Leserbrief im Landboten zur Bruderhaus-Verkehrsproblematik
Sunday, 16. November 2008
Netclean Whitebox - effektive Methode gegen Kinderpornografie im Netz
von Fredy Künzler
Dieses Thema wollte ich seit dem SwiNOG #17 Meeting aufnehmen, doch wurde es durch Aktualität oder Zeitmangel immer wieder verschoben.
Blenden wir zurück: vor gut zwei Jahren gab es die Kampagne "Stopp Kinderpornografie im Internet!", getragen von Schweizerischen Kriminalprävention SKPPSC und dem Kinderschutz Schweiz. Ich hatte mich damals ausführlich dazu geäussert, warum die Aktion nicht fertig gedacht war und nicht wirklich funktionieren kann. Etwas später kam es dann die hässliche Kehrseite in den Medien - der Schuss ging hinten raus. Und auch Politiker wie der FDP-Ständerat Rolf Schweiger machten auf Kosten missbrauchter Kinder billigen Wahlkampf.
KOBIK, die Koordinationsstelle zur Bekämpfung der Internetkriminalität, stellte am SwiNOG #14 Meeting das Projekt "DNS Blockade" vor, doch die Community der ISP Techniker lehnte das Ansinnen aus technischen Überlegungen grossmehrheitlich ab. Die vorgesehenen Fake-DNS Einträge funktionieren nicht wirklich: Einschlägige URLs werden auf den DNS-Servern des Access-Providers übersteuert, und der Surfer wird statt auf den illegalen Inhalt auf eine Warnseite umgeleitet. Umgehen kann man diese "Sperre" ganz einfach - man benutzt einfach unzensurierte DNS Server, die zu hunderten im Netz verfügbar sind.
Auch die Blockierung auf IP Ebene ist nicht wirklich das gelbe vom Ei: Zwar effektiv, verursacht aber grosser Kollateralschaden. Auf einem Server mit einer IP Adresse sind typischerweise Dutzende oder gar Hunderte von Websites gehostet. Die Sperrung der IP-Adresse eines Servers mit KiPo-Inhalt sperrt unter Umständen weitere harmlose und ehrbare Websites, die zufällig auf dem selben Server gehostet sind.
Vom politischen Rummel um die Frage der Kinderpornografie unbeeindruckt entwickelten die Kollegen von Practeo eine Lösung, die alle technischen Mängel der ursprünglichen Ideen Fake-DNS und IP-Sperrung eliminiert. Sie nennt sich "Netclean Whitebox":
Netclean Whitebox funktioniert zweistufig: 1. wird via BGP4 die Liste der verdächtigen IP Adressen in die Routingtabelle eingepflegt. Derzeit sind das um die 450 IP Adressen. Traffic von diesen Websites wird auf die Whitebox umgeleitet. Auf dieser erfolgt 2. die DNS resp. HTTP Inspection, und die Whitebox ist damit in der Lage, zwischen illegalem und harmlosen Inhalt zu unterscheiden, der sich zufällig an der selben IP Adresse befindet.
Wäre bei jedem Accessprovider eine oder mehere solcher Whiteboxen installiert, könnten diese zentral durch die KOBIK administriert werden, und das real-time. Wenn immer irgendwo in der weiten Welt eine Site mit KiPo Inhalt auftaucht, könnte KOBIK auf Knopfdruck den Inhalt sperren. Die ISP wären von fragwürdiger Zensurarbeit entlastet, und anstelle von periodischen Updates alle paar Wochen arbeitet das System zeitnah.
Weil nur der Traffic zu fragwürdigen Adressen via Whitebox "gewaschen" wird, kommt das System auch mit grossen Trafficmengen klar. Die laufende Testinstallation bei einem Schweizer Accessprovider zeigt, dass via Whitebox bloss einige Dutzen Kilobit pro Sekunde geleitet werden, während der restliche "saubere" Traffic von 900 mbps unbehelligt am System vorbeigeschleust wird. Damit sind Fragen zur Performance hinfällig:
Natürlich kostet Netclean Whitebox etwas. Pro Million Benutzer werden ca. 150'000 Franken pro Jahr fällig. Das ist vergleichsweise günstig, doch der erste Gedanke, dass der ISP dafür aufkommen soll, greift zu kurz. Schäbige Szenarien sind dann nämlich denkbar: ISP X wirbt "wir sind sauber - kein KiPo dank Netclean Whitebox" und ISP Y wirbt mit "keine Zensur, wir lassen Sie alles sehen". Das ist nicht was wir wollen, und zudem bin ich auch der Meinung, dass nicht ISPs für eine gesellschaftliches Problematik aufkommen soll.
Vielmehr möchte ich hier anregen, dass die KOBIK das System für alle Schweizer Internetbenutzer beschafft und es zentral administriert. Ich kann selbstverständlich nicht für alle ISPs reden, aber einer Implementation steht meines Erachtens aus technischer Sicht nichts im Wege. Die politischen, ethischen und gesellschaftlichen Fragen zur Problematik lassen wir einfach mal offen.
Dieses Thema wollte ich seit dem SwiNOG #17 Meeting aufnehmen, doch wurde es durch Aktualität oder Zeitmangel immer wieder verschoben.
Blenden wir zurück: vor gut zwei Jahren gab es die Kampagne "Stopp Kinderpornografie im Internet!", getragen von Schweizerischen Kriminalprävention SKPPSC und dem Kinderschutz Schweiz. Ich hatte mich damals ausführlich dazu geäussert, warum die Aktion nicht fertig gedacht war und nicht wirklich funktionieren kann. Etwas später kam es dann die hässliche Kehrseite in den Medien - der Schuss ging hinten raus. Und auch Politiker wie der FDP-Ständerat Rolf Schweiger machten auf Kosten missbrauchter Kinder billigen Wahlkampf.
KOBIK, die Koordinationsstelle zur Bekämpfung der Internetkriminalität, stellte am SwiNOG #14 Meeting das Projekt "DNS Blockade" vor, doch die Community der ISP Techniker lehnte das Ansinnen aus technischen Überlegungen grossmehrheitlich ab. Die vorgesehenen Fake-DNS Einträge funktionieren nicht wirklich: Einschlägige URLs werden auf den DNS-Servern des Access-Providers übersteuert, und der Surfer wird statt auf den illegalen Inhalt auf eine Warnseite umgeleitet. Umgehen kann man diese "Sperre" ganz einfach - man benutzt einfach unzensurierte DNS Server, die zu hunderten im Netz verfügbar sind.
Auch die Blockierung auf IP Ebene ist nicht wirklich das gelbe vom Ei: Zwar effektiv, verursacht aber grosser Kollateralschaden. Auf einem Server mit einer IP Adresse sind typischerweise Dutzende oder gar Hunderte von Websites gehostet. Die Sperrung der IP-Adresse eines Servers mit KiPo-Inhalt sperrt unter Umständen weitere harmlose und ehrbare Websites, die zufällig auf dem selben Server gehostet sind.
Vom politischen Rummel um die Frage der Kinderpornografie unbeeindruckt entwickelten die Kollegen von Practeo eine Lösung, die alle technischen Mängel der ursprünglichen Ideen Fake-DNS und IP-Sperrung eliminiert. Sie nennt sich "Netclean Whitebox":
Netclean Whitebox basiert auf automatischen BGP4-Updates, damit entfällt das manuelle Einpflegen der aktualisierten Sperrliste beim Serviceprovider. Gemäss KOBIK-Vorschlag wäre die "schwarze Liste" nur alle paar Wochen aktualisiert worden, was natürlich kaum im Sinne des Erfinders ist.
Netclean Whitebox funktioniert zweistufig: 1. wird via BGP4 die Liste der verdächtigen IP Adressen in die Routingtabelle eingepflegt. Derzeit sind das um die 450 IP Adressen. Traffic von diesen Websites wird auf die Whitebox umgeleitet. Auf dieser erfolgt 2. die DNS resp. HTTP Inspection, und die Whitebox ist damit in der Lage, zwischen illegalem und harmlosen Inhalt zu unterscheiden, der sich zufällig an der selben IP Adresse befindet.
Wäre bei jedem Accessprovider eine oder mehere solcher Whiteboxen installiert, könnten diese zentral durch die KOBIK administriert werden, und das real-time. Wenn immer irgendwo in der weiten Welt eine Site mit KiPo Inhalt auftaucht, könnte KOBIK auf Knopfdruck den Inhalt sperren. Die ISP wären von fragwürdiger Zensurarbeit entlastet, und anstelle von periodischen Updates alle paar Wochen arbeitet das System zeitnah.
Weil nur der Traffic zu fragwürdigen Adressen via Whitebox "gewaschen" wird, kommt das System auch mit grossen Trafficmengen klar. Die laufende Testinstallation bei einem Schweizer Accessprovider zeigt, dass via Whitebox bloss einige Dutzen Kilobit pro Sekunde geleitet werden, während der restliche "saubere" Traffic von 900 mbps unbehelligt am System vorbeigeschleust wird. Damit sind Fragen zur Performance hinfällig:
Natürlich kostet Netclean Whitebox etwas. Pro Million Benutzer werden ca. 150'000 Franken pro Jahr fällig. Das ist vergleichsweise günstig, doch der erste Gedanke, dass der ISP dafür aufkommen soll, greift zu kurz. Schäbige Szenarien sind dann nämlich denkbar: ISP X wirbt "wir sind sauber - kein KiPo dank Netclean Whitebox" und ISP Y wirbt mit "keine Zensur, wir lassen Sie alles sehen". Das ist nicht was wir wollen, und zudem bin ich auch der Meinung, dass nicht ISPs für eine gesellschaftliches Problematik aufkommen soll.
