Solucionar problemas do "buffer" Configuração em contexto de intercepção legal no StarOS

Introduction

Este documento descreve como solucionar problemas da configuração do "buffer" no contexto de interceptação legal no StarOS.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento do StarOS.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Abreviaturas

LI	Lawful Intercept
LEA	Agência de Aplicação da Lei
AF	Função de acesso
MF	Função de Mediação
DF	Função de entrega
CF	Função de controle
IRI	Interceptar informações relacionadas
CC	Conteúdo da comunicação
CLI	Interface da linha de comando

AF pode ser qualquer nó StarOS. O CF reside nas instalações do LEA ou no domínio administrativo.

Problema

No momento da configuração da opção de buffer no módulo de interceptação legal, observa-se que o parâmetro relacionado à opção de buffering baseado em evento/conteúdo não estava disponível na lista de configuração da CLI.

Essa opção ajuda a definir o valor de buffer de 5000 registros IRI padrão e 1000 registros CC por contexto de LI.

A única opção disponível na lista de configuração era "dest-addr".

[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.

Idealmente, ele deve mostrar a palavra-chave "buffer" junto com a opção "dest-addr" na lista de opções mencionada anteriormente.

Lawful Intercept

Note: A interceptação legal é um recurso habilitado para licença. A licença Basic Lawful Intercept suporta UDP como protocolo de transporte para interceptação de conteúdo de chamada (CC) para assinantes ativos. A interceptação de evento (IRI) e o TCP como protocolo de transporte para entrega não são suportados sob a licença Básica. A licença Enhanced Lawful Intercept suporta todas as funcionalidades de licença de LI básica mais Interception de Evento (IRI) e TCP como um protocolo de transporte para a entrega de pacotes interceptados.

A funcionalidade Interceptação Legal fornece ao operador de rede a capacidade de interceptar mensagens de controle e dados dos usuários móveis alvo. Para invocar esse suporte, o LEA solicitará que o operador da rede inicie a interceptação de um usuário móvel específico. Este pedido será apoiado por uma ordem ou mandado judicial. Existem diferentes padrões seguidos para o "Lawful Intercept" em diferentes países.

Um típico processo de Interceptação Legal inclui esta sequência de eventos:

1. O LEA solicita que o TSP comece a interceptar uma sessão de um indivíduo específico, que geralmente deve ser apoiada por um mandado ou despacho judicial. Serão fornecidas informações para identificar o indivíduo (por exemplo, número de telefone ou nome/endereço, etc.).
2. O administrador do Provedor de Serviços de Telecomunicações (TSP) configura a Função de Acesso/Entrega do TSP para iniciar a interceptação de eventos de Controle/Dados do assinante em questão. Se a sessão do assinante já estiver em andamento, a interceptação ocorrerá imediatamente. Caso contrário, a função de acesso deve aguardar até que a sessão do assinante se conecte.
3. A função de acesso envia uma cópia dos eventos de controle/dados da sessão interceptada para a função de entrega.
4. A função de entrega envia as informações interceptadas para uma ou mais funções de coleta, que estão no domínio administrativo do LEA. Uma função de coleta analisa e armazena as informações interceptadas.
5. Quando o LEA solicita para interromper a interceptação, o administrador do TSP configura a Função de Acesso e a Função de Entrega para interromper a interceptação dessa sessão de assinante específica.

Uma CLI (Command Line Interface, interface de linha de comando) sobre a sessão SSH é usada pelo DF para provisionamento e desprovisionamento de LI da identidade de destino, bem como para monitorar as estatísticas de LI.

Esses protocolos/modos (IPv4 e IPv6) são suportados no StarOS para fornecer eventos e conteúdo de LI ao DF:

Modo UDP (não-ack): O endereço de DF2 e DF3 é fornecido no momento do provisionamento para o modo UDP não confirmado.
Modo TCP: Para o modo TCP, a configuração fornece somente o endereço do peer. Toda entrega de evento interceptado (IRI) é enviada para DF2 e toda a entrega de dados interceptados (CC) é enviada para DF3.

Troubleshoot

A configuração do StarOS deve ter uma licença adequada para este recurso.

[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

O StarOS também deve ter "li-configuração segregada".

Com esse recurso, somente o "li-administrator" poderá visualizar e editar os detalhes de integração da interface LI em um contexto de li dedicado.

O usuário administrador de LI deve ser mapeado para a administração em linha na configuração.

administrator liadmin encrypted password *** ftp li-administration

Ainda assim, descobriu-se que o StarOS não permitia definir a opção de "buffer" no módulo de configuração de interceptação legal.

[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword

Idealmente, deve-se ver uma opção com a palavra-chave "buffer" para completar a CLI assim para a configuração do buffer.

configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end

Resolução

Para obter os direitos de li-admin para qualquer usuário do StarOS, esse usuário deve ser definido em contexto li com privilégios de administrador. É o usuário do li-admin que precisa fazer login de um servidor externo (LEA) para habilitar essa opção de "buffer". Qualquer outro usuário administrador que tentar fazer login no nó no contexto local não poderá definir essa opção de "buffer".

Aqui estão as etapas para cumprir o requisito de obter a opção de "buffer" no StarOS no módulo LI.

1. Faça login no nó com o usuário administrador local.
2. Crie um contexto li (pois não havia um contexto li dedicado lá).
3. Crie um usuário li com privilégios li-admin no contexto local.
4. Crie um usuário li com privilégios li-admin no contexto li.
<< removemos li-admin do contexto local para adicionar li dedicada que nos ajudará a permitir a segregação do contexto li do contexto local >>
5. Remova o usuário li com o privilégio li-admin do contexto local.
6. Crie um contexto dedicado-li para ativar a configuração de li segregada.
7. Defina access-list em li context.
8. Fazer logoff do nó.
9. Faça login no nó novamente com o usuário "li" que tem privilégios como li-admin.
10. Configure a opção de buffer que é necessária, ela deve permitir que você a configure.

Configuração

[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end

[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit

[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end

Por exemplo, depois de fazer login com o usuário do li-admin, você pode ver todas as opções necessárias:

<local-node><hostname>$ ssh li-admin@li@
     
     
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface

No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li] 
      # configure
Warning: One or more other administrators may be configuring this system
[li]
     
     
       (config-ctx)# lawful-intercept tcp event-delivery 
     
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.