Batalhando Bittorrent

Aqui está um problema / cenário interessante que alguns administradores de sistema podem desfrutar:

O proprietário de um prédio de apartamentos está dando acesso gratuito à Internet aos seus inquilinos. Basicamente, ele tem um T1 chegando ao prédio e cada apartamento tem um plug CAT5 na parede. O acesso à Internet é "gratuito" (incluído no aluguel ou o que for) para os inquilinos.

O problema é que vários dos inquilinos estão baixando filmes / músicas ilegais via bittorrent. Como resultado, a MPAA e a RIAA estão enviando "desagradáveis" ao proprietário da conexão à Internet (isto é, proprietário do apartamento) referente aos downloads ilegais.

O proprietário do apartamento bloqueou listas de sites de torrent, bem como várias extensões de arquivo no nível do roteador, mas o problema persiste.

O que eu gostaria de saber é se alguém por aí tem uma solução inteligente / barata para esse problema? Aparentemente, a QoS funciona até certo ponto porque o bittorrent pode usar praticamente qualquer porta que desejar. A inspeção de pacotes não funciona em conexões criptografadas, etc.

O proprietário do apartamento disse que ficaria feliz se pudesse simplesmente ver o tráfego de upload / download (ou seja, possíveis agressores) das unidades individuais do apartamento.

Alguma ideia?

ATUALIZAÇÃO: Não estou interessado em discutir as questões legais / de advogados / sociais, tanto quanto as soluções técnicas reais (sejam elas quais forem). Solicito que você vote nas discussões técnicas sobre as legais / sociais. Obrigado!

RESPOSTA: Selecionou a resposta de Justin Scott como a resposta correta devido à sua sugestão de usar comutadores gerenciados e MRTG. Embora tenha sido melhor bloquear o bittorrent ou, pelo menos, dificultar o MRTG EXTREMAMENTE difícil, e um switch gerenciado nos permitirá identificar facilmente o (s) agressor (es).

Se cada apartamento tiver sua própria porta em um switch gerenciado em algum lugar do edifício, a visualização de seus níveis de tráfego deve ser bastante simples com algo como MRTG.

No entanto, isso parece mais uma questão legal do que uma questão técnica. IANAL, mas, ao tentar policiar a conexão, o proprietário está essencialmente renunciando a qualquer tipo de status de "transportadora comum" que ele possa ter (se houver). Se eu estivesse nessa posição, cada apartamento obteria um IP estático para acessar a Internet. Se a MPAA / RIAA viesse à porta, eu educadamente os encaminharia para o inquilino que "possui" o endereço IP em questão.

Ele está autorizado pelo seu ISP para sublocar o T1 para outros? Nesse caso, ele é efetivamente uma operadora comum (como uma companhia telefônica) e não é responsável pelo uso do serviço. Assim que ele começa a tomar medidas para evitar determinado tráfego, ele está assumindo a responsabilidade. Eu contataria um advogado antes de fazer qualquer coisa.

Se ele não está autorizado pelo provedor de serviços de Internet a sublocar seu T1, eu nem me envolvo. "Você está no seu próprio amigo."

A melhor solução social que eu já vi é entregar a carta aos inquilinos e após três avisos encerrar o serviço de internet. A maioria dos complexos em que trabalhei tem essa política e funciona bem. Após a primeira ou a segunda letra, você vê o uso da largura de banda diminuir significativamente.

Caso contrário, eu não me preocuparia. Ele não terá a conexão desligada por receber uma massa "vimos você baixar este" e-mails ou carta. As chances de ir a tribunal são muito pequenas. Pessoalmente, se eu tivesse um T1 (ou algo mais rápido ...), pediria um bloco de endereços IP e daria a cada apartamento seu próprio IP público; então, é trivial rastrear quem fez o que e trocar a culpa.

Todo mundo aqui já falou sobre questões de legalidade com esse tipo de configuração, então não vou vencer mais esse cavalo morto.

