ВЛИЯНИЕ СИСТЕМ ЗАКОННОГО ПЕРЕХВАТА НА ВРЕМЕННЫЕ ХАРАКТЕРИСТИКИ ТРАФИКА
Гольдштейн Борис Соломонович, DOI 10.24411/2072-8735-2018-10059
Санкт-Петербургский государственный университет
телекоммуникаций им. проф. М.А.Бонч-Бруевича,
Санкт-Петербург, Россия, [email protected]
Елагин Василий Сергеевич,
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича, Санкт-Петербург, Россия, [email protected]
Зарубин Антон Александрович,
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича, Санкт-Петербург, Россия, [email protected]
Ключевые слова: законный перехват, СОРМ, DPI, Deep Packet Inspection, QoS, качество обслуживания.
В условиях непрерывного роста объемов передаваемых данных государственные регуляторы, правоохранительные органы и операторы связи почти одновременно пришли к пониманию, что без новых эффективных инструментов управления сетью, а также контроля деятельности пользователей в сети, техническая реализация законного перехвата трафика (СОРМ) станет сложно выполнимой задачей. Их опасения по поводу теоретической нехватки сетевых ресурсов понятны: новая технология доступа может обеспечивать показатели пропускной способности на порядки большие, чем предыдущее поколение сетей, открывая путь для те-рабитных потоков абонентского трафика, включая голосовой. Параллельно ужесточились и правовые нормы, касающиеся Интернета. Вступивший в силу 139-ФЭ, внесший изменения в закон "О защите детей от информации, причиняющей вред их здоровью и развитию", выход в счет приказа Минкомсвязи от 16 апреля 2014 г. N 83 "Об утверждении правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий" подвел техническую платформу для реализации СОРМ на сетях оператора. Стало понятно, что текущие методы фильтрации на основании ^-адресов одноименного протокола не отвечают необходимым требованиям новых приказов. Анализ с сетевого, третьего уровня модели OSI ушел на прикладной, седьмой, в связи с этим появилась необходимость внедрения систем СОРМ с DPI-подобными алгоритмами, поэтому вопрос о целесообразности внедрения на свою сеть этой функциональной системы попросту отпал сам собой, государство подтолкнуло операторов к этому шагу. Анализа трафика на прикладном уровне вносит значительные влияния на временные характеристики трафика, что негативно сказывается на QoS (качестве обслуживания) на сети оператора, а также влияет на потери информации. Приводится исследование, которое постарается оценить критичность влияния систем законного перехвата на характеристики QoS при передаче трафика по сети оператора.
Информация об авторах:
Гольдштейн Борис Соломонович, д.т.н., заведующий кафедры Инфокоммуникационных систем, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича, Санкт-Петербург, Россия
Елагин Василий Сергеевич, к.т.н., доцент кафедры Инфокоммуникационных систем, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича, Санкт-Петербург, Россия
Зарубин Антон Александрович, к.т.н., доцент кафедры Инфокоммуникационных систем, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича, Санкт-Петербург, Россия
Для цитирования:
Гольдштейн Б.С., Елагин В.С., Зарубин А.А. Влияние систем законного перехвата на временные характеристики трафика // T-Comm: Телекоммуникации и транспорт. 2018. Том 12. №4. С. 10-16.
For citation:
Goldshtein B.S., Elagin V.S., Zarubin A.A. (2018). Imapct of lawfull interception systems on the traffic characteristics. T-Comm, vol. 12, no.4, pр. 10-16. (in Russian)
Системы законного перехвата и характеристики трафика
Законный перехват сообщений - процесс передачи информации соединения определенных пользователей телекоммуникационной сети правоохранительным органам (LBА - Law Enforcement Agency), Законный перехват является санкционированным действием и не дает пользователю возможности его определить. В зарубежной литературе термину законный перехват сообщений (LI - Lawful Interception) часто соответствуют «wiretapping» или «phone-tapping».
