Scriptie Internet content filtering

Scriptie

“Internet content filtering”

Auteur Datum Versie Afstudeerbedrijf Bedrijfsbegeleiders Bedrijfsmentor Onderwijsinstelling Opleiding Afstudeercoördinator Examinator

: : : : : : : : : :

S. Lambregts 6 augustus 2008 1.0 Logica Co Kooijman & Huub van Thienen Petja van der Lek Hogeschool van Amsterdam Hogere Informatica Ferry Rietveld Examencommissie Hogeschool van Amsterdam

Scriptie Internet Content Filtering

II

Distributielijst Naam Dhr. F. Rietveld Dhr. C. Kooijman Dhr. H. van Thienen Dhr. P. van de Lek Dhr. J Witschge

Instantie HvA Logica Logica Logica Logica

Rol / Functie Studiebegeleider Dagelijks begeleider Working Tomorrow Inhoudelijk begeleider Working Tomorrow Opdrachtgever Competence manager Tabel 1 Distributielijst


III

Voorwoord Voor u ligt de laatste krachtsinspanning ter afronding van mijn studie informatica aan de Hogeschool van Amsterdam, mijn afstudeerscriptie. Ter afsluiting van mijn opleiding heb ik een afstudeeropdracht uitgevoerd binnen het Working Tomorrow programma van Logica in Amstelveen onder de Business Unit ISA (Infrastructure & System Architecture). De opdracht was om te onderzoeken wat de mogelijke impact is van Deep Packet Inspection content filtering. Dit was echter niet gelukt zonder de hulp van een aantal mensen. Allereerst wil ik iedereen van Logica bedanken voor hun tijd, kennis en kunde. Hans Brouwer en Huub van Thienen, mijn twee architecten tijdens mijn periode bij Working Tomorrow. Zonder hun kritische blik, input en advies vraag ik me af wat er van mijn scriptie was gekomen. Co Kooijman, mijn begeleider binnen Logica, voor het vertrouwen en ruimte die hij mij heeft gegeven om zelfstandig aan mijn scriptie te werken. Petja van de Lek, mijn opdrachtgever, voor de gezellige en zeer nuttige meetings over mijn opdracht. Ook Jan Witschge en Laurens Putter mogen niet ontbreken voor hun inzet als BU managers. Ook wil ik al mijn medestudenten / collega’s bedanken voor een zeer gezellige periode op de afdeling. Zonder de ontspannende momenten met frisbees, stressballen, helikopters en wat nog niet meer, was het lang niet zo gemakkelijk geweest om deze periode door te komen. Vanuit de Hogeschool van Amsterdam wil ik nog Ferry Rietveld bedanken voor zijn begeleiding tijdens deze periode. Als laatste en zeker niet als allerminste wil ik mijn ouders bedanken voor hun onafgebroken steun en geloof in mij tijdens de volledige studie en afstudeerperiode. Amsterdam 30 mei 2008, Stephan Lambregts


IV

Samenvatting De afstudeeropdracht was om te kijken naar wat de consequenties zijn van Deep Packet Inspection content filtering op het internet en haar gebruikers. Deep Packet Inspection is de meest recente evolutie in netwerk appliances. Het is momenteel de meeste geavanceerde technologie verkrijgbaar op het vlak van content filtering van dataverkeer. Allereerst ben ik bezig geweest met onderzoek naar de werking van DPI content filters. Daarvoor is er begonnen met te kijken naar hoe de evolutie verlopen is van simpele firewall naar DPI content filters. Daarna is er onderzoek gedaan naar alle gangbare identificatietechnieken die worden gebruikt door DPI content filters. Dit zijn signature based identification, application gateway-layer identification, behavior based identification en pattern matching. Na onderzoek bleek dat in de meeste gevallen gebruik werd gemaakt van een combinatie van signature based identification in combinatie pattern matching. Naast de identificatietechnieken is er ook gekeken naar wat de implementatie van deze filters betekend voor de mensen die verantwoordelijk zijn voor het onderhoud van deze apparatuur. Dit bleek in vergelijking met bijvoorbeeld routers en firewalls enorm mee te vallen. De impact voor de groep is dus minimaal te noemen. Een enig noemenswaardig verschil was dat DPI content filters met meer regelmaat moeten worden geüpdate in vergelijking met conventionele netwerkapparatuur, dit is ook een zwak punt van de DPI filters, aangezien dit mensenwerk is. Nadat dit allemaal onderzocht en vastgelegd is, ben ik gaan kijken naar een laatste aspect dat van invloed zou kunnen zijn op mijn conclusie. Dit aspect was de huidige status van DPI content filtering. In dit deel van het onderzoek is onder andere gekeken naar de efficiëntie van de huidge generatie filters, evenals naar de huidige implementaties van de filters en daarbij horende recente berichtgevingen. Daaruit bleek dat er zowel in de efficiëntie als in de toepassingsmethodes nog heel wat ruimte voor verbetering is. Met al deze informatie is er een conclusie gevormd. Deze bestaat uit twee scenario’s die zijn geschetst op basis van de technische mogelijkheden, huidige toepassingen en een aantal mogelijke toepassingen van deze filters. Ook het begrip netneutraliteit speelt hier een belangrijke rol. Het ene scenario is een negatief beeld op de nabije toekomst waarbij de nadruk ligt op censuur (waarbij in dit geval censuur een vrij breed begrip is. Denk hierbij niet alleen overheidsregulatie maar ook censuur in de vorm van ISP’s die voor jou bepalen wat wel en wat niet te bereiken is op het internet) en “big brother” toepassingen van deze DPI content filters. Het andere scenario is vanuit een heel positief oogpunt en schetst mogelijkheden om DPI filters te gebruiken als central spil in een geheel nieuw businessmodel. Al met al zijn alle, voorafgestelde, leerdoelen en onderzoeksvragen op een juiste manier afgerond en beantwoord. Mede hierdoor is te spreken over een geslaagd onderzoek.


V

Abstract The study was about researching the possible impact of Deep Packet Inspection filters on the internet and the people who use it. Deep Packet Inspection is the latest evolution in networking appliances. It is the most advanced technology money can buy when it comes down to filtering data traffic. First of, I have researched the technical functioning of Deep Packet Inspection content filters. To start things of, I have been looking into the evolution from firewall to DPI content filters. After that, I dug into the different filtering techniques that are used by DPI content filters. These techniques are signaturebased identification, application gateway-layer identification, behavior based identification en pattern matching. After all the research I concluded that in most of the cases DPI content filters use a combination of signature based identification and pattern matching. Besides looking at the different identification techniques, we also looked at the consequences for the network administrators who have to maintain these appliances. The impact for administrators was roughly the same in comparison with other networking appliances. The only notable difference is that DPI filter appliances are updated more often. That is also one of the weak points of DPI appliances, since humans do the update process. After looking into the technical functioning of DPI appliances and the possible consequences for network administrators, it was time for the last part of the research phase. The last part consisted of researching the current state of DPI content filtering. With this I mean that I’ve looked at the maturity of the appliances as a well as looking at current implementations of the DPI content filters and everything that comes into play with these appliances. I could not help to notice that there is still a lot of room for improvements. With all this information gathered, it was time to conclude. This chapter is divided into two scenarios. Both of them are based on the current implementations and situations regarding DPI content filters. We also used the technical potential of the filters to make these two scenarios. The first scenario is a negative one with the accent on censorship and big brother practices. The other one is a positive one, proposing to use DPI content filters as the cornerstone of a completely new business model. All of the goals I had set for myself are reached, and the research questions are answered. Therefore, from my point of view this was a successful project.


VI

Adresgegevens Examinandus Naam Studentnummer Straat / Nummer Postcode / Plaats Telefoonnummer E-mailadres Afstudeerrichting

: Stephan Lambregts : 207150 : Wamelplein 36 : 1106 DP Amsterdam : 020-3653500 / 06-51701094 : [email protected] : Informatica (System & Network Engineering)

Examinator Naam E-mailadres Telefoonnummer

: Dhr. F. Rietveld : [email protected] : 020-5951678

Bedrijfsgegevens Naam Afdeling Straat / Nummer Postcode / Plaats Telefoonnummer

: Logica Nederland : Working Tomorrow : Prof. W.H. Keesomlaan 14 : 1183DJ Amstelveen : 020-5033000

Bedrijfsbegeleiders Naam Telefoonnummer E-mailadres Functie

: Dhr. C Kooijman : 020-5033000 : [email protected] : Projectleider Working Tomorrow

Naam Telefoonnummer E-mailadres Functie

: Dhr. H. van Thienen : 020-5033000 : [email protected] : Architect Working Tomorrow

Bedrijfsmentor Naam Telefoonnummer E-mailadres Functie

: Dhr. P. van der Lek : 020-5033000 : [email protected] : Opdrachtgever

Competence manager Naam Telefoonnummer E-mailadres Functie

: Dhr. J Witschge : 020-5033000 : [email protected] : Competence manager


VII

Inhoudsopgave Distributielijst........................................................................................................................................ iii Voorwoord............................................................................................................................................. iv Samenvatting ......................................................................................................................................... v Abstract ................................................................................................................................................. vi Adresgegevens.................................................................................................................................... vii 1

Inleiding ................................................................................................................................... 10

2

Organisatie .............................................................................................................................. 11 2.1 2.2 2.3

3

Logica .......................................................................................................................... 11 Working Tomorrow ...................................................................................................... 11 Begeleiding.................................................................................................................. 12

Opdrachtformulering.............................................................................................................. 13 3.1 3.2 3.3 3.4

Probleemstelling .......................................................................................................... 13 Opdrachtomschrijving.................................................................................................. 13 Onderzoeksvragen ...................................................................................................... 14 Scope .......................................................................................................................... 14

Onderzoek 4

Evolutie DPI content filtering ................................................................................................ 16 4.1 4.2 4.3 4.4 4.5 4.6

5

Het OSI model en het TCP/IP model .......................................................................... 16 Data packets................................................................................................................ 18 Firewalls ...................................................................................................................... 20 Intrusion Detection System ......................................................................................... 20 Stateful Packet Inspection........................................................................................... 21 Deep Packet Inspection .............................................................................................. 21

Werking van DPI filters........................................................................................................... 23 5.1 5.2

Algemene werking DPI filters ...................................................................................... 23 Software ...................................................................................................................... 24 5.2.1 Operating System ............................................................................................... 24 5.2.2 Management software. ....................................................................................... 25 5.3 Identificatie technieken ................................................................................................ 26 5.3.1 signature-based identification ............................................................................. 27 5.3.2 Application gateway-layer identification.............................................................. 28 5.3.3 Behavior-based identification.............................................................................. 29 5.3.4 Pattern matching................................................................................................. 29 6

Het plaatsen en onderhouden van DPI filters ...................................................................... 31 6.1 6.2 6.3

7

Methodes van plaatsing .............................................................................................. 31 Plaatsbepaling ............................................................................................................. 31 Consequenties voor beheerders ................................................................................. 32

Wat kunnen eindgebruikers verwachten? ........................................................................... 34


VIII

7.1

Huidige implementatie van DPI filters ......................................................................... 34 7.1.1 DPI filters ............................................................................................................ 35 7.1.2 ISP’s.................................................................................................................... 38 7.1.3 Belangenorganisaties platen- en filmmaatschappijen ........................................ 40 7.1.4 Conclusie ............................................................................................................ 43 7.2 Worst case scenario .................................................................................................... 43 7.2.1 ISP’s.................................................................................................................... 44 7.2.2 Belangenorganisaties platen- en filmmaatschappijen ........................................ 46 7.3 Best case scenario ...................................................................................................... 46 7.3.1 ISP’s.................................................................................................................... 47 7.3.2 Belangenorganisaties platen- en filmmaatschappijen ........................................ 49 8

Conclusie................................................................................................................................. 50

Reflectie 9

Omschrijving Projectwerkzaamheden.................................................................................. 53 9.1 9.2 9.3 9.4

10

Gebruikte methodieken en technieken........................................................................ 53 Randvoorwaarden en uitgangspunten ........................................................................ 54 Inventarisatie van de werkzaamheden........................................................................ 54 Verloop van de werkzaamheden................................................................................. 55

Zelfreflectie.............................................................................................................................. 56 10.1 10.2 10.3 10.4

Zelfreflectie op de werkzaamheden ............................................................................ 56 Gestelde en behaalde leerdoelen ............................................................................... 57 Gemaakte keuzes........................................................................................................ 57 Competenties .............................................................................................................. 57

Appendices Appendix A: Lijst met figuren en tabellen ................................................................................. 60 Appendix B: Lijst met afkortingen ............................................................................................. 60 Appendix C: Packet header schema’s...................................................................................... 63 TCP header (32-bits)........................................................................................................... 63 IP header (32-bits) .............................................................................................................. 64 Data link header (112-bits).................................................................................................. 65 Appendix D: Three-way handshake ......................................................................................... 65 Appendix E: monolithisch vs. modulaire kernel ........................................................................ 66 Appendix F: Bronnen ................................................................................................................ 67 Appendix G: Specification sheets ............................................................................................. 68 Appendix H: Evaluatie Working Tomorrow............................................................................... 70


