В России существует несколько сертифицированных разработчиков этих систем, которые отличаются друг от друга и чаще всего несовместимы, но принцип работы и место в сети оператора у них одинаковы.
Схема сети с СОРМ
Рассмотрим типовую схему организации сети оператора связи, чтобы понимать, где в ней место для СОРМ и как она взаимодействует с остальными узлами.
Подключение к сети Интернет осуществляется с помощью пограничного маршрутизатора. Между ним и ядром сети установлен VPN-концентратор на базе сервера с ОС FreeBSD, шейпер скорости для юридических лиц, а также маршрутизатор для трансляции адресов абонентам (NAT). Также к пограничному маршрутизатору подключен Radius-сервер (авторизация абонентов), биллинг (для тарификации абонентов) и телематический сервер (предоставление дополнительных услуг), передающие данные на СКАТ DPI в рамках ИС СОРМ-3.
Системы СОРМ в данной сети представлены следующими решениями:
- СОРМ-2 – для обеспечения законного сбора и обработки информации с целью осуществления ОРМ на сетях документальной электросвязи. Доступ осуществляется с пульта управления (ПУ) СОРМ-2.
- СОРМ-3 – ИС СОРМ-3, работающая совместно со СКАТ DPI для сбора, накопления и обработки информации об абонентах (профиль абонента, подключенные услуги, справочная информация, совершенные платежи) и статистики действий абонента в сети передачи данных.
Доступ осуществляется с пульта управления (ПУ) СОРМ-3 производителя «МФИ Софт» или «Норси-Транс».
СОРМ-2
Устройство СОРМ-2 – это съемник трафика с сети оператора связи по определенным критериям (учетная запись, номер телефона, IP-адрес или маска подсети, номер VLAN/MPLS, физический адрес, адрес электронной почты, номер VoIP, идентификатор службы IM, унифицированный адрес веб-ресурса URL, фильтр «ключевое слово» и другие). Доступ к съемнику осуществляется с ПУ сотрудниками правоохранительных органов. Также весь снятый трафик может быть записан на систему хранения для создания архива на определенный срок. Съемник может как передавать сам пользовательский трафик на ПУ, так и его метаданные (IP-адреса и порты, имена почтовых ящиков, URL посещенных ресурсов, UIN ICQ и т. д.).
Для обеспечения прозрачного съема и обработки трафика в реальном времени система СОРМ-2 обладает высокой производительностью – до 80 Гб/с на одно устройство и до 1000 Гб/с в режиме кластера.
К сети оператора связи СОРМ-2 может подключаться несколькими способами:
- Оптический ответвитель (сплиттер) – используется для высокоскоростных оптических каналов связи. На устройство съема отводится часть оптического потока из канала передачи данных (15–30 %).
- Зеркалирование трафика (SPAN-порт) – на одном или нескольких портах коммутатора оператора связи производится дублирование трафика и передача его на устройство съема.
- Ответвитель UTP – устройство, которое дублирует поток трафика из медного UTP-кабеля. Применяется в случаях, когда нельзя использовать SPAN-порт.
- Агрегаторы трафика – если трафик должен ответвляться с нескольких устройств оператора связи, используется специальное оборудование для его агрегации и передачи на съемник.
СОРМ-3
Устройство СОРМ-3 – это аппаратно-программный комплекс доступа к информации об абонентах и оказанных им услугах связи в соответствии с Постановлением Правительства РФ № 538 от 27 августа 2005 года. Для реализации съема сетевого трафика и выделения статистической информации используется встроенная в решение система анализа и контроля трафика СКАТ DPI – собственная разработка компании VAS Experts.
Оборудование для выделения статистической информации о соединениях абонентов подключается пассивным образом и не оказывает влияния на сеть передачи данных. Каждая точка представляет собой копию сетевого трафика до преобразования IP-адресов (NAT-транслирования), подводимого (ответвляемого) оператором связи. Выбор, организация и состав сетевого трафика в точках подключения полностью определяют полноту выделяемой статистической информации о соединениях абонентов. Для сети передачи данных оператор связи организовывает точки подключения к каналам связи сервера доступа (BRAS).
СОРМ-3 выполняет извлечение идентификатора абонента услуги Интернет из сетевого трафика и накопление его в составе статистической информации о соединениях.
Подключение к пультовому комплексу территориального органа безопасности производится в соответствии со второй редакцией частных технических требований региональных УФСБ РФ во исполнение Постановления Правительства № 538 (TCP/IP ASN.1 протокол 2011 г.) и обеспечивает его полную реализацию. В соответствии с ТТ ИС СОРМ и ПУ взаимно однозначно аутентифицируют друг друга по протоколу SSL, после чего устанавливается прикладная сессия по ASN.1 интерфейсу ПУ-ИС СОРМ.
Для взаимодействия ИС СОРМ с ПУ организованы четыре канала передачи данных (далее – КПД), которые представляют собой TCP-соединения, создаваемые для подключения на заранее определенные порты оборудования ИС:
- КПД1 – канал управления;
- КПД2 – канал данных;
- КПД3 – канал мониторинга;
- КПД4 – канал неформатированных данных.
Системы СОРМ на сети оператора связи – независимые устройства, управление которыми осуществляют сотрудники правоохранительных органов, которые несут ответственность за их работу и правомерную эксплуатацию. Однако покупка систем и интеграция их с другими сетевыми устройствами – источниками данных для сбора и накопления, ложится на плечи оператора связи. Причиной этому служит отсутствие единого стандартна на съемник трафика и пульт управление для него. Система контроля и анализа трафика DPI (например, СКАТ DPI от VAS Experts), которыми уже располагают многие операторы связи, могла бы выступать в роли такого универсального съемника, но пока такая реализация невозможна законодательно. Только установка ИС СОРМ-3 от VAS Experts позволяет, не внося изменения в сети связи выполнять все требования Постановления Правительства № 538.
Установка СОРМ-2 и СОРМ-3 на сеть оператора связи не вносит кардинальных изменений в коммутацию и не влияет на скорость полосы пропускания, так как работает параллельно на съем трафика. Для СОРМ-3 задача становится еще проще, если на сети уже установлена система анализа трафика СКАТ DPI, которая выступает в роли съемника и классификатора трафика. К сожалению, для СОРМ-2 ее применение пока законодательно невозможно.
Более подробно о системах СОРМ-2 и СОРМ-3, а также о продуктах СКАТ DPI и ИС СОРМ-3 вы можете узнать у специалистов компании-разработчика – VAS Experts – или прочитать в нашем блоге.