Файл: Конспект лекций методы инспекции пакетов и анализа трафика (наименование дисциплины) СанктПетербург 2021 1.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 29.04.2024
Просмотров: 79
Скачиваний: 8
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1 2 3 4 5
Таблица 4: Сравнение понятий ETSI и CALEA
ETSI
CALEA
LI
Lawful Intercept
LAES Lawful Authorized Electronic Surveillance
LEMF
Law Enforcement Monitoring Facility
CF
Collection Function
NWO/AP
Network Operator/Access Provider
TSP
Telecommunication Service Provider
SvP
Service Provider
TSP
Telecommunication Service Provider
Handover Interface port 2
CDC
Call Data Channel
Handover Interface port 3
CCC
Call Content Channel
IRI
Intercept Related Information
Call-identifying Information
IRI record
Call-identifying message
HI1 interface b-interface
HI
Handover Interface (HI2, HI3)
e-interface
Delivery Function/Mediation Function
DF
Delivery Function
Рис. 48: Число каналов для СОРМ1
Таблица 5: Команды ПУ СОРМ канал 1
ќ
Название команды
1
Запуск СОРМ
2
Остановка СОРМ
3
Задание пароля
4
Закрепление контрольной соединительной линии за группой
5
Постановка объекта на контроль
6
Снятие объекта с контроля
7
Подключение к разговорному тракту
8
Освобождение контрольной соединительной линии
9
Исключение контрольной соединительной линии из группы
10
Запрос на передачу данных об объектах наблюдения
11
Запрос на передачу информации о соответствии между КСЛ и группами
12
Запрос на передачу списка дополнительных видов обслуживания
13
Прерывание выдачи сообщений на запросы содержимого таблиц
14
Тестирование каналов передачи данных
15
Изменение параметров объекта контроля
16 Запрос на передачу информации о соответствии имени входящего пучка станции и его условного номера
17
Запрос версии ПО станции
Рис. 49: Формат команд канала 1 39
Рис. 50: Уровни X.25
к ПУ информации, передаваемой в разговорном тракте контролируемого пользователя.[18]. Для передачи речевой информации используется канал 3.
Некоторые примеры команд каналов 1 и 2 представлены в презентациях к данному курсу, а более подробно их можно изучить из руководящих документов или в справочнике СОРМ [23].
Так или иначе, СОРМ представляет собой процесс получения статистической информации о вызовах и/или перехват информации (речевых переговоров, текстовых, мультимедийных сообщений и т. д.) поставленного на контроль пользователя. Эти две категории носят названия: статистический контроль данные о вызове и данные по зарегистрированному терминалу (идентификаторы абонента и терминала, время,
длительность вызова, категория абонента, ФИО и т. п.) и полный: контроль данные статистического контроля, запись переговоров, перехват пользовательской информации [22].
В российской модели СОРМ протоколом для передачи данных между модулем на станции и ПУ СОРМ
также принят Х.25 на сетевом, канальном и физическом уровнях (рис.50).
Конвертеры СОРМ выполняют функции для согласования протоколов передачи (так как на станции могут отсутствовать Х.25 и V.24), а также для проверки передаваемых сообщений. Наличие конвертеров
(медиаторов) не является обязательным в случаях, если необходимое взаимодействие налажено напрямую между станционными модулями СОРМ и ПУ[18].
К основным требованиям при создании СОРМ относятся [25]:
€ охват всей взаимоувязанной сети связи;
€ скрытие факта активизации функций СОРМ: работа СОРМ не должна сказываться на качестве обслуживания; исключение возможности обнаружения факта контроля персоналом станции и сторонними лицами; отсутствие информации о работе СОРМ в станционных данных;
€ защита от несанкционированного доступа;
€ возможность оперативной постановки объекта на контроль на множестве станций;
€ постоянный контроль неисправностей оборудования.
Первые в России упомянутые в литературе Устройства подслушивания телефонных переговоров были установлены в помещении IV Государственной думы в 1913 году (Санкт-Петербург, Таврический дворец).
