Наверняка ты уже наслышан о такой штуке, как СОРМ. Ее ставят у российских провайдеров, чтобы спецслужбы могли в случае надобности заглядывать в проходящий трафик. В этой статье я покажу, как самостоятельно развернуть аналог СОРМ-2 на Linux и оборудовании MikroTik. Не для дела, а просто ради интереса. В процессе ты научишься приемам настройки сети, которые могут пригодиться в работе.
Итак, СОРМ — это система технических средств для обеспечения функций оперативно‑разыскных мероприятий. СОРМ бывает трех видов:
В этой работе я делаю акцент на СОРМ-2, так как именно ее применяют для контроля содержимого интернет‑соединений. Я расскажу о зеркалировании трафика и о том, как строится виртуальный канал связи, а затем с практической точки зрения продемонстрирую процесс работы СОРМ-2 с сохранением копии трафика из легитимной пользовательской сети.
На руках у меня нет никаких образцов СОРМ, и наше творение ни в коей мере не претендует на замену официальному оборудованию. Наша работа будет чисто экспериментальной, а цель — всего лишь поупражняться в настройке оборудования на занимательном примере.
Статья имеет ознакомительный характер и предназначена для специалистов по информационной безопасности и системных администраторов. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Вот общая схема того, что нам предстоит сделать.
На самом деле структура СОРМ-2 крайне проста: пограничный маршрутизатор генерирует копию легитимного трафика и отправляет его в сторону СОРМ. Затем СОРМ будет обрабатывать полученный трафик и перенаправлять его в сторону ПУ. Реализация СОРМ-2 в продакшене индивидуальна: есть случаи, где оборудование СОРМ помещают физически прямо в ЦОД, есть случаи, где нужно передать зеркало поверх интернета, однако стоит учитывать длину магистрали до приемника, чтобы избежать больших задержек.
Зеркалирование трафика — это процесс, при котором снимается копия трафика с того или иного интерфейса на пограничном маршрутизаторе. Для этого существуют специальные протоколы, самые популярные из них — ERSPAN и TZSP. Так как я воспользуюсь RouterOS, работать будем с поддерживаемым там TZSP. Он мало чем отличается от ERSPAN, разве что технологиями инкапсуляции: TZSP использует UDP, а в ERSPAN применяется GRE-инкапсуляция с Proto Type 0x88BE.
TZSP (TaZmen Sniffer Protocol) транслирует зеркало поверх L3-соединений с помощью UDP-слоя (UDP/37008). Это часть системы Packet Sniffer в RouterOS. Протокол довольно простой, и его работа сводится к тому, что он оборачивает исходный трафик в свои заголовки.
Заголовок TZSP при инкапсуляции
Наша лабораторная сеть будет трехуровневой, с пограничным маршрутизатором RouterOS. В качестве приемника зеркалируемого трафика у нас выступит машина на Debian. Цель для зеркалирования — трафик из клиентских подсетей 10.10.120.0/24 и 10.10.140.0/24 (VLAN 120 и VLAN 140 соответственно).
Основная концепция — зеркалировать трафик и передавать его через безопасный канал связи для последующей обработки и хранения.
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
Итак, СОРМ — это система технических средств для обеспечения функций оперативно‑разыскных мероприятий. СОРМ бывает трех видов:
- СОРМ-1. Предназначена для прослушки телефонных разговоров подозреваемых в том или ином преступлении. Регулируется приказом Минкомсвязи России от 19.11.2012 № 268.
- СОРМ-2. Используется для контроля содержимого в рамках интернет‑соединений, есть специальные устройства‑зеркала и ресиверы, куда поступает трафик, снятый как копия с клиентских сетей. Регулируется приказом Минкомсвязи России от 16.04.2014 № 83.
- СОРМ-3. Хранит в виде структуры баз данных информацию об абонентах телефонии, сети передачи данных, историю платежей и многое другое. Регулируется приказом Минкомсвязи России от 29.10.2018 № 573.
В этой работе я делаю акцент на СОРМ-2, так как именно ее применяют для контроля содержимого интернет‑соединений. Я расскажу о зеркалировании трафика и о том, как строится виртуальный канал связи, а затем с практической точки зрения продемонстрирую процесс работы СОРМ-2 с сохранением копии трафика из легитимной пользовательской сети.
На руках у меня нет никаких образцов СОРМ, и наше творение ни в коей мере не претендует на замену официальному оборудованию. Наша работа будет чисто экспериментальной, а цель — всего лишь поупражняться в настройке оборудования на занимательном примере.
warning
Статья имеет ознакомительный характер и предназначена для специалистов по информационной безопасности и системных администраторов. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Архитектура
Вот общая схема того, что нам предстоит сделать.
- ПУ (пульт управления) — приемник зеркалированного трафика, который отправляется из клиентской сети.
- Съемник — устройство, которое обеспечивает зеркалирование трафика. Им может быть девайс, напрямую подключенный к пограничному маршрутизатору, либо сам пограничный маршрутизатор, если он поддерживает SPAN-зеркалирование.
- Канал связи — виртуальный канал связи, внутри которого будет передаваться зеркало. О безопасности зеркалируемого трафика нужно позаботиться особо. Плохая практика, когда зеркало идет до ПУ и при этом данные абонентов не защищены.
На самом деле структура СОРМ-2 крайне проста: пограничный маршрутизатор генерирует копию легитимного трафика и отправляет его в сторону СОРМ. Затем СОРМ будет обрабатывать полученный трафик и перенаправлять его в сторону ПУ. Реализация СОРМ-2 в продакшене индивидуальна: есть случаи, где оборудование СОРМ помещают физически прямо в ЦОД, есть случаи, где нужно передать зеркало поверх интернета, однако стоит учитывать длину магистрали до приемника, чтобы избежать больших задержек.
Зеркало
Зеркалирование трафика — это процесс, при котором снимается копия трафика с того или иного интерфейса на пограничном маршрутизаторе. Для этого существуют специальные протоколы, самые популярные из них — ERSPAN и TZSP. Так как я воспользуюсь RouterOS, работать будем с поддерживаемым там TZSP. Он мало чем отличается от ERSPAN, разве что технологиями инкапсуляции: TZSP использует UDP, а в ERSPAN применяется GRE-инкапсуляция с Proto Type 0x88BE.
TZSP (TaZmen Sniffer Protocol) транслирует зеркало поверх L3-соединений с помощью UDP-слоя (UDP/37008). Это часть системы Packet Sniffer в RouterOS. Протокол довольно простой, и его работа сводится к тому, что он оборачивает исходный трафик в свои заголовки.
Заголовок TZSP при инкапсуляции
Экспериментальная сеть
Наша лабораторная сеть будет трехуровневой, с пограничным маршрутизатором RouterOS. В качестве приемника зеркалируемого трафика у нас выступит машина на Debian. Цель для зеркалирования — трафик из клиентских подсетей 10.10.120.0/24 и 10.10.140.0/24 (VLAN 120 и VLAN 140 соответственно).
Основная концепция — зеркалировать трафик и передавать его через безопасный канал связи для последующей обработки и хранения.
Виртуальный канал связи S2S
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 year
9990 рублей 4000 р.
[TD]
1 month_r
920 р.
[/TD]
Я уже участник «Xakep.ru»