Работа систем законного перехвата связана с непосредственным подключением к оборудованию оператора связи.
В 2014 году приказом Минкомсвязи РФ № 83 были утверждены правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи дан-
ных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий.
Второй пункт приказа, как уже оговаривалось ранее, обязывает операторов сетей передачи данных до 31 марта 2015 года привести используемое и вводимое в эксплуатацию оборудование коммутации и маршрутизации пакетов информации в соответствие с техническими требованиями (правилами). Общая схема организации законного перехвата на сети оператора связи (СОРМ-2) приведена на рис. 1. Кроме этого, помимо правил необходима методика испытаний. Она была утверждена в мае 2015 года приказом Минкомсвязи РФ № 169. После выхода приказа в свет стало возможным сертифицировать оборудование (процедура может занимать до шести месяцев).
Данные о контролируемом сеансе связи
Данные о местоположении пользователей услуг свяли
Данные об абонента*
Данные об услугах
связи, предоставляемых абонентам сети
Содержание контролируемого сеанса свази
доставки результатов
оборудованию ОРМ
Данные об оконечном абонентском оборудовании, допущенном для использования в сети
Зона ответственности
оператора связи
Доставка результатов ОРМ по интерфейсу
в за имодейсши п оборудования ОРМ и оборудования ПУ
уполномочен пых органов
Зона ответственности уполномоченных органов
Рис. 1. Организация и функции законного перехвата (СОРМ-2)
Пакеты данных, поступающие на интерфейсы СОРМ должны отбираться со следующими параметрами:
- постоянный ip-адрес (Ipv4, IPv6);
- MAC-адрес;
- IMSI (международный идентификатор абонента);
- IMFI (международный идентификатор мобильного оборудования);
- MIN (мобильный идентификационный номер мобильной абонентской радиостанции);
- электронный почтовый адрес;
- имя учетной записи пользователя;
- идентификатор служб обмена сообщениями;
- идентификатор пользователя услуг;
- идентификатор абонентской телефонной линии;
- телефонный номер.
Очевидно, что для выполнения требований СОРМ необходимо производить анализ данных на нескольких уровнях модели OSI, со второго (канального) до 7 (прикладного).
В этой ситуации функциональность реализуется через DPI (Deep Packet Inspection) алгоритмы, которые и являются основным технологическим элементом при реализации комплекса мероприятий законного перехвата.
Поэтому важно оценить задержки на принятие системой законного перехвата решения о принадлежности пакета (сессии) контролируемому пользователю, через анализ выполнения этих действий системой DPI.
Схема подключения и анализ характеристик.
Структурно DPI в рамках законного перехвата включает в себя два модуля:
1) Управляющий сервер (УС), включающий в себя:
— DPI Engine;
— сервисные логики;
— модуль работы с платой.
2) Аппаратный фильтр (АФ) или плата DPI.
Управляющий сервер (УС) представляет собой многопоточное приложение, которое берет па себя функции взаимодействия с внешними системами по IP-сети, классификацию проходящего сквозь систему трафика, определение политик
7ТТ
обслуживания абонента, анализ на соответствие идентификаторам перехвата и др.
Плата DPI нужна для повышения производительности системы, путем снижения нагрузки на УС из-за опционального управления сессиями после прохождения ими классификации и применения разных стратегий обслуживания потоков. Так же берет на себя функции по балансировке трафика по очередям УС, детектированию новых сессий, индикацию о закрытии потока трафика, индикацию о событии в потоке, применение политик обслуживания, подсчет статистики.
На рисунке 2 изображена схема проведения эксперимента, включающая в себя генератор трафика и DPI систему в рамках законного перехвата.
Рис. 2. Функциональная схема проведения эксперимента
XENA - современная платформа, предназначенная для нагрузочного и функционального тестирования сетевых элементов или инфраструктуры на 4-7 уровнях модели OSI, способна самостоятельно генерировать и анализировать трафик. Поддерживает порты IGE, 1 (XIЕй 40GE.
