Общее
Чтобы ФСБ могло следить за каждым абонентом, провайдер должен иметь у себя СОРМ и зеркалировать на него весь трафик абонентов в таком виде, чтобы сотрудники ФСБ могли однозначно идентифицировать, какому абоненту принадлежал трафик за любой период.
Для этого можете приобрести себе отдельный СОРМ, подключить его к Carbon Billing на отдельный интерфейс и зеркалировать встроенными средствами Carbon Billing весь трафик на этот интерфейс. Либо зеркалировать трафик на СОРМ, подключенный куда-то еще, средствами вашего сетевого оборудования.
Но у вашего вышестоящего провайдера уже есть СОРМ и ФСБ может пользоваться им, чтобы следить за вашими абонентами, проблема только в том, чтобы однозначно их идентифицировать. Если у каждого вашего абонента будет белый ип-адрес, то можно использовать такую схему. Белые адреса на каждого абонента можно выдавать фиксированные, а можно динамические. Во втором случае информация по сессиям, какой абонент пользовался каким адресом в какое время, хранится в базе Carbon Billing и выдается сотрудникам ФСБ по требованию или периодически.
Динамическая выдача адресов.
Биллинг не генерирует radius-пакеты (по выданным адресам) при отправке на оборудование сорм, поэтому нужно использовать статичные адреса. Либо можно использовать Carbon AS, который при выдаче адреса генерирует пакеты для СОРМ.
Преднастройка
Перед конфигурирование интерфейса для СОРМ нужно проверить работоспособность сетевой карты.
Самый простой способ - сконфигурировать на ней локальный интерфейс и повешать адресацию. Затем подключить к ней любое устройство с той же адресацие и проверить пингами работоспособность карты.
Лучше проверять не только обычным пингом, но и флуд-пингом(ping -f на linux).
Настройка СОРМ
Настройка СОРМ производится в консольном меню Конфигурирование сервера -> Безопасность -> Настройки СОРМ
Выберите выделенный интерфейс на который будет копироваться весь сетевой трафик, этот интерфейс соедините с СОРМ ПК.
Это должна быть отдельная сетевая карта, она должна быть обязательно online.
Внимание! Сетевая карта должна быть intel гигабит, broadcom гигабит или netxtreme гигабит. Использование сетевых карт *d-link и realtek запрещено тк будет потеря пакетов.
Интерфейс, используемый под СОРМ должен быть обязательно предварительно сконфигурирован в меню локальной консоли, ip-адреса при этом указывать не обязательно.
В некоторых случаях для СОРМ требуется включить ежедневные отчеты об ip адресах пользователей.
Включить генератор отчетов для СОРМ - поможет упорядочить данные о трафике интерфейса. Отчеты будут создаваться раз в день. Краткая инструкция по настройке отчетов в Carbon Manager будет выведена на экран при включении этой опции.
Имя организации для СОРМ - в названии допускается использовать только латинские буквы и цифры.
Пароль на архив для СОРМ - по желанию можно защитить создаваемый архив с данными паролем.
Путь для сохранения архива для СОРМ - файл с дампом трафика будет создан в виде архива и размещен на сервере в том каталоге, который вы укажите. Потом по желанию архив можно выгрузить с сервера по FTP, с помощью WINscp или другим способом.
Для открытия доступа по ftp нужно зайти в раздел Конфигурирование сервера -> Дополнительные настройки -> FTP-сервер, включить ftp-сервер задать доступ из локальной или внешней сети и создать пользователя для СОРМ.
Внимание: Ftp-сервер доступен только для работы с СОРМ!
Доступ к базе
Иногда сотрудникам СОРМ необходим доступ к базе, билинг может дать и такую возможность. Самым безболезненным способом для вашей базы будет доступ к базе через web.
Для этого нужно:
1. Создать пользователя для СОРМ
2. Выставить пользователю права "Администратор только для чтения и Администратор СОРМ (Доступно с версии 422_544:).
3. Теперь сотрудники СОРМ могут получить доступ к информации по пользователям через Личный кабинет не внося никаких изменений, даже случайно.
4. Если требуется закрыть финансовую информацию нужно убрать галочку в менеджере Сервис - Настройки - Разрешить администраторам СОРМ просматривать дерево абонентов (Доступно с версии 422_544:)
При динамической выдаче адресов
На случай такой настройки, начиная с версии 421_518 вся arp таблица логируется в /var/log/arp.log
сотрудники ФСБ