المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء تكوين "المخزن المؤقت" وإصلاحها في سياق الاعتراض القانوني في StarOS.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة ب StarOS.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المختصرات
| لي |
اعتراض قانوني |
| ليا |
وكالة إنفاذ القانون |
| أف |
تابع الولوج |
| MF |
دالة التوسط |
| DF |
تابع التسليم |
| سي إف |
دالة التحكم |
| إريي |
اعتراض المعلومات ذات الصلة |
| نسخة |
محتوى الاتصال |
| CLI |
واجهة سطر الأوامر |
AF يمكن أن يكون أي عقدة StarOS. يقيم CF في أماكن العمل ذات الأولوية المنخفضة أو المجال الإداري.
المشكلة
في وقت تكوين خيار التخزين المؤقت ضمن وحدة الاعتراض القانونية، تتم ملاحظة أن المعلمة المتعلقة بخيار التخزين المؤقت المستند إلى الحدث/المحتوى غير متوفرة في قائمة تكوين واجهة سطر الأوامر (CLI).
يساعد هذا الخيار في تحديد قيمة المخزن المؤقت لسجلات 5000 IRI و 1000 CC الافتراضية لكل سياق LI.
الخيار الوحيد المتاح في قائمة التكوين كان "dest-addr".
[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
من الناحية المثالية، يجب أن تظهر الكلمة الأساسية "buffer" مع خيار "dest-addr" في قائمة الخيارات المذكورة سابقا.
اعتراض قانوني
ملاحظة: الاعتراض القانوني هو ميزة تم تمكين الترخيص لها. يدعم ترخيص الاعتراض القانوني الأساسي بروتوكول UDP كبروتوكول نقل لاعتراض محتوى المكالمة (CC) للمشتركين النشطين. لا يتم دعم اعتراض الحدث (IRI) وبروتوكول TCP كبروتوكول نقل للتسليم بموجب الترخيص الأساسي. يدعم ترخيص الاعتراض القانوني المحسن جميع وظائف ترخيص LI الأساسي بالإضافة إلى اعتراض الحدث (IRI) و TCP كبروتوكول نقل لتسليم الحزم التي يتم اعتراضها.
توفر وظيفة الاعتراض القانوني لمشغل الشبكة القدرة من أجل اعتراض رسائل التحكم والبيانات الخاصة بمستخدمي الأجهزة المحمولة المستهدفين. من أجل إستدعاء هذا الدعم، سيطلب LEA من مشغل الشبكة بدء اعتراض مستخدم متنقل معين. وسيدعم هذا الطلب أمر أو أمر قضائي. هناك معايير مختلفة متبعة للإعتراض القانوني في دول مختلفة.
تتضمن عملية الاعتراض القانوني النموذجية تسلسل الأحداث التالي:
1- يطلب القانون الدولي إلى السلطة التنفيذية المؤقتة أن تبدأ في اعتراض جلسة لفرد معين، يجب عادة أن يدعمها أمر أو أمر من المحكمة. سيتم توفير معلومات لتحديد الشخص (مثل رقم الهاتف أو الاسم/العنوان وما إلى ذلك).
2. يقوم مسؤول موفر خدمة الاتصالات (TSP) بتكوين وظيفة الوصول/التسليم الخاصة ب TSP لبدء اعتراض أحداث التحكم/البيانات الخاصة بالمشترك المستهدف. إذا كانت جلسة عمل المشترك قيد التقدم بالفعل، فإن الاعتراض سيحدث فورا. وإلا، يجب أن تنتظر وظيفة الوصول حتى تتصل جلسة عمل المشترك.
3. ترسل وظيفة الوصول نسخة من أحداث التحكم/البيانات لجلسة العمل التي تم اعتراضها إلى وظيفة التسليم.
4. ترسل "وظيفة التسليم" المعلومات التي تم اعتراضها إلى وظيفة أو أكثر من وظائف التجميع، الموجودة في المجال الإداري ل LEA. تقوم وظيفة التجميع بتحليل المعلومات التي تم اعتراضها وتخزينها.
