют у Вас нетфлоу или нет? короче отвлеклись от темы.... вопрос был как хранить, а надо или не надо... з.ы. а какой срез по времени нужен кстати т.е. в каком интервале агрегация 5 минут, 1 час, 2 часа, сутки, сессия.... Изменено 29 марта, 2009 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 29 марта, 2009 · Жалоба Что-бы замочить нифельную аргументацию Алекса и снять напряженность у пионэров-операторов, громко повторяю - ОРГАНАМ НЕТФЛОВ НАХ НЕ НУЖЕН! Если какой-то юноша с погонами начинает с вас это говно истребывать, смело посылайте его на йух, делайте вид что непонимаете о чем речь, что у вас такой ***ни нет, никогда не было и не будет... но все-таки лучше поласковей конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 29 марта, 2009 · Жалоба А ваще какое отношение план меропринятий имеет к базе с нетфлу ? Единственное место которым оно имеет отношение - в плане стоит срок согласования состава групп взаимодействия между товарищем майором и оператором. Вот чо понапишете в рыхламенте взаимодействия оных групп и что там вам товарищ майор подмахнет - так и будет. А педофилов ловить у товарища майора порт зеркальный на пульту имеется. Пускай снифает да ловит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 29 марта, 2009 · Жалоба Мне вот интересно - АлексБТ - а у вас органы хоть раз данные нетфлоу просили? И вообще у КОГО-ТО их просили? Что бы пришли и сказали - ну ка, куда этот клиент посылал пакеты с 11 утра до 12 дня 15 марта позапрошлого года? Просят регулярно, если не даешь - намекают, что заставят покупать СОРМ. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 29 марта, 2009 · Жалоба приходили, просили. Но не сам нетфлов, а сказать "кто ходил на такие-то адреса с такого-то вашего адреса". Адрес естесна НАТ. Дал им 3.5 гига нетфлова (за день). Тока похоже оно у них не открылось. Или возиться не захотели... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 29 марта, 2009 · Жалоба Флоу и те, кто просили? Не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 (изменено) · Жалоба Мне вот интересно - АлексБТ - а у вас органы хоть раз данные нетфлоу просили? И вообще у КОГО-ТО их просили? Что бы пришли и сказали - ну ка, куда этот клиент посылал пакеты с 11 утра до 12 дня 15 марта позапрошлого года? Просят регулярно, если не даешь - намекают, что заставят покупать СОРМ. :-) Приходят и просят у Всех - но просят как было сказано КТО с ЭТОГО ИП в ЭТО ВРЕМЯ ходил ТУДА-ТО? Я спрашиваю просили ли Вас дать информацию КУДА ходили с ЭТОГО ИП в ЭТО ВРЕМЯ? Согласитесь что-бы на первый вопрос ответить Нетфлоу не нужен. Ответить на 2-ой вопрос без Нетфлоу никак! Еще раз спрашиваю у КОГО-ТО просили дать информацию КУДА ходили с ЭТОГО ИП в ЭТО ВРЕМЯ? задним числом например. месяц назад. Изменено 29 марта, 2009 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LuckySB Опубликовано 29 марта, 2009 · Жалоба <br />приходили, просили. Но не сам нетфлов, а сказать "кто ходил на такие-то адреса с такого-то вашего адреса". Адрес естесна НАТ. Дал им 3.5 гига нетфлова (за день). Тока похоже оно у них не открылось. Или возиться не захотели...<br /><br /><br /><br /> Флешку им свою подарил ? Иначе непонятно как они от тебя так легко отстали ) Если пришли с запросом то требуют официальный ответ на бумаге с печатью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 29 марта, 2009 · Жалоба ДВД-Р подарил. С закрытой сессией. Просили безбумажно. Получили так же безбумажно. Да, просили инфу за определенные дни в прошедшие 2 месяца. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vetal13 Опубликовано 29 марта, 2009 · Жалоба Похоже что-то не то народ под netflow понимает :-) Пример из жизни: 20к юзеров 2.5 Гигбита в сек туда и столько же обратно, netflow5 за день в bzip занимает 3.5G, без всяких обрезаний, отбрасываний и агрегирования С частотой раз в месяц приходят "люди в черном" и спрашивают, "кто с таким ip ходил на такой ресурс в такой промежуток времени и предоставить логи сессий", инногда в запросе некоторых данных не хватает, и диапазон поиска бывал в 2-3 месяца. И это в "демократической" стране Украина :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 · Жалоба Ключевыми словами являются: "кто с таким ip ходил ...."Для этого нет флоу нафиг не нужен. Достаточно хранить данные сессий (авторизаций) и выданных на них ИП. Исключение - если у вас НАТ и вы будите собирать нетфлоу до НАТа - тогда да - появится резон т.к. иначе ответить на поставленный вопрос вы не сможете. Основной спор сейчас обязательно нужен нетфлоу или нет для СОРМ. З.Ы. Мы от НАТа отказались не так давно и не жалеем. Проще быть лиром и ни от кого не зависеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба Что-бы замочить нифельную аргументацию Алекса и снять напряженность у пионэров-операторов, громко повторяю - ОРГАНАМ НЕТФЛОВ НАХ НЕ НУЖЕН! Если какой-то юноша с погонами начинает с вас это говно истребывать, смело посылайте его на йух, делайте вид что непонимаете о чем речь, что у вас такой ***ни нет, никогда не было и не будет... но все-таки лучше поласковей конечно.Гость, убей конкурента на любой территории? ;-).