概要
このドキュメントでは、StarOSの合法的傍受コンテキストで「バッファ」設定をトラブルシューティングする方法について説明します。
前提条件
要件
StarOSに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
略語
| LI |
法で認められた代行受信 |
| レア |
法執行機関 |
| AF |
アクセス機能 |
| MF |
調停機能 |
| DF |
デリバリ機能 |
| CF |
制御機能 |
| 依利 |
傍受関連情報 |
| CC |
通信内容 |
| CLI |
コマンドライン インターフェイス |
AFは任意のStarOSノードにすることができます。CFはLEAプレミスまたは管理ドメインに存在します。
問題
Lawful interception module(LAPT;合法的傍受モジュール)の下でバッファリングオプションを設定する際に、イベント/コンテンツベースのバッファリングオプションに関連するパラメータがCLI設定リストに含まれていないことが確認されました。
このオプションは、LIコンテキストごとにデフォルトの5000 IRIレコードと1000 CCレコードのバッファ値を定義するのに役立ちます。
設定リストで使用できるオプションは「dest-addr」だけです。
[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
理想的には、前述のオプションリストに「buffer」キーワードと「dest-addr」オプションが表示されるはずです。
法で認められた代行受信
注:合法的傍受はライセンス対応機能です。Basic Lawful Interceptライセンスは、アクティブな加入者のコールコンテンツ(CC)代行受信のトランスポートプロトコルとしてUDPをサポートします。Basicライセンスでは、イベント(IRI)の代行受信と配信のトランスポートプロトコルとしてのTCPはサポートされていません。Enhanced Lawful Interceptライセンスは、すべての基本LIライセンス機能に加えて、代行受信パケットを配信するためのトランスポートプロトコルとしてイベント(IRI)代行受信とTCPをサポートします。
合法的傍受機能は、対象のモバイルユーザの制御およびデータメッセージを傍受する機能をネットワークオペレータに提供します。このサポートを呼び出すために、LEAはネットワークオペレータに特定のモバイルユーザの代行受信を開始するように要求します。この請求は、裁判所命令または令状によってサポートされます。合法的傍受に従う標準は国によって異なります。
一般的な合法的傍受プロセスには、次の一連のイベントが含まれます。
1.LEAはTSPに対し、特定の個人のセッションの傍受を開始するよう要請するが、通常は裁判所命令または令状によって支援されなければならない。個人を特定するための情報(電話番号、氏名、住所など)が提供されます。
2.テレコミュニケーションサービスプロバイダー(TSP)管理者は、TSPアクセス機能/配信機能を設定して、対象となる加入者の制御/データイベントの傍受を開始します。サブスクライバセッションがすでに進行中の場合、インターセプションは直ちに発生します。それ以外の場合、アクセス機能はサブスクライバセッションが接続するまで待機する必要があります。
3.アクセス機能は、代行受信されたセッションの制御/データイベントのコピーを配信機能に送信します。
4.デリバリ機能は、代行受信した情報を、LEAの管理ドメイン内にある1つ以上のコレクション機能に送信します。Collection関数は、代行受信された情報を分析して保存します。
5.LEAが代行受信の停止を要求すると、TSP管理者は、特定のサブスクライバセッションの代行受信を停止するようにアクセス機能と配信機能を設定します。
DFは、SSHセッションを介したコマンドラインインターフェイス(CLI)を使用して、ターゲットIDのLIプロビジョニングとプロビジョニング解除を行い、LI統計情報を監視します。
次のプロトコル/モード(IPv4およびIPv6)は、LIイベントとコンテンツをDFに配信するためにStarOSでサポートされています。
・ UDP(Un-ack)モード:DF2とDF3のアドレスは、UDPの確認応答なしモードのプロビジョニング時に提供されます。
・ TCPモード:TCPモードの場合、設定はピアアドレスのみを提供します。傍受されたすべてのイベント配信(IRI)はDF2に送信され、傍受されたすべてのデータ(CC)配信はDF3に送信されます。
トラブルシュート
StarOSの設定には、この機能に適したライセンスが必要です。
[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]
StarOSも「分離されたLI設定」を持つべきです。
この機能を使用すると、「li-administrator」のみが専用のliコンテキストでLIインターフェイス統合の詳細を表示および編集できます。
LI adminユーザは、設定内でli-administrationにマッピングする必要があります。
administrator liadmin encrypted password *** ftp li-administration
しかし、それでも、StarOSは合法的傍受設定モジュールの下で「バッファ」オプションを定義することが許可されていないことが判明しました。
[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword
理想的には、バッファ設定に対して次のようなCLIを実行するために、キーワード「buffer」を含むオプションが表示されるはずです。
configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end
解決方法
任意のStarOSユーザのli-admin権限を取得するには、そのユーザを管理者権限を持つliコンテキストで定義する必要があります。この「バッファ」オプションを有効にするには、(LEAから)外部サーバからログインする必要があるのはli-adminユーザです。ローカルコンテキストでノードにログインしようとする他の管理者ユーザは、この「バッファ」オプションを定義できません。
LIモジュールの下のStarOSで「バッファ」オプションを取得するための要件を達成するための手順を次に示します。
1.ローカル管理者ユーザでノードにログインします。
2. liコンテキストを作成します(専用のliコンテキストが存在しないため)。
3.ローカルコンテキストでli-admin権限を持つliユーザを作成します。
4. liコンテキストでli-admin権限を持つliユーザを作成します。
<<ローカルコンテキストからli-adminを削除し、専用のliを追加しました。これにより、ローカルコンテキストからliコンテキストを分離できます>>
5. li-admin権限を持つliユーザをローカルコンテキストから削除します。
6. dedicated-liコンテキストを作成して、segregate li設定を有効にします。
7. liコンテキストでaccess-listを定義します。
8.ノードからログアウトします。
9. li-admin権限を持つ「li」ユーザでノードに再度ログインします。
10.必要なバッファオプションを設定します。設定が可能です。
コンフィギュレーション
[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end
[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration
< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >
[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit
[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end
たとえば、li-adminユーザを使用してログインすると、必要なすべてのオプションが表示されます。
<local-node><hostname>$ ssh li-admin@li@
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface
No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]
# configure
Warning: One or more other administrators may be configuring this system
[li]
(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
フィードバック