Vielmehr möchte ich hier anregen, dass die KOBIK das System für alle Schweizer Internetbenutzer beschafft und es zentral administriert. Ich kann selbstverständlich nicht für alle ISPs reden, aber einer Implementation steht meines Erachtens aus technischer Sicht nichts im Wege. Die politischen, ethischen und gesellschaftlichen Fragen zur Problematik lassen wir einfach mal offen.
Saturday, 15. November 2008
Das coolste Datacenter der Welt
von Fredy Künzler
Das coolste Datacenter der Welt nennt sich Pionen, steht in Schweden und wird vom Provider Bahnhof betrieben. Es wurde in einem Bunker gebaut und könnte Schauplatz für den nächsten James-Bond Film sein ...
Mehr dazu gibts bei pingdom.com (Englisch) oder natürlich bei bahnhof.se (Schwedisch).
Das coolste Datacenter der Welt nennt sich Pionen, steht in Schweden und wird vom Provider Bahnhof betrieben. Es wurde in einem Bunker gebaut und könnte Schauplatz für den nächsten James-Bond Film sein ...
Mehr dazu gibts bei pingdom.com (Englisch) oder natürlich bei bahnhof.se (Schwedisch).
Friday, 14. November 2008
Preaching IPv6!
von Fredy Künzler
Preaching IPv6 ... am DE-CIX Tekkie Meeting gestern konnte ich einmal mehr IPv6 predigen
... im wesentlichen war die Präsentation ein Update meines Vortrags vom SwiNOG #16. Was als Quick-Hack gedacht war (ich bin nicht wirklich gut in Powerpoint-Schleudern), erwies sich in den letzten Wochen und Monaten für viele als nützlich: die Adressierungsbeispiele eines IPv6-Sample Netzwerks, respektive: wie man kurz und schmerzlos sein IPv4-Wissen auf IPv6 migriert. Insofern freut es ich mich, hier die neuteste Version der IPv6-Now! Präsentation zum Download resp. als Slideshare anzubieten.
Update (15. November, 19:40): heise.de listet in einem schon etwas älteren Artikel die vergebenen IPv6 Adressbereiche auf.
Preaching IPv6 ... am DE-CIX Tekkie Meeting gestern konnte ich einmal mehr IPv6 predigen
... im wesentlichen war die Präsentation ein Update meines Vortrags vom SwiNOG #16. Was als Quick-Hack gedacht war (ich bin nicht wirklich gut in Powerpoint-Schleudern), erwies sich in den letzten Wochen und Monaten für viele als nützlich: die Adressierungsbeispiele eines IPv6-Sample Netzwerks, respektive: wie man kurz und schmerzlos sein IPv4-Wissen auf IPv6 migriert. Insofern freut es ich mich, hier die neuteste Version der IPv6-Now! Präsentation zum Download resp. als Slideshare anzubieten.Update (15. November, 19:40): heise.de listet in einem schon etwas älteren Artikel die vergebenen IPv6 Adressbereiche auf.
DE-CIX Promotion Movie
von Fredy Künzler
Die KollegInnen vom DE-CIX haben ein ziemlich cooles und sehenswertes Promotions-Movie (Disclaimer: Leute mit Marketing-Blabla-Phobie bitte schnell weiterklicken ...) gemacht:
Am gestrigen DE-CIX Tekkie Meeting gab es auch einen Update zur Topologie des Internet-Exchanges - dass er permanent umgebaut werden muss, dürfte kaum jemand verwundern. Das Traffic-Wachstum ist immens, die 500-Gbps Schwelle wurde kürzlich überschritten:
Vor fast exakt 2 Jahren feierte AMS-IX den ersten 200-Gigabit-Peak. Inzwischen misst man auch dort in ähnliche Traffic-Volumen wie am DE-CIX:
Man kann jetzt extrapolieren ... der Ruf nach 100Gig wird immer lauter, denn irgenwann reichen auch 16 aggregierte 10Gig Ports für den Inter-Switch Traffic nicht mehr. Am Euro-IX Forum Anfang dieser Woche wurde der Community erste Produkte auf frühestens Ende 2009 oder 2010 in Aussicht gestellt ... ob das zeitlich reicht, wird sich zeigen.
Die KollegInnen vom DE-CIX haben ein ziemlich cooles und sehenswertes Promotions-Movie (Disclaimer: Leute mit Marketing-Blabla-Phobie bitte schnell weiterklicken ...) gemacht:
Please enable JavaScript to enjoy the video.
