Configuratie "buffer" probleemoplossing onder legale interceptiecontext in StarOS

Downloadopties

  • PDF     (321.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (76.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 augustus 2019
Document-id:214790

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen kunt oplossen bij de "buffer"-configuratie onder wettelijke onderscheppingscontext in StarOS.

    Voorwaarden

    Vereisten

    Cisco raadt u aan bekend te zijn met StarOS.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Afkortingen

    LI Rechtmatige observatie
    LEA Agentschap voor wetshandhaving
    AF Toegangsfunctie
    MF Bemiddelingsfunctie
    DF Leveringsfunctie
    CF Bedieningsfunctie
    IRI Informatie over onderschepping
    CC Inhoud van de communicatie
    CLI Opdrachtlijninterface


    AF kan elk StarOS-knooppunt zijn. CF woont in LEA-gebouw of administratief domein.

    Probleem

    Op het tijdstip van de configuratie van de bufferoptie onder legale interceptiemodule, wordt opgemerkt dat de parameter met betrekking tot op gebeurtenissen/inhoud gebaseerde bufferoptie niet beschikbaar was in de CLI-configuratielijst.


    Deze optie helpt bij het definiëren van de bufferwaarde van standaard 5000 IRI-records en 1000 CC-records per LI-context.

    De enige beschikbare optie in de configuratielijst was "dest-addr".


    [li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
    dest-addr - Destination IP address where the intercepted information needs to be forwarded.


    Idealiter wordt hiermee het trefwoord "buffer" weergegeven, samen met de optie "dest-addr" in de eerder genoemde lijst met opties.

    Rechtmatige observatie

    Opmerking: Rechtmatige observatie is een licentiefunctie. De Basic Lawful Intercept-licentie ondersteunt UDP als een transportprotocol voor Call Content (CC)-interceptie voor actieve abonnees. Event (IRI) interceptie en TCP als transportprotocol voor levering worden niet ondersteund onder de basislicentie. De Enhanced Lawful Intercept-licentie ondersteunt alle functionaliteit van de Basic LI-licentie plus Event (IRI) Interception en TCP als een transportprotocol voor het leveren van onderschepte pakketten.

    De rechtmatige onderscheppingsfunctie biedt de netwerkexploitant de mogelijkheid om controle- en gegevensberichten van de beoogde mobiele gebruikers te onderscheppen. Om een beroep te kunnen doen op deze ondersteuning, zal de LEA de netwerkexploitant vragen om de interceptie van een bepaalde mobiele gebruiker te starten. Dit verzoek wordt ondersteund door een gerechtelijk bevel of bevel. Er worden in verschillende landen verschillende normen gehanteerd voor legale observatie.

    Een typisch rechtmatig onderscheppingsproces omvat deze opeenvolging van gebeurtenissen:

    1. De LEA verzoekt de VVD een sessie van een bepaald individu te beginnen onderscheppen, die doorgaans moet worden ondersteund door een rechterlijke beslissing of een rechterlijk bevel. Er wordt informatie verstrekt om de persoon te identificeren (zoals telefoonnummer of naam/adres enz.).
    2. De beheerder van de Telecommunication Service Provider (TSP) configureert de TSP-toegangsfunctie/leveringsfunctie om controle-/gegevensgebeurtenissen van de beoogde abonnee te onderscheppen. Als de Subscriber Session al bezig is, vindt de interceptie onmiddellijk plaats. Anders moet de toegangsfunctie wachten totdat de Subscriber Session verbinding maakt.
    3. De toegangsfunctie stuurt een kopie van de Control/Data-gebeurtenissen voor de onderschepte sessie naar de leveringsfunctie.
    4. De Leveringsfunctie stuurt de onderschepte informatie naar een of meer Collectiefuncties, die zich in het administratieve domein van de LEA bevinden. Een Collectiefunctie analyseert en slaat de onderschepte informatie op.
    5. Wanneer de LEA verzoekt om de interceptie te stoppen, configureert de TSP-beheerder de toegangsfunctie en leveringsfunctie om de interceptie voor die specifieke abonneesessie te stoppen.

    Een Command Line Interface (CLI) over SSH-sessie wordt door de DF gebruikt voor LI-provisioning en -deprovisioning van de doelidentiteit en voor het bewaken van de LI-statistieken.