Рис. 3. Общий алгоритм проведения исследования
На рисунке 3 отображен алгоритм проведения эксперимента общего вида, включающий в себя:
1) предварительную конфигурацию DPI под требуемый тест-кейс;
2) старт записи лог файла на интерфейсе между ЛФ и УС;
3) проигрывание XENA заранее подготовленного дампа под тест-кейс в требуемом количестве;
4) стоп записи дампа на интерфейсе между АФ и УС;
5) сохранение полученной информации;
6) последующую обработку и анализ полученных данных.
Модель обработки данных
В общем случае задержка на применение соответствующего правила потоку данных определяется следующей формулой:
Т— trtt ' tyc taifit
где tr„ - круговая задержка на передачу пакетов по Ethernet соединению между УС и ЛФ; tyc - задержка на принятие решения управляющим сервером, включающая доставку пакета с интерфейса до логики приложения и отправку интерфейсом команды в канал; 1аф - задержка на применение политики обслуживания аппаратным фильтром, включающая в себя считывание команды УС с интерфейса и ее обработку; tr„ можно вычислить по следующей формуле:
2/
К„ = —'
с
где / - длина оптоволоконного кабеля, стандартно не более 5м; с - скорость распространения электромагнитной волны равная 299 792 458 м/с.
Таким образом:
tm =-2 * 5м-« 3,3356 ■ 10"в м 0,3нс
299794458-с
Ввиду предположения, что DPI будет тратить на обработку данных гораздо больше времени, несопоставимого с временем передачи сигнала по оптоволокну (ожидаются значения от микросекунд до секунд), значением можно пренебречь.
Ввиду того, что АФ осуществляет обработку данных ап-паратно, скорость применения им политик на поток так же окажется существенно ниже скорости принятия решения УС, следовательно, значением 1аф так же можно пренебречь. Следовательно, искомую формулу можно упростить до вида:
Т= tyc
Значение tyc будет рассчитываться на основе анализа лог-файла трафика интерфейса АФ-УС по представленному на рис. 4 алгоритму.
Поскольку эксперимент предполагает получение большой выборки измеряемой величины (30 ООО < и < б ООО ООО), можно сделать предположение, что характер этой выборки будет близок к нормальному распределению. Для проверки этой гипотезы в рамках работы был использован критерий согласия Пирсона, отдельных расчетов результатов статистической обработки в статье не приводится.
Исследованию подверглись несколько популярных мес-сенджеров, стриминговое видео и самый распространенный па сегодняшний день протокол интернета IITTP.
7ТЛ
5 я
E S il
g*
1Ж» 1200
SO
i llOO * 1Q50 1CXKJ
III
■ tsvft
j aim loom i'M* шооп looona jsnoot] hnnotjcj юти} р-иенм а Ёпнйс*. ез
Рис, 6. Результаты серии экспериментов с HTTP пакетами в зависимости от конфигурации списка фильтрации IP-адресов
Отдельно проведены исследования задержки HTTP пакетов в зависимости от конфигурации логики HTTP-фильтрации (изменение числа URL-имен в списке фильтрации), подаваемая нагрузка равна 40 ООО сессий в секунду. Результаты представлены на гистограмме на рис. 6.
Можно заметить увеличение задержки при большом числе записей в списке фильтрации, что указывает на большую вычислительную сложность алгоритма поиска URL вхождений, в отличие от алгоритма, используемого в механизме 1Р-фильтрации.
1600 MOD 1200 !00О 300 : 600 4О0 200 0
Btrra*
■ lui m
M 1000 10000 Î5000 И MO 100000 250000 500 000 1000000
URL a соккке, (?Д
Рис. 7. Результаты серии экспериментов с HTTP в зависимости от конфигурации логики Н1ГР-фильтрации
В дальнейшем были отдельно проанализированы популярные сервисы на предмет их идентификации и принятия решения в системе DPI в рамках законного перехвата.
