Сбор статистики о трафикеинтернет-пользователей и

практические вопросы взаимодействия правоохранительных органов и

оператора связи

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Запрос операторуУважаемый оператор!В отел полиции г. Урюпинска поступило заявление от гражданина Иванова Ивана Ивановича о том, что неизвестные люди на сайте www.anekdot.ru разместили о нем сведения, порочащие честь и достоинство.Из сведений, предоставленных отделом «К», установлено, что данные сведения были размещены с IP-адреса …, выданного Вашей компании, в период с 14:15 до 16:45 01.04.2014 (время Московское).В связи с этим прошу предоставить сведения об абоненте, оставившим данные сведения.Благодарю за сотрудничество.Дознаватель отдела дознания, старший лейтенант полиции Петров П.П.

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Варианты выхода из ситуации• Ответить, что у оператора «нет технической

возможности предоставить подобные сведения» и надеяться, что правоохранительные органы не будут настойчивы.

• Подготовить ответ на основе имеющихся данных о трафике.

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Подводные камни• Динамические IP-адреса

• Использование оператором преобразования IP-адресов (NAT) усложняет задачу: статистика должна собираться до преобразования IP-адреса

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

HTTP Transaction Usage RDRACCESS_STRINGLayer 7 property, extracted from the transaction.

Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL

Version 5 Flow Record Formatsrcaddr - Source IP addressdstaddr - Destination IP address…

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Откуда брать данные?• DPI (Cisco SCE + HTTP Transaction Usage RDR)• NetFlow v5• NetFlow v9 + NEL

templateId=259: id=259, fields=11 field id=8 (ipv4 source address) field id=225 (natInsideGlobalAddress) field id=12 (ipv4 destination address) field id=226 (natOutsideGlobalAddress)

DPI (Cisco SCE + RDR)

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Плюсы: Минусы:

Существенно более интересные данные:

сохраняется все, вплоть до URL-а, набранного

абонентом.

Стоимость оборудования.

Очень большой объем данных.

NetFlow v5

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Плюсы: Минусы:

NetFlow v5 поддерживаетсямногими типами

устройств.

Большой объем данных.

Много утилит умеютобрабатывать данные.

Ощутимая нагрузка на оборудование.

NetFlow v9 + NEL

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Плюсы: Минусы:

Меньшая нагрузка на оборудование.

Все равно – данные занимают большой

объем.

Поддержка разными типами оборудования.

Несколько меньший объем данных, чем в

NetFlow v5.

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Дополнительная нагрузкана оборудование

• Нагрузка от NetFlow v9 + NEL – существенно ниже, чем от NAT

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Дополнительная нагрузкана оборудование

• Утилизируемая полоса NEL-трафиком

Чем обрабатывать?• Open-source:• nfdump + опция nel• NetFlow Monitor – не развивается с 2003г.• IPFlow – не развивается с 2005г.• …

• Коммерческие продукты:• ManageEngine NetFlow Analyzer• …

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

Nfdump + Скрипты• Cisco ASR• 6Gbit входящего трафика• 800 млн. записей / сутки• Сохраняемые данные

• Дата начала • Протокол• IP-адреса (источника, преобразованный, получателя)• Порты (источника, преобразованный, получателя)

• 16 Гб/сутки запакованных данных

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

NAT Data Analyzer (АкадемСофт)

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

NAT Data Analyzer (АкадемСофт)• Cisco ASR• 17Gbit входящего трафика• 2 млрд. записей / сутки• Сохраняемые данные

• Период длительности NAT-сессии• Протокол• IP-адреса (источника, преобразованный, получателя)• Порты (источника, преобразованный, получателя)

• 29 Гб/сутки запакованных данных

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

NAT Data Analyzer (АкадемСофт)

• Web-интерфейс• Гибкие фильтры• Предварительная фильтрация на этапе сбора

данных

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

NAT Data Analyzer (АкадемСофт)

• Удобный вывод статистики• Возможность передачи интерфейса

правоохранительным органам• Интеграция с инфраструктурой оператора

Бонусы

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

NAT Data Analyzer Готовое решение, не требующее участия

администраторов при использовании.

Интеграция с существующими информационными системами оператора

Высокая скорость работы при экономии дисков (по сравнению с grep – быстрее в 15-40 раз).

Сбор статистики о трафикеинтернет-пользователей и

практические вопросы взаимодействия правоохранительных органов и

оператора связи

www.smartasr.ru

Вопросы взаимодействия правоохранительных органов и оператора связи

АкадемСофт