IX

1 Inleiding De komst van een nieuwe generatie content filters gebaseerd op Deep Packet Inspection (DPI) voor netwerken heeft een hoop stof doen opwaaien, dit vanwege de mogelijkheden die deze apparaten hebben. Het doel van dit onderzoek is om te bepalen wat de mogelijke impact is van deze filters op het internetlandschap zoals we dat vandaag de dag kennen. Dit onderzoek, dat geldt als afronding van de studie van de auteur van dit document, heeft een nadruk op de sociale impact en de impact op de manier waarop mensen gebruik maken van het internet. De impact van deze apparaten zal worden bepaald aan de hand van de technische mogelijkheden. Deze zullen worden onderkend in het onderzoek. Aan de hand daarvan zullen twee cases worden opgesteld waarin de eventuele impact uiteen wordt gezet. Een case heeft een negatieve insteek waarbij de content filters worden ingezet als censuurmiddel. De tweede case heeft een positieve insteek waarbij een nieuwe vorm van het aanbieden van internetdiensten uiteen word gezet. Dit alles zal worden gepresenteerd op de afstudeerzitting aan de Hogeschool van Amsterdam.


10

2 Organisatie In dit hoofdstuk wordt kort ingegaan op mijn afstudeerbedrijf, Logica. Zij voorzien in een werkplek en bieden alle benodigde kennis en kunde aan die zij in huis hebben. Dit om mijn afstuderen tot een goed einde te brengen. Ook wordt er kort ingegaan op de afdeling binnen Logica waarbinnen ik zit tijdens mijn afstudeerfase, Working Tomorrow.

2.1

Logica

De afstudeeropdracht wordt uitgevoerd bij het voormalige LogicaCMG te Amstelveen. LogicaCMG plc. is op 30 december 2002 ontstaan uit het voormalige Logica (60%) en het voormalige CMG (40%) Beide ICT-dienstverleners zijn van oorsprong Engelse bedrijven, maar CMG was in Nederland veel groter dan de Engelse moeder. Sinds dertien januari 2006 is tevens het Franse Unilog onderdeel van 1 het bedrijf, waarmee het een derde thuismarkt heeft gecreëerd . 27 februari jongsleden is de naam terug veranderd naar Logica. Logica is een internationale ICT-dienstverlener en heeft wereldwijd momenteel 39.000 werknemers in 36 verschillende landen in dienst. Het behoort, ook qua omzet, tot de internationale top-20 in de ICT-dienstverlening. De omzet uit de traditionele ICT-dienstverlening wordt voornamelijk in Europa en Australië (continent) gehaald. De omzet uit de rest van de wereld is sterk gebonden aan de telecommunicatie-industrie. Logica levert diensten op tal van terreinen, zoals management- en ICT-consultancy, systeemontwikkeling en –integratie en neemt voor klanten complete bedrijfsprocessen in beheer. Het bedrijf ontwikkelt en implementeert oplossingen voor klanten over de hele wereld. Zij maakt daarbij gebruik van geavanceerde technologieën die direct doorwerken in de bedrijfsresultaten van de klant. Logica heeft dit verwoord in haar mission statement: “To help leading organisations worldwide achieve their business objectives through the innovative 2 delivery of information technology and business process solutions” .

2.2

Working Tomorrow

De opdracht wordt uitgevoerd bij de afdeling Working Tomorrow. Dit is een programma dat opgestart is binnen Logica voor de divisies EUT (Energy, Utilities & Telecom), IDT (Industry, Distribution & Transport), Financial Services, ERM (Enterprise Resource Management), Managed Service en ISA (Infrastructure, Security and Architecture). Het programma biedt plaats aan een honderdtal studenten die op verschillende locaties binnen het programma aan hun afstudeeropdracht werken. De afstudeeropdrachten hebben een innovatief karakter wat betreft technologie, concept of methodiek. Zo werken er studenten aan agent technologie, VoIP security, energieverbruik van kantoren en aan nieuwe concepten zoals de thuiscentrale (een centrale die warmwatervoorziening in huis combineert met elektriciteitsopwekking), digitaal papier of intelligente stroom. Het Working Tomorrow programma heeft drie hoofddoelen en dat zijn: Het vinden van toekomstige werknemers. Verhogen van de reputatie van Logica op het gebied van innovatie. Demo’s en prototypen van projecten gebruiken voor het verkrijgen van betaalde opdrachten. Dit project valt onder de divisie Financial Services. Binnen deze divisie wordt nog onderscheid gemaakt tussen verschillende specialismen welke Business Units (BU) worden genoemd. Vanuit deze opdracht gezien zal ik binnen het “Working Tomorrow” programma werkzaam zijn onder de Business Unit (competentie) ISA. Op de volgende pagina (figuur 1) is het organogram van Logica Nederland weergegeven.

1 2

Bron: http://nl.wikipedia.org/wiki/Logica Bron: www.logica.com


11

Fig. 1 Organogram Logica

2.3

Begeleiding

De dagelijkse, theoretische begeleiding zal gedaan worden door de heer C. Kooijman, begeleider vanuit Logica binnen het Working Tomorrow programma. Bij hem kan ik terecht voor vragen betreffende de dagelijkse gang van zaken binnen Logica. De heer H. van Thienen, die de architect van dit programma is zal praktische en inhoudelijke aspecten en vragen voor zijn rekening nemen. Voor gespecialiseerde begeleiding betreffende de opdracht is de heer P. van der Lek als opdrachtgever aangesteld. Hij is werkzaam bij de BU competence Infrastructure & Networking. Vanuit de Hogeschool van Amsterdam vindt de begeleiding plaats via de heer F. Rietveld. Daar zal op vaste intervallen contact mee plaatsvinden over de voortgang van dit project.


12

3 Opdrachtformulering Dit hoofdstuk legt de probleemstelling, de onderzoeksvragen en de deelvragen voor. Ook bevat dit hoofdstuk een opdrachtomschrijving en de scope.