Am gestrigen DE-CIX Tekkie Meeting gab es auch einen Update zur Topologie des Internet-Exchanges - dass er permanent umgebaut werden muss, dürfte kaum jemand verwundern. Das Traffic-Wachstum ist immens, die 500-Gbps Schwelle wurde kürzlich überschritten:
Vor fast exakt 2 Jahren feierte AMS-IX den ersten 200-Gigabit-Peak. Inzwischen misst man auch dort in ähnliche Traffic-Volumen wie am DE-CIX:
Man kann jetzt extrapolieren ... der Ruf nach 100Gig wird immer lauter, denn irgenwann reichen auch 16 aggregierte 10Gig Ports für den Inter-Switch Traffic nicht mehr. Am Euro-IX Forum Anfang dieser Woche wurde der Community erste Produkte auf frühestens Ende 2009 oder 2010 in Aussicht gestellt ... ob das zeitlich reicht, wird sich zeigen.
Tuesday, 4. November 2008
Sippenhaftung bei Cablecom
von Fredy Künzler
Gestern hat es mir bei der Lektüre des Blick am Abend hat es mir fast den Nuggi rausgehauen:
Man erinnert sich: letzte Woche ist der Beschwerde-Brief von Felix Zehnder an die Cablecom im Internet aufgetaucht. Die Message war deutlich (Zitat Blick):
Dass beim Cablecom-Kundendienst einiges im Argen liegt, wissen viele ex- und noch-Kunden des grössten Cable-Internet Anbieters der Schweiz. Zehnders Brief ist nur die Spitze des Eisbergs. Doch anstelle von internen Verbesserungen entlässt man lieber sechs weitere Leute des so schon überlasteten Kundendienstes. So geht Krisenmanagement à la Cablecom. Um bei der Terminologie von Felix Zehnder zu bleiben (Zitat Blick):
Wieviele Cablecom-Kunden jetzt aus Solidarität zu den Entlassenen ihren Anschluss kündigen und zu einem anderen Anbieter wechseln werden, werden wir wohl nie erfahren ...
Gestern hat es mir bei der Lektüre des Blick am Abend hat es mir fast den Nuggi rausgehauen:
[...] Weil das Schreiben aus dem Kundendienst an die Öffentlichkeit gelangte, hat Cablecom gleich sechs Leute entlassen, darunter ist laut «Sonntagszeitung» auch der Abteilungsleiter. [...]
Man erinnert sich: letzte Woche ist der Beschwerde-Brief von Felix Zehnder an die Cablecom im Internet aufgetaucht. Die Message war deutlich (Zitat Blick):
[...] Keine Ahnung, in welcher Bananenrepublik ihr Buchhaltung gelernt habt. Solche Sätze gehören noch zur jugendfreien Sorte im sechsseitigen Schreiben.Ich habe mich schon letzte Woche gefragt, ob man bei Cablecom mit einer fristlosen Entlassung die Krise zu bewältigen versucht. Im Sinne von "Shoot the Messenger". Dass jetzt aber eine ganze Abteilung für die Unfähigkeit der Cablecom-Manager auf der Guillotine landet, schlägt wirklich dem Fass den Boden aus. Sippenhaftung wie im finsteren Mittelalter. Was wohl die Gewerkschaft Kommunikation zum Thema meint?
Sie sch***en mich langsam an, heisst es weiter. Ich habe eure Rechnungen gezahlt, trotzdem schickt ihr mir eine Mahnung. Euer ganzer Service ist ein Durchfall. Glaubt ihr, ihr seid ein Staatsbetrieb mit Monopol?
Bei Cablecom ist der Hassbrief bekannt. Der Cablecom ist der Vorfall peinlich. «Ja, das Leck ist bei uns. Es tut uns leid», sagt Sprecher Hugo Wyler. «Die personellen Konsequenzen haben wir gezogen.» [...]
Dass beim Cablecom-Kundendienst einiges im Argen liegt, wissen viele ex- und noch-Kunden des grössten Cable-Internet Anbieters der Schweiz. Zehnders Brief ist nur die Spitze des Eisbergs. Doch anstelle von internen Verbesserungen entlässt man lieber sechs weitere Leute des so schon überlasteten Kundendienstes. So geht Krisenmanagement à la Cablecom. Um bei der Terminologie von Felix Zehnder zu bleiben (Zitat Blick):
Dem Zürcher Bauspengler tun die Entlassenen leid: «Jetzt haben sie Sündenböcke gefunden», sagt er. «Dabei wussten sich die Angestellten nicht anders zu helfen. Und die Manager kümmern sich weiter nur um ihren Lohn.»Siehe hier.
Wieviele Cablecom-Kunden jetzt aus Solidarität zu den Entlassenen ihren Anschluss kündigen und zu einem anderen Anbieter wechseln werden, werden wir wohl nie erfahren ...
Neueste Kommentare