[Discuss] p2p-Filter (war: [wien] DNS sperre wegen skype - heute abend im Metalab)

[Martin Asmus]

Hallo,

da wir uns vom praktischen in den theoretischen Bereich bewegen, mal auf
discuss verschoben.

Am 08.10.2013 12:28, schrieb Erich N. Pekarek:
> Netzneutralität ist gut, aber sie bringt herzlich wenig, wenn die
> Folge daraus ist, dass die Übertragung leidet oder gänzlich
> verunmöglicht wird.
Das hab ich auch als Prämisse gesetzt.
Bei genauerer Überlegung ist dieser Kritikpunkt auch nicht wirklich
haltbar, da der Filter sich ja nicht um Inhalt, Protokoll, etc. kümmert.
Indirekt hat es halt dieselbe Symptomatik, da es nur gewisse
Programme/Funktionen sind, die dieses Verbindungspattern aufweisen.
Und wenn er *genau* das tun würde was der Name sagt (P2P filtern), wäre
es eine Verletzung der Netzneutralität.
Aber genug von "was wäre, wenn"...

> Zur Kritik am Verstoß gegen das PPA:
> Insofern sehe ich für die */zeitweise und bedarfsorientierte/*
> Verwendung von Beschränkungen durchaus keinen Widerspruch zum PPA,
> sondern eine Maßnahme, die die Existenz und Daseinsberechtigung von
> Community-Netzwerken zu sichern imstande ist, wenn andere Mittel nicht
> mehr funktionieren - zB weil Kontaktdaten nicht aktuell sind; es sich
> um verwaiste Devices handelt etc.
Auch hier geb ich dir recht, allerdings ist dieser Filter weder temporär
noch bedarfsorientiert, sondern führt auf dem betreffenden Knoten zu
einer *grundsätzlichen* Blockade aller peers, die ein gewisses
Verbindungsverhalten aufweisen.
In meinem Fall werde ich gesperrt, sobald ich mein lokales Netz an 0xff
anbinde, da ich 2 Geräte betreibe, auf denen Symform läuft. (Ist
zumindest meine einzige Erklärung)
Er orientiert sich (soweit ich das beurteilen kann) weder an der
Auslastung des Knotens, noch an der "Bösartigkeit" der Verbindungen.
Außerdem handelt es sich auch nicht um ein "last resort", das nur
benutzt wird, wenn der Knotenbetreiber nicht erreichbar ist.

> Das Zuschalten von Filtern oder QOS mag im Prinzip des PPA als
> unzulässig gelten, aber man muss das, so denke ich, in Relation zum
> Zweck der Bestimmung sehen: und der ist nicht, die Verbreitung von
> Schadsoftware oder die Begünstigung von DDoS mit oder ohne Wissen der
> Nutzer, sondern im Schutz der Privatsphäre und im prinzipiell freien
> Datenverkehr zum Wohl der beteiligten Nutzer begründet. 
Und genau diesen freien Datenverkehr sehe ich hier beeinträchtigt.
Inwiefern ergibt sich ein Schutz der Privatsphäre? (Außer, dass ich
geschützt bin, wenn ich keine Daten ins Internet schicken kann...;-))

> (Es gibt aber kein Prinzip, das ohne sachliche begründete Ausnahme
> gerecht wäre und daher auf Biegen und Brechen umgesetzt werden muss -
> wäre dem so, könnten wir gleich wie die Provider eine Policy ausgeben,
> in Hard- und Software "enforcen", wie dies bei gewissen
> Provider(zwangs)modems der Fall ist. Die Deutschen diskutieren
> <http://www.heise.de/netze/meldung/Bundesnetzagentur-Anhoerung-zu-Zwangsroutern-1968755.html>
> gerade heftig über diese Unsitte.)
> Ich will das in unserem Netz nicht, ...
ack, das will hier, glaub ich, niemand.
Wir haben allerdings ein agreement, das besagt, dass der eigene Knoten
als relay für den 0xff-traffic dienen muss. Die Funktionalität dafür
sollte auf jedem Knoten gegeben sein.

> In diesem Zusammenhang muss ich allerdings auch (Selbst-)Kritik üben,
> denn ein unverschlüsseltes Datennetzwerk über Funk ist auch nicht
> gerade im Sinn einer Auslegung des PPA unter den Aspekten des
> Datenschutzes und der Selbstbestimmtheit der Nutzer. Ich würde daher
> zumindest soweit gehen, eine einfache Grundverschlüsselung (WPA2-PSK)
> des Netzes oder Teilen davon zu fordern, auch, wenn das nicht alle
> Lauscher abhalten kann.
Soweit ich weiß, gab es da den Konsens Verschlüsselung auf höheren
Layern zu propagieren.
Da AES gerade unter Beschuss gerät und andere tiefgreifende Diskussionen
und Probleme im Crypto-Bereich existieren, würde ich hier vielleicht
noch abwarten, da man sonst evtl. ein falsches Sicherheitsgefühl erzeugt.
Gibt es schon Überlegungen/Versuche, wie sich das auf die
Netzlast/-kapazität auswirken würde?
Allgemein ergeben sich damit viele neue Fragen und mögliche Probleme.

> Wir werden hoffentlich im Rahmen der Testtage diese Probleme
> thematisieren und ich hoffe auf zahlreiches Erscheinen zu "Funkfeuer -
> Quo vadis" laut Programm. Spannung ist garantiert.
Ich werd auf jeden Fall schauen, dass es sich ausgeht.

Wenn dieser Filter wirklich nur DNS-requests sperrt, kann man damit auch
nicht viel Schaden vermeiden (ad Malware verbreiten). Dann ist das Ganze
eigentlich ein "DDoS-Schutz" mit unangenehmen Nebenwirkungen, der nur
länger andauernde Attacken blockiert, die DNS benutzen.
Insgesamt scheint es mir sinnvoller ein IDS/IPS(SNORT, nessus, etc.) im
Netz zu betreiben, dessen Meldungen (loglevel warn) auf der Wien-Liste
gepostet werden. Auch ein paar honeypots wären denkbar. Beide Techniken
sind auch besser geeignet, die Ereignisse zurückverfolgen und die
Ursachen nachhaltig beseitigen zu können.

LG
Martin

P.S. Vielleicht doch besser auf die Security-Liste? Nachdem security
vermutlich eine Teilmenge von discuss ist, belass ich´s mal auf discuss.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20131008/3803db48/attachment.htm>