CGNAT Neden Tek Başına Delil Olamaz? – Bölüm 2

Bir önceki bölümün sonunda incelenen CGNAT dökümlerinde benzer mahiyetteki sorunlar ve bariz hatalardan bahsedilmişti.

2017’nin ortalarında CGNAT kayıtlarındaki olası hataların Ankara 26. Ağır Ceza Mahkemesince BTK’ya sorulduğu, BTK’nın da operatörlere durumu danıştığı ve operatörlerin BTK’ya 2017 Mayıs ve Haziran aylarında cevap verdiği ortaya çıkmıştır.

Yazılar incelendiğinde ülkemizde faaliyette olan 3 operatörün de söz konusu hataların geçmişte oluşmadığını veya ileride oluşmayacağını bildirmemektedir.

Özetle; tüm operatörler CGNAT sistemini kullandıklarını kabul etmekte ve derinlemesine teknik ayrıntıya girmeksizin bir kısım teknik bilgiyi paylaşmaktadır.

Tüm operatörler CGNAT dökümü olarak bilinen kayıtların abone kayıt sistemi ve CGNAT sistemlerinden gelen bilgilerin “korelasyonu” ile oluşturulduğunu da bildirmektedir.

Operatör cevap yazıları ayrı ayrı incelendiğinde aşağıdaki hususlar göze çarpmaktadır.

Vodafone:

  1. Yazı tarihinden (25/05/2017) 1 ay öncesine kadar 1000 porta 1 abone ile genel IP paylaştırdığını,
  2. Kullanım sonrası aynı portun “karantinayla” 15 saniye sonra tekrar kullanıma alındığı,
  3. Artan abone adedi ve kullanım miktarı nedeniyle sistemin değiştiği,
  4. Karantina süresinin abone adedi ve kullanım miktarı nedeniyle azalacağı

belirtilmektedir.

Ancak bir önceki bölümde “Bir CGNAT Sisteminin Doğru Çalışması İçin Uyulması Gereken Kurallar” kısmında görülen CGNAT dökümü bir Vodafone abonesine aittir ve 2014 ila 2016 yıllarına ait Vodafone’dan gelen kayıtların neredeyse tümü aynı hatalara sahiptir.

Yazıda 2014 ila 2016 yıllarında CGNAT yapılandırması hakkında hiç bir ayrıntı yer almamaktadır.

Turkcell:

  1. Yazıda BTK’ya iletilen bilgiler arasında oturum süresinin de yer aldığı görülmektedir. Ancak BTK’dan gelen CGNAT dökümlerinde oturum süresi sütunu yer almamaktadır.
  2. BTK’ya  iletilen verilerde yanlış bir eşlemeden kaynaklı hatalı bir durum olması beklenmediği ifade edilmektedir.
  3. Bir önceki paragrafta eşleşme kurallarına uyan birden fazla kullanıcı olması halinde veri eşleşmesinin yapılmadığı ve bu verinin BTK’ya iletilmediği ifade edilmektedir.
    Bu ifadeyle CGNAT kayıt sistemlerinde hata oluşmasının kuvvetli bişr olasılık olduğu, fakat hatalı verinin göz ardı edildiği açıkça ifade edilmektedir.

Yazıda 2014 ila 2016 yıllarında CGNAT yapılandırması hakkında hiç bir ayrıntı yer almamaktadır.

Avea:

  1. Yazıda hiçbir teknik gerekçeye yer verilmemekle birlikte, atanan genel port bilgisi olmaksızın genel IP adreslerinin kayıt eşleştirme için kullanılamayacağının ipucu verilmektedir.
  2. Abonelerin port bazında ayrıştırılarak tekilleştirilebileceğinden bahsedilmekle CGNAT sisteminin normal çalışma şartının ayrıntısız olarak belirtildiği görülmektedir.
  3. Son kısımda “özel IP bilgilerinin firmaya ait kayıtlarda olması beklenmez” denilmekte, CGNAT sisteminin ayrıntılı kayıt tutmasında karşılaşılan veya karşılaşılması olası durumlar hakkında bilgi verilmemektedir.

Yazıda 2014 ila 2016 yıllarında CGNAT yapılandırması hakkında hiç bir ayrıntı yer almamaktadır.

BTK ve operatör cevap yazılarının metin özetlerine ve tam sayfa görsellerine aşağıda yer verilmiştir.