3.1

Probleemstelling

Er zijn nogal wat onduidelijkheden betreffende DPI content filter oplossingen. Het onderzoek is gericht op deze content filters. Deze (meestal dedicated hardware oplossingen, maar softwarepakketten zijn ook te verkrijgen) filters, stellen beheerders van netwerken in staat om het verkeer over hun netwerken niet alleen te monitoren, maar ook te filteren zodat bepaalde content geen doorgang vind. 3 4 De RIAA en MPAA zien dit als de oplossing tegen het illegaal uitwisselen van auteursrechtelijk beschermd materiaal. Echter, er zitten een heleboel haken en ogen aan het gebruik van deze filters voor dat doeleinde. Naast het argument dat de oude generaties filters niets in context kunnen plaatsen, en dus met weinig zekerheid iets konden identificeren, misten ze ook de capaciteit om on-the-fly voor duizenden connecties tegelijk real-time te filteren. Dit veranderde met de komst van Deep Packet Inspection (DPI) filtering.

Wet van Moore: De wet van Moore stelt dat de capaciteit van elektronische circuits elke 18 maanden verdubbeld tegen dezelfde prijs.

Nu deze DPI filters eindelijk betaalbaar worden (wet van Moore), beginnen steeds meer partijen het nut en/of gevaar in te zien van deze filters. Aan een kant kunnen deze filters de oplossing zijn voor een groot aantal potentiële gevaren. Denk hierbij onder andere aan virussen, trojans en hackers op het “grote boze internet”. Aan de andere kant zien veel mensen DPI als gevaar. Want, zo zeggen ze, om al deze gevaren te onderkennen moet al het dataverkeer worden geanalyseerd. Volgens sommige is dit een inbreuk op privacy. Ook kunnen providers deze techniek gaan gebruiken om bepaalde soorten verkeer “voor te trekken” ten koste van ander dataverkeer, of in het ergste geval, om censuur toe te passen (waarbij in dit geval censuur een vrij breed begrip is. Denk hierbij niet alleen overheidsregulatie maar ook censuur in de vorm van ISP’s die voor jou bepalen wat wel en wat niet te bereiken is op het internet) Dit onderzoek kijkt naar een aantal mogelijke gevolgen van deze nieuwe techniek. Hierbij zijn enorm veel aspecten en partijen betrokken. Omdat niet alles onderzocht kan worden vanwege de hoeveelheid tijd die beschikbaar is in verhouding met de grootte van het onderwerp, wordt hieruit een selectie gemaakt. Deze selectie staat omschreven in de volgende paragraven. Kort gezegd luidt de onderzoeksvraag: “Wat zijn de consequenties van het doorvoeren van DPI filtering op het internet en wat betekent dit voor de gebruikers?”.

3.2

Opdrachtomschrijving

De opdracht zal bestaan uit onderzoek naar de werking van DPI content filters, de efficiëntie daarvan en de mogelijke gevolgen daarvan. Deze gevolgen worden in twee scenario’s uitgewerkt. Het onderzoek zal zich voornamelijk richten op drie zaken. Eerst zal er worden gekeken naar de technische werking van DPI filters. Er wordt gekeken naar de werking van deze filters die als complete oplossing worden aangeboden. Dit wordt gedaan door onder andere naar de verschillende soorten manieren van filteren die deze apparaten toepassen te kijken. Ook zal er worden gekeken naar een aantal andere aspecten en scenario’s die te maken hebben met de komst van DPI filtering. Er zal worden gekeken naar de technische aspecten die van belang zijn bij het plaatsten van deze filters. Ook zal er worden gekeken naar wat dit inhoudt voor de beheerders van netwerken. Als laatste wordt er gekeken naar de consequenties voor de gebruikers van internet. 3 4

Recording Industry Association of America Motion Picture Association of America


13

3.3

Onderzoeksvragen

De vorige twee paragraven hebben een goed beeld geschetst van de situatie die er momenteel gaande is. Daaruit vloeien de volgende vragen voort die in dit onderzoek beantwoordt zullen worden. De gedefinieerde deelvragen zullen leiden tot het beantwoorden van de hoofdvraag: Hoofdvraag: Wat zijn de consequenties van het doorvoeren van DPI filtering op het internet en wat betekent dit voor de gebruikers? Deelvragen Wat is de technische werking van DPI content filtering? Evolutie van content filtering. Hoe werken DPI filters? Wat zijn de filtermethodes die DPI filters gebruiken? Welke technische aspecten komen er kijken bij de uitrol van deze DPI content filters? Wat is de beste plek om DPI filters te plaatsen? Welke aanpassingen zijn nodig aan de infrastructuur? Wat betekent de komst van deze filters voor de beheerders? Komen er taken bij? Wijzigingen bestaande infrastructuur? Wat zijn de consequenties van deze filters voor de gebruikers van het internet? Bereikbaarheid websites? Abonnementsvormen? Privacy? Technisch?

3.4

Scope

Zoals in de opdrachtomschrijving te lezen is, zal een groot deel van deze opdracht gaan over de techniek achter DPI. De impact van deze manier van filtering is afhankelijk van de manier van implementatie. Ook zijn er nog een aantal vragen waar geen eenduidig antwoord op is. Hieronder een lijst van wat er wel en niet onder de scope van deze onderzoeksopdracht valt. Wat valt er wel onder de scope van deze afstudeeropdracht: De technische werking van hardware DPI content filters. De technische aspecten van het plaatsen van deze filters. De impact van DPI content filters voor de beheerders bij ISP’s op het vlak van beheren. Wat betekent de komst van DPI content filters voor gebruikers van het internet in positieve zin. Wat betekent de komst van DPI content filters voor gebruikers van het internet in negatieve zin. Wat valt er niet onder de scope van deze afstudeeropdracht: De financiële kant van het hele verhaal zal voor geen van de partijen nader worden bekeken. De platenmaatschappijen en hun belangenorganisaties. Zij worden wel genoemd maar de impact voor hen zal niet van invloed zijn op de conclusie. Softwarematige filters en ‘standaard’ hardware filters, deze filters hebben niet de “kracht” om dusdanige veranderingen teweeg te brengen omtrent het wereldwijde internetverkeer. Invloeden op andere partijen dan de in de onderzoeksvraag genoemde partijen.


14

Onderzoek Dit onderdeel van de scriptie bevat de resultaten van het onderzoek dat gedaan is, ten behoeve van het antwoorden van de onderzoeksvraag. Het onderzoek is in de vorm van een literatuurstudie verricht. Daarvoor zijn een aantal bronnen gebruikt (deze bronnen staan vermeld in de appendices). De bronnen zijn op te delen in drie categorieën. Allereerst is er een categorie nieuws. Omdat het een recent onderwerp is komen er dagelijks berichten in het nieuws omtrent het mis- of gebruik van DPI content filters. Een tweede bron is de (technische) documentatie van de verschillende DPI content filter fabrikanten. De laatste categorie bronnen zijn een aantal rapporten en onderzoeken die verband houden met mijn onderzoek.


