Bambuk Опубликовано 26 октября, 2009 · Жалоба Как решаете вопрос с СОРМ при больших скоростях внешнего канала? Сегодня отдаем на сенсор почти 8Гбит/с (In+Out) внешки. По наблюдениям за последние 2 года трафик вырастает за год в 8-10 раз. Т.е. 20-50-100Г внешки не за горами. И все это снифить? Ну не серьезно как-то. Что думаете? Опыт с Lawful intercept есть у кого-нибудь? Вариант "договориться" не устроит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 26 октября, 2009 · Жалоба Не понял, а вас-то это каким образом заботит? Отдаёте себе и отдавайте, в чём проблема для вас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 26 октября, 2009 · Жалоба Dyr, порты понимаете ли денег стоят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 26 октября, 2009 · Жалоба Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 26 октября, 2009 · Жалоба Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево. Придется ненадолго отложить покупку нового лексуса, всего делов. Вы же явно не нахаляву эти 50 гигабит раздавать будете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 26 октября, 2009 · Жалоба Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 26 октября, 2009 · Жалоба Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете? Carnivore ? ;-) Вообще хороший dual xeon писюк с 10GE и четырьмя видюхами в quad-sli десятку отсниффит. На 50G придется их пять ставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 26 октября, 2009 · Жалоба Ну и вы считаете нормальным такое экстенсивное решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 26 октября, 2009 · Жалоба Прецеденты сдачи СОРМ-а на базе "Lawful intercept" есть, мне известно о таком в Питере. Подробностей к сожалению рассказать не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 26 октября, 2009 (изменено) · Жалоба imho, только каскадирование серверов, несколько точек съема. Вот что сами разработчики пишут: * Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703. * Количество съемников АПС СОРМ СДЭС, подключаемых к одному пункту управления ПУ — до 48. * Количество интерфейсов в одном съемнике АПС СОРМ СДЭС для подключения к сети узла связи (точек подключения) — от 1 до 23. * Количество рабочих мест РМ, подключаемых к одному пункту управления АПС СОРМ СДЭС — не ограничено. * Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с. * Наращиваемая производительность системы за счет использования более производительных серверов и аппаратно-программных решений. * Гибкая сетевая архитектура АПС позволяет легко конфигурировать и настраивать систему практически для любой топологии сети передачи данных. * Возможность поставки системы в комплектации "все в одном", т.е. законченной комплектации, включающей съемник и пункт управления на базе одного промышленного сервера. * Возможность поставки мобильного варианта системы, т.е. законченной комплектации, включющей съемник, пульт управления ПУ и рабочее место РМ на базе ноутбука. СОРМович Изменено 26 октября, 2009 пользователем p10neer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 26 октября, 2009 · Жалоба Давайте попробую ответить на часть вопросов, в порядке поступления. Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить. Далее вопрос в цене, у самого дешевого производителя сорм, цена около 70 килобаксов за 4 гигабита + ежегодные 20% лицензионные платежи (у остальных цена множится в 2 раза), причем это решение не расширяемое, т.е. если у вас стоит сервак на 1 гигабит, до 4 вы его не апгрейдите, и 4 до 10 тоже, притом что расширяемые кластерные платформы начинаются от 10Г и стоят довольно прилично. Далее существую тонкости о которых сами производители упомянуть забывают, при нескольких съемниках возникает проблема фрагментации трафика,если у вас несколько аплинков, и на каждом стоит по съемнику, пакет пользователя уходит по одному а приходит по другому фсб это совсем не устроит. еще один веселый недочет, связан с тем что чем больше у вас трафика миррорится тем больше канал до фсб вам необходим, волокна или полосу до пульта прийдется покупать или брать в аренду, свой кабель вам никто не даст заводить на пульт фсб. По поводу "жалко портов", это самый меньший гемморой который есть, есть решения врезаться в оптоволокно аплинков, но это решение имеет недостаток в том что вам прийдется закладывать полную скорость порта, АЦЛями тут уже не разрулишь. 2Dyr, видимо вас это пока особо не коснулось, вы закладку на эту тему поставьте, пригодится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 26 октября, 2009 · Жалоба Ну и вы считаете нормальным такое экстенсивное решение? Я считаю, что на фоне всего остального - это просто фигня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 26 октября, 2009 · Жалоба Ну про СОРМ не скажу (не из России), а вот Lawful intercept есть во многих рутерах. Он как бы и не предполагает постоянного mirror-a. Вы должны обеспечить доступ спецслужб к рутеру и возможность активизации mirror-a/слежения по конкретному подписчику (с доступом к БД подписчиков само собой). Причем упор на то, что информация о том, что делают спецслужбы не должна быть доступна самому оператору. Никаких логов, уведомлений, конфигураций и т.п. Это требует отдельного management plane рутера, который скрыт от остальных, включая admin-а. Так это 100% сделано в сервис-рутерах Alcatel-Lucent-a (7710/7750). Дополнительных денег за LI они не брали. За Cisco и Juniper – не скажу. Если кто то смог сертифицировать СОРМ на базе LI, то сэкономил кучу денег - 70К за 4 гига +20% ежегодно звучит как грабёж. Да и сделать mirror на гиг не проблема, а вот обработать его... Правда, обычно, операторы должны обеспечить лишь доступ к LI, а не тратить ресурсы на хранение и обработку. Может в России и не так... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 26 октября, 2009 · Жалоба А вышеуказанное не про россию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 27 октября, 2009 (изменено) · Жалоба * Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703. * Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с. Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика. Изменено 27 октября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 27 октября, 2009 · Жалоба * Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703. * Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с. Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика. никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 27 октября, 2009 · Жалоба хранение в течении 3х лет нетфлоу,Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 27 октября, 2009 · Жалоба хранение в течении 3х лет нетфлоу,Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного... И в общем-то не страшно. Винты полторашки сейчас недорого стоят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 27 октября, 2009 · Жалоба И в общем-то не страшно. Винты полторашки сейчас недорого стоят. Уже и двойки недорого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 27 октября, 2009 · Жалоба ~900кг винтов в год на нетфло... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 27 октября, 2009 (изменено) · Жалоба Magnum72, да, слава богу, не касалось. Мне хватило СОРМовских завихрений (мягко говоря) с форматом предоставления ежемесячных отчётов по абонентам, до сих пор вздрагиваю. Но тема интересная, закладочку поставил. :) По хранению netflow - нам показалось более перспективным хранить в формате ipacct, который практически netflow и является, только без избыточной в данном случае информации в виде флагов пакетов, номеров AS'ок и т.п. никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)Хотел бы я посмотреть, сколько будет идти выборка этих байтиков из накопленной инфы с канала в 20Гбит/сек ;))) Изменено 27 октября, 2009 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 27 октября, 2009 · Жалоба О, через соседнюю тему нашёл какую карту: The NT20E Capture Adapter is a high-performance 2 x 10 Gbps solution for very advanced data capture, processing and delivery of network data traffic to a host system at virtually no CPU load. The NT20E capture function is running at full gigabit line rate at all frame sizes ensuring no packet loss. О цене скромно умолчано. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Global Опубликовано 27 октября, 2009 · Жалоба А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 28 октября, 2009 (изменено) · Жалоба Внутри сети это делать еще более утопично, чем на аплинке. Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов. Изменено 28 октября, 2009 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 28 октября, 2009 · Жалоба Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.кУуЛХацКерАм это не помеха ;-) Global, сплюньте дважды, а лучше трижды. Не дай бог, такая идея придёт кому-нибудь в голову (а вернее, что-нибудь её заменяющее). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...