BTK cevabı:

Vodafone cevap yazısı:

25/05/2017

Kurumunuzca gönderilen ilgili yazınızda, adli makamlarca yürütülen soruşturmalar kapsamında kullanılan ve Şirketimizce Kurumunuza gönderilen CGNAT verilerinde yer alan “Özel İP adresi” ve “Genel İP adresi” alanlarının aynı anda birden fazla kullanıcıya tahsis edilmesinden dolayı oluşan İP çakışmasından kaynaklı bir hata olmasının mümkün olup olmadığı; bu hususta ilgili mahkeme ve Cumhuriyet Başsavcriıkianna verilmek üzere gerekli teknik açıklamaların detaylı bir biçimde yapılması talep edilmiştir.

Konuya ilişkin olarak Şirketimizce, “NAT44” teknolojisi kullanılarak yapılan deterministik NAT ile internet kullanımlarına ilişkin detay log korelasyonu yapılmaktadır.
Yapılan bu korelasyon ile Başkanlığınıza iki farklı veri gönderilmektedir. İlki, yapılan bağlantı başına yapılan korelasyon; ikincisiyse, deterministik mantığına göre aboneye verilen Özel İP, Gerçek İP ve Port aralığına göre yapılan kolerasyondur.
Gerçek İP sistemi, bir ay öncesine kadar şebekemizde 1000’lik Port kınlımı kullanım sonrası 15 saniyelik karantina süresi ile verilmekte ve çalişmaktaydı. Ancak, artan abone adedi ve kullanım miktarı nedeniyle oluşabilecek riskleri minimize etmek amacıyla bu sistem değiştirilmiştir.

Hali hazırda kullanılan sistemde, gerçek IP’lerimizi kullanıcı kullandığı IP ve port kombinasyonunun tekrar farklı bir müşteri kullanımı için kullanım sırasının en sonuna konularak yapılmakta, bu işlemde karantinada tutma süresinin 20-60 dakika arası sürdüğü gözlemlenmektedir. Bu süre müşteri ve kullanım artışıyla azalacak olup, farklı zaman dilimlerinde kullanıma bağlı olarak değişiklik göstermektedir.

Turkcell cevap yazısı:

13/06/2017

İlgide kayıtlı yazınızla, belirtilen mevzuat doğrultusunda; Adli makamlarca yürütülen sonıştunnalar kapsamında kullanılan ve Şirketimizce Kurumunuza gönderilen CGNAT verilerinde yer alan “özel İP adresi” ve “Genel IP adresi” alanları ite ilgili olarak aynı zamanda birden fazla kullanıcıya tahsis edilmesinden ötürü IP çakışmasından kaynaklı bir hata olması durumunun mümkün olup olmadığı ile ilgili Mahkeme ve Cumhuriyet Savcılıklarına verilmek üzere gerekli teknik açıklamaların detaylı bir biçimde yapılması ve ilgide kayıtlı yazınızın Şirketimize teslim edildiği tarihten itibaren 5 (beş) gün içerisinde Kurumunuza yazüı olarak bilgi verilmesi istenmiştir, tlgi (b)’de kayıtlı yazımız ile ek süre talep edilmiş olup ilgi (a)’da kayıtlı yazınızda istenen hususlara ilişirin açıklamalarımız aşağıda sunulmuştur.

Yazınızda belirtilen “… Kurumumuza gönderilen CGNAT verilerinde yer alan “Özel IP adresi” ve “Genel IP adresi” alanları ile ilgili olarak aynı zamanda birden fazla kullanıcıya tahsis edilmesinden ötürü IP çakışmasından kaynaklı bir hata olması durumunun mümkün olup olmadığı…” sorusuna ilişkin yapılan teknik değerlendirme aşağıda yer almaktadır.

Kurumunuza gönderilmekte olan CGNAT verileri, birbirilerinden bağımsız olarak çalışan iki çeşit farklı kaynak sistemde oluşan şebeke verilerinin eşleşmesi ile elde edilmektedir.
Bu kaynakları açıklamak gerekirse;
– 1. çeşit kaynak sistem, CDR’ lann oluştuğu SGSN ve GGSN şebeke elemanları.
– 2.çeşit kaynak sistem, CGNAT verilerin oluştuğu A10 alt yapılan.

Temelde,
– SGSN ve GGSN CDR’ lannda, Özel IP adresin bir kullanıcıya tahsis edildiği zaman aralığı bilgileri yer almaktadır.

