Provozní a lokalizační údaje se nám vrací... k 1.10.2012

[soucez]

Kolegové jak se chystáte řešit a dostát podmínkám logování které vešlo v platnost k 1.11.2012 ?
Ty podmínky jsou celkem drsné a údajně nepůjde vystačit si s netflow.

NetService solutions nabízí řešení za cca 8500,- měsíčně včetně HW a tyto náklady lze zatím refundovat od MVČR.
Oni tvrdí že:
"Oproti povinnosti logování provozu na síti v předchozí době dostál řadu změn. Není tedy již možné logování provádět přes jednoduché Netflow řešení.
Požadovanými novinkami je např. potřeba podpory IPv6, překlad adres při využívání NAT, vyčítání MAC adres klienta, poloha jednotlivých přístupových bodů apod."

Dodávka kompletního řešení obsahuje:
HARDWARE:
- switch Cisco Catalyst 2960, 8port, 1Gbit/s, 1SPF - zprostředkovává přeposílání získaných údajů na datové úložiště
- server DELL PowerEdge, 4GB RAM, 2x1TB HDD, SATA v HW raid, síťovka 2x1GB - bude data uchovávat a zpracovávat standardní rozměr je do 19" racku, 1U.
SOFTWARE:
- aplikace FlowPRO, která umožňuje Logovat provoz koncových klientů, včetně překladu IP adres za NATem, dále Vyhodnocení potřebných dat, Automatické monitorování služby, Podrobné statistiky, Export do textového formátu atd.
Samozřejmostí jsou aktualizace sytému a technická podpora. Vše je již zahrnuto v měsíčních platbách.

Jak se na tuto problematiku díváte a čím ji hodláte řešit?

[shooter]

ja to řešil flowpro už minule a dolary do policie normalka chodily jen je tak měsic prodleni

[hapi]

tohle je zajímavé ačkoliv vyčítání MAC klienta jsem si v zákoně nevšimnul. Nicméně ani řešení od NetService solution nezajistí vyčítání MAC adresy už ze své podstaty věci

klasický netflow podle mě stačí bohatě. Dokonce bych řek že všechno co chtějí logovat okopírovaly z něj.

[soucez]

tohle je zajímavé ačkoliv vyčítání MAC klienta jsem si v zákoně nevšimnul. Nicméně ani řešení od NetService solution nezajistí vyčítání MAC adresy už ze své podstaty věci

klasický netflow podle mě stačí bohatě. Dokonce bych řek že všechno co chtějí logovat okopírovaly z něj.

Taky si myslím že jedinou MAC kterou jsem schopen doložit je MAC rádia klienta a dál už nic.
A je mi jasné že Šumperk bude troubit do světa že to umí jen jejich řešení.

[hapi]

teď mi to nedalo a koukal jsem na nový zákony a kam se jako vytratil 273/2012 Sb. ??

místo toho tu najednou je 357/2012 Sb.

wtf?

dál se mi nějak nepozdává to, že logování je povinný od 1.10.2012 ale konkrétní položky jsou až od 1.11.2012

[aliney]

ja se nevyznam ve cteni narizeni a vyhlasek (pouzivaji nejaky cizi jazyk), ale z toho co chapu, ze je treba IP/port cilovy/zdrojovy, MAC klienta, cas otevreni spojeni a cas ukonceni spojeni a uz je to v platnosti ale v rozporu s jinymi zakony, tak bych nevidel problem JAK to logovat, ale jestli vubec, protoze vlastne uz musime, ale zaroven nesmime.
Nebo je to jinak?

[shooter]

tohle je informace z Šumnperka
Vážení klienti,

dovolujeme si Vás touto cestou informovat o oficiálním vydání vyhlášky č. 357/2012 O uchovávání, předávání a likvidaci provozních a lokalizačních údajů, ke splnění § 97 zákona č. 127/2005 Sb. O elektronických komunikacích, která s účinností od 1.11.2012 udává poskytovatelům internetu povinnost uchovávat provozní a lokalizační údaje o provozu na síti a v případě požadavku předat výstupní informace odpovědnému orgánu.
* Tato povinnost se vztahuje na veškeré fyzické anebo právnické osoby podnikající v daném oboru a registrovaným u ČTÚ.

