Перейти к содержимому
Калькуляторы

СОРМ на больших скоростях сегодня 10Gbit, завтра 20.. 100. и все это снифить?

Как решаете вопрос с СОРМ при больших скоростях внешнего канала?

Сегодня отдаем на сенсор почти 8Гбит/с (In+Out) внешки.

По наблюдениям за последние 2 года трафик вырастает за год в 8-10 раз.

Т.е. 20-50-100Г внешки не за горами. И все это снифить? Ну не серьезно как-то.

Что думаете? Опыт с Lawful intercept есть у кого-нибудь?

Вариант "договориться" не устроит.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не понял, а вас-то это каким образом заботит? Отдаёте себе и отдавайте, в чём проблема для вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Dyr, порты понимаете ли денег стоят.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблема в том что дохрена железа надо чтоб эти несколько десятков гигабит отмиррорить + серваки которые все это смогут прожевать я себе с трудом представляю и стоить они наверно будут тоже не дешево.

Придется ненадолго отложить покупку нового лексуса, всего делов. Вы же явно не нахаляву эти 50 гигабит раздавать будете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос даже не столько в деньгах, сколько в возможности переварить 50Г. Вы такие решения знаете?

Carnivore ? ;-)

 

Вообще хороший dual xeon писюк с 10GE и четырьмя видюхами в quad-sli десятку отсниффит. На 50G придется их пять ставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и вы считаете нормальным такое экстенсивное решение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прецеденты сдачи СОРМ-а на базе "Lawful intercept" есть, мне известно о таком в Питере.

Подробностей к сожалению рассказать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

imho, только каскадирование серверов, несколько точек съема. Вот что сами разработчики пишут:

 

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Количество съемников АПС СОРМ СДЭС, подключаемых к одному пункту управления ПУ — до 48.

* Количество интерфейсов в одном съемнике АПС СОРМ СДЭС для подключения к сети узла связи (точек подключения) — от 1 до 23.

* Количество рабочих мест РМ, подключаемых к одному пункту управления АПС СОРМ СДЭС — не ограничено.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

* Наращиваемая производительность системы за счет использования более производительных серверов и аппаратно-программных решений.

* Гибкая сетевая архитектура АПС позволяет легко конфигурировать и настраивать систему практически для любой топологии сети передачи данных.

* Возможность поставки системы в комплектации "все в одном", т.е. законченной комплектации, включающей съемник и пункт управления на базе одного промышленного сервера.

* Возможность поставки мобильного варианта системы, т.е. законченной комплектации, включющей съемник, пульт управления ПУ и рабочее место РМ на базе ноутбука.

СОРМович
Изменено пользователем p10neer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте попробую ответить на часть вопросов, в порядке поступления.

 

Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить.

 

Далее вопрос в цене, у самого дешевого производителя сорм, цена около 70 килобаксов за 4 гигабита + ежегодные 20% лицензионные платежи (у остальных цена множится в 2 раза), причем это решение не расширяемое, т.е. если у вас стоит сервак на 1 гигабит, до 4 вы его не апгрейдите, и 4 до 10 тоже, притом что расширяемые кластерные платформы начинаются от 10Г и стоят довольно прилично. Далее существую тонкости о которых сами производители упомянуть забывают, при нескольких съемниках возникает проблема фрагментации трафика,если у вас несколько аплинков, и на каждом стоит по съемнику, пакет пользователя уходит по одному а приходит по другому фсб это совсем не устроит. еще один веселый недочет, связан с тем что чем больше у вас трафика миррорится тем больше канал до фсб вам необходим, волокна или полосу до пульта прийдется покупать или брать в аренду, свой кабель вам никто не даст заводить на пульт фсб.

По поводу "жалко портов", это самый меньший гемморой который есть, есть решения врезаться в оптоволокно аплинков, но это решение имеет недостаток в том что вам прийдется закладывать полную скорость порта, АЦЛями тут уже не разрулишь.

 

2Dyr, видимо вас это пока особо не коснулось, вы закладку на эту тему поставьте, пригодится.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и вы считаете нормальным такое экстенсивное решение?

