Batalhando Bittorrent

14

Aqui está um problema / cenário interessante que alguns administradores de sistema podem desfrutar:

O proprietário de um prédio de apartamentos está dando acesso gratuito à Internet aos seus inquilinos. Basicamente, ele tem um T1 chegando ao prédio e cada apartamento tem um plug CAT5 na parede. O acesso à Internet é "gratuito" (incluído no aluguel ou o que for) para os inquilinos.

O problema é que vários dos inquilinos estão baixando filmes / músicas ilegais via bittorrent. Como resultado, a MPAA e a RIAA estão enviando "desagradáveis" ao proprietário da conexão à Internet (isto é, proprietário do apartamento) referente aos downloads ilegais.

O proprietário do apartamento bloqueou listas de sites de torrent, bem como várias extensões de arquivo no nível do roteador, mas o problema persiste.

O que eu gostaria de saber é se alguém por aí tem uma solução inteligente / barata para esse problema? Aparentemente, a QoS funciona até certo ponto porque o bittorrent pode usar praticamente qualquer porta que desejar. A inspeção de pacotes não funciona em conexões criptografadas, etc.

O proprietário do apartamento disse que ficaria feliz se pudesse simplesmente ver o tráfego de upload / download (ou seja, possíveis agressores) das unidades individuais do apartamento.

Alguma ideia?

ATUALIZAÇÃO: Não estou interessado em discutir as questões legais / de advogados / sociais, tanto quanto as soluções técnicas reais (sejam elas quais forem). Solicito que você vote nas discussões técnicas sobre as legais / sociais. Obrigado!

RESPOSTA: Selecionou a resposta de Justin Scott como a resposta correta devido à sua sugestão de usar comutadores gerenciados e MRTG. Embora tenha sido melhor bloquear o bittorrent ou, pelo menos, dificultar o MRTG EXTREMAMENTE difícil, e um switch gerenciado nos permitirá identificar facilmente o (s) agressor (es).

bittorrent KPWINC
fonte
Um T1 não é tecnicamente em torno de 1 MBps?
NiXar 26/06/2009
Um T1 é na verdade 1,54 Mbps. O prédio realmente tem um canal maior que esse ... DSL a 3-4Mbps, mas por uma questão de simplicidade, eu disse T1 na pergunta ... não que isso importasse muito. :-)
KPWINC 26/06/09

Respostas:

10

Se cada apartamento tiver sua própria porta em um switch gerenciado em algum lugar do edifício, a visualização de seus níveis de tráfego deve ser bastante simples com algo como MRTG.

No entanto, isso parece mais uma questão legal do que uma questão técnica. IANAL, mas, ao tentar policiar a conexão, o proprietário está essencialmente renunciando a qualquer tipo de status de "transportadora comum" que ele possa ter (se houver). Se eu estivesse nessa posição, cada apartamento obteria um IP estático para acessar a Internet. Se a MPAA / RIAA viesse à porta, eu educadamente os encaminharia para o inquilino que "possui" o endereço IP em questão.

Justin Scott
fonte
Não acredito que seja um switch gerenciado. Então, vamos assumir um interruptor estúpido regular por enquanto. Só digo isso porque ele tem vários prédios e tenho certeza de que nem todos têm um switch gerenciado.
KPWINC
Concordo com você Justin. Não teria que ser estático, apenas público. Esse IP estaria na carta, tenho certeza.
Daniel Lucas
Se você não conseguir rastrear o uso da porta nos comutadores individuais, poderá usar estatísticas do roteador de borda, dependendo do tipo e da configuração. Essa não é uma solução ideal, pois você precisaria correlacionar os endereços IP rastreados com os apartamentos de alguma forma. Se eles usam NAT com um servidor DHCP e curtos tempos de concessão, suas opções se tornam realmente limitadas.
Justin Scott
1
Além disso, se os comutadores não forem gerenciados, recomendo substituí-los assim que os fundos puderem ser orçados. Você pode comprar switches gerenciados 10/100 mais antigos no eBay muito baratos. Acabamos de comprar um bom switch gerenciado de montagem em rack HP ProCurve 1U de 24 portas que suporta SNMP por cerca de US $ 70. É muito bom poder ver a utilização da porta em tempo real através de sua interface da web.
Justin Scott
1
Tem que concordar com Justin aqui. As ferramentas para monitorar o tráfego são gratuitas e comprovadas, desde que você possa ler os contadores por porta. A solução mais barata será obter alguns switches gerenciados baratos.
21411 James F #
13

Ele está autorizado pelo seu ISP para sublocar o T1 para outros? Nesse caso, ele é efetivamente uma operadora comum (como uma companhia telefônica) e não é responsável pelo uso do serviço. Assim que ele começa a tomar medidas para evitar determinado tráfego, ele está assumindo a responsabilidade. Eu contataria um advogado antes de fazer qualquer coisa.