Результаты анализа задержки с WhaisappAudio в зависимости от количества новых потоков в секунду представлены на гистограмме на рис. 8. Полученные данные показывают, что при использовании UDP графика к данному интернет сервису задержка снижается, поскольку данный вид транспорта не контролирует состояние сети и приемника данных, что позволяет посылать трафик «как можно быстрее», это в свою очередь позволяет накопить больше информации о трафике, за меньшее время, что, в свою очередь, снижает задержку на принятие решения системой DPI.
350
а эоо g 3 »о I й гоо
Г S ;50
! I 100
I 50
о
■ lin.il V Iniin ш
=00 1 000 500С 13С-00 20030 «ООО еооос 100000 Новых сессия в ссК'Тл;. -\'1
Рис. 8. Результаты серии экспериментов с \\'1ш5аррЛисЛо в зависимости от подаваемой нагрузки
Результаты анализа задержки с УШегАшШ в зависимости от количества новых потоков в секунду представлены на гистограмме на рис. 9. Полученные данные оказались аналогичны эксперименту с \VhatsappAudio.
зм
I 300
и
S J'"
I 200
g g iso
i IDO
W чл
■
■ Imax
■ Imln «uve
Ш 500 1 000 5000 10000 20000 JOOOO iOOOO 100000
Homixcsccini в секупду, ед.
Рис. 9. Результаты серии экспериментов с ViberAudio в зависимости от подаваемой нагрузки
Отдельно стоит отметить результаты анализа задержки с ViberVideo в зависимости от числа новых потоков в секунду, которые представлены на гистограмме на рис. 10. Судя по полученным ранее результатам результатам, при работе с UDP трафиком DPI существенно сокращает время реагирования и принятия решения.
¿DO 350
эоо
2ЪО 200 ^ ISO
loa SO
□а soc moo soon m поп zoaoo лстоо яппоо юипоо
Новш if i секунду. -Д
Рис. 10. Результаты серии экспериментов с ViberVideo в зависимости от подаваемой нагрузки
Результаты анализа задержки с сервиса Vont u be в зависимости от количества новых потоков в секунду представлены на гистограмме на рис. II. Значительное увеличение задержки на принятие решения, связано с использование сервисом Youtube протокола TCP на отдельных этапах установления сеанса связи, хотя Youtube использует CDN Googlelnc., что позволяет располагать контент ближе к пользователю, снижая тем самым RTT (round-trip time - круговая задержка) наличие TCP процедур все равно приводит к сравнительно большому времени принятия решения.
3 'JUU Ц -
g
11 nu 1
a 700
i '—л
IL il i 11 I VC1WB
500 1000 5 000 ID ООО 20 000 10 ООО SO ООО 100000
Новых сессий в секутау, ед
Рис. 11. Результаты серии экспериментов с Youtube в зависимости от подаваемой нагрузки
Результаты анализа задержки с TelegramAudio в зависимости от количества новых потоков в секунду представлены на гистограмме на рис. 12.
Можно отметить незначительное уменьшение времени реагирования в сравнении с трафиком Whatsapp и Viber, что говорить о том, что классификация аудио-потока Telegram либо требует меньшей последовательности соответствующего графика, либо использует более быстрый алгоритм для приятия решения.
Полученные данные указывают, что DPI система принимает решение об идентификации сервиса и его параметров за время, которое при больших нагрузках может оказывать влияние на QoS характеристики трафика, вплоть до потерь пакетов. Критичной для DPI становится нагрузка на один управляющий сервер в размере около 75 ООО новых сессий в секунду, характерных для трафика объемом в 7-8 Gbit/s, что может решаться горизонтальным масштабированием системы, кластеризацией, оказывающейся более дешевой в сравнении с увеличением производительности управляющего сервера.
Очевидна зависимость задержки от типа используемого транспортного протокола. Анализ сервисов на базе UDP протокола показал меньшую задержку lia принятие решений по ним.