Я считаю, что на фоне всего остального - это просто фигня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну про СОРМ не скажу (не из России), а вот Lawful intercept есть во многих рутерах. Он как бы и не предполагает постоянного mirror-a. Вы должны обеспечить доступ спецслужб к рутеру и возможность активизации mirror-a/слежения по конкретному подписчику (с доступом к БД подписчиков само собой). Причем упор на то, что информация о том, что делают спецслужбы не должна быть доступна самому оператору. Никаких логов, уведомлений, конфигураций и т.п. Это требует отдельного management plane рутера, который скрыт от остальных, включая admin-а. Так это 100% сделано в сервис-рутерах Alcatel-Lucent-a (7710/7750). Дополнительных денег за LI они не брали. За Cisco и Juniper – не скажу. Если кто то смог сертифицировать СОРМ на базе LI, то сэкономил кучу денег - 70К за 4 гига +20% ежегодно звучит как грабёж.

Да и сделать mirror на гиг не проблема, а вот обработать его... Правда, обычно, операторы должны обеспечить лишь доступ к LI, а не тратить ресурсы на хранение и обработку. Может в России и не так...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вышеуказанное не про россию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика.
Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

* Требования к точке подключения — Ethernet-порт 10/100/1000/10000 Мбит, UTP, протокол IP V.4 на локальной сети стандарта IEEE 802.3. Возможен съем с оптических каналов STM-1/ STM-4, SDH-сетей MPLS, G.703.

* Суммарный поток фильтруемого трафика, обрабатываемый одним съемником - в зависимости от модели: до 400 Мбит/с, до 1 Гбит/с, до 10 Гбит/с, до 20 Гбит/с.

Напомнило "ночью наши ученые чуть-чуть изменят гравитационное поле Земли". 20 Гбит/с в течение какого периода времени они хотят обсчитывать и хранить? Только за одни сутки это будет 86.4 ТБ трафика.

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хранение в течении 3х лет нетфлоу,
Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хранение в течении 3х лет нетфлоу,
Возьмём 5 гигов в сутки, на 3 года = 5,5 тер. Ну, не так уж и много, всего 1200 болванок DVD-R.

Правда, если требуется отражать 10 гигабит, то за сутки будет уже 7-8 гигов нетфлоу, и это максимально порезанного и укомпрессированного...

И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И в общем-то не страшно. Винты полторашки сейчас недорого стоят.

Уже и двойки недорого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

~900кг винтов в год на нетфло...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Magnum72, да, слава богу, не касалось. Мне хватило СОРМовских завихрений (мягко говоря) с форматом предоставления ежемесячных отчётов по абонентам, до сих пор вздрагиваю. Но тема интересная, закладочку поставил. :)

По хранению netflow - нам показалось более перспективным хранить в формате ipacct, который практически netflow и является, только без избыточной в данном случае информации в виде флагов пакетов, номеров AS'ок и т.п.

 

никто не собирается его хранить, 20 гбит имеется в виду: сколько можно пропустить через железку для того чтобы выбрать интересующие их байтики :)
Хотел бы я посмотреть, сколько будет идти выборка этих байтиков из накопленной инфы с канала в 20Гбит/сек ;)))
Изменено пользователем Dyr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О, через соседнюю тему нашёл какую карту:

The NT20E Capture Adapter is a high-performance 2 x 10 Gbps solution for very advanced data capture, processing and delivery of network data traffic to a host system at virtually no CPU load. The NT20E capture function is running at full gigabit line rate at all frame sizes ensuring no packet loss.
13041_value2_5631_1.jpg

 

О цене скромно умолчано. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внутри сети это делать еще более утопично, чем на аплинке. Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трудно придумать более глупое занятие, чем снифать гигабайты пересылаемых фильмов и ISO-образов.
кУуЛХацКерАм это не помеха ;-)

 

Global, сплюньте дважды, а лучше трижды. Не дай бог, такая идея придёт кому-нибудь в голову (а вернее, что-нибудь её заменяющее).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.