АПК "NetBeholder"
Комплекс NetBeholder предназначен для обеспечения законного перехвата информации с целью контроля, мониторинга и осуществления оперативно-розыскной деятельности на сетях операторов документальной электросвязи и не является специальным техническим средством. NetBeholder представляет собой комплекс аппаратно-программных средств, позволяющий вести наблюдение за работой в сети Интернет заданных пользователей, (Объектов Наблюдения). По заданным критериям NetBeholder обнаруживает подключение Объектов Наблюдения к сети Интернет, выделяет передаваемую и принимаемую информацию и сохраняет ее в базе данных для последующего просмотра. NetBeholder работает полностью автономно. Наблюдение и сбор информации ведется постоянно, независимо от того, работают в системе Наблюдатели или нет. Задача Наблюдателя сводится к определению параметров наблюдения и просмотру собранной информации.
Основные задачи, решаемые системой NetBeholder:
-Отслеживание всех подключений пользователей к сети Интернет. При этом определяется способ и параметры подключений пользователей к сети (номера телефонов, логины, IP-адреса и т.д).
-Выделение подключений Объектов Наблюдения среди других пользователей Интернет.
-Обнаружение и регистрация в базе данных информации, передаваемой или принимаемой Объектом Наблюдения.
-Прослушивать информацию, передаваемую в заданных канальных интервалах, а также записывать голосовые данные вызовов в .wav - файл для последующего воспроизведения;
-Декодирование информации с целью выделения полезной информации (файлов, электронных писем, сообщений и т.д.) из сетевых протоколов, а также регистрация обнаруженной информации в базе данных.
-Перехват и отображение почты, передаваемой посредством Web-mail по протоколу HTTP.
-Предоставление доступа к собранной информации Наблюдателям в соответствии с их правами.
-Предоставление оперативного доступа к информации, передаваемой Объектом Наблюдения по сети в данный момент.
Критерии перехвата информации
Для выделения потоков данных, принадлежащих объекту наблюдения, используется фильтрация общего потока с использованием набора критериев. Используя уникальный механизм декодирования потоков в реальном времени, NetBeholder позволяет осуществить фильтрацию на основе следующих критериев:
-IP-адрес (диапазон адресов), порт.
-Адрес электронной почты (POP3, SMTP, IMAP4, MSN).
-UIN пользователей ICQ (AIM, Yahoo).
-Одно или несколько ключевых слов (в различных регистрах и кодировках – plain text).
При задании нескольких критериев перехват будет осуществляться при срабатывании любого из них.
Поддерживаемые протоколы
Комплекс NetBeholder осуществляет декодирование, сборку и визуализацию данных для следующих протоколов:
• Аккаунтинг
o RADIUS, DIAMETER, TACACS+
• Почтовые и новостные сообщения
o SMTP, POP3, IMAP4
o Web-mail (HTTP 1.0/1.1)
o NNTP (RFC977)
• HTTP
o HTTP 1.0, HTTP 1.1
o www-chat; www-gate
• Передача файлов
o FTP
o P2P: eDonkey2000, E-mule, KAD, DC++, BitTorent, gnutella
• Instant Messengers
o ICQ, MSN, AIM, Yahoo
• VoIP
o H.323, SIP
Пакеты и потоки данных, не идентифицированные как один из вышеуказанных протоколов, сохраняются комплексом NetBeholder в виде TCP и UDP сессий для их последующего анализа и декодирования.
Требования к организации Точки Съема
В Точку Съема необходимо подать:
• весь трафик абонентов;
• информацию о динамически выделяемых абонентам IP-адресах, которая должна транслироваться по протоколам RADIUS или TACACS+;
• трафик серверов телематических служб.
В случае использования оператором связи технологии NAT, подача трафика должна осуществляться до применения оборудования реализующего функции NAT.
АПК NetBeholder получает информацию о динамическом выделении пользователям IP-адресов, декодируя используемые в сети ААА протоколы RADIUS, DIAMETER или TACACS+. При статическом выделении адресов абонентам подача трафика авторизации не требуется.
Для получения информации о выделении пользователям IP-адресов, транслируемой по протоколу RADIUS необходимо настроить сервера доступа таким образом, чтобы передавать IP адрес, выделенный абоненту, либо в стартовом пакете аккаунтинга протокола либо в первом пакете типа интерим-апдейт в режиме newinfo.
Внешний трафик абонентов подается на комплекс NetBeholder с помощью пассивных оптических ответвителей (сплиттеров), устанавливаемых в разрыв оптической линии подключения пограничного маршрутизатора или внешнего канала связи. Трафик серверов RADIUS и ТМС подается с помощью сессии копирования на порт подключения АПК NetBeholder, настроенной на соответствующем коммутаторе провайдера.
Трафик абонентов с помощью пассивных оптических ответвителей снимается в двух точках, до и после сервера доступа BRAS в двух разных направлениях. Таким образом на сервер NetBeholder подается полный (включая межабонентский) трафик абонентов без дублирования. Трафик серверов RADIUS и ТМС подается с помощью сессии копирования на порт подключения АПК NetBeholder, настроенной на соответствующем коммутаторе провайдера.
Подключение комплекса к ПУ
Комплекс NetBeholder передает перехваченную информацию по выделенной физической линии на удаленный пункт управления (ПУ) контролирующей организации .
Для подключения комплекса ПУ требуется организовать по согласованию с пользователем Комплекса выделенный канал пропускной способностью не менее 10 Мбит/с (для объема обрабатываемого трафика более 1 Гбит/с). Канал должен иметь оконечные устройства, позволяющие подключение аппаратуры к интерфейсу Ethernet 100/1000BaseT.