15

4 Evolutie DPI content filtering Deep Packet Inspection (DPI) content filtering was er niet van de een op de andere dag. Content filtering op zich bestond al sinds 1983. Rond deze tijd kwamen de eerste routers op de markt. Deze apparaten zijn ook een vorm van content filters echter werd er niet naar de daadwerkelijke content gekeken maar naar het bestemmingsadres of bronadres. DPI filtering is de laatste evolutie in filtertechnieken. Hoe die evolutie verlopen is zal uiteen worden gezet in dit hoofdstuk.

4.1

Het OSI model en het TCP/IP model

Om de evolutie van content filters te begrijpen is het van belang om te weten “hoe” en “waar” binnen een netwerk DPI filters en haar voorgangers hun werk verricht(t)e(n). Om dit duidelijk te maken zijn er twee standaarden die daarvoor gebruikt kunnen worden. In dit onderzoek zal er gebruik worden gemaakt van het TCP/IP model. De reden hiervoor is omdat alle vormen van filtering die besproken zullen worden, worden toegepast in op TCP/IP gebaseerde omgevingen. Het andere model is het OSI model. Dit model zal voor de compleetheid hieronder kort worden besproken. De International Standards Organisation (ISO) ontwikkelde eind jaren ’70 een model over hoe netwerken moeten werken en hoe ze in elkaar zouden moeten zitten. Dit werd het OSI model genoemd. Dit model bestaat uit zeven logische lagen en ziet er als volgt uit (figuur 2):

Fig. 2 Het OSI model

De ISO wilde met dit model een standaard aandragen waardoor netwerken overal op een en dezelfde manier werden ontworpen en ingericht. Elk van de zeven lagen heeft een specifieke taak met betrekking tot het versturen en/of ontvangen van data. Als men data verstuurt dan wordt het model van boven naar onder doorlopen, de ontvanger zal het model van onder naar boven doorlopen.


16

Echter bleek in der loop der jaren dat een specifieke combinatie van protocollen, dé standaard zou worden waarop bijna alle (commerciële) netwerken op ontworpen en ingericht zijn; TCP/IP.

Fig. 3 TCP/IP framework

De TCP/IP (versie vier) stack (figuur 3), zoals dit model ook wel wordt genoemd, bestaat uit vier lagen, tegenover de zeven van het OSI model. Elk van de vier lagen in het bovenstaande model komt, net als in het OSI model, overeen met bepaalde protocollen en functionaliteiten. Laag Application

Transport

Network

Datalink

Functionaliteit De bovenste laag van het TCP/IP model. Op deze laag zitten de protocollen van applicaties zelf zoals: DNS, FTP, HTTP, IRC, POP3, SSH, TELNET, RDP, SIP of IMAP. Deze laag communiceert direct met applicaties en handelt (gedeeltelijk) processen af voor deze applicaties. deze laag behuisd de protocollen die verantwoordelijk zijn voor het daadwerkelijk “vervoeren” van de data. Deze protocollen zijn onder andere: TCP, UDP en PAT. Deze laag handelt service requests van de application laag af. De network laag moet er voor zorgen dat de weg wordt gevonden over het netwerk naar de eindbestemming. Protocollen die hiervoor zorgen zijn onder andere: IP, RARP en OSPF. Deze laag is belast met het vinden van een route naar de ontvanger. De onderste laag van de TCP/IP stack. Hier zitten de netwerk interface en de bijhorende drivers. Deze zorgen samen voor de afhandeling van alle hardwarematige details omtrent de interactie met het transport medium (kabel). Tabel 2 TCP/IP lagen

Aan de hand van het TCP/IP model zal er in de volgende paragraaf worden gekeken naar data packets. Het is niet alleen van belang dat we iets afweten van het soort omgeving (TCP/IP netwerken), maar ook is het van belang om te weten naar welke data er precies wordt gekeken door filters, omdat dit in der loop der jaren ook veranderd is.


17

4.2

Data packets

Het meeste dataverkeer dat over netwerken heen en weer wordt verzonden, wordt niet zomaar over de verbinding heen gestuurd in de hoop dat het ooit aankomt (Al zijn er een aantal veel gebruikte protocollen die dit wel doen, UDP is hier een bekend voorbeeld van). Daarvoor is nou juist een protocol zoals TCP voor ontwikkeld. Dit protocol zorgt ervoor dat data ook daadwerkelijk op de juiste bestemming aankomt. Het IP protocol daarentegen zorgt voor onder andere de “adressering”. Wanneer een applicatie data wil versturen met behulp van TCP/IP, dan wordt deze data door alle lagen van de TCP/IP stack gestuurd voordat de data als bitjes over het netwerk wordt verstuurd. Elk van deze lagen voegt additionele data toe ten behoeve van een goede aflevering van de te versturen data. De afbeelding (figuur 4) hieronder is een representatie van te versturen data. Deze data komt vanuit de application layer. Je kunt dit vergelijken met een pakketje dat je bijvoorbeeld in Beijing hebt besteld.

Fig. 4 Payload

Het bedrijf in Beijing stuurt dit pakketje op naar het postkantoor aldaar. Hiervoor word het adres van het postkantoor toegevoegd. Dit gebeurt ook met data packets, in de vorm van een TCP header (figuur 5). Dit wordt gedaan door de transport layer.

Fig. 5 Payload met TCP header

In de TCP header wordt onder ander aangegeven over welke poort (in het geval van het pakket voorbeeld, zou je dit kunnen zien als de keuze voor nationaal of internationale zending) de data wordt verzonden en ontvangen. Ook wordt er een volgnummer toegevoegd (De te versturen data past niet altijd in een packet), een checksum (om te controleren dat het packet geen fouten bevat) en nog andere informatie. Op het postkantoor in Beijing zien ze dat het pakketje naar Nederland moet, en dus met het vliegtuig vervoerd moet worden. Er wordt op het data packet gezet dat deze naar het vliegveld moet. Dit is nog meer informatie die aan je pakket wordt toegevoegd. Ook bij het versturen van data wordt er nog meer informatie toegevoegd om er voor te zorgen dat de data zijn eindbestemming bereikt, de IP header (figuur 6). Deze wordt door de network layer toegevoegd.