В 1992 году выходит приказ Минкомсвязи ќ226 о необходимости оператору связи предоставлять для обеспечения СОРМ помещения, каналы и данные.
Старый ФЗ ќ15 (О связи) от 16.02.95 ст.14: Операторы обязаны содействовать органам и предоставлять возможность СОРМ
Приказ ќ 135 Минсвязи России от 11.08.95 ѕО порядке внедрения системы технических средств по обеспечению СОРМ на электронных АТС на территории Российской Федерацииї
В 1992 году выходят приказы Минкомсвязи ќ70 и 71 описывающие СОРМ для ТфОП и СПС.
ФЗ 126 (07.07.2003) ст.64: о ограничении прав пользователей при СОРМ:
1. Операторы обязаны предоставлять органам, информацию о пользователях и услугах связи, и пр.
2. Операторы обязаны обеспечивать реализацию по согласованию с органами, требований к сетям связи для СОРМ, недопускать раскрытия организационных и тактических приемов проведения СОРМ.
3. Приостановление оказания услуг на основе письма руководителя органа СОРМ
4. Порядок взаимодействия устанавливается Правительством РФ.
5. Операторы обязаны оказывать содействие органам.
В 2003 году Минсвязь РФ работает над первыми документами по СОРМ-2: ѕТехнические требования к узлам телематических служб и передачи данных для обеспечения проведения оперативно+розыскных
40
мероприятийї и ѕТехнические требования к устройству системы технических средств по обеспечению функций оперативно+розыскных мероприятий на узлах телематических служб и передачи данныхї.
В 2008 году выходит приказ Минкомсвязи ќ6 о обеспечении СОРМ для всех сетей (кроме телеграфа и телекса).
В 2011 году приказ Минкомсвязи ќ174 об организации СОРМ для СПС. А в 2012 ќ268 для ТфОП.
Развитие СОРМ от приказа ќ70 к приказу ќ268 (сравнение сообщений канала 1 и 2 для двух приказов можно найти в презентации для данного курса):
€ помимо применения X.25, допускается применение Ethernet и TCP/IP (скорости будут уточнены в последующем приказе рис.51);
€ при использовании TCP/IP используются два порта: порт 1 и порт2;
€ каждый пакет начинается с заголовка команды или сообщения;
€ недопускается передача команды/сообщения в нескольких пакетах;
€ время постановки/снятия обьектов на контроль не более 15с;
€ добавлено сообщение 12 (будет упомянуто далее);
€ максимальное число обьектов увеличено до 2048;
€ изменились таблицы зависимости числа трактов E1 от абонентской емкости (таких как была представлена на рис.48);
€ изменения в указаниях признаков номера постановки на контроль и его формата.
В 2014 году приказом Минкомсвязи РФ ќ83 [1] были утверждены правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая програмнное обеспечение проведения оперативно-розыскных мероприятий [20]. Приказ ќ83 [1] для СОРМ-2 определяет необходимость отслеживания по следующим идентификаторам:
€ Email (электронный почтовый адрес) (SMTP, РОРЗ, IMAP4, HTTP) mail.ru, yandex.ru, rambler.ru,
gmail.com, yahoo.com, aport.ru, rupochta.ru, hotbox.ru
€ ID IM (icq и др)
€ ID пользователя услуг (в том числе OTT call)
€ IPv4 или IPv6
€ MAC-адрес
€ IMSI (международный идентификатор абонента)
€ IMEI (международный идентификатор мобильного оборудования)
€ MIN (ID мобильной абонентской радиостанции)
€ имя учетной записи пользователя (в т.ч. ѕВ контактеї, ѕОдноклассникиї, ѕМой Мирї и т.п.)
€ идентификатор абонентской телефонной линии
€ телефонный номер (A, B, С).
Методика испытаний СОРМ-2 была утверждена в 2015 году приказом Минкомсвязи РФ ќ169 [20].