5. عندما يطلب LEA إيقاف الاعتراض، يقوم مسؤول TSP بتكوين وظيفة الوصول ووظيفة التسليم لإيقاف اعتراض جلسة المشترك المحددة.
يتم إستخدام واجهة سطر الأوامر (CLI) عبر جلسة SSH من قبل DF لتوفير الهوية الهدف وإزالتها من خلال LI، وكذلك لمراقبة إحصائيات LI.
يتم دعم هذه البروتوكولات/الأوضاع (IPv4 و IPv6) على نظام التشغيل StarOS لتقديم أحداث LI ومحتوى إلى DF:
· وضع UDP (غير المتبع): يتم توفير عنوان DF2 و DF3 في وقت التزويد لوضع UDP غير المعترف به.
· وضع TCP: بالنسبة لوضع TCP، يوفر التكوين عنوان النظير فقط. يتم إرسال كل تسليم الحدث المعترض (IRI) إلى DF2 ويتم إرسال كل تسليم البيانات المعترضة (CC) إلى DF3.
استكشاف الأخطاء وإصلاحها
يجب أن يحتوي تكوين StarOS على ترخيص مناسب لهذه الميزة.
[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]
كما يجب أن يكون لنظام التشغيل StarOS "تكوين خاص منفصل".
باستخدام هذه الميزة، يمكن ل "li-administrator" فقط عرض تفاصيل تكامل واجهة LI وتحريرها في سياق LI مخصص.
يجب تعيين مستخدم مسؤول LI على إدارة الإدخال في التكوين.
administrator liadmin encrypted password *** ftp li-administration
ومع ذلك، تم العثور على أن StarOS لا يسمح بتعريف الخيار "المخزن المؤقت" ضمن وحدة تكوين الاعتراض القانوني.
[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword
يجب أن يرى الشخص المثالي خيارا مع الكلمة الأساسية "buffer" لإكمال واجهة سطر الأوامر مثل هذا لتكوين المخزن المؤقت.
configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end
قرار
للحصول على حقوق Li-Admin لأي مستخدم StarOS، يجب تعريف هذا المستخدم ضمن سياق Li مع امتيازات المسؤول. هو المستخدم المسؤول الذي يحتاج إلى تسجيل الدخول من خادم خارجي (من LEA) لتمكين خيار "المخزن المؤقت" هذا. لن يسمح لأي مستخدم مسؤول آخر يحاول تسجيل الدخول إلى عقدة ضمن السياق المحلي بتحديد خيار "المخزن المؤقت" هذا.
فيما يلي الخطوات اللازمة لتحقيق المتطلب في الحصول على خيار "المخزن المؤقت" في StarOS ضمن وحدة LI.
1. سجل الدخول إلى العقدة باستخدام مستخدم المسؤول المحلي.
2. قم بإنشاء سياق LI (حيث لا يوجد سياق LI مخصص هناك).
3. قم بإنشاء مستخدم لي بامتيازات li-admin في السياق المحلي.
4. قم بإنشاء مستخدم Li مع امتيازات Li-Admin في سياق Li.
<< قمنا بإزالة li-admin من السياق المحلي لإضافة ميزة مخصصة ستساعدنا على تمكين فصل سياق LI عن السياق المحلي >>
5. قم بإزالة مستخدم li مع امتياز li-admin من السياق المحلي.
6. قم بإنشاء سياق مخصص ل LI من أجل تمكين تكوين LI منفصل.
7. تحديد قائمة الوصول ضمن سياق LI.
8. تسجيل الخروج من العقدة.
9. قم بتسجيل الدخول إلى العقدة مرة أخرى مع مستخدم "li" الذي لديه امتيازات مثل li-admin.
10. قم بتكوين خيار المخزن المؤقت المطلوب، يجب أن يسمح لك بتكوينه.
التكوين
[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end
[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration
< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >
[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit
[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end
على سبيل المثال، بعد أن تقوم بتسجيل الدخول باستخدام مستخدم li-admin، يمكنك رؤية جميع الخيارات التي نحتاج إليها:
<local-node><hostname>$ ssh li-admin@li@
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface
No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]
# configure
Warning: One or more other administrators may be configuring this system
[li]
(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
التعليقات