Fig. 6 Payload, TCP header en IP header


18

De IP header bevat, net als de TCP header, informatie die nodig is om de data op de juiste plek te krijgen. De IP header bevat het IP adres van de verzender en de ontvanger, de TTL (levensduur van de data), de lengte van het data packet en nog andere informatie. Als je pakket op het vliegveld aankomt, dan ziet men dat het naar Nederland moet. Deze informatie wordt ook weer toegevoegd. Ook bij een data packet wordt drie keer informatie toegevoegd. De laatste informatie wordt toegevoegd in de vorm van een frame header en frame trailer.(figuur 7). Dit gebeurd door de datalink layer.

Datalink layer

Frame header

Network layer

Transport Layer

Application layer

Datalink layer

IP header

TCP header

Payload

Frame trailer

Fig. 7 Compleet data packet

Als het pakket in Nederland aankomt dan wordt stapsgewijs de informatie die is toegevoegd weer verwijderd van het pakket. Immers is de informatie die aanwezig is op het pakket niet van belang voor de Nederlandse postdienst. Uiteindelijk krijg je alleen je pakketje thuis. Deze informatie wordt er in omgekeerde volgorde weer vanaf gehaald. Het toevoegen van deze extra data wordt gedaan door elk van de lagen in de TCP/IP stack, dit om te zorgen dat elke laag zijn data juist ontvangt aan de andere kant. Als je de opbouw van een data packet naast het TCP/IP model legt ziet dat er als volgt uit (figuur 8):

Fig. 8 Totaalbeeld TCP/IP encapsulatie

De laag die verantwoordelijk is voor het toevoegen van de data is aan de ontvangende kant ook weer verantwoordelijk voor het verwijderen van die data.


19

4.3

Firewalls

In 1991 kwam DEC met een compleet nieuwe apparaat, de firewall. De firewall was gebaseerd op de kennis en technieken van routers. Routers waren er om te bepalen waar een bepaald data packet naartoe moet. Firewalls voegde daar een nieuwe optie aan toe; mag het data packet überhaupt wel worden verstuurd? De eerste firewalls waren in feite simpele data packet filters. De keuze of een data packet wel of niet verstuurd werd hing van twee dingen af. Allereerst was het IP adres van de bron of het IP adres van de ontvanger (en in sommige gevallen beide) een afweging. Daarnaast werd er nog gekeken naar de TCP of UDP poort waarnaar het data packet verstuurd werd. Al deze informatie zit in de packet header. DEC: DEC is een computer/electronica bedrijf opgericht in 1957. Ze zijn bekend om hun wetenschappelijke systemen uit de jaren 70 en 80. in 1998 sloot het bedrijf de deuren en is het restant aan het toenmalige COMPAQ verkocht.

Natuurlijk was deze eerste generatie apparaten niet zonder gebreken. Zo konden deze apparaten niet valideren of een data packet dat van een DNS server afkwam ook daadwerkelijk een DNS data packet was. Een ander probleem was UDP. Dit protocol maakt geen verbinding zoals TCP dat doet (dat wil zeggen, UDP kent geen sessies), maar pakt willekeurig een poort. Kort gezegd, als je DNS verkeer door wilde laten komen op je netwerk, dan moest je alle poorten tussen 1024 en 65535 openzetten. Hierbij is het gemakkelijk te bedenken dat als je data vermomd als DNS data, dit ook gewoon door werd gelaten, terwijl dit in realiteit een virus of iets anders schadelijks kan zijn.

Toch markeerde deze eerste generatie firewalls de eerste stap van de evolutie van deze apparaten. Van een apparaat dat interconnectiviteit leverde, tot een apparaat dat tegenwoordig wordt gezien als een hardwarematig slot op de deur.

4.4

Intrusion Detection System

Intrusion Detection Systems (IDS) bestaan in concept al meer dan 20 jaar. De allereerste keer dat het idee van intrusion detection werd genoemd, was in een paper van James Anderson uit 1980, “Computer Security Threat Monitoring and Surveillance”. In 1983 begon Dorothy Denning aan een overheidsproject met als doel alle toegang van overheidsmainframes te auditten en toe te kennen aan gebruikers. Een jaar later hielp ze mee aan het eerste concept voor intrusion detection. Dit concept was de bakermat van IDS’s. Naast de overheid waren universiteiten ook bezig met onderzoek naar IDS’s. Lawrence Livermore Laboratories aan de universiteit van California was bezig met het Haystack project voor de luchtmacht. Uit dit project vloeide een commercieel bedrijf voort; Haystack Labs.

Dorothy Denning: Is een gerenommeerd onderzoekster op het gebeid van informatie beveiliging. Ze heeft aan commerciële- en overheidsprojecten meegewerkt. Tegenwoordig doceert ze aan de Navel Postgraduate School in Monterey.

In 1990 kwam Todd Heberlein met een artikel en systeem getiteld “A Network Security monitor”. Het eerste netwerkgebaseerde Intrusion Detection System. Dit onderzoek en concept gaven Haystack Labs een duw in de rug. Begin jaren 90 kwam Haystack Labs dan ook met de eerste commerciële IDS op de markt. Technisch gezien zijn IDS’s eigenlijk gespecialiseerde “packet sniffers”, die aan de hand van vooraf gestelde regels een melding geven als er bepaalde packets worden geïdentificeerd. Het identificeren kan op verschillende manieren gebeuren. Een tweetal van deze manieren zijn de volgende Aan de hand van “signatures” die opgeslagen zijn in een database. Aan de hand van het feit of een packet “anders” is dan andere packets. Een van de nadelen van IDS appliances was dat het passieve apparaten waren, ze detecteren alleen de dreiging en maken daar een melding van, maar ondernemen geen enkele actie. Dit veranderde in der loop der jaren. Er kwam proactieve IDS’s op de markt. Deze werden Intrusion Prevention Systems genoemd.


20

4.5

Stateful Packet Inspection

In 1993 kwam Checkpoint met een nieuwe techniek genaamd “Stateful Packet Inspection” (SPI). Dit in de vorm van de Firewall-1. Het nieuwe aan deze firewall zat hem in het feit dat de SPI techniek niet alleen naar de header keek van een data packet maar ook naar het soort header van een data packet (al was dit nog erg beperkt). Met andere woorden, er wordt niet alleen naar de ontvanger en verzender gekeken van het packet maar ook naar het type data dat wordt vervoerd. Ofwel in plaats van dat een packet wordt doorgelaten omdat de afzender en ontvanger kloppen, wordt er nu ook gekeken naar de “toestand” van het data packet. Je hangt er een “state” aan vast.

Firewall-1: Deze firewall was de eerste SPI firewall op de markt. Dit stuk software leverde Check Point een stevige positie op de IT markt op. Tot 2002 was Check Point een van de grootste firewall leveranciers. Cisco nam deze positie over mbv. de Cisco PIX firewall.

