Solucionar problemas de configuração de "buffer" sob contexto de interceptação legal no StarOS

Opções de download

  • PDF     (321.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (78.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de agosto de 2019
ID do documento:214790

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como resolver problemas da configuração de "buffer" no contexto de interceptação legal no StarOS.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento do StarOS.

    Componentes Utilizados

    Este documento não se restringe a versões de software e hardware específicas.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Abreviaturas

    LI Lawful Intercept
    LEA Agência de aplicação da lei
    AF Função de acesso
    MF Função de Mediação
    DF Função de Entrega
    CF Função de controle
    IRI Interceptar informações relacionadas
    CC Conteúdo da comunicação
    CLI Interface da linha de comando


    AF pode ser qualquer nó StarOS. O CF reside nas instalações do LEA ou no domínio administrativo.

    Problema

    No momento da configuração da opção de armazenamento em buffer no módulo de interceptação legal, observa-se que o parâmetro relacionado à opção de armazenamento em buffer baseado em evento/conteúdo não estava disponível na lista de configuração da CLI.


    Esta opção ajuda a definir o valor de buffer dos registros padrão IRI 5000 e dos registros CC 1000 por contexto LI.

    A única opção disponível na lista de configuração era "dest-addr".


    [li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
    dest-addr - Destination IP address where the intercepted information needs to be forwarded.


    Idealmente, ele deve mostrar a palavra-chave "buffer" junto com a opção "dest-addr" na lista de opções mencionada anteriormente.

    Lawful Intercept

    Note: O Lawful Intercept é um recurso habilitado por licença. A licença de interceptação legal básica oferece suporte ao UDP como um protocolo de transporte para interceptação de conteúdo de chamada (CC) para assinantes ativos. A interceptação de eventos (IRI) e o TCP como um protocolo de transporte para entrega não são suportados sob a licença Básica. A licença Enhanced Lawful Intercept oferece suporte a toda a funcionalidade da licença Basic LI, além de Interceptação de evento (IRI) e TCP como um protocolo de transporte para a entrega de pacotes interceptados.

    A funcionalidade Interceptação Legal fornece ao operador de rede a capacidade de interceptar mensagens de controle e dados dos usuários móveis alvo. Para invocar esse suporte, o LEA solicitará que o operador de rede inicie a interceptação de um usuário móvel específico. Este pedido será apoiado por uma ordem judicial ou mandado. Existem diferentes padrões seguidos para Interceptação Legal em diferentes países.

    Um processo típico de Interceptação Legal inclui esta sequência de eventos:

    1. O LEA solicita ao TSP que inicie a intercepção de uma sessão de uma determinada pessoa, que normalmente deve ser apoiada por uma decisão judicial ou mandado. Serão fornecidas informações para identificar a pessoa (como número de telefone ou nome/endereço, etc.).
    2. O administrador do TSP (Provedor de Serviços de Telecomunicações) configura a Função de Acesso/Função de Entrega do TSP para iniciar a interceptação de eventos de Controle/Dados do assinante alvo. Se a Sessão do Assinante já estiver em andamento, a interceptação ocorrerá imediatamente. Caso contrário, a Função de Acesso deverá aguardar até que a Sessão do Assinante estabeleça conexão.
    3. A Função de Acesso envia uma cópia dos eventos de Controle/Dados da sessão interceptada para a Função de Entrega.
    4. A função de entrega envia as informações interceptadas para uma ou mais funções de coleta, que estão no domínio administrativo do LEA. Uma função de coleta analisa e armazena as informações interceptadas.
    5. Quando o LEA solicita que a interceptação seja interrompida, o administrador do TSP configura a função de acesso e a função de entrega para interromper a interceptação dessa sessão de assinante específica.

    Uma interface de linha de comando (CLI) sobre uma sessão SSH é usada pelo DF para provisionamento LI e desprovisionamento da identidade de destino, bem como para monitorar as estatísticas LI.


