smartasr.ru
-
Upload
september-vasquez -
Category
Documents
-
view
50 -
download
0
description
Transcript of smartasr.ru
Сбор статистики о трафикеинтернет-пользователей и
практические вопросы взаимодействия правоохранительных органов и
оператора связи
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Запрос операторуУважаемый оператор!В отел полиции г. Урюпинска поступило заявление от гражданина Иванова Ивана Ивановича о том, что неизвестные люди на сайте www.anekdot.ru разместили о нем сведения, порочащие честь и достоинство.Из сведений, предоставленных отделом «К», установлено, что данные сведения были размещены с IP-адреса …, выданного Вашей компании, в период с 14:15 до 16:45 01.04.2014 (время Московское).В связи с этим прошу предоставить сведения об абоненте, оставившим данные сведения.Благодарю за сотрудничество.Дознаватель отдела дознания, старший лейтенант полиции Петров П.П.
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Варианты выхода из ситуации• Ответить, что у оператора «нет технической
возможности предоставить подобные сведения» и надеяться, что правоохранительные органы не будут настойчивы.
• Подготовить ответ на основе имеющихся данных о трафике.
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Подводные камни• Динамические IP-адреса
• Использование оператором преобразования IP-адресов (NAT) усложняет задачу: статистика должна собираться до преобразования IP-адреса
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
HTTP Transaction Usage RDRACCESS_STRINGLayer 7 property, extracted from the transaction.
Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL
Version 5 Flow Record Formatsrcaddr - Source IP addressdstaddr - Destination IP address…
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL
templateId=259: id=259, fields=11 field id=8 (ipv4 source address) field id=225 (natInsideGlobalAddress) field id=12 (ipv4 destination address) field id=226 (natOutsideGlobalAddress)
DPI (Cisco SCE + RDR)
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Плюсы: Минусы:
Существенно более интересные данные:
сохраняется все, вплоть до URL-а, набранного
абонентом.
Стоимость оборудования.
Очень большой объем данных.
NetFlow v5
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Плюсы: Минусы:
NetFlow v5 поддерживаетсямногими типами
устройств.
Большой объем данных.
Много утилит умеютобрабатывать данные.
Ощутимая нагрузка на оборудование.
NetFlow v9 + NEL
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Плюсы: Минусы:
Меньшая нагрузка на оборудование.
Все равно – данные занимают большой
объем.
Поддержка разными типами оборудования.
Несколько меньший объем данных, чем в
NetFlow v5.
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Дополнительная нагрузкана оборудование
• Нагрузка от NetFlow v9 + NEL – существенно ниже, чем от NAT
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Дополнительная нагрузкана оборудование
• Утилизируемая полоса NEL-трафиком
Чем обрабатывать?• Open-source:• nfdump + опция nel• NetFlow Monitor – не развивается с 2003г.• IPFlow – не развивается с 2005г.• …
• Коммерческие продукты:• ManageEngine NetFlow Analyzer• …
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
Nfdump + Скрипты• Cisco ASR• 6Gbit входящего трафика• 800 млн. записей / сутки• Сохраняемые данные
• Дата начала • Протокол• IP-адреса (источника, преобразованный, получателя)• Порты (источника, преобразованный, получателя)
• 16 Гб/сутки запакованных данных
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
NAT Data Analyzer (АкадемСофт)
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
NAT Data Analyzer (АкадемСофт)• Cisco ASR• 17Gbit входящего трафика• 2 млрд. записей / сутки• Сохраняемые данные
• Период длительности NAT-сессии• Протокол• IP-адреса (источника, преобразованный, получателя)• Порты (источника, преобразованный, получателя)
• 29 Гб/сутки запакованных данных
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
NAT Data Analyzer (АкадемСофт)
• Web-интерфейс• Гибкие фильтры• Предварительная фильтрация на этапе сбора
данных
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
NAT Data Analyzer (АкадемСофт)
• Удобный вывод статистики• Возможность передачи интерфейса
правоохранительным органам• Интеграция с инфраструктурой оператора
Бонусы
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
NAT Data Analyzer Готовое решение, не требующее участия
администраторов при использовании.
Интеграция с существующими информационными системами оператора
Высокая скорость работы при экономии дисков (по сравнению с grep – быстрее в 15-40 раз).
Сбор статистики о трафикеинтернет-пользователей и
практические вопросы взаимодействия правоохранительных органов и
оператора связи
www.smartasr.ru
Вопросы взаимодействия правоохранительных органов и оператора связи
АкадемСофт