В 2016 году подготовлен ФЗ ќ374 ("Яровой"), который вступит в силу в 2018 году. В 2017 году вносятся изменения в Постановления Правительства РФ ќ538 ѕОб утверждении Правил взаимодействия операторов с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельностьї обязывающие операторов связ хранить "информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи". В 2018 согласно ФЗ ќ374 добавляется пункт: Текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи оператор связи хранит в технических средствах на территории
Российской Федерации и в случаях, установленных федеральными законами, предоставляет уполномоченным органам [17].
Обобщая СОРМ-3 осуществляет сбор и накопление информации об абонентах телефонии и (или) сети передачи данных, а так же предлагается включить информацию о совершенных платежах.
Для СОРМ-3 предполагается организация четырех каналов:
41
В 2008 году выходит приказ Минкомсвязи ќ6 о обеспечении СОРМ для всех сетей (кроме телеграфа и телекса).
В 2011 году приказ Минкомсвязи ќ174 об организации СОРМ для СПС. А в 2012 ќ268 для ТфОП.
Развитие СОРМ от приказа ќ70 к приказу ќ268 (сравнение сообщений канала 1 и 2 для двух приказов можно найти в презентации для данного курса):
€ помимо применения X.25, допускается применение Ethernet и TCP/IP (скорости будут уточнены в последующем приказе рис.51);
€ при использовании TCP/IP используются два порта: порт 1 и порт2;
€ каждый пакет начинается с заголовка команды или сообщения;
€ недопускается передача команды/сообщения в нескольких пакетах;
€ время постановки/снятия обьектов на контроль не более 15с;
€ добавлено сообщение 12 (будет упомянуто далее);
€ максимальное число обьектов увеличено до 2048;
€ изменились таблицы зависимости числа трактов E1 от абонентской емкости (таких как была представлена на рис.48);
€ изменения в указаниях признаков номера постановки на контроль и его формата.
В 2014 году приказом Минкомсвязи РФ ќ83 [1] были утверждены правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая програмнное обеспечение проведения оперативно-розыскных мероприятий [20]. Приказ ќ83 [1] для СОРМ-2 определяет необходимость отслеживания по следующим идентификаторам:
€ Email (электронный почтовый адрес) (SMTP, РОРЗ, IMAP4, HTTP) mail.ru, yandex.ru, rambler.ru,
gmail.com, yahoo.com, aport.ru, rupochta.ru, hotbox.ru
€ ID IM (icq и др)
€ ID пользователя услуг (в том числе OTT call)
€ IPv4 или IPv6
€ MAC-адрес
€ IMSI (международный идентификатор абонента)
€ IMEI (международный идентификатор мобильного оборудования)
€ MIN (ID мобильной абонентской радиостанции)
€ имя учетной записи пользователя (в т.ч. ѕВ контактеї, ѕОдноклассникиї, ѕМой Мирї и т.п.)
€ идентификатор абонентской телефонной линии
€ телефонный номер (A, B, С).
Методика испытаний СОРМ-2 была утверждена в 2015 году приказом Минкомсвязи РФ ќ169 [20].
В 2016 году подготовлен ФЗ ќ374 ("Яровой"), который вступит в силу в 2018 году. В 2017 году вносятся изменения в Постановления Правительства РФ ќ538 ѕОб утверждении Правил взаимодействия операторов с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельностьї обязывающие операторов связ хранить "информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи". В 2018 согласно ФЗ ќ374 добавляется пункт: Текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи оператор связи хранит в технических средствах на территории
Российской Федерации и в случаях, установленных федеральными законами, предоставляет уполномоченным органам [17].
Обобщая СОРМ-3 осуществляет сбор и накопление информации об абонентах телефонии и (или) сети передачи данных, а так же предлагается включить информацию о совершенных платежах.
Для СОРМ-3 предполагается организация четырех каналов:
41
Рис. 51: Каналы к ПУ согласно приказу 83
€ КПД1 канал управления;
€ КПД2 канал данных;
€ КПД3 канал мониторинга;
€ КПД4 канал неформатированных данных.
