h2. Общее
|
Чтобы ФСБ могло следить за каждым абонентом, провайдер должен иметь у себя СОРМ и зеркалировать на него весь трафик абонентов в таком виде, чтобы ФСБшники сотрудники ФСБ могли однозначно идентифицировать, какому абоненту принадлежал трафик за любой период.
|
Для этого можете приобрести себе отдельный СОРМ, подключить его к Carbon Billing на отдельный интерфейс и зеркалировать встроенными средствами Carbon Billing весь трафик на этот интерфейс. Либо зеркалировать трафик на СОРМ, подключенный куда-то еще, средствами вашего сетевого оборудования.
|
Но у вашего вышестоящего провайдера уже есть СОРМ и ФСБ может пользоваться им, чтобы следить за вашими абонентами, проблема только в том, чтобы однозначно их идентифицировать. Если у каждого вашего абонента будет белый ип-адрес, то можно использовать такую схему. Белые адреса на каждого абонента можно выдавать фиксированные, а можно динамические. Во втором случае информация по сессиям, какой абонент пользовался каким адресом в какое время, хранится в базе Carbon Billing и выдается ФСБшникам сотрудникам ФСБ по требованию или периодически.
|
h4. Динамическая выдача адресов.
|
... Биллинг не генерирует radius-пакеты (по выданным адресам) при отправке на оборудование сорм, поэтому нужно использовать статичные адреса. Либо можно использовать Carbon AS, который при выдаче адреса генерирует пакеты для СОРМ.
|
h2. Преднастройка
|
Перед конфигурирование интерфейса для СОРМ нужно проверить работоспособность сетевой карты.
|
Самый простой способ - сконфигурировать на ней локальный интерфейс и повешать адресацию. Затем подключить к ней любое устройство с той же адресацие и проверить пингами работоспособность карты.
|
Лучше проверять не только обычным пингом, но и флуд-пингом(ping \-f на linux).
|
h2. Настройка СОРМ
|
... Настройка СОРМ производится в консольном меню *Конфигурирование сервера \-> Безопасность \-> Настройки СОРМ* !worddav9183169cfd3c4864a57122ce27a086bd.png|height=208,width=630! Выберите выделенный интерфейс на который будет копироваться весь сетевой трафик, этот интерфейс соедините с СОРМ ПК. Это должна быть отдельная сетевая карта, она должна быть обязательно online. Внимание\! Сетевая карта должна быть *intel* гигабит, *broadcom* гигабит или *netxtreme* гигабит. Использование сетевых карт **d-link* и *realtek* запрещено тк будет потеря пакетов. Интерфейс, используемый под СОРМ должен быть обязательно предварительно сконфигурирован в меню локальной консоли, ip-адреса при этом указывать не обязательно. !worddav27e780567ef339b05263ded87bfaec35.png|height=176,width=270! ---- В некоторых случаях для СОРМ требуется включить ежедневные отчеты об ip адресах пользователей. *Включить генератор отчетов для СОРМ* \- поможет упорядочить данные о трафике интерфейса. Отчеты будут создаваться раз в день. Краткая инструкция по настройке отчетов в Carbon Manager будет выведена на экран при включении этой опции. !worddav60cabc9c16348ccc64676be6ab65abd2.png|height=320,width=702! *Имя организации для СОРМ* \- в названии допускается использовать только латинские буквы и цифры. *Пароль на архив для СОРМ* \- по желанию можно защитить создаваемый архив с данными паролем. *Путь для сохранения архива для СОРМ* \- файл с дампом трафика будет создан в виде архива и размещен на сервере в том каталоге, который вы укажите. Потом по желанию архив можно выгрузить с сервера по FTP, с помощью WINscp или другим способом. Для открытия доступа по ftp нужно зайти в раздел *Конфигурирование сервера \-> Дополнительные настройки \-> FTP-сервер*, включить ftp-сервер задать доступ из локальной или внешней сети и создать пользователя для СОРМ. {color:#ff0000}{*}Внимание: *{color}{color:#000000}{*}Ftp-сервер доступен только для работы с СОРМ\!*{color} h2. Доступ к базе Иногда сотрудникам СОРМ необходим доступ к базе, билинг может дать и такую возможность. Самым безболезненным способом для вашей базы будет доступ к базе через web. Для этого нужно: 1. Создать пользователя для СОРМ !COPM.png|border=1! 2. Выставить пользователю права "Администратор только для чтения и Администратор СОРМ (*Доступно с версии 422_544:*). !COPM2.png|border=1! 3. Теперь сотрудники СОРМ могут получить доступ к информации по пользователям через [asrdocnew:Личный кабинет] не внося никаких изменений, даже случайно. !COPM2.png|border=1! 4. Если требуется закрыть финансовую информацию нужно убрать галочку в менеджере Сервис - Настройки - Разрешить администраторам СОРМ просматривать дерево абонентов (*Доступно с версии 422_544:*) h2. При динамической выдаче адресов
|
На случай такой настройки, начиная с версии *421_518* вся arp таблица логируется в /var/log/arp.log
|
сотрудники ФСБ
|