Se você deseja uma boa ferramenta gratuita para monitorar o tráfego da Internet, experimente o IPAUDIT, pois ele fornece informações muito boas sobre o uso do tráfego do seu host. Tenho uma postagem na pergunta a seguir ( IPAUDIT é uma solução baseada em Linux para monitoramento de tráfego): /server/8267/monitor-internet-bandwidth

Você também pode encontrar boas respostas neste quesiton: Monitoramento de tráfego de rede

Eu vou ter que ser realmente negativo sobre isso ... Tentar combater o Bit Torrent da maneira técnica vai levar a muitas dores de cabeça por uma eficiência quase nula. O Bit Torrent pode ser encapsulado em SSL na porta 443, tornando-o diferente de navegar em um site HTTPS.

A única solução é conversar com as pessoas e fazê-las desacelerar ou simplesmente parar ...

Eu olhava para gráficos de estatísticas de uso de largura de banda. Como ele usa distribuição com fio, o uso de contadores SNMP (desde que os comutadores de distribuição sejam capazes) é uma ótima maneira de obter estatísticas (supondo que os inquilinos não estejam enviando tráfego para outro lugar que não a Internet - ou seja, não ponto a ponto na LAN ) sobre o uso da largura de banda. MRTG, cactos, etc, são seus amigos para isso.

Se os inquilinos estiverem trabalhando em rede ponto a ponto, ele precisará fazer algum perfil de tráfego na saída para a Internet. Você pode fazer isso barato com uma instalação Linux iptables e algumas regras de log.

Provavelmente é melhor o proprietário falar com um advogado sobre isso (embora isso custe dinheiro). Seria uma boa idéia se ele tivesse certeza de que não iria acabar sendo alvo de litígios.

Ele precisa ter muito cuidado com sua situação legal, conforme mencionado nos outros posts. Converse com um advogado.

Existem alguns meios técnicos para lidar com isso. Mas tenho medo de que tentar qualquer coisa o leve mais fundo. Um advogado poderia fazer sua tentativa de controle técnico em várias direções.

Nenhuma boa ação fica impune.

(Ou ele pode simplesmente instalar o peerguardian como um serviço de gateway)

A única maneira razoável de garantir a integridade da sua rede é, por padrão, restringir todo o acesso, exceto os permitidos. Todos os outros métodos, se você ainda insiste em ter controle total da rede, estão apenas alcançando os melhores (e mais antigos) protocolos mais novos usados ​​para enviar dados de a para bec e vice-versa.

Mas se você estiver interessado em segurança no trabalho e muito trabalho administrativo, faça isso.

BTW, você não disse de que país você veio, a jurisdição é bastante diferente nesse tópico em todo o mundo, mas eu presumo os EUA, já que você está falando sobre um canal T1.

Algo que aparentemente funciona muito bem nos estados está respondendo com algum jargão jurídico afirmando que eles podem escolher entre uma das explicações:

• O proprietário dos direitos autorais concedeu o direito implícito de fazer uso da disponibilidade desse trabalho
• O trabalho recebido não é o mesmo que o trabalho referido nas suas alegações

Sempre termine sua carta com uma saudação amigável e a opção de discutir melhor o assunto, informando sua tarifa de consultoria.

Vou melhorar a melhor resposta.

Você deve comprar um dispositivo Smoothwall Firewall (ou IPCop, MonoWall, LEAF ou pfSense) porque o Smoothwall usa MRTG. O Smoothwall oferece todos os tipos de recursos adicionais.

Você pode comprar um dispositivo de firewall dual-NIC barato por apenas algumas centenas de dólares.

ou faça você mesmo usando uma placa-mãe mini-ITX de duas placas de rede como uma EPIA-M700 (US $ 257) ou uma EPIA LT ou uma EPIA PE.

Eu diria para instituir o endereço de pacote de conexão / desconexão / UDP e o log de DHCP no roteador e incluir o número da porta do roteador nos logs. A idéia aqui é que a carta da RIAA deve incluir a data / hora / ip da infração. A partir disso, você pode procurar qual porta do roteador (e, portanto, qual apartamento) estava cometendo a infração e encaminhar a carta. Esses logs serão grandes, mas como não incluem o conteúdo do pacote, eles não devem ser MUITO grandes. E se o proprietário for NATting, o tráfego UDP de entrada deve ser muito pequeno.

Isso permite que o proprietário prove (na medida do possível) qual parte é responsável e repasse o incômodo para eles adequadamente. Em qualquer ação judicial, o proprietário deve conseguir obter êxito com qualquer coisa, exceto responder a algumas intimações para registros.