- Ранее (сейчас врятли) СОРМ в основном использовался для слежения за конкретным пользователем, не за всеми.
-
Сорм1 – подключение к цифровой/аналоговой АТС на скорости не менее 2 mbps.
-
Сорм2 – для пакетных сетей. Местоположение в мобильных сетях – IMEI, IP.
-
Сорм3 – не только перехватывает, но и анализирует всесторонне трафик – визуально строит историю твоих контактов (куда, что, когда кому ты пересылал), собирает так же биллинг инфу (сколько/за что ты платил оператору, вероятно сессии).
- С помощью шифрованного VPN можно обойти и DPI и СОРМ. Зашифрованных трафик в общем случае (не говорим случай если на DPI/СОРМ есть ключт или АПК одновременно является прокси) не рабирается, но по умолчанию нужно считать, что СОРМ распознает все, что распознает анализатор трафика tcpdump/wireshark/etc т.е. включая незашифрованные vxlan, vlan, gre, mpls, etc.
СОРМ (на западе “Lawful interception”) – система оперативно разыскных мероприятий. Пользуются ими спецслужбы. Не меняет трафик в отличит от DPI, но так же анализирует.
Приказ 70 от 1999 постановил внедрение всем операторам, там описаны тех требования к СОРМу, формат сообщений от СОРМ к ПУ (пульту упраления в органах). Канал до пульта обычно более 10 mbps, но может быть и более узкий. Россия не родоночальник идеи использования СОРМ, в США система Эшелон, создается с 1947. На основе западных стандартов (etci) и писался наш приказ.
Технически СОРМ представляет собой съемник (анализатор трафика до уровня приложений + хранилка), пульт в отделении ФСБ (с него подключаются к съемнику) и только они имеют по сути доступ к данным СОРМа. Трафик на съемник получается чаще всего путем его дублирования с основной линии (в разрыв в отличии от DPI не ставится и трафик не изменяет) – с использованием сплиттера/tap или миррорингом портов (см. Отдельная статья). Протокол обмена сообщениями между пультом (ПУ) и съемником – х.25!
Пример функционала и сроки хранения (на основе скат-DPI + ИС ОРМ БД от Vas experts):
- Позволяет осуществлять сбор, накопление и обработку информации об абонентах телефонии и/или сети передачи данных (профиль абонента, подключенные услуги, справочная информация, совершенные платежи) и статистику действий абонента в сети передачи данных в режиме реального времени. - Постоянный доступ к ИС СОРМ-3 с пульта регионального управления ФСБ России по протоколу ASN.1. - Хранение собранной информации сроком до 36 месяцев: 6 — для недекодированной (85 %) и 36 — для декодированной (15 %). - Хранение телефонных звонков (фактов — до 36 месяцев и самих звонков — до 6 месяцев). - Оперативное обновление и актуализация информации в процессе абонентской сессии с помощью Radius-монитора. - Сбор информации о сессиях NAT-трансляции сетевых адресов, установленных на оборудовании оператора связи, по интерфейсам netflow/syslog (объем трафика удваивается).
Объем хранения даже с 10 Gbps линка ад какой нужен = 108 терабайт в сутки (0.1 петабайта)!
10gbit/s link = 1.25 gbyte/s hdd В сутки 120 gbyte * 60 * 60 = 108000 gbyte = 108 TB
Операторы покупают СОРМ сами, ОПСОСы все с СОРМом. Пример решений СОРМ:
- “Сормович” от МФИ-софт один из продуктов.
- Малвин – основной игрок в голосовом СОРМ.
- СОРМ Январь
- НТЦ Протей
- Vas experts делает скат-DPI, который может использоваться в СОРМ2/3 совместно с ИС ОРМ БД качестве реализации съемника (анализатора трафика). Скат DPI решение до 100gbps (10x10G) в 1RU. СОРМ-3 при установке СКАТ DPI может быть реализован как в схеме «в разрыв», так и в схеме «на зеркало трафика».
Для реализации ИС СОРМ 3 в сети оператора связи необходимо приобретение лицензий и оборудования: - Сервер для СКАТ DPI с лицензией СКАТ DPI не ниже Base или ИС СОРМ-2. - Сервер для ИС СОРМ-3 с лицензией ИС СОРМ-3. - Система хранения данных (до 200 Tb) и ИС СОРМ-3 могут быть объединены в один сервер.