Jak již bylo předesláno, aktuální úprava vyhlášky specifikuje konkrétní požadavky na uchovávání údajů a v této novelizované podobě dostála řady změn. V aktuální podobě tímto specifikuje obsahovou část datového výstupu, který od vás může být požadován ze strany odpovědného orgánu. V minulosti pro splnění všech náležitostí postačovalo spuštění např. flow-tools, případně jiných standardních nástrojů pro sběr dat na síti, které momentálně již nejsou pro splnění dané povinnosti vyhovující.
Jedná se například o potřebu zjišťovat MAC adresy zařízení uživatele služby, geografické označení přístupových bodů, překlad IP adres za NATem, apod.

V platnosti dále zůstala povinnost uchovávat data po dobu 6 měsíců, kdy musí být následně data zlikvidována bez možnosti obnovení.

Novinkou je dále specifikace jednotlivých oprávněných žadatelů, se kterými se můžete při vyřizování žádostí o datové výstupy setkat. Jedná se konkrétně o:
a) Orgány činné v trestním řízení
b) Policie České republiky
c) Bezpečnostní informační služba
d) Vojenské zpravodajství
e) Česká národní banka

FLOWPRO

Jak jsme Vás již před časem informovali, připravili jsme pro poskytovatele internetu komplexní řešení, které zbytečným způsobem nezatěžuje ISP po stránce administrativní, technické a nejméně finanční. Systém FlowPRO je nabízen v rámci projektu s MVČR, díky kterému Vám jsme schopni poskytnout odpovídající HW a SW ke splnění této zákonné povinnosti. Nespornou výhodou tohoto řešení, které vystupuje pod obchodní značkou FlowPRO je i možnost 100% refundace vložených finančních prostředků na pořízení a provoz tohoto logovacího řešení (HW a SW) ze státních prostředků. Navíc dále možnost proplacení měsíční dohled Vašeho technika na sběrem dat a údržbu zařízení, které logování zajišťuje, a to včetně spotřeby elektrické energie daného zařízení.

FlowPRO je oficiálně schválené jako obchodní i technické řešení, díky kterému jsme schopni Vám dodat HW a SW potřebný pro splnění vyhlášky a s formou odepisování po dobu 36 měsíců. Nejste tím pádem nuceni vynákládat statisícové částky na jednorázové pořízení systému, odepisování probíhá formou 36ti měsíčních plateb, kdy po uplytnutí této doby se stává dodaný HW vašim majetkem.
Řešení FlowPRO klade důraz na poskytnutí maximálních benefitů poskytovatelům internetu, kterým povinnost uchovávání údajů tímto vzniká, a to s eliminací veškerých nástrah, finančních výdajů, nárustu administrativy a samozřejmě i rizika případného zrušení vyhlášky či změny zákona, které v případě řešení FlowPRO není přenášeno na ISP. Vyhnete se tak případné prvotní nákladné investici, která se Vám v případě ukončení možnosti refundace již nikdy nevrátí, řešením FlowPRO docílíte postupného odepisování formou měsíčních plateb bez vícenákladů a garancí zrušení smlouvy, (bez dalších měsíčních plateb) v případě změny vyhlášky či zákona, kdy bude dotčen nárok na refundaci vynaložených prostředků na pořízení a provoz zařízení pro splnění zákonné povinnosti.

V současné době již řešíme dodávky prvních řešení FlowPRO a zájemci, kteří již zaslali objednávku na dané řešení budou postupně kontaktování ohledně vhodné varianty technického řešení a následného postupu dodávky FlowPRO, a to v časovém sledu podle kterého .

V případě dotazu či zájmu o zmíněné řešení nás prosím kontaktujte na email info@flowpro.eu nebo telefonicky na tel. 212 220 482.

S pozdravem,
Pavel Zemánek
Sales manager

[hapi]

super, takže jsem se do toho ponořil (zase pátek v prdely) a našel jsem co tedy musíme.

