Luchando contra Bittorrent

Aquí hay un problema / escenario interesante que podrían disfrutar algunos administradores de sistemas:

El propietario de un edificio de apartamentos está regalando acceso gratuito a internet a sus inquilinos. Básicamente, tiene un T1 llegando al edificio y cada apartamento tiene un enchufe CAT5 en la pared. El acceso a Internet es "gratuito" (incluido en el alquiler o lo que sea) para los inquilinos.

El problema es que varios de los inquilinos están descargando películas / música ilegales a través de Bittorrent. Como resultado, la MPAA y la RIAA están enviando "nastygrams" al propietario de la conexión a Internet (es decir, el propietario del apartamento) en relación con las descargas ilegales.

El propietario del apartamento ha bloqueado las listas de sitios de torrents, así como varias extensiones de archivo en el nivel del enrutador, pero el problema persiste.

Lo que me gustaría saber es si alguien tiene una solución inteligente / económica para este problema. QoS aparentemente solo funciona hasta cierto punto porque bittorrent puede usar casi cualquier puerto que desee. La inspección de paquetes no funciona en conexiones cifradas, etc.

El propietario del apartamento dijo que estaría contento si pudiera simplemente ver el tráfico de carga / descarga (es decir, posibles abusadores) de las unidades de apartamentos individuales.

¿Algunas ideas?

ACTUALIZACIÓN: No está interesado en discutir los problemas legales / de abogados / sociales tanto como las soluciones técnicas reales (cualesquiera que sean). Le solicito amablemente que vote las discusiones TÉCNICAS sobre las legales / sociales. ¡Gracias!

RESPUESTA: Seleccionó la respuesta de Justin Scott como la respuesta correcta debido a su sugerencia de usar interruptores administrados y MRTG. Si bien hubiera sido mejor bloquear bittorrent o al menos hacer que fuera extremadamente difícil MRTG y un interruptor administrado nos permitirá identificar fácilmente a los delincuentes.

Si cada apartamento tiene su propio puerto en un conmutador administrado en algún lugar del edificio, ver sus niveles de tráfico debería ser bastante simple con algo como MRTG.

Sin embargo, esto parece más un problema legal que un problema técnico. IANAL, pero al tratar de controlar la conexión, el propietario esencialmente está renunciando a cualquier tipo de estado de "transportista común" que podría haber tenido (si es que lo hubiera). Si estuviera en esta posición, cada apartamento obtendría una IP estática para conectarse a Internet. Si la MPAA / RIAA llamara, los dirigiría cortésmente al inquilino que "posee" la dirección IP en cuestión.

¿Está autorizado por su ISP para subarrendar el T1 a otros? Si es así, él es en efecto un operador común (como una compañía telefónica) y no es responsable del uso del servicio. Tan pronto como comienza a tomar medidas para evitar cierto tráfico, asume la responsabilidad. Me pondría en contacto con un abogado antes de hacer algo.

Si su ISP no lo autoriza a subarrendar su T1, entonces ni siquiera me involucraría. "Estás en tu propio amigo".

La mejor solución social que he visto es dar la carta a los inquilinos y, después de 3 avisos, finalizar su servicio de Internet. La mayoría de los complejos en los que he trabajado tienen esa política y funciona bien. Después de la primera o segunda letra, verá que su uso de ancho de banda disminuye significativamente.

De lo contrario no me preocuparía. No tendrá la conexión desconectada por recibir correos electrónicos o cartas masivos "te vimos descargar esto". Las posibilidades de que vaya a la corte son muy escasas. Personalmente, si tuviera un T1 (o algo más rápido ...) pediría un bloque de dirección IP y le daría a cada apartamento su propia IP pública, entonces es trivial rastrear quién hizo qué y echar la culpa.

Todos aquí ya han hablado sobre los problemas de legalidad con este tipo de configuración, por lo que no voy a vencer más a ese caballo muerto.