    Estes protocolos/modos (IPv4 e IPv6) são suportados no StarOS para fornecer eventos LI e conteúdo ao DF:

    · Modo UDP (sem rack): O endereço de DF2 e DF3 é fornecido no momento do provisionamento para o modo UDP sem confirmação.
    · Modo TCP: Para o Modo TCP, a configuração fornece apenas o endereço de peer. Toda entrega de evento interceptada (IRI) é enviada para o DF2 e toda a entrega de dados interceptados (CC) é enviada para o DF3.

    Troubleshoot

    A configuração do StarOS deve ter uma licença apropriada para este recurso.

    [local]<hostname># show license information | grep -i lawful
    Monday December 10 01:54:13 UTC 2018
    Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
    + Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
    Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
    Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

    O StarOS também deve ter "configuração de li segregada".

    Com esse recurso, somente o "li-administrator" poderá exibir e editar os detalhes da integração da interface LI em um contexto li dedicado.

    O usuário admin de LI deve ser mapeado para a administração de li na configuração.

    administrator liadmin encrypted password *** ftp li-administration

    Ainda assim, descobriu-se que o StarOS não permitia definir a opção "buffer" no módulo de configuração de interceptação legal.

    [local]<hostname># context li
    [li]<hostname># config
    [li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
    dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

    [li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
    Unknown command - "buff", unrecognized keyword

    Idealmente, deve-se ver uma opção com a palavra-chave "buffer" para completar a CLI assim para a configuração de buffer.

    configure
    context
    lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
    end

    Resolução

    Para obter os direitos li-admin para qualquer usuário do StarOS, esse usuário deve ser definido no contexto li com privilégios de administrador. É o usuário li-admin que precisa fazer login de um servidor externo (de LEA) para habilitar essa opção de "buffer". Qualquer outro usuário administrador que tente fazer login no nó no contexto local não terá permissão para definir essa opção de "buffer".

    Aqui estão as etapas para atingir o requisito de obter a opção "buffer" no StarOS no módulo LI.

    1. Faça login no nó com o usuário admin local.
    2. Crie um contexto li (pois não havia contexto li dedicado).
    3. Crie um usuário li com privilégios li-admin no contexto local.
    4. Crie usuário li com privilégios li-admin no contexto li.
    << removemos li-admin do contexto local para adicionar li dedicado que nos ajudará a segregar o contexto li do contexto local >>
    5. Remova o usuário li com o privilégio li-admin do contexto local.
    6. Crie um contexto dedicated-li para ativar a configuração segregate li.
    7. Defina access-list no contexto li.
    8. Logoff do nó.
    9. Faça login no nó novamente com o usuário "li" que tem privilégios como li-admin.
    10. Configure a opção de buffer que é necessária, ela deve permitir que você a configure.

    Configuração

    [local]<hostname>(config)# context local
    [local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
    [local]<hostname>(config-ctx)# end

    [local]<hostname>(config)# context li
    [li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

    < we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

    [local]<hostname>(config-ctx)# no administrator li-admin
    [local]<hostname>(config-ctx)# exit

    [local]<hostname>(config)# dedicated-li context li
    Warning: Creating a dedicated LI context is a permanent configuration setting
    Info: Context li is dedicated to Lawful-Intercept configuration
    Info: Undefined ACLs will be set to deny-all within this context
    [li]<hostname>(config-ctx)#
    [li]<hostname>(config-ctx)# access-list undefined permit-all
    [li]<hostname>(config-ctx)# end


    Por exemplo, depois de fazer login com o uso do usuário li-admin, você pode ver todas as opções que precisamos:


    <local-node><hostname>$ ssh li-admin@li@
     
     
    Cisco Systems QvPC-SI Intelligent Mobile Gateway
    li-admin@li@aa.bb.cc.dd's password:
    Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
    Cisco Systems QvPC-SI
    Lawful Intercept Interface

    No entry for terminal type "xterm-256color";
    using dumb terminal settings.
    [li] 
      # configure
    Warning: One or more other administrators may be configuring this system
    [li]
     
     
       (config-ctx)# lawful-intercept tcp event-delivery 
     
    buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
    dest-addr - Destination IP address where the intercepted information needs to be forwarded.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    26-Aug-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Kumar Vihol
      Engenheiro do Cisco TAC
    • Naveen Sampath
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos