Lutter contre Bittorrent

14

Voici un problème / scénario intéressant que certains administrateurs système pourraient apprécier:

Un propriétaire d'immeuble donne gratuitement accès à Internet à ses locataires. Fondamentalement, il a un T1 venant dans le bâtiment et chaque appartement a une prise CAT5 dans le mur. L'accès internet est "gratuit" (inclus dans le loyer ou autre) pour les locataires.

Le problème est que plusieurs des locataires téléchargent des films / musiques illégaux via bittorrent. En conséquence, la MPAA et la RIAA envoient des «nastygrammes» au propriétaire de la connexion Internet (c'est-à-dire le propriétaire de l'appartement) concernant les téléchargements illégaux.

Le propriétaire de l'appartement a bloqué des listes de sites torrent ainsi que plusieurs extensions de fichiers au niveau du routeur mais le problème persiste.

Ce que j'aimerais savoir, c'est si quelqu'un a une solution intelligente / peu coûteuse à ce problème? La QoS ne fonctionne apparemment que jusqu'à un certain point car bittorrent peut utiliser à peu près n'importe quel port de son choix. L'inspection des paquets ne fonctionne pas sur les connexions cryptées, etc.

Le propriétaire de l'appartement a dit qu'il serait heureux s'il pouvait simplement voir le trafic de téléchargement (c'est-à-dire les abuseurs potentiels) des appartements individuels.

Des idées?

MISE À JOUR: Pas intéressé à discuter des questions juridiques / juridiques / sociales autant que les solutions techniques réelles (quelles qu'elles soient). Je vous prie de bien vouloir voter sur les discussions TECHNIQUES plutôt que juridiques / sociales. Merci!

RÉPONSE: Sélection de la réponse de Justin Scott comme la bonne réponse en raison de sa suggestion d'utiliser des commutateurs gérés et MRTG. Bien qu'il aurait été plus agréable de bloquer bittorrent ou du moins de rendre le MRTG EXTRÊMEMENT difficile et un changement géré nous permettra d'identifier facilement le ou les délinquants.

KPWINC
la source
Un T1 n'est-il pas techniquement autour de 1 Mo / s?
niXar
Un T1 est en fait de 1,54 Mbps. Le bâtiment a en fait un tuyau plus gros que ça ... DSL à 3-4Mbps mais pour des raisons de simplicité, j'ai dit T1 dans la question ... pas que cela importait beaucoup. :-)
KPWINC

Réponses:

10

Si chaque appartement a son propre port sur un commutateur géré quelque part dans le bâtiment, voir leurs niveaux de trafic devrait être assez simple avec quelque chose comme MRTG.

Cependant, cela semble être davantage un problème juridique qu'un problème technique. IANAL, mais en essayant de contrôler la connexion, le propriétaire abandonne essentiellement toute sorte de statut de «transporteur public» qu'il aurait pu avoir (le cas échéant). Si j'étais dans cette position, chaque appartement obtiendrait une adresse IP statique pour accéder à Internet. Si la MPAA / RIAA venait frapper, je les dirigerais poliment vers le locataire qui "possède" l'adresse IP en question.

Justin Scott
la source
Je ne crois pas que ce soit un commutateur géré. Supposons donc un interrupteur stupide régulier pour l'instant. Je dis seulement cela parce qu'il a plusieurs bâtiments et je suis sûr que tous n'ont pas de commutateur géré.
KPWINC
D'accord avec toi Justin. Cela ne devrait pas être statique, juste public. Cette adresse IP figurerait sur la lettre, j'en suis sûr.
Daniel Lucas
Si vous ne pouvez pas suivre l'utilisation des ports sur les commutateurs individuels, vous pourrez peut-être utiliser les statistiques du routeur frontière en fonction de son type et de sa configuration. Ce n'est pas une solution idéale car vous auriez besoin de corréler les adresses IP suivies avec les appartements d'une manière ou d'une autre. S'ils utilisent NAT avec un serveur DHCP et des durées de location courtes, vos options deviennent vraiment limitées.
Justin Scott
1
De plus, si les commutateurs ne sont pas gérés, je recommande de les remplacer dès que les fonds peuvent être budgétés pour cela. Vous pouvez acheter des commutateurs gérés 10/100 plus anciens sur eBay à peu de frais. Nous venons d'acheter un joli commutateur monté en rack HP ProCurve 1U à 24 ports qui prend en charge SNMP pour environ 70 $. C'est vraiment agréable de pouvoir voir l'utilisation du port en temps réel via son interface web.
Justin Scott
1
Je dois être d'accord avec Justin ici. Les outils pour effectuer la surveillance du trafic sont gratuits et éprouvés, tant que vous pouvez lire les compteurs par port. La solution la moins chère consistera à obtenir des commutateurs gérés bon marché.
James F
13

Est-il autorisé par son FAI à sous-louer le T1 à d'autres? Dans l'affirmative, il est en fait un transporteur public (comme une compagnie de téléphone) et n'est pas responsable de l'utilisation du service. Dès qu'il commence à prendre des mesures pour empêcher certains trafics, il en assume la responsabilité. Je contacterais un avocat avant de faire quoi que ce soit.

