Interception légale sur le plan utilisateur multi-accès Junos

Interception légale sur les réseaux 4G

Le plan utilisateur multi-accès Junos prend en charge l’interception légale conforme à la 4G uniquement sur le plan utilisateur de passerelle d’évolution de l’architecture système (SAEGW-U).

La figure 1 montre les entités impliquées dans l’interception légale sur les réseaux 4G et les interfaces entre elles.

Le processus d’interception légale sur les réseaux 4G est le suivant :

1. La fonction administrative (ADMF) assure la gestion globale du système d’interception légale. Il envoie des signaux contenant des informations de ciblage au plan de contrôle via l’interface X1. L’ADMF informe également le plan de contrôle du trafic des abonnés à dupliquer et à envoyer à l’organisme chargé de l’application de la loi.

2. Le plan de contrôle (SAEGW-C) déclenche le plan utilisateur sur l’interface Sx pour commencer à dupliquer le trafic d’abonné. Il envoie également l’adresse de la fonction de médiation et de livraison (MDF) à laquelle les données doivent être transmises.

3. Le plan utilisateur multi-accès Junos (SAEGW-U) envoie le trafic dupliqué à la fonction d’interconnexion d’interception légale X3 scindée (SX3LIF) via l’interface X3u. Le SX3LIF le transmet ensuite au MDF via l’interface X3.

4. Le MDF tire les informations relatives à l’interception des en-têtes de LI_X3 envoyés avec le trafic dupliqué. Il transmet ensuite le trafic intercepté aux forces de l’ordre via l’interface HI3.

Interception légale sur les réseaux 5G

Le plan utilisateur multi-accès Junos prend en charge l’interception légale conforme à la 5G uniquement sur la fonction de plan utilisateur (UPF) ou le contenu du point d’interception de communication (CC-POI).

La figure 2 montre les entités impliquées dans l’interception légale sur les réseaux 5G et les interfaces entre elles.

Le processus d’interception légale est le suivant :

1. La fonction administrative (ADMF) assure la gestion globale du système d’interception légale. Il envoie des signaux contenant des informations de ciblage au plan de contrôle via l’interface LI_X1. Il informe également le plan de contrôle du trafic des abonnés à dupliquer et à envoyer à l’organisme chargé de l’application de la loi.

2. Le plan de contrôle (SMF) déclenche le plan utilisateur sur l’interface LI_T3 pour commencer à dupliquer le trafic des abonnés. Il envoie également l’adresse de la fonction de médiation et de livraison (MDF) à laquelle les données doivent être transmises.

3. Le plan UPF (Multi-Access User Plan) de Junos envoie le trafic dupliqué au MDF via l’interface LI_X3.

4. Le MDF tire les informations relatives à l’interception des en-têtes de LI_X3 envoyés avec le trafic dupliqué. Il transmet ensuite le trafic intercepté aux forces de l’ordre via l’interface HI3.

Exigences relatives à l’interception légale

Pour configurer l’interception légale pour les réseaux 4G, vous devez :

• Configurez une adresse de bouclage sur le plan utilisateur multi-accès Junos. Cette adresse est utilisée comme adresse source pour le trafic intercepté légalement.

Pour configurer l’interception légale pour les réseaux 5G, vous devez :

• Définissez l’adresse de bouclage sur 127.0.0.1/32 sur le plan utilisateur multi-accès Junos. Cette adresse est utilisée comme adresse source pour le trafic intercepté légalement.

• Configurez le serveur HTTPS sur le plan utilisateur multi-accès Junos à l’aide de l’API REST sous la [edit system services rest https-5g] hiérarchie.

  Pour plus d’informations sur l’API REST, consultez Configuration de l’API REST.

  Pour plus d’informations sur l’autorité de certification et l’infrastructure à clés publiques, voir PKI dans Junos OS.

• (Facultatif) Configurez la limite de connexion pour l’API REST. Nous recommandons cette configuration pour améliorer les performances de l’interception légale.

Considérations de sécurité relatives à l’interception légale

En raison de leur nature, les données légalement interceptées doivent être transmises de manière sécurisée. Les normes 3GPP exigent que le trafic d’interception légal sur les réseaux 5G soit envoyé à la fonction de médiation et de livraison (MDF) à l’aide du protocole TLS (couche transport security).

Le plan utilisateur multi-accès Junos ne prend pas en charge TLS, mais peut envoyer du trafic d’interception légal au MDF via des tunnels IPsec. Lorsque vous utilisez IPsec sur le plan utilisateur multi-accès Junos, assurez-vous que vous :

• Configurez les interfaces de multiservices virtuels et l’ensemble de services de type saut suivant.

  Utilisez les commandes suivantes pour configurer les interfaces multiservices virtuelles :

  Utilisez les commandes suivantes pour configurer un jeu de services de type next-hop :

  L’interface de service interne doit être une unité logique d’interface de service configurée avec service-domain inside L’interface de service externe doit être une unité logique d’interface de service configurée avec service-domain outside.

• Configurez l’Internet Key Exchange (IKE).

  Pour plus d’informations sur IKE, voir Internet Key Exchange (IKE) pour VPN IPsec.

• Utilisez le mode tunnel IPsec.

  Note:

  Pour utiliser IPsec, une carte de services MX-SPC3 doit être installée sur votre appareil.

  Pour plus d’informations sur la configuration des tunnels IPsec, reportez-vous à la section Présentation de la configuration du VPN IPsec.

Si IPsec ne peut pas être utilisé, nous vous recommandons d’utiliser un périphérique CC-PAG (Content of Communication Point of Aggregation), qui chiffre les données à l’aide de TLS avant de les envoyer au MDF.

Note:

Vous pouvez toujours intercepter légalement le trafic sur les réseaux 5G sans configurer IPsec. Toutefois, nous vous recommandons d’utiliser IPsec pour vous conformer aux normes 3GPP.

L’interface LI_T3 entre la SMF et l’UPF prend en charge le chiffrement TLS. Vous pouvez l’activer en configurant un certificat de serveur et une authentification mutuelle sur le serveur HTTPS local sous la [edit system services rest https-5g] hiérarchie.