Jump to content
Калькуляторы

СОРМ на больших скоростях сегодня 10Gbit, завтра 20.. 100. и все это снифить?

Как решаете вопрос с СОРМ при больших скоростях внешнего канала?

Сегодня отдаем на сенсор почти 8Гбит/с (In+Out) внешки.

По наблюдениям за последние 2 года трафик вырастает за год в 8-10 раз.

Т.е. 20-50-100Г внешки не за горами. И все это снифить? Ну не серьезно как-то.

Что думаете? Опыт с Lawful intercept есть у кого-нибудь?

Вариант "договориться" не устроит.

 

Share this post


Link to post
Share on other sites

Не понял, а вас-то это каким образом заботит? Отдаёте себе и отдавайте, в чём проблема для вас?

Share this post


Link to post
Share on other sites

Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

 

Share this post


Link to post
Share on other sites
Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

Придется ненадолго отложить покупку нового лексуса, всего делов. Вы же явно не нахаляву эти 50 гигабит раздавать будете.

Share this post


Link to post
Share on other sites

Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

Share this post


Link to post
Share on other sites
Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

Carnivore ? ;-)

 

Вообще хороший dual xeon писюк с 10GE и четырьмя видюхами в quad-sli десятку отсниффит. На 50G придется их пять ставить.

Share this post


Link to post
Share on other sites

Ну и вы считаете нормальным такое экстенсивное решение?

Share this post


Link to post
Share on other sites

Прецеденты сдачи СОРМ-а на базе "Lawful intercept" есть, мне известно о таком в Питере.

Подробностей к сожалению рассказать не могу.

Share this post


Link to post
Share on other sites

imho, только каскадирование серверов, несколько точек съема. Вот что сами разработчики пишут:

 

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Количество съемников АПС СОРМ СДЭС, подключаемых к одному пункту управления ПУ — до 48.

* Количество интерфейсов в одном съемнике АПС СОРМ СДЭС для подключения к сети узла связи (точек подключения) — от 1 до 23.

* Количество рабочих мест РМ, подключаемых к одному пункту управления АПС СОРМ СДЭС — не ограничено.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

* Наращиваемая производительность системы за счет использования более производительных серверов и аппаратно-программных решений.

* Гибкая сетевая архитектура АПС позволяет легко конфигурировать и настраивать систему практически для любой топологии сети передачи данных.

* Возможность поставки системы в комплектации "все в одном", т.е. законченной комплектации, включающей съемник и пункт управления на базе одного промышленного сервера.

* Возможность поставки мобильного варианта системы, т.е. законченной комплектации, включющей съемник, пульт управления ПУ и рабочее место РМ на базе ноутбука.

СОРМович
Edited by p10neer

Share this post


Link to post
Share on other sites

Давайте попробую ответить на часть вопросов, в порядке поступления.

 

Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить.

 

Далее вопрос в цене, у самого дешевого производителя сорм, цена около 70 килобаксов за 4 гигабита + ежегодные 20% лицензионные платежи (у остальных цена множится в 2 раза), причем это решение не расширяемое, т.е. если у вас стоит сервак на 1 гигабит, до 4 вы его не апгрейдите, и 4 до 10 тоже, притом что расширяемые кластерные платформы начинаются от 10Г и стоят довольно прилично. Далее существую тонкости о которых сами производители упомянуть забывают, при нескольких съемниках возникает проблема фрагментации трафика,если у вас несколько аплинков, и на каждом стоит по съемнику, пакет пользователя уходит по одному а приходит по другому фсб это совсем не устроит. еще один веселый недочет, связан с тем что чем больше у вас трафика миррорится тем больше канал до фсб вам необходим, волокна или полосу до пульта прийдется покупать или брать в аренду, свой кабель вам никто не даст заводить на пульт фсб.

По поводу "жалко портов", это самый меньший гемморой который есть, есть решения врезаться в оптоволокно аплинков, но это решение имеет недостаток в том что вам прийдется закладывать полную скорость порта, АЦЛями тут уже не разрулишь.

 

2Dyr, видимо вас это пока особо не коснулось, вы закладку на эту тему поставьте, пригодится.

 

 

Share this post


Link to post
Share on other sites
Ну и вы считаете нормальным такое экстенсивное решение?

Я считаю, что на фоне всего остального - это просто фигня.

Share this post


Link to post
Share on other sites

Ну про СОРМ не скажу (не из России), а вот Lawful intercept есть во многих рутерах. Он как бы и не предполагает постоянного mirror-a. Вы должны обеспечить доступ спецслужб к рутеру и возможность активизации mirror-a/слежения по конкретному подписчику (с доступом к БД подписчиков само собой). Причем упор на то, что информация о том, что делают спецслужбы не должна быть доступна самому оператору. Никаких логов, уведомлений, конфигураций и т.п. Это требует отдельного management plane рутера, который скрыт от остальных, включая admin-а. Так это 100% сделано в сервис-рутерах Alcatel-Lucent-a (7710/7750). Дополнительных денег за LI они не брали. За Cisco и Juniper – не скажу. Если кто то смог сертифицировать СОРМ на базе LI, то сэкономил кучу денег - 70К за 4 гига +20% ежегодно звучит как грабёж.

Да и сделать mirror на гиг не проблема, а вот обработать его... Правда, обычно, операторы должны обеспечить лишь доступ к LI, а не тратить ресурсы на хранение и обработку. Может в России и не так...

 

Share this post


Link to post
Share on other sites
* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика.
Edited by photon

Share this post


Link to post
Share on other sites
* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика.

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)

Share this post


Link to post
Share on other sites
хранение в течении 3х лет нетфлоу,
Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

Share this post


Link to post
Share on other sites
хранение в течении 3х лет нетфлоу,
Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

Share this post


Link to post
Share on other sites
И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

Уже и двойки недорого.

Share this post


Link to post
Share on other sites

Magnum72, да, слава богу, не касалось. Мне хватило СОРМовских завихрений (мягко говоря) с форматом предоставления ежемесячных отчётов по абонентам, до сих пор вздрагиваю. Но тема интересная, закладочку поставил. :)

По хранению netflow - нам показалось более перспективным хранить в формате ipacct, который практически netflow и является, только без избыточной в данном случае информации в виде флагов пакетов, номеров AS'ок и т.п.

 

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)
Хотел бы я посмотреть, сколько будет идти выборка этих байтиков из накопленной инфы с канала в 20Гбит/сек ;)))
Edited by Dyr

Share this post


Link to post
Share on other sites

О, через соседнюю тему нашёл какую карту:

The NT20E Capture Adapter is a high-performance 2 x 10 Gbps solution for very advanced data capture, processing and delivery of network data traffic to a host system at virtually no CPU load. The NT20E capture function is running at full gigabit line rate at all frame sizes ensuring no packet loss.
13041_value2_5631_1.jpg

 

О цене скромно умолчано. :)

Share this post


Link to post
Share on other sites

А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм?

Share this post


Link to post
Share on other sites

Внутри сети это делать еще более утопично, чем на аплинке. Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.

Edited by photon

Share this post


Link to post
Share on other sites
Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.
кУуЛХацКерАм это не помеха ;-)

 

Global, сплюньте дважды, а лучше трижды. Не дай бог, такая идея придёт кому-нибудь в голову (а вернее, что-нибудь её заменяющее).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this