Rechtmäßiges Abfangen auf der Benutzerebene von Junos Multi-Access
Lawful Intercept ist ein Verfahren zum Abrufen von Kommunikationsnetzwerkdaten, die sich auf eine Zielperson oder -organisation beziehen, wie durch eine gerichtliche oder behördliche Anordnung genehmigt.
Junos Multi-Access User Plane unterstützt 4G- und 5G-Compliance für rechtmäßiges Abfangen. Sie können rechtmäßig bis zu zwei Prozent der maximalen Abonnenten abfangen, die die Plattform unterstützt.
Lawful Intercept auf der Junos Multi-Access-Benutzerebene unterstützt Graceful Routing Engine Switchover (GRES). Die einheitliche ISSU wird derzeit nicht unterstützt.
Rechtmäßiges Abfangen in 4G-Netzen
Die Junos Multi-Access User Plane unterstützt 4G-konformes gesetzeskonformes Abfangen nur über die System Architecture Evolution Gateway-User Plane (SAEGW-U).
Abbildung 1 zeigt die Entitäten, die an der rechtmäßigen Überwachung von 4G-Netzen beteiligt sind, und die Schnittstellen zwischen ihnen.
Das Verfahren für das rechtmäßige Abhören in 4G-Netzen ist wie folgt:
-
Die Verwaltungsfunktion (Administrative Function, ADMF) führt die Gesamtverwaltung des Systems zur rechtmäßigen Abhörung durch. Es sendet Signale mit Zielinformationen über die X1-Schnittstelle an die Steuerungsebene. Die ADMF informiert die Kontrollebene auch darüber, welcher Datenverkehr der Teilnehmer dupliziert und an die Strafverfolgungsbehörde gesendet werden soll.
-
Die Steuerungsebene (SAEGW-C) veranlasst die Benutzerebene über die Sx-Schnittstelle, mit der Duplizierung des Teilnehmerdatenverkehrs zu beginnen. Es sendet auch die Adresse der Vermittlungs- und Lieferfunktion (MDF), an die die Daten weitergeleitet werden sollen.
-
Die Junos Multi-Access User Plane (SAEGW-U) sendet den duplizierten Datenverkehr über die X3u-Schnittstelle an die geteilte X3 Lawful Intercept Internetworking Funktion (SX3LIF). Der SX3LIF leitet sie dann über die X3-Schnittstelle an die MDF weiter.
-
Die MDF leitet die Informationen zum Abfangen aus den LI_X3 Headern ab, die zusammen mit dem duplizierten Datenverkehr gesendet werden. Anschließend leitet es den abgefangenen Datenverkehr über die HI3-Schnittstelle an die Strafverfolgungsbehörde weiter.
Rechtmäßiges Abfangen in 5G-Netzen
Die Junos Multi-Access User Plane unterstützt 5G-konformes gesetzeskonformes Abfangen nur über die Funktion der Benutzerebene (UPF) oder den Inhalt des Abhörpunkts der Kommunikation (CC-POI).
Abbildung 2 zeigt die Entitäten, die an der rechtmäßigen Überwachung von 5G-Netzen beteiligt sind, und die Schnittstellen zwischen ihnen.
Das Verfahren für das rechtmäßige Abfangen ist wie folgt:
-
Die Verwaltungsfunktion (Administrative Function, ADMF) führt die Gesamtverwaltung des Systems zur rechtmäßigen Abhörung durch. Es sendet Signale mit Zielinformationen über die LI_X1-Schnittstelle an die Steuerungsebene. Es informiert die Steuerungsebene auch darüber, welcher Datenverkehr der Teilnehmer dupliziert und an die Strafverfolgungsbehörde gesendet werden soll.
-
Die Steuerungsebene (SMF) löst die Benutzerebene über die LI_T3 Schnittstelle aus, um mit der Duplizierung des Teilnehmerdatenverkehrs zu beginnen. Es sendet auch die Adresse der Vermittlungs- und Lieferfunktion (MDF), an die die Daten weitergeleitet werden sollen.
-
Die Junos Multi-Access User Plane (UPF) sendet den duplizierten Datenverkehr über die LI_X3 Schnittstelle an die MDF.
-
Die MDF leitet die Informationen zum Abfangen aus den LI_X3 Headern ab, die zusammen mit dem duplizierten Datenverkehr gesendet werden. Anschließend leitet es den abgefangenen Datenverkehr über die HI3-Schnittstelle an die Strafverfolgungsbehörde weiter.
Anforderungen für Lawful Intercept
Um das rechtmäßige Abfangen für 4G-Netzwerke zu konfigurieren, müssen Sie Folgendes tun:
-
Konfigurieren Sie eine Loopback-Adresse auf der Junos Multi-Access-Benutzerebene. Diese Adresse wird als Quelladresse für den rechtmäßig abgefangenen Datenverkehr verwendet.
[edit interfaces lo0 unit 0 family inet] user@host# set address loopback-address
Um das rechtmäßige Abfangen für 5G-Netzwerke zu konfigurieren, müssen Sie:
-
Legen Sie die Loopback-Adresse auf der Junos Multi-Access-Benutzerebene auf 127.0.0.1/32 fest. Diese Adresse wird als Quelladresse für den rechtmäßig abgefangenen Datenverkehr verwendet.
[edit interfaces lo0 unit 0 family inet] user@host# set address 127.0.0.1/32
-
Konfigurieren Sie den HTTPS-Server auf der Junos Multi-Access-Benutzerebene mithilfe der REST-API in der
[edit system services rest https-5g]Hierarchie.[edit system services rest https-5g] user@host# set port port-number user@host# set addresses ip-address user@host# set server-certificate local-certificate-identifier user@host# set mutual-authentication certificate-authority certificate-authority-profile-name
Weitere Informationen zur REST-API finden Sie unter Konfigurieren der REST-API.
Informationen zur Zertifizierungsstelle und zur Public-Key-Infrastruktur finden Sie unter PKI in Junos OS.
-
(Optional) Konfigurieren Sie das Verbindungslimit für die REST-API. Wir empfehlen diese Konfiguration, um die Leistung von Lawful Intercept zu verbessern.
[edit system services rest control] user@host# set connection-limit limit
Sicherheitsüberlegungen für rechtmäßiges Abfangen
Es liegt in der Natur der Sache, dass rechtmäßig abgefangene Daten auf sichere Weise übertragen werden müssen. Die 3GPP-Standards verlangen, dass rechtmäßig abgefangener Datenverkehr in 5G-Netzen mithilfe von Transport Layer Security (TLS) an die Mediation and Delivery Function (MDF) gesendet werden muss.
Die Junos Multi-Access User Plane unterstützt TLS nicht, kann aber rechtmäßigen Abfangdatenverkehr über IPsec-Tunnel an die MDF senden. Wenn Sie IPsec auf der Junos Multi-Access-Benutzerebene verwenden, stellen Sie sicher, dass Sie:
-
Konfigurieren Sie die virtuellen Multiservices-Schnittstellen und das Serviceset im Next-Hop-Stil.
Verwenden Sie die folgenden Befehle, um die virtuellen Multiservices-Schnittstellen zu konfigurieren:
[edit interfaces] user@host# set interface-name unit logical-unit-number family inet user@host# set interface-name unit logical-unit-number service-domain inside user@host# set interface-name unit logical-unit-number family inet user@host# set interface-name unit logical-unit-number service-domain outside
Verwenden Sie die folgenden Befehle, um eine Servicegruppe im Stil des nächsten Hops zu konfigurieren:
[edit services] user@host# set service-set service-set-name [edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name.unit-number outside-service-interface interface-name.unit-number
Bei der internen Serviceschnittstelle muss es sich um eine logische Einheit der Serviceschnittstelle
service-domain outsidehandeln, die mitservice-domain insidekonfiguriert ist. -
Konfigurieren Sie Internet Key Exchange (IKE).
[edit security ike] user@host# set proposal proposal-name [edit security ike proposal proposal-name] user@host# set authentication-method pre-shared-keys user@host# set dh-group dh-group-number user@host# set authentication-algorithm algorithm user@host# set encryption-algorithm algorithm [edit security ike] user@host# set policy policy-name [edit security ike policy policy-name] user@host# set proposals proposal-name user@host# set pre-shared-key ascii-text key [edit security ike] user@host# set gateway gateway-name [edit security ike gateway gateway-name] user@host# set ike-policy policy-name user@host# set address ip-address user@host# set external-interface interface-name user@host# set local-address address
Weitere Informationen zu IKE finden Sie unter Internet Key Exchange (IKE) für IPsec-VPN.
-
Verwenden Sie den IPsec-Tunnelmodus.
Hinweis:Um IPsec verwenden zu können, muss auf Ihrem Gerät eine MX-SPC3-Dienstkarte installiert sein.
[edit security ipsec] user@host# set proposal proposal-name [edit security ipsec proposal proposal-name] user@host# set protocol (ah | esp) user@host# set authentication-algorithm algorithm user@host# set encryption-algorithm algorithm [edit security ipsec] user@host# set policy policy-name [edit security ipsec policy policy-name] user@host# set proposals proposal-name [edit security ipsec] user@host# set vpn vpn-name [edit security ipsec vpn vpn-name] user@host# set bind-interface interface-name user@host# set ike gateway gateway-name user@host# set ike ipsec-policy policy-name user@host# set establish-tunnels immediately
Weitere Informationen zum Konfigurieren von IPsec-Tunneln finden Sie unter Übersicht über die IPsec-VPN-Konfiguration.
Wenn IPsec nicht verwendet werden kann, empfehlen wir die Verwendung eines CC-PAG-Geräts (Content of Communication Point of Aggregation), das die Daten mit TLS verschlüsselt, bevor sie an die MDF gesendet werden.
Sie können den Datenverkehr in 5G-Netzwerken weiterhin rechtmäßig abfangen, ohne IPsec zu konfigurieren. Es wird jedoch empfohlen, IPsec zu verwenden, um den 3GPP-Standards zu entsprechen.
Die LI_T3 Schnittstelle zwischen SMF und UPF unterstützt die TLS-Verschlüsselung. Sie können dies aktivieren, indem Sie ein Serverzertifikat und die gegenseitige Authentifizierung auf dem lokalen HTTPS-Server unter der Hierarchie [edit system services rest https-5g] konfigurieren.