– CGNAT verilerinde ise oturum başlama tarih ve saat bilgisi ile beraber, özel IP/özel Port, gerçek IP/gerçek Port eşleşmesi, erişilen IP/erişilen Port bilgileri yer almaktadır.
Ayrıca, Kurumunuza iletilmekte olan eşleştirilmiş verilerin hangi kaynaktan elde edildiği bilgisi EK-A’da sunulan Tablo-l’de gösterilmiştir.

Eşleşme kurallan özet olarak CD ortamında EK-B’de sunulmuş, detayları ise aşağıda açıklanmıştır.

Birbirinden bağımsız olarak çalışan iki kaynaktan gelen verilerin eşlemesi için CGNAT alt yapılarında oluşan her oturum kaydına ilişkin aşağıdaki tim koşulların tun olarak sağlanması gerekmektedir;

1. SGSN/GGSN CDR’larında yer alan Özel IP (SERVEDPDPADDRESS), CGNAT
loglarında yer alan Özet IP (PRIVATEIP/NAT) bilgisine eşit olması,

SERVEDPDPADDRESS = PRIVATEIP(NAT)

2. NAT loglarında ve SGSN/GGSN CDR’larında zaman (tarih ve saat) bilgisinin aşağıdaki koşullara uyması,

– SGSN/GGSN CDR’ larında yer alan oturum başlangıç tarih ve saat {SESSIONJSTART) değerinin, CGNAT verilerinde yer alan oturum tarih ve saat {STARTTIME/NAT) bilgisinden küçük veya eşit olması,

SESSION_START <= STARTTIME(NAT)

– SGSN/GGSN CDR’lannda yer alan oturum bitiş tarih ve saat {SESSION_END) bügisinm, CGNAT verilerinde yer alan oturum tarih ve saat {STARTTIME/NAT) bilgisinden büyük olması,

SESSION_END > STARTTIME(NAT)
Diğer yandan, halihazırda ve geçmiş uygulamalarımızda eş zamanlı olarak bir özel IP sadece tek bir kullanıcıya tahsis edilmektedir. Eşleşme kurallarına uyan birden fazla kullanıcı olması halinde ise veri eşleşmesi yapılmamakta ve bu veri Kurumunuza iletilmemektedir.

Yukarıda açıklanan kuralların varlığı da gözetildiğinde, Kurumunuza iletilen verilerde yanlış bir eşlemeden kaynaklı hatalı bir durum olması beklenmemektedir.

Yine de bir soru işareti olması halinde, Kurumunuza iletilen GPRS (SGSN / GGSN / PGW / SGW) CDR’lannda yer alan tarih, saat ve Özel IP bilgileri ile NAT verilerinde yer alan bilgilerin çapraz kontrolleri ile hatalı bir durum olup olmadığı anlaşılacaktır. Ayrıca erişilen IP bilgisi ve erişen Port bilgisinin destekleyici bilgi olarak kullanılacağı değerlendirilmektedir.

Son olarak, tarafımıza somut örnekler iletilmesi halinde; bu veriler üzerinden hatalı bir durum olup olmadığına ilişkin inceleme yapmak mümkün olacaktır.

Avea cevap yazısı:

05/06/2017

“İlgide kayıtlı yazınızda, Şirketimiz tarafından Kurumunuz sistemlerine iletilen CGNAT verilerinde yer alan “Özel IP adresi ve “Genel IP adresi” alanları ile ilgili olarak; aynı zamanda birden fazla kullanıcıya tahsis edilmesinden dolayı IP çakışmasından kaynaklı bir hata olması durumunun mümkün olup olmadığı hususlarında detaylı teknik açıklamaların iletilmesi talep edilmiştir.

Şirketimiz sistemlerinde yapılan incelemeler neticesinde, mevcut şebekemiz üzerinde Özel IP ve Genel IP + port andığı eşleşmesi kullanıcı bazında yapılmaktadır. Şirketimiz sistemleri üzerinden İnternete erişim sağlayan kullanıcılara bağlantı anı için public IP adresinin birden fazla abone için kullanılabileceği ancak, port bazında ayrım yapılmakta olduğu değerlendirilmektedir. Dolayısıyla aynı Genel İP birden fazla kullanıcı için aynı anda kullanılabilir ve Mı kapsamda çakışma olması da normaldir. Ancak, aboneler port bazında ayrıştırılarak tekilleştirilebilir. Sonuç olarak, Genel IP + port bilgisi herhangi bir an için tekil durumdadır. Private IP için ise, her abonede bağlantı anı için tekildir. Dolayısıyla, private IP bilgisi çakışması herhangi bir an için Şirketimiz CDR kayıtlarında olması beklenmez.”

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache