СОРМ на больших скоростях

[Bambuk]

Как решаете вопрос с СОРМ при больших скоростях внешнего канала?

Сегодня отдаем на сенсор почти 8Гбит/с (In+Out) внешки.

По наблюдениям за последние 2 года трафик вырастает за год в 8-10 раз.

Т.е. 20-50-100Г внешки не за горами. И все это снифить? Ну не серьезно как-то.

Что думаете? Опыт с Lawful intercept есть у кого-нибудь?

Вариант "договориться" не устроит.

 

[Dyr]

Не понял, а вас-то это каким образом заботит? Отдаёте себе и отдавайте, в чём проблема для вас?

[VitMain]

Dyr, порты понимаете ли денег стоят.

 

[Bambuk]

Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

 

[jab]

Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

Придется ненадолго отложить покупку нового лексуса, всего делов. Вы же явно не нахаляву эти 50 гигабит раздавать будете.

[Bambuk]

Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

[jab]

Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

Carnivore ? ;-)

 

Вообще хороший dual xeon писюк с 10GE и четырьмя видюхами в quad-sli десятку отсниффит. На 50G придется их пять ставить.

[Bambuk]

Ну и вы считаете нормальным такое экстенсивное решение?

[visir]

Прецеденты сдачи СОРМ-а на базе "Lawful intercept" есть, мне известно о таком в Питере.

Подробностей к сожалению рассказать не могу.

[p10neer]

imho, только каскадирование серверов, несколько точек съема. Вот что сами разработчики пишут:

 

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Количество съемников АПС СОРМ СДЭС, подключаемых к одному пункту управления ПУ — до 48.

* Количество интерфейсов в одном съемнике АПС СОРМ СДЭС для подключения к сети узла связи (точек подключения) — от 1 до 23.

* Количество рабочих мест РМ, подключаемых к одному пункту управления АПС СОРМ СДЭС — не ограничено.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

* Наращиваемая производительность системы за счет использования более производительных серверов и аппаратно-программных решений.

* Гибкая сетевая архитектура АПС позволяет легко конфигурировать и настраивать систему практически для любой топологии сети передачи данных.

* Возможность поставки системы в комплектации "все в одном", т.е. законченной комплектации, включающей съемник и пункт управления на базе одного промышленного сервера.

* Возможность поставки мобильного варианта системы, т.е. законченной комплектации, включющей съемник, пульт управления ПУ и рабочее место РМ на базе ноутбука.

СОРМович Edited October 26, 2009 by p10neer

[Magnum72]

Давайте попробую ответить на часть вопросов, в порядке поступления.

 

Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить.

 

Далее вопрос в цене, у самого дешевого производителя сорм, цена около 70 килобаксов за 4 гигабита + ежегодные 20% лицензионные платежи (у остальных цена множится в 2 раза), причем это решение не расширяемое, т.е. если у вас стоит сервак на 1 гигабит, до 4 вы его не апгрейдите, и 4 до 10 тоже, притом что расширяемые кластерные платформы начинаются от 10Г и стоят довольно прилично. Далее существую тонкости о которых сами производители упомянуть забывают, при нескольких съемниках возникает проблема фрагментации трафика,если у вас несколько аплинков, и на каждом стоит по съемнику, пакет пользователя уходит по одному а приходит по другому фсб это совсем не устроит. еще один веселый недочет, связан с тем что чем больше у вас трафика миррорится тем больше канал до фсб вам необходим, волокна или полосу до пульта прийдется покупать или брать в аренду, свой кабель вам никто не даст заводить на пульт фсб.

По поводу "жалко портов", это самый меньший гемморой который есть, есть решения врезаться в оптоволокно аплинков, но это решение имеет недостаток в том что вам прийдется закладывать полную скорость порта, АЦЛями тут уже не разрулишь.

 

2Dyr, видимо вас это пока особо не коснулось, вы закладку на эту тему поставьте, пригодится.

 

 

[jab]

Ну и вы считаете нормальным такое экстенсивное решение?

Я считаю, что на фоне всего остального - это просто фигня.

[JoeDoe]

Ну про СОРМ не скажу (не из России), а вот Lawful intercept есть во многих рутерах. Он как бы и не предполагает постоянного mirror-a. Вы должны обеспечить доступ спецслужб к рутеру и возможность активизации mirror-a/слежения по конкретному подписчику (с доступом к БД подписчиков само собой). Причем упор на то, что информация о том, что делают спецслужбы не должна быть доступна самому оператору. Никаких логов, уведомлений, конфигураций и т.п. Это требует отдельного management plane рутера, который скрыт от остальных, включая admin-а. Так это 100% сделано в сервис-рутерах Alcatel-Lucent-a (7710/7750). Дополнительных денег за LI они не брали. За Cisco и Juniper – не скажу. Если кто то смог сертифицировать СОРМ на базе LI, то сэкономил кучу денег - 70К за 4 гига +20% ежегодно звучит как грабёж.

Да и сделать mirror на гиг не проблема, а вот обработать его... Правда, обычно, операторы должны обеспечить лишь доступ к LI, а не тратить ресурсы на хранение и обработку. Может в России и не так...

 

[L-ZiX]

А вышеуказанное не про россию?

[photon]

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика. Edited October 27, 2009 by photon

[Magnum72]

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика.

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)

[UglyAdmin]

хранение в течении 3х лет нетфлоу,

Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

[cmhungry]

хранение в течении 3х лет нетфлоу,

Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

[jab]

И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

Уже и двойки недорого.

[SmokerMan]

~900кг винтов в год на нетфло...

[Dyr]

Magnum72, да, слава богу, не касалось. Мне хватило СОРМовских завихрений (мягко говоря) с форматом предоставления ежемесячных отчётов по абонентам, до сих пор вздрагиваю. Но тема интересная, закладочку поставил. :)

По хранению netflow - нам показалось более перспективным хранить в формате ipacct, который практически netflow и является, только без избыточной в данном случае информации в виде флагов пакетов, номеров AS'ок и т.п.

 

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)

Хотел бы я посмотреть, сколько будет идти выборка этих байтиков из накопленной инфы с канала в 20Гбит/сек ;))) Edited October 27, 2009 by Dyr

[Dyr]

О, через соседнюю тему нашёл какую карту:

The NT20E Capture Adapter is a high-performance 2 x 10 Gbps solution for very advanced data capture, processing and delivery of network data traffic to a host system at virtually no CPU load. The NT20E capture function is running at full gigabit line rate at all frame sizes ensuring no packet loss.

 

О цене скромно умолчано. :)

[Global]

А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм?

[photon]

Внутри сети это делать еще более утопично, чем на аплинке. Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.

Edited October 28, 2009 by photon

[Dyr]

Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.

кУуЛХацКерАм это не помеха ;-)

 

Global, сплюньте дважды, а лучше трижды. Не дай бог, такая идея придёт кому-нибудь в голову (а вернее, что-нибудь её заменяющее).