Для TCP видна прямая зависимость влияния круговой задержки Fia время принятия решения, что объясняется механизмами скользящего окна, «медленного старта» и задержкой на установление ТСР-сессии.
Дополнительно стоить упомянуть тот факт, что скорость принятие решения напрямую зависит от характера трафика.
Таким образом, можно прийти к выводу, что задержка на принятие решения зависит в основном от количества задействованных сервисных логик, участвующих в обработке событий классификации, принимающих решение, и их конфигурации, в то время как увеличение нагрузки даже на порядок не влечет за собой существенную деградацию скорости реагирования DPI,
Выявлена характеристика производительности DPI: максимальное количество новых IP-сессий пользовательского трафика, поступающего на устройство, не зависящая от структуры обрабатываемого трафика. Так при увеличении объемов сессий логики DPI не успевали обрабатывать трафик, что вызывало переполнение очереди, что впоследствии приводило к отказам в обслуживании и потерям пакетов. Для TCP трафика это чревато переспросами и увеличением RTT (круговой задержки) на пути следования, для UDP-частичной потерей информации.
На данный момент спрогнозировать количественные потери разных потоков не представляется возможным ввиду невозможности прогнозирования поведения абонентов, поэтому не рекомендуется использовать систему на сетях с большой пропускной способностью без кластеризации с последующим разделением нагрузки.
Синтетические тесты могут показывать завышенную, либо заниженную производительность, поскольку задержка на принятие решения для разных типов трафика может отличаться, а, следовательно, время их обработки (нахождения в очереди) может так же варьироваться.
Таким образом, задержку пакетов при принятии управляющим сервером решения можно представить как сложную функцию, зависящую от нескольких переменных:
л ■ к
I ^.(RTT, ^ SLogiCj, У SLogicConfig;, DPIArch, У" Load, ) >
i I i
где S Logic i - сервисная логика в рамках DPI; SLogicConfig,■ -конфигурация сервисной логики в DPi; DPIArch - архитектура DPI; Loadi — суммарная нагрузка различных типов графика, подаваемая на DPI, измеряемая в новых сессиях в секунду.
В связи с этим для повышения производительности DPI в рамках систем законного перехвата, а соответственно уменьшения времени принятия решения необходимо:
- уменьшить RTT на пути следования TCP трафика;
- адаптировать алгоритмы, используемые в работе сервисных логик под конкретные типы сервисов;
- изменить структуру DP3 таким образом, чтобы сервисные логики обрабатывали события классификации и идентификации асинхронно;
- увеличить количество обрабатывающих потоков и размеры их очередей.
Представленный анализ отражает насколько эффективность и скрытность работы систем законного перехвата зависимы не только от инфраструктуры оператора связи, но и от технологий доступа и типов пользовательских сервисов, что указывает на дополнительные факторы, которые стоит учитывать при установке и конфигурировании систем DPI.
Литература
1. Елагин B.C. СОР M в сетях пост-NGN. Модели и технологии // Вестник связи, №6, 2015. С. 47-49.
2. Елагин ВС. Подходы к моделированию систем законного перехвата трафика в SDN / V международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфо-телекомму ниШШЙ в науке и образовании»: сб. науч. ст. / под. ред. C.B. Бачевского. СПб.: СПБГУТ, 2016. С. 353-358.
3. Приказ M инком связи России № 83 от 16.04.2014 «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий. Часть 111. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий».
4. Рекомендация МСЭ-t у. 1291 (05/2004) Архитектура, доступ, возможности сетей и административное управление ресурсами архитектурная модель для поддержки качества услуги в сетях с пакетной передачей. 2004. 30 с.
5. Гачьдштейн Б.С., Крюков Ю.А., Хеши И.П., Шпяпоберский В.Э. Интерфейсы СОРМ. Справочник. Серия «Телекоммуникационные протоколы». СПб.: BHV, 2006. 157 с,
6. Гольдштейн Б.С.. Елагин B.C., Крюков Ю.. Семенов Ю.Н. Новая парадигма законного перехвата сообщений в NGN/1MS // Вестник связи, №4, 2010. С. 32-36.