Si desea una buena herramienta gratuita para monitorear el tráfico de Internet, es posible que desee probar IPAUDIT, ya que le proporcionará información bastante buena sobre el uso del tráfico de su host. Tengo una publicación en la siguiente pregunta ( IPAUDIT es una solución basada en Linux para la supervisión del tráfico): /server/8267/monitor-internet-bandwidth

También puede encontrar algunas buenas respuestas en esta pregunta: Monitoreo del tráfico de red

Voy a tener que ser realmente negativo sobre esto ... Tratar de luchar contra Bit Torrent de la manera técnica va a generar muchos dolores de cabeza por una eficiencia casi nula. Bit Torrent se puede encapsular en SSL en el puerto 443, por lo que no es diferente que navegar por un sitio web HTTPS.

La única solución es hablar con las personas y hacer que disminuyan la velocidad o simplemente se detengan ...

Me gustaría ver gráficas de estadísticas de uso de ancho de banda. Dado que usa la distribución por cable, usar contadores SNMP (siempre que los conmutadores de distribución sean capaces) es una excelente manera de obtener estadísticas (suponiendo que los inquilinos no envíen tráfico a otro lugar que no sea Internet, es decir, no de igual a igual en la LAN) ) sobre el uso del ancho de banda. MRTG, Cacti, etc. son tus amigos para esto.

Si los inquilinos están haciendo redes de igual a igual, tendrá que hacer algunos perfiles de tráfico en la salida a Internet. Puede hacerlo a bajo costo con una instalación de iptables de Linux y algunas reglas de registro.

Probablemente sea mejor que el propietario hable con un abogado sobre esto (aunque eso va a costar dinero). Sería una buena idea si se asegurara de no terminar siendo el blanco de un litigio.

Debe tener mucho cuidado con su posición legal, como se menciona en las otras publicaciones. Habla con un abogado.

Hay algunos medios técnicos para lidiar con esto. Pero me temo que intentar cualquier cosa solo lo llevará a profundizar. Un abogado podría girar su intento de control técnico en varias direcciones.

Ninguna buena acción queda sin castigo.

(O simplemente podría instalar peerguardian como un servicio de puerta de enlace)

La única forma razonable de garantizar la integridad de su red es, de forma predeterminada, restringir todo acceso, excepto los que usted permita. Todos los demás métodos, si aún insiste en tener un control total de la red, es simplemente ponerse al día con los protocolos más nuevos (y los más antiguos y conocidos) utilizados para enviar datos de ayb y viceversa.

Pero si le interesa la seguridad laboral y mucho trabajo administrativo, hágalo.

Por cierto, no dijiste de qué país vienes, la jurisdicción es bastante diferente sobre este tema en todo el mundo, pero supongo que en EE. UU. Ya que estás hablando de una tubería T1.

Algo que aparentemente funciona bastante bien en los Estados Unidos es escribir de nuevo con cierta jerga legal que establece que pueden elegir entre una y otra explicación:

• El propietario de los derechos de autor otorgó el derecho implícito de hacer uso de la disponibilidad de ese trabajo.
• El trabajo recibido no es lo mismo que el trabajo mencionado en sus alegaciones

Siempre finalice su carta con un saludo cordial y la opción de seguir discutiendo el asunto, indicando su tarifa de consultoría.

Mejoraré la mejor respuesta.

Debe comprar un dispositivo Smoothwall Firewall (o IPCop, MonoWall, LEAF o pfSense) porque Smoothwall usa MRTG. Smoothwall te dará todo tipo de características adicionales.

Puede comprar un dispositivo de firewall de doble NIC barato por solo unos pocos cientos de dólares.

o hágalo usted mismo usando una placa base mini-ITX de doble NIC como EPIA-M700 ($ 257) o EPIA LT o EPIA PE.

Diría que instituya la dirección de paquetes de conexión / desconexión / UDP y el registro de DHCP en el enrutador, e incluya el número de puerto del enrutador en los registros. La idea aquí es que la carta RIAA debe incluir la fecha / hora / ip de la infracción. A partir de eso, puede buscar qué puerto del enrutador (y, por lo tanto, qué apartamento) estaba cometiendo la infracción, y reenviar la carta. Estos registros serán grandes, pero como no incluyen el contenido del paquete, no deberían ser DEMASIADO grandes. Y si el propietario está haciendo NAT, el tráfico UDP entrante debería ser muy pequeño.

Esto le permite al arrendador probar (en la medida de lo posible) qué parte es responsable y transmitirles la molestia de manera adecuada. En cualquier demanda, el arrendador debería poder salir de cualquier cosa con éxito, excepto responder algunas citaciones para registros.