Als je dan weer kijkt naar het DNS voorbeeld uit paragraaf 4.3, dan gebeurd het volgende: De firewall ziet een packet voorbijkomen met daarin een request van een computer naar een DNS server. Dit feit wordt door de firewall genoteerd in een tabel. Als de DNS server zijn reply stuurt controleert de firewall dit antwoord met de request die hij eerder in zijn tabel heeft opgenomen. De reply wordt alleen toegelaten als er een request in de tabel staat die aansluit bij de reply. Ofwel de firewall “weet” welke reply bij welke request hoort, ofwel hij plaatst iets in context en hangt er een “state” aan.

4.6

Deep Packet Inspection

Deep Packet Inspection is voortgekomen uit het combineren van de drie bovengenoemde technieken, firewalls, Stateful Packet Inspection en het Intrusion Detection System. Deze drie technieken zijn aangevuld met, in de meeste gevallen, een stuk software dat bestaat uit een engine en een database met fingerprints (herkenningspunten van Krachtigste DPI bepaalde types dataverkeer).Deze combinatie levert een platform dat in oplossing: De staat is om, op de huidige hardware, miljoenen sessies met multiple gigabit meeste krachtige DPI oplossing snelheden, real-time te inspecteren. verkrijgbaar wordt momenteel verkocht door Juniper. De TXMatrix heeft een doorvoersnelheid van 2,5Tbps voor drie miljard packets per seconde.

Ondanks dat DPI geëvolueerd is vanuit, onder andere, SPI oplossingen, is de werking anders. Een SPI firewall kijkt naar het type data en verifieert dat het inderdaad het goede type data is. Hij kijkt bijvoorbeeld of een data packet dat zegt dat hij een http request vervoerd, dit ook daadwerkelijk als payload heeft. Dit in plaats van te kijken of deze request over poort 80 aankomt.

DPI content filters kijken naar de daadwerkelijke inhoud van de payload, en controleert of de inhoud niet schadelijk is of in strijd is met de vooraf gedefinieerde regels. Een DPI systeem kijkt bijvoorbeeld of de naam (of een deel daarvan) van een document in een request niet het volgende is: ‘../../WINNT/SYSTEM32/CMD.EXE?/C+DIR+C:+/S’De bovenstaande regel is een poging om buiten de webserver te komen en iets te doen waar ze niet het recht toe hebben (in dit geval een directory overzicht opvragen van de harde schijf van de server). Een DPI systeem plaatst niet elk data packet apart in een context maar wacht bijvoorbeeld tot een complete request verstuurd is (deze kan verspreid zijn over meerdere data packets). Vervolgens stelt het filter zich voor dat hijzelf de ontvanger is van deze request en controleert het aan de hand van de vooraf gestelde specificaties. Een DPI systeem kan ook kijken of een web URL echt een URL is en niet een verkapt SQL commando, wat gebruikt kan worden om toegang tot een database te verkrijgen om de prijzen van artikelen uit een database te vissen ten behoeve van E-commerce.


21

Het is logisch dat correct gebruik van deze DPI systemen afhangt van de kennis die een beheerder heeft. In-depth kennis van protocollen, server besturingssystemen en applicaties, is vereist. Sommige DPI oplossingen zijn tegenwoordig zo geavanceerd dat ze requests kunnen blokkeren of toelaten op grond van een parameter die wordt meegestuurd met een HTTP request. De evolutie naar Deep Packet Inspection is hand in hand gegaan met de toenemende prijs/performance beschikbaarheid van server hardware. Dit omdat deze appliances zo complex zijn dat ze alleen goed kunnen draaien op software die op de specifieke hardware is afgestemd. Software staat namelijk gelijk aan langzaam in vergelijking met netwerken. Tegenwoordig worden DPI filters geplaatst op zogenaamde “appliances”. Dit zijn gespecialiseerde hardware platformen ontwikkeld voor specifieke taken, in dit geval Deep Packet Inspection content filters. De reden dat dit niet eerder is gebeurd is omdat DPI filters immens veel rekenkracht vergen, en deze rekenkracht wordt nu pas betaalbaar. Om het bovenstaande verhaal nog eens kort samen te vatten is hieronder een illustratie te vinden die het bovenstaande verhaal nog even kort grafisch weergeeft. De afbeelding (figuur 9) geeft duidelijk weer wat het werkgebied is van elke techniek als het aankomt op het inspecteren van TCP/IP data packets.

Fig. 9 Werkgebieden filtermethodes


22

5 Werking van DPI filters Zoals beschreven in het vorige hoofdstuk bestaat een Deep Packet Inspection appliance eigenlijk uit drie gecombineerde technieken; (stateful) firewalling, Stateful Packet Inspection en het Intrusion Detection System. Elk van deze drie technieken heeft zijn eigen sterke en zwakke punten. Elke techniek vult de ander aan qua functionaliteit. Naast de bovengenoemde “standaard uitrusting” van DPI filters zijn er vaak ook nog features toegevoegd die sterk afhankelijk zijn van de fabrikant en / of het type dat men neemt. Ook de hardware verschilt sterk per fabrikant, evenals de methode waarop de DPI filters worden toegepast. Dit is vaak softwarematig, maar er zijn sinds kort ook chips te verkrijgen die een complete DPI oplossing omvatten. In dit hoofdstuk kijken we allereerst naar de globale werking van DPI filters. Daarna kijken we naar de software voor DPI appliances. Denk hierbij aan het Operating System op een DPI appliance, maar ook de extra software waarmee de functionaliteiten worden uitgebreid. Als laatst kijken we naar verscheidende filtertechnieken. De filtertechnieken in combinatie met de software zorgt voor de functionaliteit van een DPI appliance.

5.1

Algemene werking DPI filters

De algemene werking van een DPI appliance verschilt niet veel met die van een router. Het traject dat een data packet aflegt bij binnenkomst is onder te verdelen in een aantal stappen. 1. Data packet komt binnen op een interface. 2. Data packet word gecontroleerd aan de hand van de vooraf opgestelde regels en definities. 3. Als het data packet als “schoon” word beschouwd dan word deze doorgestuurd naar de routing functie. 4. De routing functie van de DPI appliance kijkt waar het data packet naar toe moet. 5. Het data packet verlaat de DPI appliance over een van de uitgaande interfaces. Bovenstaand stappenplan in zeer globaal, waarbij stap vier afhangt van de appliance (Wel of geen routing mogelijkheden). De reden hiervoor is omdat elke fabrikant zijn eigen methode heeft met lichte afwijkingen in het data packet proces. Dit is meteen ook een van de nadelen momenteel van de techniek, Er is geen regulering. Dit kan in de toekomst voor grote problemen zorgen. Ter compleetheid is hierboven nog een flow chart te vinden die het vijf stappenplan visueel weergeeft. Als er complete data flows moeten worden georganiseerd dan zal dit gebeuren door gebruik te maken van een buffer in het DPI filter. Hierin word na stap een alle data packets opgeslagen die nodig zijn voor de analyse. Als er genoeg data packets verzameld zijn, dan zal de hele serie data packets op eenzelfde manier worden behandeld als een enkel data packet.


