Introduzione
Questo documento descrive come risolvere i problemi relativi alla configurazione del "buffer" in un contesto di intercettazione legale in StarOS.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza di StarOS.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Abbreviazioni
LI |
LI (Lawful Intercept) |
LEA |
Agenzia di contrasto |
AF |
Funzione Access |
MF |
Funzione Mediation |
DF |
Funzione di recapito |
CF |
Funzione di controllo |
IRI |
Intercetta informazioni correlate |
CC |
Contenuto della comunicazione |
CLI |
Interfaccia della riga di comando |
AF potrebbe essere un qualsiasi nodo StarOS. CF risiede in locali LEA o nel dominio amministrativo.
Problema
Al momento della configurazione dell'opzione di buffering nel modulo di intercettazione legale, si osserva che il parametro relativo all'opzione di buffering basata su eventi/contenuti non era disponibile nell'elenco di configurazione della CLI.
Questa opzione consente di definire il valore del buffer dei record IRI predefiniti 5000 e dei record Cc 1000 per contesto CLI.
L'unica opzione disponibile nell'elenco di configurazione era "dest-addr".
[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
In teoria, dovrebbe mostrare la parola chiave "buffer" insieme all'opzione "dest-addr" nell'elenco di opzioni sopra menzionato.
LI (Lawful Intercept)
Nota: Lawful Intercept è una funzionalità abilitata per le licenze. La licenza Basic Lawful Intercept supporta UDP come protocollo di trasporto per l'intercettazione dei contenuti delle chiamate (CC) per gli abbonati attivi. L'intercettazione degli eventi (IRI) e il protocollo TCP come protocollo di trasporto per la consegna non sono supportati nella licenza Basic. La licenza Enhanced Lawful Intercept supporta tutte le funzionalità della licenza Basic LI, più Event (IRI) Interception e TCP come protocollo di trasporto per la consegna dei pacchetti intercettati.
La funzionalità Lawful Intercept fornisce all'operatore di rete la funzionalità per intercettare i messaggi di controllo e di dati degli utenti mobili destinatari. Per avvalersi di tale sostegno, il LEA chiederà all'operatore di rete di avviare l'intercettazione di un particolare utente mobile. La richiesta sarà sostenuta da un ordine o da un mandato del tribunale. Ci sono diversi standard seguiti per Lawful Intercept in diversi paesi.
Un tipico processo Lawful Intercept include la sequenza di eventi seguente:
1. Il LEA chiede al TSP di iniziare ad intercettare una sessione di una determinata persona, che di solito deve essere sostenuta da un'ordinanza o da un mandato del tribunale. Verranno fornite informazioni per identificare la persona (ad esempio, numero di telefono o nome/indirizzo, ecc.).
2. L'amministratore del provider di servizi di telecomunicazione (TSP) configura la funzione di accesso/consegna TSP per avviare l'intercettazione degli eventi di controllo/dati dell'abbonato interessato. Se la sessione del sottoscrittore è già in corso, l'intercettazione verrà eseguita immediatamente. In caso contrario, la funzione di accesso deve attendere la connessione della sessione del sottoscrittore.
3. La funzione di accesso invia una copia degli eventi di controllo/dati per la sessione intercettata alla funzione di recapito.
4. La funzione di recapito invia le informazioni intercettate a una o più funzioni di raccolta, che si trovano nel dominio amministrativo del LEA. Una funzione Collection analizza e memorizza le informazioni intercettate.
5. Quando il LEA chiede di interrompere l'intercettazione, l'amministratore TSP configura la funzione di accesso e la funzione di recapito per interrompere l'intercettazione per quella particolare sessione utente.
L'interfaccia CLI (Command Line Interface) su sessione SSH viene utilizzata dal DF per il provisioning della CLI e l'annullamento del provisioning dell'identità di destinazione, nonché per monitorare le statistiche della CLI.
Questi protocolli/modalità (IPv4 e IPv6) sono supportati su StarOS per la trasmissione di eventi e contenuti LI alla DF:
· Modalità UDP (Unack): L'indirizzo DF2 e DF3 viene fornito al momento del provisioning per la modalità UDP non riconosciuta.
· Modalità TCP: Per la modalità TCP, la configurazione fornisce solo l'indirizzo del peer. Tutto il recapito di eventi intercettati (IRI) viene inviato a DF2 e tutti i dati intercettati (CC) vengono inviati a DF3.
Risoluzione dei problemi
La configurazione StarOS deve disporre di una licenza adeguata per questa funzionalità.
[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]
StarOS deve avere anche una configurazione li segregata.
Con questa funzione, solo "li-administrator" potrà visualizzare e modificare i dettagli dell'integrazione dell'interfaccia LI in un contesto li dedicato.
L'utente amministratore di sistema deve essere mappato all'amministrazione di sistema nella configurazione.
administrator liadmin encrypted password *** ftp li-administration
Tuttavia, è stato riscontrato che StarOS non consentiva di definire l'opzione "buffer" nel modulo di configurazione dell'intercettazione legale.
[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword
Idealmente dovrebbe essere visualizzata un'opzione con la parola chiave "buffer" per completare la CLI come questa per la configurazione del buffer.
configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end
Risoluzione
Per ottenere i diritti li-admin per qualsiasi utente StarOS, tale utente deve essere definito in contesto li con privilegi di amministratore. È l'utente li-admin che deve accedere da un server esterno (da LEA) per abilitare questa opzione "buffer". Qualsiasi altro utente amministratore che tenti di accedere al nodo nel contesto locale non sarà autorizzato a definire questa opzione "buffer".
Di seguito sono riportati i passaggi per ottenere il requisito di ottenere l'opzione "buffer" in StarOS sotto il modulo LI.
1. Accedere al nodo con l'utente amministratore locale.
2. Creare il contesto li (poiché non era presente alcun contesto li dedicato).
3. Creare un utente li con privilegi li-admin nel contesto locale.
4. Creare un utente li con privilegi li-admin nel contesto li.
<< abbiamo rimosso li-admin dal contesto locale per aggiungere li dedicati che ci aiuteranno a separare il contesto li dal contesto locale >>
5. Rimuovere l'utente li con il privilegio li-admin dal contesto locale.
6. Creare un contesto li dedicato per abilitare la configurazione li separata.
7. Definire l'elenco degli accessi nel contesto li.
8. Disconnettersi dal nodo.
9. Accedere nuovamente al nodo con l'utente "li" che dispone dei privilegi di li-admin.
10. Configurare l'opzione del buffer richiesta, in modo da poterla configurare.
Configurazione
[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end
[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration
< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >
[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit
[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end
Ad esempio, dopo aver eseguito l'accesso con l'utente li-admin, è possibile visualizzare tutte le opzioni necessarie:
<local-node><hostname>$ ssh li-admin@li@
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface
No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]
# configure
Warning: One or more other administrators may be configuring this system
[li]
(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.