<-- --> Datenanalyse
Datenanalyse

Menu:

Freise Infomationstechnik - seit über 30 Jahren EDV in Göttingen


Wie funktioniert der Trsteher?

Filesharing ist fr alle Netzwerkadministratoren wegen seiner Tendenz zur Bandbreitenvernichtung und der ausgelsten juristischen Auseinandersetzungen schon immer eine Plage gewesen.
Dennoch ist die Identifikation von filesharing-Verbindungen und Nutzern von filesharing bis heute eines der schwierigsten Themen in der Netzwerkadministration, zumal die Entwickler von filesharing-Software - hufig aus redlichen und nachvollziehbaren, oft politischen Grnden auf jeden Ansatzpunkt ihrer Gegner mit neuen anspruchsvolleren Techniken, die in der Regel Kompetenz und technische Mglichkeiten der anderen Seite berfordern, reagieren.
Filesharing-Verbindungen knnen inzwischen ohne Fachwissen der Nutzer anonymisiert, verschlsselt und als andere Aktivitt wie Internettelefonie oder normales Surfen - getarnt werden.
Andererseits ist aber jeder, der seinen Internetanschluss anderen zur Verfgung stellt, gezwungen, solche Aktivitten zu kontrollieren, um nicht selbst wegen Urheberrechtsverletzung oder schlimmer, Verbreitung verbotener Inhalte, haftbar gemacht zu werden.

Trsteher

Techniken zur Identifikation von filesharing

(es ist schon auffllig, wie wenige es gibt)

  1. Portsperren
  2. Traditionell benutzten filesharing-Programme bestimmte Ports. Diese wurden deshalb in der Firewall gesperrt. Ein solches Vorgehen ist aber inzwischen kontraproduktiv, da alle aktuellen Programme auf jedem Port kommunizieren knnen und hufig sogar Sperren entdecken und selbstttig umgehen.


  3. DPI(Deep-Packed-Inspection) und IPP2P (IPTables-Regeln fr Peer-to-Peer)/OpenDPI
  4. Hierbei handelt es sich um die kommerzielle und die freie Version der gleichen Technik, entwickelt von der Leipziger Firma Ipoque (www.ipoque.com). Der Inhalt von Datenpaketen wird nach charakteristischen Strings berwiegend Befehlssequenzen des P2P-Netzes durchsucht, was hohe Rechenleistung erfordert. Schwierigkeiten bis zum vlligen Versagen bestehen lt. Tests bei verschlsselten und getarnten bertragungen. Ipoque kombiniert diese Technik in seinen berwiegend fr DSL-Provider konzipierten Gerten deshalb offenbar mit einer DDTA hnlichen Analyse. Die Erkennungsquote liegt laut Firmenangabe bei >90%. Da der Inhalt von Datenpaketen analysiert wird, ist diese Technik politisch und rechtlich umstritten.

  5. Layer 7- Analyse
  6. Filesharing verwendet berwiegend proprietre Protokolle. Die Methode des L7-Filter-Projekts (http://l7-filter.sourceforge.net) analysiert die Header (also den technisch fr die bermittlung notwendigen Teil) der ersten Pakete einer Verbindung auf dem Application-Layer (nach dem OSI-Schichtenmodell) und erkennt zuverlssig die wichtigsten Protokolle. Sie ist weniger rechenintensiv als DPI, scheitert aber manchen UDP-Verbindungen und kann gerade wegen der richtigen Erkennung des Protokolls getarntes Filesharing nicht identifizieren.

  7. DDTA (Dynamische Daten-Transfer-Analyse)
  8. DDTA entstand bei uns als Abfallprodukt der QOS-Entwicklung.
    QOS, Quality-of-Service ist eine Technik, um bei begrenzter Bandbreite des Auenanschlusses, eine optimale Nutzung und Befriedigung aller gestellten Anforderungen zu ermglichen. Jeder Dienst (z.B. Surfen oder Internettelefonie) hat sein ganz eigenes Anforderungs-Profil fr eine einwandfreie Funktion. Die Voraussetzung um einen Dienst zu optimieren, ist selbstverstndlich, dass man erkennt, um welchen Dienst es sich bei einer Verbindung berhaupt handelt.
    DDTA ermittelt die Charakteristika von Sender und Empfnger, sowie den Verlauf der Datenbertragung ber eine (kurze) Zeitspanne berwiegend aus Informationen, die der Linux Kernel ohnehin zum Betrieb dieser Verbindung besitzt. Daher wird wenig Rechenzeit bentigt. Das sich aus diesen Informationen ergebende Verbindungsprofil lsst einen sicheren Schluss auf die Art des Dienstes zu. Verschlsselung und Tarnung bilden kein Problem, erleichtern eher die Identifikation.
    Strende - das Netzwerk beeintrchtigende - Nutzer, zu denen Filesharer gehren, werden verlsslich identifiziert. Die Schwellenwerte sind skalierbar. Bei niedrigschwelliger Einstellung besteht lediglich die Gefahr, dass Strer in die falsche Strer-Kategorie eingeordnet werden (z.B. ein intensivst genutzter Tunnel flschlich als Filesharer klassifiziert wird). Dies ist aber unerheblich, da auch hier eine Reaktion des Netzwerkes notwendig wird, um andere Nutzer nicht zu beeintrchtigen.

Arbeitsweise des Trstehers

Wir verwenden einen gestaffelten Erkennungsalgorithmus: L7-Filter wird zur Vorerkennung und wenn ntig (bei scharfer Einstellung) zur Vermeidung von Fehlklassifikationen eingesetzt.
DDTA erledigt den Hauptteil der Analyse. Ist eine Strer-Identifikation erfolgt, kann nach Kundenvorgabe eine Verbindungs- oder Nutzer-bezogene Reaktion des Trstehers ausgelst werden. Dies geschieht mittels entsprechender Eintrge in seine Netfilter-Firewall. blich ist die Kappung der entsprechenden Verbindung, gefolgt mit einer Anzeige im Browser, die den Benutzer ber sein Fehlverhalten informiert und die anschlieende Beschrnkung auf sichere Dienste (er kann weiter Internet-Seiten aufrufen, Emails empfangen und versenden usw.). Dies alles erfolgt automatisch und wird protokolliert.
Eingriffe von Ihnen sind nicht ntig.
Als Nebeneffekte optimiert der Trsteher auch ihren DSL-Anschluss, bietet mit der Netfilter-Firewall einen professionellen Schutz Ihres Netzes nach auen und kann bei Bedarf sogar Virenaktivitt in Ihrem Netz ermitteln.

Technik des Trstehers

Der Trsteher ist ein Linux-basierter Netfilter-NAT-Firewall Router. Diese weltweit bewhrte Technik wird ergnzt durch unser QOS-Software-Paket plus Filesharing-Modul. Im Interesse von Servicefreundlichkeit und Betriebssicherheit werden nur bewhrte Standardbaugruppen von Markenherstellern verwendet. Durch Gehuse in Formfaktorvarianten passt er sich jeder Umgebung an.

Vorteile des Trstehers

Was der Trsteher nicht kann

Der Trsteher kann Sie nicht vllig vor unbegrndeten Abmahnungen schtzen. Aus Ihrem Netz ist keine Urheberrechtsverletzung mglich. Es ist jedoch denkbar, dass ein Nutzer eine Verbindung zu einem Filesharing-Netzwerk aufbaut und seinen Willen zur Teilnahme bekundet, bevor der Trsteher zuschlgt. (Schlielich kann man nur eine bestehende Verbindung analysieren.) Wenn ein Ermittler aus Gewinninteresse nur die fr diesen kurzen Zeitraum sichtbare IP Ihres Anschlusses protokolliert, ohne weitere Daten zu erheben oder sich auf Fehlinformationen des Filesharing-Netzes bezieht (siehe Anmerkungen fr Juristen und von Rechtsfolgen Betroffene) , kann es zu einer flschlichen Abmahnung kommen.
Dagegen knnen Sie aber vorgehen, denn die Reaktion des Trstehers wird protokolliert.
Auerdem sinkt die Wahrscheinlichkeit einer unbegrndeten Abmahnung drastisch: Wer wei, dass aus Ihrem Netz kein Filesharing mglich ist, wird es auch nicht mehr versuchen.

- Datei als PDF: Wie funktioniert der Trsteher?
- Hintergrundinformationen zum filesharing
- Anmerkungen fr Juristen und von Rechtsfolgen Betroffene
- Datenblatt Trsteher
- Ein Leitfaden fr Eltern von RA C. Solmecke (Kln)