Про Сорм

Статус
В этой теме нельзя размещать новые ответы.

Overlord

IT RC
Команда форума

Overlord

IT RC
Команда форума
Работаю в крупном операторе связи и знаком с принципами построения сети и применения СОРМ. Хочу развеять миф.

Каждый оператор имеет магистральные узелы связи к которым подключены конечные пользователи и основной сетевой узел (core network node) который, как правило, располагается на 9-ке (ММТС9). Узел представляет собой телекоммуникационную стойку в которой установлены боксы (телекоммуникационное оборудование Cisco, Juniper, Natex, etc.). Схема построения сети такова, что на каждом узле имеется основной "центральный" маршрутизатор, который принимает пакеты от подключенных к нему свичей и маршрутизирует далее в сеть, т.е. весь трафик, проходящий через этот узел в обязательном порядке заходит на этот маршрутизатор.
Что бы использовать любой магистральный узел легально, оператор должен его "сдать", т.е. получить на него документы от Россвязь надзора, минсвязи и ФСБ. Пакет разрешительных документов выдаваемых ФСБ называется СОРМ. В соответствии с предписанием, каждый центральный узловой маршрутизатор оператора связи должен быть подключен к системе СОРМ. Физически это выглядит как бокс коричневого цвета, опломбированный 4 голографическими наклейками, который привозят по заявке в офис оператора на синем форде фокусе с белыми полосами по бокам и номерами С СС товарисЧи из бывшего ФАПСИ (фельдъегери). Отдается под роспись одного уполномоченного лица (генерального или тех. директора) по акту. Эту железку российского производства ни кто не разбирал, но внешне выглядит она как маршрутизатор Cisco 1921, 4 порта RJ-45, один коаксильный и один оптический порт. Данная железка везется на узел и устанавливается в стойке рядом с головным маршрутизатором. Включается в него через оптический интефейс с одной стороны и подключается к каналу доступа в Интернет с другой. Скорость подключения 64 Kbps. После того, как железка установлена ФСБ дает разрешение на эксплуатацию узла. Самое интересное в этом то, что стоимость этой железки оплачивает не государство, а сам оператор связи, а стоит она не мало и на баланс компании не встает (ее забирают при расформировании узла).

Эта железка может фильтровать и распаковывать весь трафик проходящий через центральный маршрутизатр. Фильтруется он очень выборочно. Входящий трафик от конкретного пользователя определяется по IP адресу конечного маршрутизатора, кабель от которого заходит к вам в квартиру или в офис. Как правило, это последняя железка которая имеет фиксированный IP адрес. Далее определяется MAC адрес вашего устройства (приходит как метка к пакету отправленному с вашего устройства) и весь трафик начинает фильтроваться СОРМом. Как его видят люди "по ту сторону железки" я не знаю. Главный признак того, что ваш трафик отслеживают это заметное ухудшение скорости и качества соединения. Происходит это потому, что маршрутизатор не может "ловить" трафик "на лету". Т.е. ему необходимо исполнить определенное кол-во процессов по очередности: принять ваш пакет, распаковать его (зарубежные маршрутизаторы имеют отличный от наших код), отправить на устройство СОРМ, получить обратно, запаковать, присвоить метки и отправить по адресу. Быстродействие российского оборудования оставляет желать лучшего, так что если с маршрутизатора СОРМ ведется фильтрация большого кол-во трафика, ваши пакеты могут теряться в очереди (истекает срок жизни). Страницы не открываются (или открываются частично), письма с вложениями не доходят до адресатов. На работе таких приложений как скайп, аська и т.д. это ни как не отражается.

Но, как обычно это бывает в нашей стране, делать все вышеизложенное абсолютно не обязательно. В предписании предусмотрена возможность получить временное разрешение на эксплуатацию узла без размещения железа. Пишется письмо в местное управление с просьбой выдать временное разрешение на эксплуатацию узла в связи с "отсутствием технической возможности" подключения СОРМ к магистральному оборудованию оператора на 6 мес. Причин отсутствия технической возможности может быть много (нет свободных портов, установлена не правильная конфигурация, не позволяет питание в стойке и т.д. Дается временное разрешение и предписание устранить причину в течении 6 мес. Через 6 мес. процедура повторяется и уплачивается штраф 800 р. Это, зачастую намного выгоднее чем платить за ФСБшную железку, особенно на небольших узлах в жилых районах, где узел может быт разобран или перенесен в любой момент. Когда я работал в Билайне 80% узлов было сдано именно по такой схеме, так что есть большая вероятность, что ваш трафик при всем желании ни кто не увидит.

Даже если вы считаете, что ваш трафик отслеживают, а вам необходимо иметь действительно защищенный канал связи (может быть выделенный канал точка-точка или частный шифрованный туннель over Public Internet - IP VPN) эта задача решается путем установки двух простейших маршрутизаторов Cisco 881 K9 IP Sec сразу за принимающим и передающим устройством. Данные маршрутизаторы запрещены к публичной продаже в Росии т.к. ФСБ не смогли расшифровать скрипт используемый компанией Cisco и решили просто их запретить. Иметь их можно только при наличии специальной лицензии ФСБ на использование K9 IP Sec шифрования которая обычно выдается банкам и другим финансовым учреждениям для проведения транзакций через Интернет. Многие думают, что это специальное оборудование, но на самом деле любой маршрутизатор Cisco поддерживающий K9 шифрование может строить IP Sec туннели. Просто эта функция скрыта и становится доступной после введения специального кода. Естественно, этот код можно купить на "чером" рынке и использовать полный функционал шифрования. Мало вероятно, что кто-то определит использование IP Sec шифрования (если конечно специально этим не озадачится), и если найдут, оператору это грозит отзывом лицензии, физическому лицу - изъятием маршрутизатора.

В заключении хочу сказать, что вся эта информация получена на основе личного опыта и опыта коллег и относится только к IP, VoIP и любым видам передачи данных. Что касается фиксированной телефонии (по электрическим проводам) - ни чего не могу сказать т.к. ни когда не был связан с этим бизнесом. Вся мобильная телефония идет over IP, но насколько щипитильно ФСБ относится к установке СОРМ на узлах обслуживающих соты я не знаю.

Надеюсь, кому-то пригодиться эта информация.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху