" del Troubleshooting; buffer" Configuración bajo contexto legal de la interceptación en StarOS

Introducción

Este documento describe cómo resolver problemas la configuración del “buffer” bajo contexto legal de la interceptación en StarOS.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de StarOS.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Abreviaturas

LI	Lawful Intercept
PASTO	Autoridad competente
AF	Función de acceso
MF	Función de la mediación
DF	Función de la salida
CF	Función de control
IRI	Información relacionada de la interceptación
CC	Contenido de la comunicación
CLI	Interfaz de la línea de comandos

El AF podía ser cualquier nodo de StarOS. El CF reside en las premisas o el dominio administrativo del PASTO.

Problema

A la hora de la configuración de la opción que mitiga bajo el módulo legal de la interceptación, se observa que el parámetro relacionado con el evento/contenido-basado mitigando la opción no estaba disponible en la lista de la configuración CLI.

Esta opción ayuda a definir el valor de búfer del valor por defecto 5000 expedientes IRI y 1000 expedientes del CC por el contexto de LI.

La única opción disponible en la lista de la configuración era “dest-addr”.

[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.

Idealmente, debe mostrar la palabra clave del “buffer” junto con la opción del “dest-addr” en la lista previamente mencionada de opciones.

Lawful Intercept

Nota: La interrupción permitida es una característica licencia-habilitada. La licencia básica de la interrupción permitida soporta el UDP mientras que un Transport Protocol para la interceptación del contenido de la llamada (CC) para los suscriptores activos. La interceptación del evento (IRI) y el TCP como Transport Protocol para la salida no se soportan bajo la licencia básica. La licencia aumentada de la interrupción permitida soporta todas las funciones básicas de la licencia de LI más la interceptación del evento (IRI) y el TCP como Transport Protocol para la salida de los paquetes interceptados.

Las funciones de la interrupción permitida proporcionan al operador de la red la capacidad para interceptar el control y los mensajes de datos de los usuarios ambulantes apuntados. Para invocar este soporte, el PASTO solicitará al operador de la red comenzar la interceptación de un usuario ambulante determinado. Esta petición será soportada por un orden judicial o una autorización. Hay diversos estándares seguidos para la interrupción permitida en los países diferentes.

Un proceso típico de la interrupción permitida incluye este la Secuencia de eventos:

1. El PASTO solicita el TSP para comenzar a interceptar una sesión de un individuo determinado, que se debe soportar generalmente por un orden judicial o una autorización. La información para identificar al individuo será proporcionada (por ejemplo el número de teléfono o el nombre/el direccionamiento etc).
2. El administrador del proveedor del Servicio de telecomunicación (TSP) configura la función de acceso TSP/la función de la salida para comenzar a interceptar los eventos del control/de los datos del suscriptor apuntado. Si la sesión del suscriptor está ya en curso, la interceptación ocurrirá inmediatamente. Si no, la función de acceso debe esperar hasta que la sesión del suscriptor conecte.
3. La función de acceso envía una copia de los eventos del control/de los datos para la sesión interceptada a la función de la salida.
4. La función de la salida envía la información interceptada a una o más funciones de la colección, que están en el dominio administrativo del PASTO. Una función de la colección analiza y salva la información interceptada.
5. Cuando las peticiones del PASTO de parar la interceptación, el administrador TSP configuran la función de acceso y la función de la salida para parar la interceptación para esa sesión determinada del suscriptor.

La interfaz de línea del comando A (CLI) sobre la sesión SSH es utilizada por el DF para el aprovisionamiento de LI y el de-aprovisionamiento de la identidad de la blanco, así como monitorear las estadísticas de LI.

Estos protocolos/modos (IPv4 y IPv6) se soportan en el StarOS para entregar los eventos y el contenido de LI al DF:

• Modo UDP (O.N.U-ACK): El direccionamiento de DF2 y de DF3 se proporciona a la hora del aprovisionamiento para el modo no reconocido UDP.
• Modo TCP: Para el modo TCP, la configuración proporciona a la dirección de peer solamente. Toda la salida interceptada del evento (IRI) se envía a DF2 y a toda la salida interceptada de los datos (CC) se envía a DF3.

Troubleshooting

La configuración de StarOS debe tener una licencia apropiada para esta característica.

[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

StarOS también debe tener “li-configuración segregada”.

Con esta característica, solamente el “li-administrador” podrá ver y editar los detalles de la integración de la interfaz de LI en un contexto dedicado del li.

El Usuario administrador de LI debe ser asociado a la li-administración en la configuración.

administrator liadmin encrypted password *** ftp li-administration

Pero aún, fue encontrado que StarOS no permitió definir la opción del “buffer” bajo el módulo de la configuración de la interrupción permitida.

[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword

Uno debe ver idealmente una opción con la palabra clave “buffer” para completar el CLI como esto para la configuración del buffer.

configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end

Resolución

Para conseguir las derechas li-admin para cualquier usuario de StarOS, ese usuario debe ser definido bajo contexto del li con los privilegios admin. Es el usuario li-admin que necesita iniciar sesión de un servidor externo (del PASTO) para habilitar esta opción del “buffer”. No se permitirá a ningún otro usuario administrador que intente iniciar sesión en el nodo bajo contexto local definir esta opción del “buffer”.

Aquí están los pasos para alcanzar el requisito en conseguir la opción del “buffer” en StarOS bajo el módulo de LI.

1. Login al nodo con el usuario del admin local.
2. Cree el contexto del li (pues no había contexto dedicado del li allí).
3. Cree al usuario del li con los privilegios li-admin en el contexto local.
4. Cree al usuario del li con los privilegios li-admin en el contexto del li.
<< quitamos el li-admin del contexto local para agregar el li dedicado que nos ayudará a habilitar la segregación el contexto del li del contexto local >>
5. Quite al usuario del li con el privilegio li-admin del contexto local.
6. Cree un contexto del dedicado-li para habilitar la configuración del li de la segregación.
7. Defina la lista de acceso bajo contexto del li.
8. Termine sesión del nodo.
9. Inicie sesión en el nodo otra vez con el usuario del “li” que tiene privilegios como li-admin.
10. Configure la opción del buffer se requiere que, él debe permitir que usted lo configure.

Configuración

[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end

[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit

[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end

Por ejemplo, después de que usted inicie sesión con el uso del usuario li-admin, usted puede ver todas las opciones que necesitamos:

<local-node><hostname>$ ssh li-admin@li@<local context IP of node>
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface

No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]<hostname># configure
Warning: One or more other administrators may be configuring this system
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.