S'il n'est pas autorisé par son FAI à sous-louer leur T1, je ne m'impliquerais même pas. "Tu es sur ton propre pote."

Daniel Lucas
la source
Merci pour votre perspicacité sur ce point mais en dehors des questions juridiques, je suis plus intéressé par une solution technique et "Ce qui est techniquement possible de faire". Une fois que nous savons quelles sont TOUTES les options, il peut décider dans quelle direction il veut aller.
KPWINC
2
Compris KPWINC. Je suppose que je ne voudrais tout simplement pas participer à la limitation du trafic des utilisateurs. Gardez Internet libre comme en toute liberté. Gratuit comme dans la bière ce serait bien aussi. ;)
Daniel Lucas
Je crois comprendre que personne ne les limite. Ils sont libres d'acheter leur propre connexion haut débit. Si tel était le cas, les avis MPAA / RIAA leur seraient transmis à la place du propriétaire de l'immeuble. C'est un peu comme si vous venez nager dans ma piscine s'il vous plait ne faites pas pipi dedans ... si c'est VOTRE piscine ... faites ce que vous aimez. ;-)
KPWINC
6

La meilleure solution sociale que j'ai vue est de remettre la lettre aux locataires et après 3 avis, mettre fin à leur service Internet. La plupart des complexes dans lesquels j'ai travaillé ont cette politique et cela fonctionne bien. Après la première ou la deuxième lettre, vous voyez leur utilisation de la bande passante baisser considérablement.

Sinon, je ne m'en inquiéterais pas. Il n'aura pas la connexion coupée pour recevoir une masse "nous vous avons vu télécharger ce" courriels ou lettre. Les chances qu'il soit renvoyé devant les tribunaux sont très minces. Personnellement, si j'avais un T1 (ou quelque chose de plus rapide ..), je demanderais un bloc d'adresse IP et donnerais à chaque appartement son propre IP public, alors il est trivial de tracer qui a fait quoi et de rejeter la faute.

reconbot
la source
Cela suppose qu'il a la capacité juridique de partager son T1 en premier lieu. Mais je suis d'accord sur vos réponses techniques / sociales. Vous devez avoir les deux côtés couverts pour que cela fonctionne.
Joseph Kern
Joseph Kern suggère peergaudian comme un service gateay, j'aime cette idée - je plafonnerais également leur vitesse de téléchargement après la première infraction comme le ferait un FAI ordinaire. Décourage le comportement.
reconbot
Je suis assez certain qu'il a la permission de partager le T1 car il a communiqué avec le FAI sur le problème. Il s'agit d'une connexion commerciale et son FAI ne semble pas avoir de problème avec la façon dont il utilise la ligne. Le principal problème semble être de déterminer qui (derrière son NAT) utilise la bande passante.
KPWINC
6

Tout le monde ici a déjà parlé des problèmes de légalité avec ce type de configuration, donc je ne battrai plus ce cheval mort.

Si vous souhaitez un bon outil gratuit pour surveiller le trafic Internet, vous voudrez peut-être essayer IPAUDIT car il vous donnera de très bonnes informations sur l'utilisation du trafic de votre hôte. J'ai un message dans la question suivante ( IPAUDIT est une solution basée sur Linux pour la surveillance du trafic): /server/8267/monitor-internet-bandwidth

Vous pouvez également trouver de bonnes réponses dans cette question: Surveillance du trafic réseau

l0c0b0x
la source
2
+1 pour avoir sauté la discussion sur la légalité!
Mark Henderson
4

Je vais devoir être très négatif à ce sujet ... Essayer de combattre Bit Torrent de la manière technique va conduire à beaucoup de maux de tête pour une efficacité presque nulle. Bit Torrent peut être encapsulé dans SSL sur le port 443, ce qui ne le rend pas différent de la navigation sur un site Web HTTPS.

La seule solution est de parler aux gens et de les faire ralentir ou simplement s'arrêter ...

Antoine Benkemoun
la source
6
Vous voulez dire, "La seule solution à court de débrancher l'utilisateur", qui reste une option si l'utilisateur peut être identifié.
M. Shiny et New 安 宇
+1 Exactement. Ainsi, la tâche devient alors le moyen le meilleur / le plus facile / le moins cher de le configurer afin qu'il puisse facilement identifier quel fanion est le coupable. :-)
KPWINC
Vous avez raison, M. Shiny, mais cela ne semble pas être une très bonne solution :-)
Antoine Benkemoun
2

Je regarderais le graphique des statistiques d'utilisation de la bande passante. Puisqu'il utilise la distribution câblée, l'utilisation de compteurs SNMP (à condition que les commutateurs de distribution soient capables) est un excellent moyen d'obtenir des statistiques (en supposant que les locataires n'envoient pas de trafic ailleurs que sur Internet - c'est-à-dire pas d'égal à égal sur le LAN ) sur l'utilisation de la bande passante. MRTG, Cacti, etc. sont vos amis pour cela.

Si les locataires font du réseautage poste à poste, il devra effectuer un profilage du trafic à la sortie sur Internet. Vous pouvez le faire à bas prix avec une installation iptables Linux et quelques règles de journalisation.

Le propriétaire est probablement mieux servi de parler à un avocat à ce sujet (bien que cela coûte de l'argent). Ce serait une bonne idée s'il s'assurait qu'il ne finirait pas par être la cible d'un litige.

Evan Anderson
la source
1

Il doit faire très attention à son statut juridique, comme mentionné dans les autres postes. Parlez à un avocat.

Il existe quelques moyens techniques pour y faire face. Mais j'ai peur qu'essayer quelque chose ne fasse que l'approfondir. Un avocat pourrait orienter sa tentative de contrôle technique dans plusieurs directions.

Aucune bonne action ne reste impunie.

(Ou il pourrait simplement installer peerguardian en tant que service de passerelle)

Joseph Kern
la source
0

Le seul moyen raisonnable de garantir l'intégrité de votre réseau est, par défaut, de restreindre tous les accès, sauf ceux que vous autorisez. Toutes les autres méthodes, si vous insistez toujours pour avoir un contrôle total du réseau, ne font que rattraper le retard avec les protocoles les plus récents (et les plus connus) utilisés pour envoyer des données de a à b et vice versa.

Mais si vous êtes intéressé par la sécurité d'emploi et beaucoup de travail administratif, allez-y.

BTW vous n'avez pas dit de quel pays vous venez, la juridiction est assez différente sur ce sujet à travers le monde mais je suppose que les USA puisque vous parlez d'une pipe T1.

Quelque chose qui fonctionne apparemment assez bien aux États-Unis réécrit avec un certain jargon juridique indiquant qu'ils peuvent choisir entre l'une ou l'autre explication:

  • Le titulaire du droit d'auteur a donné implicitement le droit d'utiliser la disponibilité de cette œuvre
  • Le travail reçu n'est pas le même que le travail mentionné dans vos allégations

Terminez toujours votre lettre par un salut amical et la possibilité de discuter davantage de la question, en indiquant votre tarif de conseil.

Martin P. Hellwig
la source
Tactique intéressante avec la lettre de réponse, Martin. Où avez-vous entendu dire que cela était efficace? Seulement curieux.
Daniel Lucas
Un couple d'étudiants en droit de Harvard a écrit à la RIAA lorsqu'ils ont été inculpés, puis toutes les accusations ont été abandonnées, sur un site de type slashdot il y a un an ou deux. Une remarque à propos de l'argumentation, si je me souviens bien, l'argument était que, car ils ne peuvent voir qui télécharge quoi avec bit torrent que s'ils se lient également au téléchargement, ce qui signifie qu'ils rendent le matériel protégé disponible et qu'ils sont le titulaire du matériel ou de l'acte de l'intérêt du titulaire du droit d'auteur, ils accordent une autorisation ultérieure de le télécharger ou il est faux, ce qui signifie qu'il n'est pas protégé par le droit d'auteur.
Martin P. Hellwig
0

Je vais améliorer la meilleure réponse.

Vous devez acheter une appliance Smoothwall Firewall (ou IPCop, MonoWall, LEAF ou pfSense) car Smoothwall utilise MRTG. Smoothwall vous offrira toutes sortes de fonctionnalités supplémentaires.

Vous pouvez acheter un pare-feu à double carte réseau à bas prix pour seulement quelques centaines de dollars.

ou faites-en vous-même en utilisant une carte mère mini-ITX double NIC comme un EPIA-M700 (257 $) ou un EPIA LT ou un EPIA PE.

djangofan
la source
0

Je dirais d'instituer la connexion / déconnexion / l'adresse de paquet UDP et la journalisation DHCP sur le routeur, et d'inclure le numéro de port du routeur dans les journaux. L'idée étant ici que la lettre RIAA devrait inclure la date / heure / ip de l'infraction. À partir de cela, vous pouvez rechercher quel port de routeur (et donc quel appartement) a commis l'infraction et transmettre la lettre. Ces journaux seront volumineux, mais comme ils n'incluent pas le contenu des paquets, ils ne devraient pas être TROP volumineux. Et si le propriétaire est NATting, le trafic UDP entrant doit être très faible.

Cela permet au propriétaire de prouver (autant qu'il le peut) quelle partie est responsable et de leur transmettre les tracas de manière appropriée. Dans toute action en justice, le propriétaire devrait être en mesure de réussir à sortir de quoi que ce soit, sauf répondre à certaines citations à comparaître pour les journaux.

Michael Kohne
la source