Боротьба з Bittorrent

Ось цікава проблема / сценарій, яким можуть сподобатися деякі системні адміністратори там:

Власник багатоквартирного будинку надає безкоштовний доступ до Інтернету своїм орендарям. В основному у нього є T1, який приходить до будівлі, і кожна квартира має штепсельну розетку CAT5. Доступ до Інтернету для орендарів "безкоштовний" (включений в оренду чи що завгодно).

Проблема полягає в тому, що кілька з орендарів завантажують нелегальні фільми / музику через bittorrent. Як результат, MPAA та RIAA надсилають "неприємні програми" власнику інтернет-з'єднання (тобто власнику квартири) щодо незаконних завантажень.

Власник квартири заблокував списки торент-сайтів, а також кілька розширень файлів на рівні маршрутизатора, але проблема зберігається.

Що я хотів би знати, якщо хтось там має розумне / недороге рішення для цієї проблеми? QoS, мабуть, працює лише до певної міри, тому що bittorrent може використовувати майже будь-який порт, який він хоче. Інспекція пакетів не працює на зашифрованих з'єднаннях тощо.

Власник квартири сказав, що буде радий, якщо він може просто побачити трафік завантаження / завантаження (тобто потенційних зловмисників) окремих квартирних одиниць.

Будь-які ідеї?

ОНОВЛЕННЯ: Не зацікавлений в обговоренні юридичних / адвокатських / соціальних питань стільки, скільки власне технічних рішень (якими б вони не були). Я б просив вас проголосувати ТЕХНІЧНІ дискусії щодо правових / соціальних. Спасибі!

ВІДПОВІДЬ: Вибрана відповідь Джастіна Скотта як правильна відповідь через його пропозицію використовувати керовані перемикачі та MRTG. Хоча було б приємніше блокувати bittorrent або принаймні зробити це надзвичайно складним MRTG, а керований комутатор дозволить нам легко ідентифікувати правопорушника.

Якщо в кожній квартирі є власний порт на керованому комутаторі десь у будівлі, бачити рівень їх руху повинен бути досить простим із чимось на зразок MRTG.

Однак це здається скоріше юридичним, ніж технічним. IANAL, але, намагаючись розв'язати зв'язок, власник фактично відмовляється від будь-якого статусу "загального перевізника", який він міг би мати (якщо він взагалі є). Якби я був у такому положенні, кожна квартира отримала б статичний IP, щоб вийти в Інтернет. Якби MPAA / RIAA прийшли стукати, я ввічливо відправлю їх орендареві, який "володіє" відповідною IP-адресою.

Чи він уповноважений своїм Інтернет-провайдером надавати T1 іншим? Якщо так, то він фактично є звичайним оператором (наприклад, телефонною компанією) і не несе відповідальності за користування послугою. Як тільки він починає вживати заходів для запобігання певному трафіку, він бере на себе відповідальність. Я б зв’язався з юристом, перш ніж взагалі щось робити.

Якби він не отримав дозвіл свого провайдера піддати свій T1, я б навіть не вплутувався. "Ти на власному товариші".

Найкраще соціальне рішення, яке я бачив, - це надіслати лист орендарям і після 3 повідомлень припинити свою послугу в Інтернеті. Більшість комплексів, в яких я працював, мають таку політику, і вона працює добре. Після першого або другого листа ви бачите, що їх пропускна здатність значно зменшується.

Інакше я б не переживав про це. Йому не доведеться відключити зв’язок для отримання маси "ми бачили, як ви завантажуєте цю електронну пошту чи лист". Шанси на те, що він піде до суду, дуже малий. Особисто, якби у мене був T1 (або щось швидше ..), я б попросив блок адреси ip і дав кожній квартирі його власний публічний ip, тоді неважливо простежити, хто що робив, і перекласти звинувачення.

Усі тут уже говорили про проблеми законності при такому налаштуванні, тому більше не буду бити цього мертвого коня.

Якщо ви хочете отримати хороший безкоштовний інструмент для моніторингу трафіку в Інтернеті, ви можете спробувати IPAUDIT, оскільки він дасть вам досить гарну інформацію про використання трафіку вашого хоста. У мене є повідомлення в наступному запитанні ( IPAUDIT - рішення для моніторингу трафіку на основі Linux): /server/8267/monitor-internet-bandwidth

Ви також можете знайти кілька хороших відповідей у ​​цьому питанні: Моніторинг мережевого трафіку

Мені доведеться бути дуже негативним щодо цього ... Спроба боротися з Bit Torrent технічним шляхом призведе до багатьох головних болів за майже нульову ефективність. Бітовий торрент можна інкапсулювати в SSL на порту 443, що не відрізняється від перегляду веб-сайту HTTPS.

Єдине рішення - поговорити з людьми і змусити їх гальмувати або просто зупинятися ...

Я перегляну статистику використання пропускної здатності графіків. Оскільки він використовує дротовий розподіл, використання лічильників SNMP (за умови, що комутатори розподілення здатні) - це один чудовий спосіб отримати статистику (якщо припустити, що орендодавці не надсилають трафік нікуди, окрім Інтернету, тобто не є одноранговим в мережі ) про використання пропускної здатності. MRTG, кактуси тощо - твій друг для цього.

Якщо орендодавці роблять однорангову мережу, йому потрібно буде виконати деякий трафік з профілюванням при виході в Інтернет. Це можна зробити дешево, встановивши iptables Linux та деякі правила ведення журналів.

Власник, мабуть, найкраще обслуговується з тим, щоб говорити з адвокатом про це (хоча це коштуватиме грошей). Було б гарною ідеєю, якби він переконався, що не збирається в кінцевому підсумку стати об’єктом судових спорів.

Йому потрібно бути дуже уважним до свого юридичного становища, про що йдеться в інших посадах. Поговоріть з юристом.

Є кілька технічних засобів для вирішення цього питання. Але я боюся, що спробувати що-небудь просто заглибить його. Адвокат може спробувати спроби технічного контролю в декількох напрямках.

Жоден добрий вчинок не залишається безкарним.

(Або він може просто встановити peerguardian як послугу шлюзу)

Єдиний розумний спосіб забезпечити цілісність вашої мережі - це за замовчуванням обмежити весь доступ, окрім дозволеного. Усі інші методи, якщо ви все ще наполягаєте на повному управлінні мережею, - це просто гра з підключенням до найновіших (і найстаріших добре відомих) протоколів, що використовуються для передачі даних від a до b і навпаки.

Але якщо вас цікавить безпека роботи та багато адміністративної роботи, займіться цим.

До речі, ви не сказали, з якої країни ви приїхали, юрисдикція на цю тему по всьому світу є зовсім різною, але я припускаю, що США, оскільки ви говорите про трубу T1.

Щось, що, мабуть, спрацьовує в штаті, - це написання з юридичним жаргоном, який стверджує, що вони можуть обирати одне або одне пояснення:

• Власник авторських прав дав неявне право на використання доступності цього твору
• Отримана робота не збігається з роботою, про яку йдеться у ваших твердженнях

Завжди закінчуйте свій лист дружнім привітанням та можливістю подальшого обговорення цього питання, вказуючи свій тариф на консультації.

Я вдосконалюся на найкращу відповідь.

Вам слід придбати пристрій брандмауера Smoothwall (або IPCop, MonoWall, LEAF або pfSense), оскільки Smoothwall використовує MRTG. Гладка стена надасть вам всілякі додаткові функції.

Ви можете придбати дешевий прилад для брандмауера з двома NIC лише за кілька сотень доларів.

або зробіть себе, використовуючи подвійну NIC міні-ITX материнську плату, наприклад, EPIA-M700 (257 доларів) або EPIA LT або EPIA PE.

Я б сказав, щоб встановити підключення / відключення / адресу пакету UDP та реєстрацію DHCP на маршрутизаторі та включити в журнали порт # маршрутизатора. Тут ідея полягає в тому, що лист RIAA повинен містити дату / час / IP порушення. З цього ви можете знайти, який порт маршрутизатора (і, таким чином, яка квартира) вчинив порушення, і переслати лист. Ці журнали будуть великими, але оскільки вони не містять вмісту пакетів, вони не повинні бути великими TOO. І якщо орендодавець НАТИНУЄ, вхідний трафік UDP повинен бути дуже малим.

Це дозволяє орендодавцеві довести (наскільки він може), яка сторона несе відповідальність і належним чином передати їм клопоту. У будь-якому позові орендодавець повинен мати можливість успішно вийти з нічого, крім відповіді на деякі судові повістки за журналами.