Не юноша с погонами, а решение суда о предоставлении информации. И сырцы, и описание формата, а не художественное творчество оператора. Для легализации - распечатка за подписью уполномоченного лица с приложением печати оператора. В случае необходимости - протоколы допросов специалистов. В нормативке все описано, как в ППРФ, так и в двух приказах министерии. Последствия бездействия оператора и невыполнения мероприятий плана в судебной практике уже описаны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 29 марта, 2009 · Жалоба Алекс, это капец какой ты тугой. Как я незавидую твоим детям и внукам :) Что-бы выполнить все лицензионные требования и постановления по этому вопросу, оператору нужно только две балалайки: 1. Черный сормовский ящик - снифер, установленный в точке наибольшей концентрации трафиков (модель - одна из трех - согласуется заранее); 2. Логи радиуса и/или дхцп серверов, фиксирующие вход-выход клиента в сеть и назначение ему ипы адреса. Все остальное Алекс придумал в своем воспаленном воображении и к реальной жизни отношения этот бред не имеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 · Жалоба +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба а на вопрос Вы так и не ответили - требуют у Вас нетфлоу или нет?Ключи от квартиры, наличные деньги, явка с повинной? ;-) Не дождетесь!Информация, ставшая известной оператору в ходе мероприятий ОРД, разглошению не подлежит. Запросить информацию могут только в том виде, как было обусловленно планом мероприятий и опытной эксплуатацией. Прийти просто так и сказать - дай что-нибудь - не могут. Все по процедуре, а не с кандачка. короче отвлеклись от темы.... вопрос был как хранить, а надо или не надо...з.ы. а какой срез по времени нужен кстати т.е. в каком интервале агрегация 5 минут, 1 час, 2 часа, сутки, сессия.... По разному. Но обычно сырцы, (обязательно описание формата), файлами определенного размера. Например, один мегабайт, десять мегабайт, с датой временем записи файла. Т.е. без привязки к агрегации. Д.б. привязка выданных адресов и абонентов по времени, что бы можно было персонализировать данные сырцов. Но опять же, все это утрясается на месте. Потому что у каждого свое, и к примеру нет нетфло ;-).И самое главное - в ходе ОРД не должны разглашаться сведения об объекте ОРД, и не должна разглашаться информация о тайне связи необъектов ОРД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zmey_skif Опубликовано 29 марта, 2009 (изменено) · Жалоба Ключевыми словами являются:"кто с таким ip ходил ...."Для этого нет флоу нафиг не нужен. Достаточно хранить данные сессий (авторизаций) и выданных на них ИП. Исключение - если у вас НАТ и вы будите собирать нетфлоу до НАТа - тогда да - появится резон т.к. иначе ответить на поставленный вопрос вы не сможете. А если нету авторизации? )) максимум - привязка на порту mac+ip и acl на кошке, который разрешает ходить или не ходить наружу... Все клиенты на "белой" статике, есть некоторые на dhcp, но, опять таки - dhcp-а статичная ) тут мы видим уже второе исключение )) А вообще... 30К абонов, 1.3 тера в месяц (на данный момент) Изменено 29 марта, 2009 пользователем Zmey_skif Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба Алекс, это капец какой ты тугой.Как я незавидую твоим детям и внукам :) Что-бы выполнить все лицензионные требования и постановления по этому вопросу, оператору нужно только две балалайки: 1. Черный сормовский ящик - снифер, установленный в точке наибольшей концентрации трафиков (модель - одна из трех - согласуется заранее); 2. Логи радиуса и/или дхцп серверов, фиксирующие вход-выход клиента в сеть и назначение ему ипы адреса. Все остальное Алекс придумал в своем воспаленном воображении и к реальной жизни отношения этот бред не имеет. Гость, специально для тебя - у каждого свое.Говоришь о себе - говори, что у меня так. Или видел у соседа, говори, что видел у соседа. или говори, что я думаю так, а как на самом деле - хрен его знает... Может вообще не быть того, о чем ты говоришь. И вообще ничего, связанного с СОРМом. А может стоять железка за сотню тысяч баксов от производителя коммуникационного оборудования, а не из рекомендованного списка, и при полном отсутствии информации об абонентах. Жизнь многообразна, однако... А оператору нужен согласованный план мероприятий и подписанный тремя сторонами акт, либо письмо об отсутствии требований по СОРМ. Больше ему ничего ненадо... +1Не забудьте про вазелин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 · Жалоба А оператору нужен согласованный план мероприятий и подписанный тремя сторонами акт, либо письмо об отсутствии требований по СОРМ. Больше ему ничего ненадо... +1Не забудьте про вазелин. Подводя итоги беседы скажем - так: Если в вашем плане СОРМ про нетфлоу ничего не сказано, то он ВАМ НАФИГ не нужен! :-) (с оговорками сказанными ранее) Что и требовалось доказать. Жаль, что только вместо ответа на вопрос создателя темы тут такой офтопик вылез. Из-за упрямства некоторых товарищей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба Вы вобще когда-нибудь в глаза видели того, кто отвечает за СОРМ по отношению к Вам? Или Вам просто поговорить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrBear Опубликовано 29 марта, 2009 · Жалоба А вообще... 30К абонов, 1.3 тера в месяц Упс... Странное какое соотношение, у вас там дайлапщики, что ли? :) Или Вы терабайты с гигабитами перепутали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 марта, 2009 · Жалоба Раз в год видим и подписываем план. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 29 марта, 2009 · Жалоба Раз в год видим и подписываем план. Ну тогда вопросов нет. Продолжайте подписывать и дальше... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...