К функциям СОРМ-3 могут могут быть отнесены следующие возможности оборудования:
€ Сбор статистики о пользователе от информационных систем провайдера, связанных с телефонией
(АСР (биллинг), radius и т.д.) с последующей организацией базы данных (БД)
€ Классификация полученной информации и длительное хранение сроком не менее трех лет
€ Прием и первичная обработка информации
€ Возможность обновления и дополнения в БД
€ Реализация защиты от несанкционированного доступа
€ Реализация протокола TCP/IP ASN.1 для подключения к ПУ (КПД1 КПД4)
€ Возможность организации многопользовательского доступа
€ Удаленный доступ к БД в круглосуточном режиме со стороны ПУ
€ Подготовка и передача на ПУ системных отчетов по заданным из ПУ параметрам и идентификаторам
€ Обеспечение эффективного сжатия CDR, накаплений на оборудовании хранения
€ Возможность визуализации и дальнейшего анализа собранных метаданных
Как мы видим, тайна связи как конституционное право может быть ограничена. Как правило, такое ограничение происходит со стороны государства. Однако любое ограничение должно осуществляться в соответствии с законом, с законной це- лью и быть необходимым и соразмерным. Ограничение права на тайну связи допустимо на основании судебного решения и только теми государственными органами,
чьи полномочия позволяют получать доступ к сведениям, составляющим тайну связи. Вместе с тем при соблюдении установленных Конституцией России условий ограничения права на тайну связи, издании соответствующих федеральных законов возможно расширение круга субъектов, имеющих доступ к тайне связи [26].
42
Для реализации этих требований на мобильных сетях 2G первоначально оказалось достаточно использовать традиционный способ организации СОРМ, при небольшой его модификации. Изменения коснулись технической части мероприятий СОРМ, а именно в интерфейсах были добавлены возможности по передаче на ПУ СОРМ SMS и информации о местоположении пользователя. Для доставки SMS
контролируемого пользователя в канале 1 (командный интерфейс) было внедрено дополнительное сообщение под номером 12 (от СОРМ к ПУ), в котором передается само SMS и сопутствующая ему информация.
Информация местоположения контролируемого абонента нашла свое место в сообщении 1.6 канала 2[25].
Примеры индентификаторов для постановки на контроль в сетях подвижной связи:
€ Номер пользователя ТфОП, СПС (MS ISDN)
€ Идентификатор подвижного абонента для СПС (IMSI)
€ Идентификатор подвижной станции СПС (IMEI)
€ Местоположение абонента (LAC, CellID)
С усложнением архитектуры инфокоммуникационных сетей начался переход от активного СОРМ
(когда модуль СОРМ взаимодействует с телекоммуникационным оборудованием) к пассивному СОРМ,
когда происходит анализ всего проходящего трафика, как сигнального так и содержащего пользовательскую информацию.
При пассивном способе перехвата проверяется весь трафик, циркулирующий на сети. Правда, такое технологическое решение накладывает некоторые ограничения на топологию сети, например на сети необходимо иметь транспортный узел, один или несколько, через которые будет проходить 100% трафика.
В концепции IMS такая роль отводится SBC и медиа-шлюзам[25].
С возникновением и массовым использованием речевых OTT-сервисов (Other The Top) в начале
XX века, например, Skype, возникли новые нетривиальные задачи для функционирования СОРМ. В
[19] подробно рассмотрены подходы применения анализа работы закрытого протокола Skype с целью его обнаружения. Как рассказывалось в предыдущих раздехал системы глубокой инспекции пакетов применяются для выявления различных приложений и могут быть полезны для обеспечения работы
СОРМ.
3.2 Возможности совместного использования DPI и СОРМ
Оборудование DPI является весьма полезным устройством и для правоохранительных органов. Реализованный с помощью технологии DPI контроль сессии отдельно каждого пользователя, отдельно каждого устройства доступа вместе с контролем приложений, которые абоненты используют, позволяет гибко перенаправлять трафик на внешние устройства для целей СОРМ. СОРМ-2 средства законного перехвата в пакетных сетях [24]. Например, для приложений мгновенного обмена сообщениями (instant message (IM)), IP-телефонии,
социальных сетей и электронной почты. Используя DPI, спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя:
€ контроль сессии каждого пользователя
€ каждого устройства доступа
€ контроль приложений абонента
€ перенаправление трафика на внешние устройства для целей СОРМ.
