Lutter contre Bittorrent

Voici un problème / scénario intéressant que certains administrateurs système pourraient apprécier:

Un propriétaire d'immeuble donne gratuitement accès à Internet à ses locataires. Fondamentalement, il a un T1 venant dans le bâtiment et chaque appartement a une prise CAT5 dans le mur. L'accès internet est "gratuit" (inclus dans le loyer ou autre) pour les locataires.

Le problème est que plusieurs des locataires téléchargent des films / musiques illégaux via bittorrent. En conséquence, la MPAA et la RIAA envoient des «nastygrammes» au propriétaire de la connexion Internet (c'est-à-dire le propriétaire de l'appartement) concernant les téléchargements illégaux.

Le propriétaire de l'appartement a bloqué des listes de sites torrent ainsi que plusieurs extensions de fichiers au niveau du routeur mais le problème persiste.

Ce que j'aimerais savoir, c'est si quelqu'un a une solution intelligente / peu coûteuse à ce problème? La QoS ne fonctionne apparemment que jusqu'à un certain point car bittorrent peut utiliser à peu près n'importe quel port de son choix. L'inspection des paquets ne fonctionne pas sur les connexions cryptées, etc.

Le propriétaire de l'appartement a dit qu'il serait heureux s'il pouvait simplement voir le trafic de téléchargement (c'est-à-dire les abuseurs potentiels) des appartements individuels.

Des idées?

MISE À JOUR: Pas intéressé à discuter des questions juridiques / juridiques / sociales autant que les solutions techniques réelles (quelles qu'elles soient). Je vous prie de bien vouloir voter sur les discussions TECHNIQUES plutôt que juridiques / sociales. Merci!

RÉPONSE: Sélection de la réponse de Justin Scott comme la bonne réponse en raison de sa suggestion d'utiliser des commutateurs gérés et MRTG. Bien qu'il aurait été plus agréable de bloquer bittorrent ou du moins de rendre le MRTG EXTRÊMEMENT difficile et un changement géré nous permettra d'identifier facilement le ou les délinquants.

Si chaque appartement a son propre port sur un commutateur géré quelque part dans le bâtiment, voir leurs niveaux de trafic devrait être assez simple avec quelque chose comme MRTG.

Cependant, cela semble être davantage un problème juridique qu'un problème technique. IANAL, mais en essayant de contrôler la connexion, le propriétaire abandonne essentiellement toute sorte de statut de «transporteur public» qu'il aurait pu avoir (le cas échéant). Si j'étais dans cette position, chaque appartement obtiendrait une adresse IP statique pour accéder à Internet. Si la MPAA / RIAA venait frapper, je les dirigerais poliment vers le locataire qui "possède" l'adresse IP en question.

Est-il autorisé par son FAI à sous-louer le T1 à d'autres? Dans l'affirmative, il est en fait un transporteur public (comme une compagnie de téléphone) et n'est pas responsable de l'utilisation du service. Dès qu'il commence à prendre des mesures pour empêcher certains trafics, il en assume la responsabilité. Je contacterais un avocat avant de faire quoi que ce soit.

S'il n'est pas autorisé par son FAI à sous-louer leur T1, je ne m'impliquerais même pas. "Tu es sur ton propre pote."

La meilleure solution sociale que j'ai vue est de remettre la lettre aux locataires et après 3 avis, mettre fin à leur service Internet. La plupart des complexes dans lesquels j'ai travaillé ont cette politique et cela fonctionne bien. Après la première ou la deuxième lettre, vous voyez leur utilisation de la bande passante baisser considérablement.

Sinon, je ne m'en inquiéterais pas. Il n'aura pas la connexion coupée pour recevoir une masse "nous vous avons vu télécharger ce" courriels ou lettre. Les chances qu'il soit renvoyé devant les tribunaux sont très minces. Personnellement, si j'avais un T1 (ou quelque chose de plus rapide ..), je demanderais un bloc d'adresse IP et donnerais à chaque appartement son propre IP public, alors il est trivial de tracer qui a fait quoi et de rejeter la faute.

Tout le monde ici a déjà parlé des problèmes de légalité avec ce type de configuration, donc je ne battrai plus ce cheval mort.

Si vous souhaitez un bon outil gratuit pour surveiller le trafic Internet, vous voudrez peut-être essayer IPAUDIT car il vous donnera de très bonnes informations sur l'utilisation du trafic de votre hôte. J'ai un message dans la question suivante ( IPAUDIT est une solution basée sur Linux pour la surveillance du trafic): /server/8267/monitor-internet-bandwidth

Vous pouvez également trouver de bonnes réponses dans cette question: Surveillance du trafic réseau

Je vais devoir être très négatif à ce sujet ... Essayer de combattre Bit Torrent de la manière technique va conduire à beaucoup de maux de tête pour une efficacité presque nulle. Bit Torrent peut être encapsulé dans SSL sur le port 443, ce qui ne le rend pas différent de la navigation sur un site Web HTTPS.

La seule solution est de parler aux gens et de les faire ralentir ou simplement s'arrêter ...

Je regarderais le graphique des statistiques d'utilisation de la bande passante. Puisqu'il utilise la distribution câblée, l'utilisation de compteurs SNMP (à condition que les commutateurs de distribution soient capables) est un excellent moyen d'obtenir des statistiques (en supposant que les locataires n'envoient pas de trafic ailleurs que sur Internet - c'est-à-dire pas d'égal à égal sur le LAN ) sur l'utilisation de la bande passante. MRTG, Cacti, etc. sont vos amis pour cela.

Si les locataires font du réseautage poste à poste, il devra effectuer un profilage du trafic à la sortie sur Internet. Vous pouvez le faire à bas prix avec une installation iptables Linux et quelques règles de journalisation.

Le propriétaire est probablement mieux servi de parler à un avocat à ce sujet (bien que cela coûte de l'argent). Ce serait une bonne idée s'il s'assurait qu'il ne finirait pas par être la cible d'un litige.

Il doit faire très attention à son statut juridique, comme mentionné dans les autres postes. Parlez à un avocat.

Il existe quelques moyens techniques pour y faire face. Mais j'ai peur qu'essayer quelque chose ne fasse que l'approfondir. Un avocat pourrait orienter sa tentative de contrôle technique dans plusieurs directions.

Aucune bonne action ne reste impunie.

(Ou il pourrait simplement installer peerguardian en tant que service de passerelle)

Le seul moyen raisonnable de garantir l'intégrité de votre réseau est, par défaut, de restreindre tous les accès, sauf ceux que vous autorisez. Toutes les autres méthodes, si vous insistez toujours pour avoir un contrôle total du réseau, ne font que rattraper le retard avec les protocoles les plus récents (et les plus connus) utilisés pour envoyer des données de a à b et vice versa.

Mais si vous êtes intéressé par la sécurité d'emploi et beaucoup de travail administratif, allez-y.

BTW vous n'avez pas dit de quel pays vous venez, la juridiction est assez différente sur ce sujet à travers le monde mais je suppose que les USA puisque vous parlez d'une pipe T1.

Quelque chose qui fonctionne apparemment assez bien aux États-Unis réécrit avec un certain jargon juridique indiquant qu'ils peuvent choisir entre l'une ou l'autre explication:

• Le titulaire du droit d'auteur a donné implicitement le droit d'utiliser la disponibilité de cette œuvre
• Le travail reçu n'est pas le même que le travail mentionné dans vos allégations

Terminez toujours votre lettre par un salut amical et la possibilité de discuter davantage de la question, en indiquant votre tarif de conseil.

Je vais améliorer la meilleure réponse.

Vous devez acheter une appliance Smoothwall Firewall (ou IPCop, MonoWall, LEAF ou pfSense) car Smoothwall utilise MRTG. Smoothwall vous offrira toutes sortes de fonctionnalités supplémentaires.

Vous pouvez acheter un pare-feu à double carte réseau à bas prix pour seulement quelques centaines de dollars.

ou faites-en vous-même en utilisant une carte mère mini-ITX double NIC comme un EPIA-M700 (257 $) ou un EPIA LT ou un EPIA PE.

Je dirais d'instituer la connexion / déconnexion / l'adresse de paquet UDP et la journalisation DHCP sur le routeur, et d'inclure le numéro de port du routeur dans les journaux. L'idée étant ici que la lettre RIAA devrait inclure la date / heure / ip de l'infraction. À partir de cela, vous pouvez rechercher quel port de routeur (et donc quel appartement) a commis l'infraction et transmettre la lettre. Ces journaux seront volumineux, mais comme ils n'incluent pas le contenu des paquets, ils ne devraient pas être TROP volumineux. Et si le propriétaire est NATting, le trafic UDP entrant doit être très faible.

Cela permet au propriétaire de prouver (autant qu'il le peut) quelle partie est responsable et de leur transmettre les tracas de manière appropriée. Dans toute action en justice, le propriétaire devrait être en mesure de réussir à sortir de quoi que ce soit, sauf répondre à certaines citations à comparaître pour les journaux.