Заключение
7ТТ
COMMUNICATIONS
IMAPCT OF LAWFULL INTERCEPTION SYSTEMS ON THE TRAFFIC CHARACTERISTICS
Boris S. Goldshtein, SPbSUT, St. Petersburg, Russia, [email protected] Vasiliy S. Elagin, SPbSUT, St. Petersburg, Russia, [email protected] Anton A. Zarubin, SPbSUT, St. Petersburg, Russia, [email protected]
Abstract
In the context of the continuous growth in the volume of transmitted data, state regulators, law enforcement agencies and Telecom operators almost simultaneously came to the understanding that without new effective network management tools, as well as user activity monitoring in the network, the technical implementation of legal traffic interception (SORM) will become a difficult task. Their concerns about the theoretical lack of network resources are clear: the new access technology can deliver throughput rates that are orders of magnitude larger than the previous generation of networks, opening the way for terabit traffic flows, including voice traffic. At the same time, legal norms related to the Internet have also been tightened. In effect 139- Federal law amending the law "On the protection of children from information harmful to their health and development", the output count of the order of the Ministry of communications of 16 April 2014 N 83 "On approval of rules of application of equipment of switching systems, including software, providing fulfilling of set actions during carrying out quickly-search actions," summed up the technical platform for the implementation of SORM on the operator networks
It became clear that the current methods of filtering based on IP addresses of the same name Protocol do not meet the necessary requirements of the new orders. Analysis from the network, the third level of the OSI model went to the applied, seventh, in this connection there was a need for the introduction of SORM systems with DPI-like algorithms, so the question of the feasibility of implementing this functional system to your network simply disappeared by itself, the state pushed operators to this step. Traffic analysis at the application level makes a significant impact on the time characteristics of the traffic, which negatively affects the QoS (quality of service) on the operator's network, and also affects the loss of information. This article presents a study that will try to assess the criticality of the impact of legitimate interception systems on the characteristics of QoS in the transmission of traffic over the operator's network.
Keywords: LI, lawful interception, DPI, deep packet inspection, RTT, time characteristic. References
1. Elagin V.S. (2015). SORM in the post-NGN networks. Models and technologies. Vestnik Svyazi. No. 6, pp. 47-49. (in Russian)
2. Elagin V.S. (2016). Approaches to modeling of systems of legal interception of traffic in the SDN. V international conference on advanced infotelecommunication (ICAIT 2016). SPb.: The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, pp. 353-358. (in Russian)
3. The order of the Ministry of communications of the Russian Federation No. 83 dated 16.04.2014 "On approval of Rules of application of equipment of switching systems, including software, providing fulfilling of set actions during carrying out of operatively-search actions. part III. Rules for the use of equipment switching and routing of packet data networks, including software, providing fulfilling of set actions during carrying out of operatively-search actions". (in Russian)
4. ITU-T recommendation Y. 1291 (05/2004) Architecture, access, network capabilities and resource management architectural model to support quality of service in packet networks. May 2004. 30 p.
5. Goldstein B.S., Kryukov Y.A., Khegai I.P., Schlapobersky V.E. (2006). The interfaces themselves. Handbook. A series of"Telecommunication protocols". SPb.: BHV. 157 p. (in Russian)
6. Goldstein B.S., Elagin V.S., Kryukov Yu., Semenov Yu.N. (2010). A new paradigm of legitimate message interception in NGN/IMS. Vestnik svyazi. No.4, 2010, pp. 32-36. (in Russian)
Information about authors:
Boris S. Goldshtein, PhD, professor, SPbSUT, St. Petersburg, Russia, Vasiliy S. Elagin, PhD, associate professor, SPbSUT, St. Petersburg, Russia, Anton A Zarubin, PhD, associate professor, SPbSUT, St. Petersburg, Russia,
T-Comm Tом 12. #4-2018