По поводу горячих новостей типа такой:
"МОСКВА, 21 окт — РИА Новости. Федеральная служба безопасности (ФСБ) России хочет максимально контролировать информацию в интернете, однако некоторые пункты подготовленного Минкомсвязью проекта приказа противоречат Конституции, пишет в понедельник газета «Коммерсант» со ссылкой на письмо «Вымпелкома», которое оказалось в распоряжении издания."
Под катом немного подробностей из текста самого приказа
Документ взят по ссылке:
Жирным текстом выделены интересные особенности, подробности и то, что заставляет задуматься.
4.4. Обработку всех
пакетов данных, поступающих на интерфейсы подключения технических средств ОРМ к сети
передачи данных, с целью записи в
кольцевой буфер, отбора и передачи
на ПУ
информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи,
в процессе установления соединений и (или) передачи сообщений электросвязи, в
соответствии с заданными с ПУ следующими параметрами контроля:
а) постоянный IP-адрес (IPv.4;
IPv.6);
б) IP-адреса, определяемые по маске;
в) имя учетной записи пользователя, используемое для
идентификации пользователя услуг связи при доступе к сети передачи данных и телематическим услугам связи, в том числе с
использованием служебных символов «*» и «?», где «*» – обозначает произвольную
последовательность символов, а «?» – обозначает один произвольный символ;
г) электронный почтовый адрес для всех почтовых сервисов с применением
протоколов SMTP, POP3, IMAP4, не использующих средства защиты информации,
включая криптографические;
д) электронный почтовый адрес сервисов Web-mail указанных в приложении № 3 к Правилам, не
использующих средства защиты информации, включая криптографические;
е) телефонный номер пользователя (вызываемого и/или
вызывающего);
ж) идентификатор абонентской телефонной линии, используемый
для идентификации пользователя услуг связи при доступе к сети передачи данных и телематическим услугам связи;
з) идентификатор вызываемого и вызывающего пользователя услуг связи по передаче данных для целей
передачи голосовой информации;
и) международный идентификатор абонента сети
подвижной связи (IMSI);
к) международный идентификатор мобильного оборудования
(IMEI);
л) уникальный
идентификатор оборудования сетей
передачи данных (MAC-адрес);
м) идентификатор служб обмена сообщениями, указанных в приложении № 3 к Правилам;
н) мобильный
идентификационный номер мобильной абонентской радиостанции (MIN).
4.5. Передачу на ПУ идентификатора пользователя,
используемого для идентификации пользователя услуг связи при доступе к
сети передачи данных и телематическим услугам связи для
информации, отобранной согласно
подпунктам «а», «б», «г», «д», «з», «м» пункта 4.4.
4.7. Удаление всех
параметров контроля и отобранной информации при сбоях технических средств ОРМ,
при пропадании электропитания и перезапуске технических средств ОРМ с ПУ.
4.9. Возможность
хранения отобранной информации объемом не менее2 Гбайт в энергозависимой памяти,
предназначенной для выравнивания нагрузки в канале связи с ПУ.
4.10. Запись и остановку записи по команде с ПУ всех пакетов
данных, поступающих на интерфейсы подключения к
сети передачи данных, на внутреннее
устройство записи в режиме кольцевого буфера размером, обеспечивающим хранение данных за период не менее 12-ти
часов.
Перечень интерфейсов, используемых для доступа технических средств ОРМ
к передаваемой в сети передачи данных информации
1. Интерфейсы с
использованием контроля несущей и обнаружением коллизий:
оптические интерфейсы 10GBASE-S;
оптические интерфейсы 10GBASE-L;
оптические интерфейсы 10GBASE-E;
оптические интерфейсы 10GBASE-LX4;
электрические интерфейсы 10GBASE-CX4;
оптические интерфейсы 1000 BASE-X;
электрический интерфейс GBE;
оптические интерфейсы 100BASE-X;
электрические интерфейсы 100BASE-T;
оптические интерфейсы 10BASE-F;
электрические интерфейсы EtherNet.
2. Оптические
интерфейсы оборудования
синхронной цифровой иерархии (SDH):
интерфейс 1-го уровня SDH (STM-1);
интерфейс 4-го уровня SDH (STM-4);
интерфейс 16-го уровня SDH (STM-16);
интерфейс 64-го уровня SDH (STM-64).
3. Оптические
интерфейсы оборудования
плезиохронной цифровой иерархии (PDH):
интерфейс 34 Мбит/с (E3);
интерфейс 140 Мбит/с (E4).
4. Электрические
интерфейсы оборудования
плезиохронной (PDH) и синхронной (SDH) цифровых иерархий:
интерфейс 2 Мбит/с (Е1);
интерфейс 34 Мбит/с (Е3);
интерфейс 140 Мбит/с (Е4);
интерфейс 155 Мбит/с (STM-1).