Что актуально для приложений мгновенного обмена сообщениями (instant message (IM)), IP-телефонии,
социальных сетей и электронной почты.
Для использования системы DPI в качестве СОРМ следует обеспечить строго конфиденциальную передачу запрашиваемых данных на пульт управления (ПУ) СОРМ, в соответствии с приказом Минкомсвязи
[1]. Например, за счет применения конвертора СОРМ [22].
Подробнее о совместном применении DPI и СОРМ можно ознакомится в ряде статей вендоров DPI
как в РФ, так и зарубежом.
43
4 Применение DPI и примеры решений
4.1 Возможности практического использования систем DPI
Главной целью применения систем DPI является получение контроля над проходящем по сети трафиком.
Только разделяя трафик на потоки и понимая какие и чьи приложения его генерируют, можно осознанно и точечно осуществлять управления им на сети.
DPI-решения управления трафиком в большинстве случаев позволяют снизить нагрузку на сеть от 25
до 50 %. За счет управления, ограничения и оптимизации трафика P2P приложений, потоковых аудио- и видеосервисов. Для мобильных операторов системы DPI позволяют контролировать загруженность каждой базовой станции путем распределения ресурсов базовых станций
Управление трафиком может состоять из следующих компонент:
€ управление полосой пропускания,
€ управление перегрузками,
€ фильтрация трафика,
€ переадресация,
€ перенаправление трафика,
€ блокировка атак,
€ СОРМ.
Помимо этого, существует очень большой спектр возможностей практического применения систем DPI.
Основные направления применения DPI:
€ скоростные тарифы и услуги;
€ защита операторских сервисов (VoIP, IPTV, пр.)
€ исследование трафика (безопасность, маркетинг)
€ маркировка цифрового контента
€ сокращение затрат на модернизацию сети
€ целевая реклама;
€ защита сети от атак.
DPI может применяться в корпоративном сегменте для фильтрации нежелательных ресурсов, защиты корпоративной тайны, QoS, управления подписками, защиты от вирусов и атак. Может осуществляться контроль передачи конфиденциальных документов (целиком или любой части текста документа, в том числе и в заархивированном виде) (ч/з email, site, ftp . . . ). А так же предотвращение утечки конфиденциальной информации, выявление нарушителей, защита персональных данных, контроль интернет активности сотрудников,
ограничение доступа пользователей корпоративной сети к Интернет ресурсам, мониторинг лояльности сотрудников (сайты о работе и т.д.).
С помощью DPI-систем управления трафиком возможно отслеживание и блокирование источников того или иного контента в сети. Маркировка цифрового контента позволяет устанавливать источники утечки и распространения нелегальной цифровой продукции. Технологии цифровой маркировки информации широко используется правообладателями и распространяющими компаниями.
Системы DPI могут использоваться как инструмент для статистического анализа и проверки маркетинговых проектов, которые осуществляют операторы или их клиенты. Маркетологам исследование трафика позволяет выстраивать политику продаж, повышать эффективность тарифных планов и, как следствие, планировать доходы и расходы. Большую популярность набирает вставка персонализированной рекламы на основе выявленных предпочтений пользователя.
Перенаправление трафика: существует возможность переадресовывать HTTP-трафик на рекламные порталы для перехода к частичной или полной ѕрекламнойї модели: абонент за некоторую скидку просматривает на портале рекламу партнерских компаний/участвует в социологических опросах и т. п. Либо при попытке доступа к запрещенному URL или при окончании средств; подменяется содержимое страниц при попытке получить нелегальный контент и/или переадресовывать на партнерские порталы распространения аналогичного легального контента.
Внедрение системы DPI обеспечивает:
44