U sítí elektronických komunikací s přepojováním paketů se uchovávají tyto údaje
a) u služby přístupu k internetu z pevného připojení
1. typ připojení,
2. telefonní číslo nebo označení uživatele,
3. identifikátor uživatelského účtu,
4. adresa MAC zařízení uživatele služby,
5. datum a čas zahájení a ukončení připojení k internetu,
6. označení přístupového bodu u bezdrátového připojení k internetu,
7. adresa IP a číslo portu, ze kterých bylo připojení uskutečněno;

f) u služby přístupu k internetu podle písmene a) nebo b) s překladem adres IP
1. privátní adresa IP,
2. veřejná adresa IP a číslo portu, nebo přidělený rozsah portů,
3. datum a čas zahájení překladu adres,
4. datum a čas ukončení překladu adres.

no takže když si to projdu po jednom tak bych opravdu rád viděl řešení který tohle všechno umožňuje. Nemůžeme mít přece systémy který budou věděl o tom kde zákazník přesně je a ještě to uložit tak aby to bylo pohromadě. Tak nějak mě ani technicky nenapadá jak řešit shromažďování veřejný/privátní IP přes kterou se natuje atd... a mít to uložený někde pohromadě aby se to dalo vytahnout.

Chápu když řeknu že jim to zbastlim při předání do seznamu kde bude adresa usera, jeho ip a seznam spojení atd.. ale tak nějak nechápu jak to něco může udržovat všechno v jednom balíku.

Máte k tomu taky výhrady?

[aliney]

2. veřejná adresa IP a číslo portu, nebo přidělený rozsah portů

verejna IP kterou zakaznikovi NATnu, ale cislo portu jake?
klientIP:port > NAT > verejnaIP:port > cilovaIP:port ?

[Ladik]

Stemi porty se me to take tezce nezda.
Hapi: take mam tezke vyhrady a nevim presne jak to jako komplet online davat do databaze

[hapi]

2. veřejná adresa IP a číslo portu, nebo přidělený rozsah portů

verejna IP kterou zakaznikovi NATnu, ale cislo portu jake?
klientIP:port > NAT > verejnaIP:port > cilovaIP:port ?

src: klientIP:port
dst: server:port
NAT
src: router:port
dst: server:port

tohle je celkem logický až na jednu věc. Jak můžeš externí věcí zjistit na co to router natoval a na jaký porty? Ta tabulka překladů je přece v routeru a jenom on ví co s tím udělal.

Může se k tomu všemu vyjádřit nějakej zkušenější pisatel? Přece nemáme zase takovou buzeraci jenom v ČR nebo jo? Jinde v EU se tohle neřeší?

[aliney]

tu jednu externi vec prdnes pred hranicni router a druhou za nej... pak porovnas vysledky prvniho s druhym podle dst:port a zjistis na co to NAToval a z jakeho portu to vyslo ven... pokud se neobjevi dve spojeni na stejnou IP:port, takze zase nic.
Nejak se mi nezda, ze si do racku prdnu jednu krabicku s netflowpro a zapnu cudlik, to je nejake podezrele.


pak neni jasne jeste:

4. adresa MAC zařízení uživatele služby,
5. datum a čas zahájení a ukončení připojení k internetu,

MAC je kliosovo radio na strese, nebo router v panelaku, to je OK, ale cas pripojeni k internetu je "Datum zprovozneni sluzby" a ukonceni az skonci smlouva, nebo pokud vypnou proud. Nebo je to cas otevreni/zavreni kazde connection ?

[hapi]

tu jednu externi vec prdnes pred hranicni router a druhou za nej... pak porovnas vysledky prvniho s druhym podle dst:port a zjistis na co to NAToval a z jakeho portu to vyslo ven... pokud se neobjevi dve spojeni na stejnou IP:port, takze zase nic.
Nejak se mi nezda, ze si do racku prdnu jednu krabicku s netflowpro a zapnu cudlik, to je nejake podezrele.

to je právě blbost. Když se vemou dva useři který se rozhodnou ve stejný okamžik jít na hlavní stránku seznamu tak po zanatování už nepoznáš kdo je kdo na wanovim iface. Obě spojení dostanou jinej src port než byl původní a konečná.

[aliney]

vsak to rikam

pokud se neobjevi dve spojeni na stejnou IP:port, takze zase nic

Takze je bod 2 spatne formulovany, nebo je to totalni blbost, ale tipl bych, ze je to oboji.

[melvi]

Hlavně bych jim řádně přeúčtoval náklady na takové data retention. Tedy pečlivě vše fakturovat na MVČR.

Máte někdo bližší údaje, jaké jsou potřeba doklady a jak reálně ta fakturace probíhá?