    Deze protocollen/modi (IPv4 en IPv6) worden ondersteund op de StarOS om LI-gebeurtenissen en -inhoud aan de DF te leveren:

    · UDP (non-ack) modus: Het adres van DF2 en DF3 wordt verstrekt op het tijdstip van levering voor UDP niet-erkende wijze.
    · TCP-modus: Voor de TCP-modus geeft de configuratie alleen het peer-adres. Alle intercepted event delivery (IRI) wordt naar DF2 verzonden en alle intercepted data (CC) wordt naar DF3 verzonden.

    Problemen oplossen

    Voor de StarOS-configuratie moet u over een juiste licentie voor deze functie beschikken.

    [local]<hostname># show license information | grep -i lawful
    Monday December 10 01:54:13 UTC 2018
    Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
    + Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
    Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
    Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

    StarOS moet ook een "gesegregeerde li-configuratie" hebben.

    Met deze functie kan alleen "li-administrator" de LI interface-integratiegegevens bekijken en bewerken in een speciale li-context.

    De LI beheerder gebruiker moet worden toegewezen aan li-administratie in de configuratie.

    administrator liadmin encrypted password *** ftp li-administration

    Toch werd vastgesteld dat StarOS niet de mogelijkheid bood om de "buffer"-optie te definiëren onder de legale interceptconfiguratie module.

    [local]<hostname># context li
    [li]<hostname># config
    [li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
    dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

    [li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
    Unknown command - "buff", unrecognized keyword

    Ideaal gezien zou men een optie met sleutelwoord "buffer" moeten zien om CLI als dit voor de bufferconfiguratie te voltooien.

    configure
    context
    lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
    end

    Resolutie

    Om de li-admin-rechten voor elke StarOS-gebruiker te verkrijgen, moet die gebruiker worden gedefinieerd onder li-context met admin-rechten. Het is de li-admin gebruiker die moet inloggen vanaf een externe server (van LEA) om deze "buffer" optie mogelijk te maken. Een andere beheerder gebruiker die probeert in te loggen op knooppunt onder lokale context, mag deze "buffer" optie niet definiëren.

    Hier zijn de stappen om te voldoen aan de eis in het krijgen van de "buffer" optie in StarOS onder LI module.

    1. Log in op het knooppunt met de lokale beheerder.
    2. Creëer li-context (aangezien er geen specifieke li-context bestond).
    3. Maak een li-gebruiker met li-admin rechten in de lokale context.
    4. Maak een li-gebruiker met li-admin rechten in li-context.
    << we hebben li-admin uit de lokale context verwijderd om speciale li toe te voegen, wat ons zal helpen om de li-context van de lokale context te scheiden >>
    5. Verwijder de li-gebruiker met de li-admin-rechten uit de lokale context.
    6. Maak een speciale li-context om de li-configuratie te kunnen scheiden.
    7. Definieer de toegangslijst in licontextcontext.
    8. Uitloggen vanaf knooppunt.
    9. Log opnieuw in op het knooppunt met "li" gebruiker die rechten heeft als li-admin.
    10. Configureer de bufferoptie die vereist is. Hiermee kunt u deze configureren.

    Configuratie

    [local]<hostname>(config)# context local
    [local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
    [local]<hostname>(config-ctx)# end

    [local]<hostname>(config)# context li
    [li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

    < we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

    [local]<hostname>(config-ctx)# no administrator li-admin
    [local]<hostname>(config-ctx)# exit

    [local]<hostname>(config)# dedicated-li context li
    Warning: Creating a dedicated LI context is a permanent configuration setting
    Info: Context li is dedicated to Lawful-Intercept configuration
    Info: Undefined ACLs will be set to deny-all within this context
    [li]<hostname>(config-ctx)#
    [li]<hostname>(config-ctx)# access-list undefined permit-all
    [li]<hostname>(config-ctx)# end


    Nadat u bent ingelogd met het gebruik van de li-admin-gebruiker, kunt u bijvoorbeeld alle opties zien die we nodig hebben:


    <local-node><hostname>$ ssh li-admin@li@
     
     
    Cisco Systems QvPC-SI Intelligent Mobile Gateway
    li-admin@li@aa.bb.cc.dd's password:
    Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
    Cisco Systems QvPC-SI
    Lawful Intercept Interface

    No entry for terminal type "xterm-256color";
    using dumb terminal settings.
    [li] 
      # configure
    Warning: One or more other administrators may be configuring this system
    [li]
     
     
       (config-ctx)# lawful-intercept tcp event-delivery 
     
    buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
    dest-addr - Destination IP address where the intercepted information needs to be forwarded.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    26-Aug-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Kumar Vihol
      Cisco TAC Engineer
    • Naveen Sampath
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten