Luchando contra Bittorrent

14

Aquí hay un problema / escenario interesante que podrían disfrutar algunos administradores de sistemas:

El propietario de un edificio de apartamentos está regalando acceso gratuito a internet a sus inquilinos. Básicamente, tiene un T1 llegando al edificio y cada apartamento tiene un enchufe CAT5 en la pared. El acceso a Internet es "gratuito" (incluido en el alquiler o lo que sea) para los inquilinos.

El problema es que varios de los inquilinos están descargando películas / música ilegales a través de Bittorrent. Como resultado, la MPAA y la RIAA están enviando "nastygrams" al propietario de la conexión a Internet (es decir, el propietario del apartamento) en relación con las descargas ilegales.

El propietario del apartamento ha bloqueado las listas de sitios de torrents, así como varias extensiones de archivo en el nivel del enrutador, pero el problema persiste.

Lo que me gustaría saber es si alguien tiene una solución inteligente / económica para este problema. QoS aparentemente solo funciona hasta cierto punto porque bittorrent puede usar casi cualquier puerto que desee. La inspección de paquetes no funciona en conexiones cifradas, etc.

El propietario del apartamento dijo que estaría contento si pudiera simplemente ver el tráfico de carga / descarga (es decir, posibles abusadores) de las unidades de apartamentos individuales.

¿Algunas ideas?

ACTUALIZACIÓN: No está interesado en discutir los problemas legales / de abogados / sociales tanto como las soluciones técnicas reales (cualesquiera que sean). Le solicito amablemente que vote las discusiones TÉCNICAS sobre las legales / sociales. ¡Gracias!

RESPUESTA: Seleccionó la respuesta de Justin Scott como la respuesta correcta debido a su sugerencia de usar interruptores administrados y MRTG. Si bien hubiera sido mejor bloquear bittorrent o al menos hacer que fuera extremadamente difícil MRTG y un interruptor administrado nos permitirá identificar fácilmente a los delincuentes.

bittorrent KPWINC
fuente
¿No es un T1 técnicamente alrededor de 1 MBps?
niXar
Un T1 es en realidad 1.54Mbps. El edificio en realidad tiene una tubería más grande que eso ... DSL a 3-4Mbps, pero por simplicidad dije T1 en la pregunta ... no es que importara mucho. :-)
KPWINC

Respuestas:

10

Si cada apartamento tiene su propio puerto en un conmutador administrado en algún lugar del edificio, ver sus niveles de tráfico debería ser bastante simple con algo como MRTG.

Sin embargo, esto parece más un problema legal que un problema técnico. IANAL, pero al tratar de controlar la conexión, el propietario esencialmente está renunciando a cualquier tipo de estado de "transportista común" que podría haber tenido (si es que lo hubiera). Si estuviera en esta posición, cada apartamento obtendría una IP estática para conectarse a Internet. Si la MPAA / RIAA llamara, los dirigiría cortésmente al inquilino que "posee" la dirección IP en cuestión.

Justin Scott
fuente
No creo que sea un interruptor administrado. Así que supongamos un cambio tonto regular por ahora. Solo digo esto porque tiene varios edificios y estoy bastante seguro de que no todos tienen un interruptor administrado.
KPWINC
De acuerdo contigo Justin. Sin embargo, no tendría que ser estático, solo público. Esa IP estaría en la carta, estoy seguro.
Daniel Lucas
Si no puede rastrear el uso del puerto en los conmutadores individuales, entonces puede usar estadísticas del enrutador de borde dependiendo de su tipo y configuración. Esa no es una solución ideal, ya que de alguna manera necesitaría correlacionar las direcciones IP rastreadas con los apartamentos. Si usan NAT con un servidor DHCP y tiempos de arrendamiento cortos, entonces sus opciones se vuelven realmente limitadas.
Justin Scott
1
Además, si los conmutadores no se gestionan, recomendaría reemplazarlos tan pronto como se puedan presupuestar los fondos para ello. Puede adquirir conmutadores gestionados 10/100 anteriores en eBay bastante baratos. Acabamos de comprar un buen conmutador de montaje en bastidor HP ProCurve 1U de 24 puertos administrado que admite SNMP por alrededor de $ 70. Es realmente agradable poder ver la utilización del puerto en tiempo real a través de su interfaz web.
Justin Scott
1
Tengo que estar de acuerdo con Justin aquí. Las herramientas para monitorear el tráfico son gratuitas y probadas, siempre que pueda leer los contadores por puerto. La solución más barata es conseguir algunos conmutadores administrados baratos.
James F
13

¿Está autorizado por su ISP para subarrendar el T1 a otros? Si es así, él es en efecto un operador común (como una compañía telefónica) y no es responsable del uso del servicio. Tan pronto como comienza a tomar medidas para evitar cierto tráfico, asume la responsabilidad. Me pondría en contacto con un abogado antes de hacer algo.

Si su ISP no lo autoriza a subarrendar su T1, entonces ni siquiera me involucraría. "Estás en tu propio amigo".

Daniel Lucas
fuente
Gracias por su comprensión de esto, pero aparte de los asuntos legales, estoy más interesado en una solución técnica y "Qué es técnicamente posible hacer". Una vez que sepamos cuáles son TODAS las opciones, él puede decidir hacia dónde quiere ir.
KPWINC
2
Entendido KPWINC. Supongo que simplemente no quisiera participar en la limitación del tráfico de usuarios. Mantenga Internet gratis como en libertad. Gratis como en cerveza también sería bueno. ;)
Daniel Lucas
Tengo entendido que nadie los está limitando. Son libres de comprar su propia conexión de banda ancha. Si ese fuera el caso, los avisos de MPAA / RIAA irían a ellos en lugar del propietario del edificio. Es algo así como, si vienes a nadar en mi piscina, no orines en ella ... si es TU piscina ... haz lo que quieras. ;-)
KPWINC
6

La mejor solución social que he visto es dar la carta a los inquilinos y, después de 3 avisos, finalizar su servicio de Internet. La mayoría de los complejos en los que he trabajado tienen esa política y funciona bien. Después de la primera o segunda letra, verá que su uso de ancho de banda disminuye significativamente.

De lo contrario no me preocuparía. No tendrá la conexión desconectada por recibir correos electrónicos o cartas masivos "te vimos descargar esto". Las posibilidades de que vaya a la corte son muy escasas. Personalmente, si tuviera un T1 (o algo más rápido ...) pediría un bloque de dirección IP y le daría a cada apartamento su propia IP pública, entonces es trivial rastrear quién hizo qué y echar la culpa.

reconbot
fuente
Eso es asumiendo que él tiene capacidad legal para compartir su T1 en primer lugar. Pero sí estoy de acuerdo con sus respuestas técnicas / sociales. Necesitas tener ambos lados cubiertos para que esto funcione.
Joseph Kern
Joseph Kern sugiere peergaudian como un servicio de gateay, me gusta esa idea: también limitaría su velocidad de carga después de la primera ofensa como lo haría un ISP regular. Desalienta el comportamiento.
Reconbot
Estoy bastante seguro de que tiene permiso para compartir el T1 ya que se ha estado comunicando con el ISP sobre el tema. Esta es una conexión comercial y su ISP parece no tener problemas con la forma en que está usando la línea. El problema principal parece ser determinar quién (detrás de su NAT) está usando el ancho de banda.
KPWINC
6

Todos aquí ya han hablado sobre los problemas de legalidad con este tipo de configuración, por lo que no voy a vencer más a ese caballo muerto.

Si desea una buena herramienta gratuita para monitorear el tráfico de Internet, es posible que desee probar IPAUDIT, ya que le proporcionará información bastante buena sobre el uso del tráfico de su host. Tengo una publicación en la siguiente pregunta ( IPAUDIT es una solución basada en Linux para la supervisión del tráfico): /server/8267/monitor-internet-bandwidth

También puede encontrar algunas buenas respuestas en esta pregunta: Monitoreo del tráfico de red

l0c0b0x
fuente
2
¡+1 por omitir la discusión sobre la legalidad!
Mark Henderson
4

Voy a tener que ser realmente negativo sobre esto ... Tratar de luchar contra Bit Torrent de la manera técnica va a generar muchos dolores de cabeza por una eficiencia casi nula. Bit Torrent se puede encapsular en SSL en el puerto 443, por lo que no es diferente que navegar por un sitio web HTTPS.

La única solución es hablar con las personas y hacer que disminuyan la velocidad o simplemente se detengan ...

Antoine Benkemoun
fuente
66
Usted quiere decir, "La única solución, salvo desconectar al usuario", que sigue siendo una opción si el usuario puede ser identificado.
Mr. Shiny and New 安 宇
+1 exactamente. Entonces, la tarea se convierte en la mejor / más fácil / más barata forma de configurarla para que pueda identificar fácilmente qué inquilino es el culpable. :-)
KPWINC
Tiene razón, Sr. Shiny, pero eso no parece ser una buena solución :-)
Antoine Benkemoun
2

Me gustaría ver gráficas de estadísticas de uso de ancho de banda. Dado que usa la distribución por cable, usar contadores SNMP (siempre que los conmutadores de distribución sean capaces) es una excelente manera de obtener estadísticas (suponiendo que los inquilinos no envíen tráfico a otro lugar que no sea Internet, es decir, no de igual a igual en la LAN) ) sobre el uso del ancho de banda. MRTG, Cacti, etc. son tus amigos para esto.

Si los inquilinos están haciendo redes de igual a igual, tendrá que hacer algunos perfiles de tráfico en la salida a Internet. Puede hacerlo a bajo costo con una instalación de iptables de Linux y algunas reglas de registro.

Probablemente sea mejor que el propietario hable con un abogado sobre esto (aunque eso va a costar dinero). Sería una buena idea si se asegurara de no terminar siendo el blanco de un litigio.

Evan Anderson
fuente
1

Debe tener mucho cuidado con su posición legal, como se menciona en las otras publicaciones. Habla con un abogado.

Hay algunos medios técnicos para lidiar con esto. Pero me temo que intentar cualquier cosa solo lo llevará a profundizar. Un abogado podría girar su intento de control técnico en varias direcciones.

Ninguna buena acción queda sin castigo.

(O simplemente podría instalar peerguardian como un servicio de puerta de enlace)

Joseph Kern
fuente
0

La única forma razonable de garantizar la integridad de su red es, de forma predeterminada, restringir todo acceso, excepto los que usted permita. Todos los demás métodos, si aún insiste en tener un control total de la red, es simplemente ponerse al día con los protocolos más nuevos (y los más antiguos y conocidos) utilizados para enviar datos de ayb y viceversa.

Pero si le interesa la seguridad laboral y mucho trabajo administrativo, hágalo.

Por cierto, no dijiste de qué país vienes, la jurisdicción es bastante diferente sobre este tema en todo el mundo, pero supongo que en EE. UU. Ya que estás hablando de una tubería T1.

Algo que aparentemente funciona bastante bien en los Estados Unidos es escribir de nuevo con cierta jerga legal que establece que pueden elegir entre una y otra explicación:

  • El propietario de los derechos de autor otorgó el derecho implícito de hacer uso de la disponibilidad de ese trabajo.
  • El trabajo recibido no es lo mismo que el trabajo mencionado en sus alegaciones

Siempre finalice su carta con un saludo cordial y la opción de seguir discutiendo el asunto, indicando su tarifa de consultoría.

Martin P. Hellwig
fuente
Táctica interesante con la carta de respuesta, Martin. ¿Dónde escuchaste que esto fue efectivo? Solo curioso.
Daniel Lucas
Un par de estudiantes de derecho en Harvard escribieron a la RIAA cuando fueron acusados, posteriormente todos los cargos fueron retirados, estuvo en un sitio similar a una barra hace un año o dos. Una nota sobre la argumentación, si recuerdo correctamente, el argumento fue que porque solo pueden ver quién descarga qué con bit torrent si también se autoejecutan a la descarga, lo que significa que ponen a disposición el material con derechos de autor y ya que son el titular del material o acto de interés del titular de los derechos de autor, le dan permiso para descargarlo o es falso, lo que significa que no tiene derechos de autor.
Martin P. Hellwig
0

Mejoraré la mejor respuesta.

Debe comprar un dispositivo Smoothwall Firewall (o IPCop, MonoWall, LEAF o pfSense) porque Smoothwall usa MRTG. Smoothwall te dará todo tipo de características adicionales.

Puede comprar un dispositivo de firewall de doble NIC barato por solo unos pocos cientos de dólares.

o hágalo usted mismo usando una placa base mini-ITX de doble NIC como EPIA-M700 ($ 257) o EPIA LT o EPIA PE.

djangofan
fuente
0

Diría que instituya la dirección de paquetes de conexión / desconexión / UDP y el registro de DHCP en el enrutador, e incluya el número de puerto del enrutador en los registros. La idea aquí es que la carta RIAA debe incluir la fecha / hora / ip de la infracción. A partir de eso, puede buscar qué puerto del enrutador (y, por lo tanto, qué apartamento) estaba cometiendo la infracción, y reenviar la carta. Estos registros serán grandes, pero como no incluyen el contenido del paquete, no deberían ser DEMASIADO grandes. Y si el propietario está haciendo NAT, el tráfico UDP entrante debería ser muy pequeño.

Esto le permite al arrendador probar (en la medida de lo posible) qué parte es responsable y transmitirles la molestia de manera adecuada. En cualquier demanda, el arrendador debería poder salir de cualquier cosa con éxito, excepto responder algunas citaciones para registros.

Michael Kohne
fuente