Pesquise defeitos o " buffer" Configuração sob o contexto legal da intercepção em StarOS

Introdução

Este documento descreve como pesquisar defeitos a configuração do “buffer” sob o contexto legal da intercepção em StarOS.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento de StarOS.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Abreviaturas

LI	Lawful Intercept
PASTO	Agência de execução de lei
AF	Função de acesso
MF	Função da mediação
DF	Função da entrega
CF	Função de controle
IRI	Informação relacionada da intercepção
CC	Índice de uma comunicação
CLI	Interface da linha de comando

O AF podia ser todo o nó de StarOS. O CF reside em locais ou em campo administrativo do PASTO.

Problema

Na altura da configuração da opção da proteção sob o módulo legal da intercepção, observa-se que o parâmetro relativo ao evento/opção de proteção índice-baseada não estava disponível na lista da configuração de CLI.

Esta opção ajuda a definir o valor de buffer do padrão 5000 registros IRI e 1000 registros CC pelo contexto de LI.

A única opção disponível na lista da configuração era “dest-ADDR”.

[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.

Idealmente, deve mostrar a palavra-chave do “buffer” junto com a opção do “dest-ADDR” na lista previamente mencionada de opções.

Lawful Intercept

Nota: O interceptação legal é uma característica licença-permitida. A licença básica do interceptação legal apoia o UDP enquanto um protocolo de transporte para a intercepção do índice do atendimento (CC) para assinantes ativo. A intercepção do evento (IRI) e o TCP como um protocolo de transporte para a entrega não são apoiados sob a licença básica. A licença aumentada do interceptação legal apoia toda a funcionalidade básica da licença de LI mais a intercepção do evento (IRI) e TCP como um protocolo de transporte para a entrega de pacotes interceptados.

A funcionalidade do interceptação legal fornece o operador de rede a capacidade a fim interceptar o controle e os mensagens de dados dos usuários móvéis visados. A fim invocar este apoio, o PASTO pedirá o operador de rede começar a intercepção de um usuário móvel particular. Este pedido será apoiado por um ordem do tribunal ou por uma autorização. Há uns padrões diferentes seguidos para o interceptação legal em países diferentes.

Um processo típico do interceptação legal inclui este a sequência de evento:

1. O PASTO pede o TSP para começar interceptar uma sessão de um indivíduo particular, que geralmente deva ser apoiado por um ordem do tribunal ou por uma autorização. A informação para identificar o indivíduo será fornecida (como o número de telefone ou o nome/endereço etc.).
2. O administrador do fornecedor de serviço de telecomunicações (TSP) configura a função de acesso TSP/função da entrega para começar interceptar eventos do controle/dados do subscritor visado. Se a sessão do subscritor é já em andamento, a intercepção ocorrerá imediatamente. Se não, a função de acesso deve esperar até que a sessão do subscritor conecte.
3. A função de acesso envia uma cópia dos eventos do controle/dados para a sessão interceptada à função da entrega.
4. A função da entrega envia a informação interceptada a umas ou várias funções da coleção, que estão no campo administrativo do pasto. Uma função da coleção analisa e armazena a informação interceptada.
5. Quando os pedidos do PASTO parar a intercepção, o administrador TSP configurarem a função de acesso e a função da entrega para parar a intercepção para essa sessão particular do subscritor.

A interface de linha do comando A (CLI) sobre a sessão SSH é usada pelo DF para o abastecimento de LI e o de-abastecimento da identidade do alvo, assim como para monitorar as estatísticas de LI.

Estes protocolos/modos (IPv4 e IPv6) são apoiados no StarOS para entregar eventos e índice de LI ao DF:

• Modo UDP (Un-ACK): O endereço de DF2 e de DF3 é fornecido na altura do abastecimento para o modo desconhecido UDP.
• Modo TCP: Para o modo TCP, a configuração fornece o endereço de peer somente. Toda a entrega interceptada do evento (IRI) é enviada a DF2 e a toda a entrega interceptada dos dados (CC) é enviada a DF3.

Troubleshooting

A configuração de StarOS deve ter uma licença apropriada para esta característica.

[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

StarOS igualmente deve ter “a li-configuração segregada”.

Com esta característica, somente o “li-administrador” poderá ver e editar os detalhes da integração da relação de LI em um contexto dedicado do li.

O usuário admin de LI deve ser traçado à li-administração na configuração.

administrator liadmin encrypted password *** ftp li-administration

Mas ainda, encontrou-se que StarOS não reservou definir a opção do “buffer” sob o módulo da configuração do interceptação legal.

[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword

Idealmente um deve ver uma opção com palavra-chave “buffer” para terminar o CLI como este para a configuração do buffer.

configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end

Resolução

A fim obter os direitos li-admin para todo o usuário de StarOS, esse usuário deve ser definido sob o contexto do li com privilégios admin. É o usuário li-admin que precisa de entrar de um servidor interno (do PASTO) a fim permitir esta opção do “buffer”. Não será permitido a nenhum outro usuário do administrador que tentar entrar no nó sob o contexto local definir esta opção do “buffer”.

Estão aqui as etapas a fim conseguir a exigência em obter a opção do “buffer” em StarOS sob o módulo de LI.

1. Início de uma sessão ao nó com usuário do admin local.
2. Crie o contexto do li (porque não havia nenhum contexto dedicado do li lá).
3. Crie o usuário do li com os privilégios li-admin no contexto local.
4. Crie o usuário do li com os privilégios li-admin no contexto do li.
<< nós removemos o li-admin do contexto local para adicionar o li dedicado que nos ajudará a permitir o segregate o contexto do li do contexto local >>
5. Remova o usuário do li com o privilégio li-admin do contexto local.
6. Crie um contexto do dedicado-li a fim permitir a configuração do li do segregate.
7. Defina a lista de acesso sob o contexto do li.
8. Logout do nó.
9. Entre no nó outra vez com o usuário do “li” que tem privilégios como o li-admin.
10. Configurar a opção do buffer que é exigida, ele deve permitir que você configurar-lo.

Configuração

[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end

[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit

[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end

Por exemplo, depois que você entra com o uso do usuário li-admin, você pode ver todas as opções que nós precisamos:

<local-node><hostname>$ ssh li-admin@li@<local context IP of node>
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface

No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]<hostname># configure
Warning: One or more other administrators may be configuring this system
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.