CALEA。它是什么,它对您的网络意味着什么?如果执法法案通信援助的缩写是熟悉的,您的组织可能已经做了许多关于CALEA的决策。如果没有,随着报告和合规性快速接近的截止日期,现在是时候熟悉CALEA以及它对您管理的网络可能有什么影响。
首先,一些背景。大会于1994年制定了CALEA。CALEA的目的是提供一种拦截从数字电话网络的语音通信的方式,以帮助执法机构(LEA)调查。
2005年,FCC在CALEA上发布了第一份报告,并根据司法部,联邦调查局和药物执法机构的联合请愿书扩大CALEA拦截覆盖范围,包括互联的VoIP服务提供者。第一个报告和订单所需的设施互联网服务和VoIP宽带提供商在2007年5月14日符合要求。
FCC描述了从通信流中提取呼叫识别信息(CII)的拦截过程。然而,FCC将CII标准的制定留给了通信行业。一旦获得了所请求的信息,就将其发送给请求的LEA。
2006年5月12日,FCC发布了一份CALEA第二次报告和订单,确认了合规截止日期的可行性,并提供了额外信息,包括CALEA所涵盖的网络报告计划。根据2006年12月14日发布的FCC公共通知,在2007年2月12日之前豁免豁免的网络必须申请监测报告(FCC表格445)。第二款FCC公告要求系统安全和诚信计划提交到2007年3月12日。
一个由美国教育委员会(ACE)和Educause领导的联盟质疑FCC的立场,即基于设施的互联网服务和VoIP属于CALEA的范围,他们认为这些服务属于信息服务的豁免范畴。美国哥伦比亚特区巡回上诉法院以2-1的票数支持联邦通信委员会,但也重申了某些网络可以被豁免。
然而,确定网络豁免的内容并不明确。一个独立的网络,它绝对没有可能的方法将流量传递给互联网,显然是私人网络,因此不受CALEA的影响。如果互联网连接是唯一的CALEA决定因素,则豁免/非豁免问题不会是一个问题。但是,这不是这种情况。
CALEA测试
基本上有两个测试来确定与互联网连接的网络是否豁免或不来自CALEA。请注意,这并不意味着数据免于监控;它只有助于确定监测发生的位置。
要回答的第一个问题是,这个网络是不是私有的。由于大多数公司网络都不能公开访问,它们将不受CALEA的限制。另一方面,ISP的定义是运营一个大型的公共可访问网络,因此应该归入CALEA的范畴。
但这些网络陷入了中间,如无线热点,酒店和公共图书馆?作为公共互联网接入点,清楚地,这些网络不私密。但是,第一个报告和订单指定FCC不认为这些是基于设施的宽带ISP,因此免于CALEA。
如果一个机构不提供与它无关的网络访问(例如在大学的情况下,只有教师、工作人员和学生可以访问),那么可以认为它是一个私人网络。一种观点认为,如果大学图书馆向公众开放,并不会否定该机构的私人地位。
这类机构的公共无线接入怎么样?在这里,问题变得有点灰色了。再回到大学的例子,ACE已经提出,如果访问是偶然的网络性质,那么它可能不会否定它的私有状态。超出其附带性质的访问程度没有说明。
第二个测试围绕着互联网连接本身。连接可以被认为是两个实体的组合:电路和客户前提电子。需要重申的是,私有网络和公共网络之间的链接属于CALEA的要求;这里的问题是哪一端负责满足这些要求。
在电路的情况下,如果终端站点拥有通往ISP的电路(例如可能是到ISP存在点的暗光纤连接的情况),那么终端站点可能要遵守CALEA。如果终端站点租用线路,它仍然可能是主体,但如果ISP完全拥有线路,则必须由ISP提供监控,而不是终端站点。
关于客户网站电子产品,测试变得更加模糊。从网络的角度来看,一个解释很容易成为合规性测试取决于管理谁处理本地网络(边界路由器)的网络电子设备。
但是,CALEA并不清楚。第一个报告和订单不会将设备限制为路由器,列表“路由器,软交换机和其他设备,这些设备可以为基于数据包的通信提供寻址和智能函数来管理和指导通信的传输,以及其预期目的地。”在IP网络中,这包括路由器,但似乎没有排除第2层交换机。第2层交换机使用智能基于媒体访问控制寻址来直接通信到预期目的地。从这个意义上讲,如果ISP管理客户前提二层交换机和电路,那么CALEA义务将落在ISP上。
确定豁免状况显然不是微不足道的。然而,可以在意识到有许多面向这个过程来实现一些舒适性。无论采取任何决定,如何记录决策过程以及确定您网络状态的原因是良好的做法。
最后,这种分析不应被解释为法律建议,而是它是一个网络人的CALEA观。请记住,这不是纯粹的网络工程决定;该机构的法律办公室需要拨打电话,部分基于正确的技术输入。
CALEA的技术细节
如果它确定您的网络不豁免,从技术的角度来看,您的网络是什么意思?基本上,当LEA的拦截请求时,向执法提供往返特定用户的VoIP流量流。因此,至少有一些分组捕获设备是必要的。
最初,有些人将扩展的CALEA解释为需要在网络中的每个端口进行拦截。联邦通信委员会委员黛博拉·塔特(Deborah Tate)后来澄清说,边缘拦截(edge intercept)——也就是私人网络和公共网络之间的连接——就足够了。在每个上行链路上提供端口监控功能可能成本很高,而且实现起来也不是件容易的事。
在边界上拦截交通的方法可以与入侵检测和入侵防御系统使用的方法相同。无论是内联还是通过镜像端口,都需要一个能够在边缘分析和记录选定流量的设备。虽然FCC不会指定技术要求,但人们会认为,向Snort IDS添加签名以触发tcpdump脚本来跟踪该IP地址上所有与语音相关的流量是一种可接受的解决方案。然后,该跟踪可被交付给LEA。
如果需要CII,则需要将IP地址与特定的计算机关联,这就需要进行额外的工作。静态IP分配记录或动态主机配置协议日志可以用来匹配IP地址到计算机。那些依赖网络地址转换的网络必须搜索NAT日志,并确定与感兴趣的语音流量相关的正确的内部IP地址。
还可以选择签订值得信赖的第三方的服务。此类服务,如VeriSign的NetDiscovery服务,处理CALEA技术和报告要求。这可能是那些缺乏技术专业知识或人力的公司以及渴望交钥匙解决方案的首选路线。
最后,有些人可以选择通过删除无退税状态的网络方面来处理CALEA合规性。是否意味着消除公共访问,与ISP签约提供托管服务或其他行动,必须仔细加权任何决定的优缺点。
虽然CALEA在分组网络上的应用现在看起来有些令人困惑,但时间和经验将使一些问题变得清晰。今天的目标是从技术和操作的角度尽可能确保在法案内遵守,或者为豁免提供合理的解释。
Greg Schaffer是田纳西州立大学的网络服务总监。他拥有超过15年的网络经验,主要是高等教育。他可以到达newtnoise@comcast.net.。
这个故事,“美国政府窃听法律和您的网络”最初发布Computerworld. 。