Se ele não está autorizado pelo provedor de serviços de Internet a sublocar seu T1, eu nem me envolvo. "Você está no seu próprio amigo."

Daniel Lucas
fonte
Obrigado pela sua compreensão sobre isso, mas assuntos legais à parte, estou mais interessado em uma solução técnica e em "O que é tecnicamente possível fazer". Uma vez que sabemos quais são TODAS as opções, ele pode decidir para onde quer ir.
KPWINC
2
KPWINC compreendido. Acho que não gostaria de ter parte na limitação do tráfego de usuários. Mantenha a internet livre como em liberdade. Livre como na cerveja seria bom também. ;)
Daniel Lucas
Meu entendimento é que ninguém os está limitando. Eles são livres para comprar sua própria conexão de banda larga. Se fosse esse o caso, os avisos da MPAA / RIAA seriam enviados a eles em vez do proprietário do edifício. É meio que, se você vier nadar na minha piscina, por favor, não mije nela ... se é a sua piscina ... faça o que quiser. ;-)
KPWINC 16/06/09
6

A melhor solução social que eu já vi é entregar a carta aos inquilinos e após três avisos encerrar o serviço de internet. A maioria dos complexos em que trabalhei tem essa política e funciona bem. Após a primeira ou a segunda letra, você vê o uso da largura de banda diminuir significativamente.

Caso contrário, eu não me preocuparia. Ele não terá a conexão desligada por receber uma massa "vimos você baixar este" e-mails ou carta. As chances de ir a tribunal são muito pequenas. Pessoalmente, se eu tivesse um T1 (ou algo mais rápido ...), pediria um bloco de endereços IP e daria a cada apartamento seu próprio IP público; então, é trivial rastrear quem fez o que e trocar a culpa.

reconectar
fonte
Isso pressupõe que ele tenha legitimidade para compartilhar seu T1 em primeiro lugar. Mas concordo com suas respostas técnicas / sociais. Você precisa ter os dois lados cobertos para que isso funcione.
31813 Joseph Kern
Joseph Kern sugere peergaudian como um serviço de gateay, eu gosto dessa idéia - eu também limitaria a velocidade de upload deles após a primeira ofensa, como faria um provedor regular. Desencoraja o comportamento.
reconbot
Estou bastante certo de que ele tem permissão para compartilhar o T1, pois está se comunicando com o ISP sobre o problema. Esta é uma conexão comercial e seu ISP parece não ter problemas com a maneira como ele está usando a linha. A questão principal parece estar determinando quem (por trás do seu NAT) está usando a largura de banda.
KPWINC
6

Todo mundo aqui já falou sobre questões de legalidade com esse tipo de configuração, então não vou vencer mais esse cavalo morto.

Se você deseja uma boa ferramenta gratuita para monitorar o tráfego da Internet, experimente o IPAUDIT, pois ele fornece informações muito boas sobre o uso do tráfego do seu host. Tenho uma postagem na pergunta a seguir ( IPAUDIT é uma solução baseada em Linux para monitoramento de tráfego): /server/8267/monitor-internet-bandwidth

Você também pode encontrar boas respostas neste quesiton: Monitoramento de tráfego de rede

l0c0b0x
fonte
2
+1 por pular a discussão sobre legalidade!
Mark Henderson
4

Eu vou ter que ser realmente negativo sobre isso ... Tentar combater o Bit Torrent da maneira técnica vai levar a muitas dores de cabeça por uma eficiência quase nula. O Bit Torrent pode ser encapsulado em SSL na porta 443, tornando-o diferente de navegar em um site HTTPS.

A única solução é conversar com as pessoas e fazê-las desacelerar ou simplesmente parar ...

Antoine Benkemoun
fonte
6
Você quer dizer "A única solução, exceto desconectar o usuário", que permanece uma opção se o usuário puder ser identificado.
Sr. Shiny e New # 15/06/09
+1 Exatamente. Assim, a tarefa se torna a melhor / mais fácil / mais barata maneira de configurá-la, para que ele possa identificar facilmente qual inquilino é o culpado. :-)
KPWINC 15/06/2009
Você está certo Mr. Shiny, mas que apenas não parece ser uma solução muito agradável :-)
Antoine Benkemoun
2

Eu olhava para gráficos de estatísticas de uso de largura de banda. Como ele usa distribuição com fio, o uso de contadores SNMP (desde que os comutadores de distribuição sejam capazes) é uma ótima maneira de obter estatísticas (supondo que os inquilinos não estejam enviando tráfego para outro lugar que não a Internet - ou seja, não ponto a ponto na LAN ) sobre o uso da largura de banda. MRTG, cactos, etc, são seus amigos para isso.

Se os inquilinos estiverem trabalhando em rede ponto a ponto, ele precisará fazer algum perfil de tráfego na saída para a Internet. Você pode fazer isso barato com uma instalação Linux iptables e algumas regras de log.

Provavelmente é melhor o proprietário falar com um advogado sobre isso (embora isso custe dinheiro). Seria uma boa idéia se ele tivesse certeza de que não iria acabar sendo alvo de litígios.

Evan Anderson
fonte
1

Ele precisa ter muito cuidado com sua situação legal, conforme mencionado nos outros posts. Converse com um advogado.

Existem alguns meios técnicos para lidar com isso. Mas tenho medo de que tentar qualquer coisa o leve mais fundo. Um advogado poderia fazer sua tentativa de controle técnico em várias direções.

Nenhuma boa ação fica impune.

(Ou ele pode simplesmente instalar o peerguardian como um serviço de gateway)

Joseph Kern
fonte
0

A única maneira razoável de garantir a integridade da sua rede é, por padrão, restringir todo o acesso, exceto os permitidos. Todos os outros métodos, se você ainda insiste em ter controle total da rede, estão apenas alcançando os melhores (e mais antigos) protocolos mais novos usados ​​para enviar dados de a para bec e vice-versa.

Mas se você estiver interessado em segurança no trabalho e muito trabalho administrativo, faça isso.

BTW, você não disse de que país você veio, a jurisdição é bastante diferente nesse tópico em todo o mundo, mas eu presumo os EUA, já que você está falando sobre um canal T1.

Algo que aparentemente funciona muito bem nos estados está respondendo com algum jargão jurídico afirmando que eles podem escolher entre uma das explicações:

  • O proprietário dos direitos autorais concedeu o direito implícito de fazer uso da disponibilidade desse trabalho
  • O trabalho recebido não é o mesmo que o trabalho referido nas suas alegações

Sempre termine sua carta com uma saudação amigável e a opção de discutir melhor o assunto, informando sua tarifa de consultoria.

Martin P. Hellwig
fonte
Tática interessante com a carta de resposta, Martin. Onde você soube que isso era eficaz? Apenas curioso.
Daniel Lucas
Alguns estudantes de direito de Harvard escreveram para a RIAA quando eles foram cobrados, posteriormente todos os encargos foram retirados, estavam em um local parecido com um slashdot há um ou dois anos. Uma observação sobre a argumentação: se bem me lembro, o argumento era que, porque eles só podem ver quem faz o download do que com bit torrent, se também fazem o mesmo ponto do download, o que significa que eles disponibilizam o material com direitos autorais e são os detentores do material ou ato do interesse do detentor dos direitos autorais, eles concedem permissão subseqüente para baixá-lo ou são falsos, o que significa que não têm direitos autorais.
22139 Martin P. Hellwig
0

Vou melhorar a melhor resposta.

Você deve comprar um dispositivo Smoothwall Firewall (ou IPCop, MonoWall, LEAF ou pfSense) porque o Smoothwall usa MRTG. O Smoothwall oferece todos os tipos de recursos adicionais.

Você pode comprar um dispositivo de firewall dual-NIC barato por apenas algumas centenas de dólares.

ou faça você mesmo usando uma placa-mãe mini-ITX de duas placas de rede como uma EPIA-M700 (US $ 257) ou uma EPIA LT ou uma EPIA PE.

djangofan
fonte
0

Eu diria para instituir o endereço de pacote de conexão / desconexão / UDP e o log de DHCP no roteador e incluir o número da porta do roteador nos logs. A idéia aqui é que a carta da RIAA deve incluir a data / hora / ip da infração. A partir disso, você pode procurar qual porta do roteador (e, portanto, qual apartamento) estava cometendo a infração e encaminhar a carta. Esses logs serão grandes, mas como não incluem o conteúdo do pacote, eles não devem ser MUITO grandes. E se o proprietário for NATting, o tráfego UDP de entrada deve ser muito pequeno.

Isso permite que o proprietário prove (na medida do possível) qual parte é responsável e repasse o incômodo para eles adequadamente. Em qualquer ação judicial, o proprietário deve conseguir obter êxito com qualquer coisa, exceto responder a algumas intimações para registros.

Michael Kohne
fonte