5. Электрические интерфейсы оборудования передачи данных:
интерфейс V.24/V.28;
интерфейс X.21/V.11;
интерфейс V.35/V.28;
интерфейс V.36/V.11.
Протокол взаимодействия технических средств ОРМ с ПУ (частично)
На логическом уровне соединение ПУ и
технических средств ОРМ реализуется в виде TCP-сессии, в качестве транспортного
и сетевого
протоколов используются протоколы TCP и IP. Для управления техническими средствами ОРМ и
передачи информации на ПУ используются отдельные TCP-соединения,
которые
называются каналом управления и каналом передачи данных, соответственно. В качестве номеров портов должны применяться
номера, находящиеся вне диапазона номеров портов стандартных служб. Номер
порта используемого ПУ
задается при конфигурировании технических средств
ОРМ. Конфигурирование и настройка технических средств ОРМ осуществляется с
головного ПУ, подключенного по каналу № 0 (канал, определяемый портами 16117 и
16118).
2.2.1. Команда идентификации.
2.2.2. Команда постановки на контроль и изменения вида
контроля.
CodItem – поле кода
элемента данных команды постановки на контроль
и изменения вида контроля (код параметра
отбора). Размер поля равен 1 байту.
Содержимое поля CodItem:
0 – установка идентификационного номера контролируемого
абонента (пользователя) и вида его контроля;
1 – контроль по имени учетной записи пользователя - login (идентификатор объекта);
2 – контроль по
телефонному номеру;
3 – контроль по адресу объекта в соответствии с IPv4 (четырехбайтовый
адрес, записывается и передается в порядке, определенном спецификацией
RFC791) и IPv6 (16-ти байтовый адрес, записывается и передается по каналу в порядке,
определенном спецификацией RFC1884);
4 – контроль по
адресу электронной почты (e-mail, в том числе Web-mail);
6 – международный идентификатор абонента сети подвижной
связи (IMSI);
7 – контроль IP-подсети
(адрес, маска (битовая маска,
определяющая какая часть IP адреса узла сети относится к адресу подсети, а
какая — к адресу самого узла в этой
подсети));
8 – контроль по уникальному идентификационному номеру службы
мгновенных сообщений информационно-телекоммуникационной сети Интернет (UINICQ);
11 – контроль по уникальному идентификатору, присваиваемому каждой
единице оборудования информационно-телекоммуникационной сети Интернет (МАС-адресу) объекта контроля;
15 – международный идентификатор мобильного оборудования (IMEI);
18 – мобильный идентификационный номер мобильной абонентской
радиостанции (MIN).
2.2.3. Команда снятия с контроля.
2.2.4. Команда проверки работоспособности канала связи
с ПУ
и состояния технических средств ОРМ.
2.2.5. Команда запроса системного времени.
2.2.6. Команда коррекции системного времени.
2.2.7. Команда рестарт.
2.2.8. Команда включения передачи извещений со
статистическими данными.
Команда используется для включения режима передачи
извещений, содержащих статистические данные протоколов «RADIUS», «TACACS+» и «Diameter».
2.2.9. Команда выключения передачи извещений со
статистическими данными.
2.2.10. Команда запроса загрузки сети и технических средств
ОРМ.
2.2.11. Команда удаленного
выключения технических средств ОРМ.
Команда используется для
удаленного выключения технических средств ОРМ. Указанная команда поступает от головного ПУ, подключенного по каналу «0».
По данной команде
технические средства ОРМ должны
уничтожить все данные о параметрах отбора, направить ответна ПУ, а затем
произвести самовыключение.
2.2.12. Команда установки параметров сервера аутентификации.
2.2.13. Команда удаления параметров сервера аутентификации.
2.2.15. Команда запроса версии программного обеспечения и производителя.
2.2.16. Команда управления записью в буфер хранения трафика.
2.2.17. Команда постановки на контроль и изменения вида
контроля для дополнительных ПУ.
Содержимое поля CodItem:
0 – установка идентификационного номера контролируемого
абонента (пользователя) и вида его контроля;
129 – контроль по имени учетной записи пользователя –
login (идентификатор объекта);
130 – контроль по телефонному номеру;
131 – контроль по адресу объекта в соответствии с IPv4 и
IPv6;
132 – контроль по адресу электронной почты (e-mail, в
том числе Web-mail);
134 – международный идентификатор абонента сети подвижной
связи (IMSI);
135 – контроль IP-подсети (адрес, маска);
136 – контроль по уникальному идентификационному номеру
службы мгновенных сообщений информационно-телекоммуникационной сети Интернет (UINICQ);
139 – контроль по уникальному идентификатору, присваиваемому
каждой единице оборудования информационно-телекоммуникационной сети Интернет
(МАС-адресу) объекта контроля;
143 – международный идентификатор оборудования мобильной абонентской
радиостанции (IMEI);
146 – мобильный идентификационный номер мобильной
абонентской
Поле Value – состоит из следующих подполей:
подполя идентификационного номера контролируемого
пользователя
(UCI);
подполя номера условия контроля (Ncontrol);
подполя номера ПУ
уполномоченного органа (VKTSId);
подполя условия контроля (IdCon);
подполя строки фильтра (Filter);
подполя строки поиска (Find);
Протокол передачи данных(частично).
3.3.3.4. Структура блока статистических данных.
CodSubItem – поле
кода элемента дополнительных данных. Размер
поля равен 1 байту. Содержимое поля:
26 – IMSI абонента;
27 – местоположение абонента в сети GSM;
28 – IMEI оборудования абонента;
29 – местоположение абонента в сети CDMA;
30 – местоположение абонента в сети WiMAX;
В блоки служебных данных могут входить следующие элементы
описания данных:
параметр отбора;
уровень протокола;
исходящий номер телефона;
входящий номер телефона;
IP адрес объекта;
IP адрес ресурса (для TCP сессии первым передается адрес
инициатора);
порт объекта;
порт ресурса;
URL ресурса;
имя учетной записи пользователя – login (идентификатор
объекта);
код протокола вложенного сообщения для IP, TCP и UDP (для TCP и UDP – код
протокола приравнивается к номеру порта используемому протоколом в соответствии
со спецификацией RFC 1700);
3.3.6.1. При передаче
данных, полученных при декодировании прикладных протоколов использующих один
логический канал, поля блоков служебных данных заполняются в соответствии со
структурой, представленной в пунктах 3.3.3.1 и 3.3.3.2. В блоки служебных
данных в обязательном порядке должны входить следующие элементы описания данных
и их значения:
«уровень протокола» - LP равно 7 (прикладной);
«код протокола» - в
качестве кода протокола указывается номер порта протокола в соответствии со спецификацией RFC 1700, принимающий следующие значения:
25 – SMTP;
80 – HTTP;
110 – POP3;
143 – IMAP4
«параметр отбора»;
«IР адрес ресурса»;
«Порт ресурса»;
«URL ресурса», если таковой существует.
Поля блока
отобранных данных заполняются в
соответствии со структурой, представленной в пункте 3.3.3.3.
Технические средства ОРМ поддерживают возможность
подключения до 16 ПУ. Для управления техническими
средствами ОРМ и передачи отобранных
данных для каждого ПУ используются отдельные TCP-соединения,
которые называются каналом управления и каналом передачи данных. В качестве
номеров портов применяются номера, находящиеся вне
диапазона номеров портов стандартных служб. Номера портов
для канала управления и канала передачи данных каждого ПУ вычисляются по
формуле:
BasePort + (PUId – 1) * 32, где
BasePort – номер порта для первого ПУ (16117 – для канала передачи данных, 16118
для канала управления);
PUId – номер ПУ.
Номера портов для канала управления и канала передачи данных
дополнительного ПУ вычисляются по формуле:
PUPort + VKTSId * 2, где:
PUPort – номер порта дополнительного ПУ;
VKTSId – номер дополнительного ПУ.
4.6. Реакция на ошибки.
В случае если на техническое средство ОРМ приходит сообщение с нарушенной структурой
(нарушен формат сообщения/фрейма, неизвестная команда/подтверждение),
техническое средство ОРМ уничтожает
данные о параметрах отбора, всю
отобранную информацию и обнуляет
внутренние переменные. После этого техническое средство ОРМ выдает команду на
разрыв TCP-соединений
каналов передачи данных и управления, переходит в режим ожидания
TCP-соединения с ПУ в соответствии с пунктом
4.1 настоящего приложения.
Если количество поступающих
на техническое средство ОРМ сообщений превышает границы окна, то оно уничтожает данные об объектах, всю отобранную
информацию и обнуляет внутренние переменные. Затем техническое средство
ОРМ выдает команду на разрыв TCP-соединений
каналов передачи данных и управления, переходит в режим ожидания TCP-соединения
с ПУ в соответствии с пунктом 4.1 настоящего приложения.
Перечень телематических служб, для которых поддерживается отбор и
передача на ПУ информации, относящейся к контролируемым
соединениям и (или) сообщениям электросвязи в соответствии с
заданными параметрами контроля
1. Почтовые сервисы Web-mail, включая:
mail.ru;
yandex.ru;
rambler.ru;
gmail.com;
yahoo.com.
apport.ru;
rupochta.ru
hotbox.ru;
2. Службы обмена мгновенными сообщениями, включая:
ICQ.
