Re: Internet-Filter der FHT Esslingen

[Florian Weimer <fw@deneb.enyo.de>]

* Martin Schulze:

> Florian Weimer wrote:
>> Aber ich schweife ab. Ich halte es jedenfalls für vollkommen verfehlt,
>> wegen irgendwelcher unkoordinierter Filter an einzelnen Hochschulen
>> den Untergrund der Demokratie auszurufen.
>
> Untergang?

Jaja, sorry.

>> Weitaus mehr Sorgen macht mir das Filter-Potential, das derzeit am
>> DE-CIX aufgebaut wird, und auch die Möglichkeiten zum User-Tracking,
>> die das IVW-Quasimonopol zur Folge hat. Aber das wird völlig
>> totgeschwiegen. Cui bono?
>
> Details?

Wir hatten vor einiger Zeit mal diskutiert, daß die verbleibende
technische Herausforderung für einen zentralen HTTP-Filter für
Deutschland daran liegt, den legetimen Verkehr, der weitergereicht
werden soll, von der Filter-Box wegzurouten ("schleifenloses Routing"
hieß das damals). Hersteller von Anti-DDoS-Appliances haben dieses
Problem inzwischen gelöst (mit allerhand Tunnel-Tricks, die Leute
haben auch das Know-How, so etwas zu implementieren -- im Gegensatz zu
denen, die vorher nur Proxy-basierte Filter machten). Am DE-CIX
befindet sich derzeit eine solche Appliance (von Riverhead), deren
Nutzung wohl auch prinzipiell jedem DE-CIX-Mitglied offensteht.

Nun ist das eigentliche Detektieren und Filtern von vorher definierten
GET-Requests trivial im Vergleich zum Erkennen von DDoS-Verkehr (und
dem reichlich magischen Prozeß aus ein paar hunder MBit/s den
nützlichen Verkehr zu extrahieren). Was also noch fehlt für den Filter
für Deutschland, ist ein Firmware-Upgrade von Riverhead, was diese
Funktionalität nachrüstet und ein wenig sanfter Druck auf die
DE-CIX-Mitglieder, die den Dienst nicht nutzen -- und natürlich
jemand, der das ganze vorantreibt und die Filter festlegt.

Eine gänzlich andere Möglichkeit der Entwicklung wäre, daß sich die
herrschende Meinung, man dürfe IP-Adressen nicht komplett sperren (was
ich für vergleichsweise lächerlich halte), ändert. Wenn nämlich
IP-Adressen komplett gefiltert werden dürfen, dann kann ich den Filter
für Deutschland buchstäblich hier bei mir im Keller betreiben. So
einfach ist das dann.

Es mag auch ganz anders kommen, aber obwohl die Bandbreiten, die im
Internet-Backbone zu routen sind, noch immer zunehmen (die Generation
der 40-Gigabit-Leitungen kommt wohl demnächst), werden dadurch die
Hürden für Filter nicht mehr größer.

Zu IVW muß ich wohl nix schreiben, oder? Das sind einfach Web-Bugs mit
zentraler Korrelation und Auswertung. Wir hoffen natürlich alle, daß
das wirklich nur zur anonymisierten Reichweitenermittlung verwendet
wird, obwohl wesentlich mehr Daten als das absolute Minimum für diesen
Verwendungszweck erhoben werden.

-- 
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: bigpond.com, di-ve.com, fuorissimo.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, spymac.com,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de