23

5.2

Software

De software is een cruciaal onderdeel van een DPI appliance. Behalve de software die er op zit in de vorm van een OS, is er meestal ook software aanwezig voor het beheer van de DPI appliance. Deze beheerpakketten zijn fabrikantafhankelijk (net als het OS). In deze paragraaf kijken we eerst naar de OS software en haar taken om vervolgens te kijken welke andere taken over het algemeen worden afgehandeld door de beheersoftware die aanwezig is op de DPI appliances.

5.2.1 Operating System Een DPI appliance Operating System (OS) heeft een aantal primaire taken. Taken die hieronder vallen zijn: User interface management – beheeronderdeel om de interface te beheren. Denk aan het aanmaken van gebruikers en rechtenbeheer met betrekking tot gebruikers. Chassis management – Het beheer van de appliance zelf. Hieronder vallen bijvoorbeeld het uitlezen van temperatuursensoren of het controleren op het wel of niet gebruiken van bepaalde uitbreidingssloten. Network interface management – Zoals de naam al doet vermoeden zorgt een dergelijk onderdeel ervoor dat men de netwerkverbindingen die fysiek op de appliance zitten kan beheren. Routing protocol management – Het beheren van de routing protocollen zoals BGP, EGP, OSPF en IGRP. Local packet management – Het beheren van de data packets die over het lokale netwerk gaan. Dergelijke appliances hebben tegenwoordig de mogelijkheid om data packets aan te passen opdat hun te nemen route veranderd. Network management – Interface om het netwerk te beheren. De trend is wel dat steeds vaker deze functionaliteit wordt geïntegreerd met de overige software die later aan bod komt. Daarnaast zijn de eisen voor het OS van de DPI appliance hetzelfde als voor iedere modern OS. Dit zijn: Stabiliteit Schaalbaarheid Veiligheid Robuuste implementatie routing protocollen Een van de manieren om er voor te zorgen dat het OS de bovenstaande eisen tegemoet komt, is om het OS modulair op te bouwen in plaats van monolithisch. Dit is een trend die de laatste jaren door steeds meer fabrikanten wordt gevolgd. In de appendices is een vergelijking te vinden met het verschil tussen een modulair OS en een monolithisch OS. Als een interface uitvalt op een DPI appliance dan valt dit nog te ondervangen, aangezien het verkeer dan over een andere interface kan worden geleidt aan de hand van de routing tables. Maar als een complete DPI appliance het begeeft omdat de OS vastloopt, dan zijn de gevolgen vaak erg groot.

Monolithische & modulaire kernel: Het verschil tussen deze twee is dat in een monolithisch OS alle functies in een groot “blok” word geladen. Als er iets binnen dat blok vastloopt dan werkt al het andere binnen dat blok ook vast. Een modulaire kernel heeft elke functie in zijn eigen blok zitten.

Het is dus van belang dat het OS ook stabiel blijft in extreme omstandigheden. Dit is ook een van de redenen waarom de Operating Systems van DPI appliances modulair worden opgebouwd. Mocht bijvoorbeeld het DNS protocol bezwijken in verband met een aanval, dan zal dit geen impact hebben op de rest van het OS, dit omdat elke functionaliteit in zijn eigen module zit. De tweede eigenschap, schaalbaarheid, hangt nauw samen met stabiliteit. Als geen van de onderdelen binnen het OS schaalbaar is dan zal dit snel tot instabiliteit leiden. Schaalbaarheid wil zeggen dat ongeacht de load op een bepaalde module, functionaliteit en performance nagenoeg het


24

zelfde blijft. Sommige DPI appliances hebben de mogelijkheid om aaneengeschakeld te worden. Het OS moet er dus op ingericht worden om even goed als stand-alone te werken als dat zo’n appliance aan vier andere word gekoppeld. Andere punten waarmee de schaalbaarheid vergroot wordt: : Het maximum fysieke en logische interfaces dat wordt ondersteund. Zoeksnelheid door ACL’s en routing tables. Maximum aantal routes dat kan worden opgeslagen. Maximum aantal simultane connecties dat wordt ondersteund. De mogelijkheid om makkelijk en efficiënt filterregels toe te voegen, verwijderen en te beheren Maximum aantal ondersteunde VPN’s. Maximum aantal virtuele routers dat een DPI appliance kan emuleren. De capaciteit van de onderliggende hardware om continue alle features op hoge snelheid toe te passen. Veiligheid is de derde vereiste, gezien de hoeveelheid aanvallen die vandaag de dag plaatsvinden. De variëteit van deze aanvallen is erg groot en dus lastig om allemaal te onderkennen. De veiligheidsmaatregelen die in een DPI appliance meestal worden toegepast zijn op het vlak van de applicaties, gebruikers en netwerk resources. Manieren waarop de veiligheid kan worden vergroot zijn:

Top vijf Cyberthreats 2008: 1. Bots & Botnets 2. Phising sites 3. Vishing 4. Rootkits 5. Mobile Malware

Statefull firewall en Network Address Translation (NAT) mogelijkheden om te voorzien in beveiligde verbindingen naar de beheerfaciliteiten. Ondersteuning voor VLAN’s en VPN’s. Dit om een logische verdeling te maken tussen public en private datastromen. Flow monitoring. De mogelijkheid om steekproeven te houden op het dataverkeer dat over het netwerk gaat. Dit om verdachte activiteit op het netwerk te onderkennen. De mogelijkheid om datastromen af te kappen of om te leiden die naar een specifieke doelmachine gaan. Dit om bijvoorbeeld Denial of Services (DoS) aanvallen af te weren. Unicast Reverse Path Forwarding (uRPF) om de bron te controleren om adres spoofing tegen te gaan. Encryptie op de routing protocollen om spoofing op dit niveau tegen te gaan. Encryptie op de systeemadministratie, Meerdere toegangsniveaus voor gebruikers en een gecentraliseerde gebruikers authenticatie door middel van bijvoorbeeld een RADIUS server. Configuratiebeheer en mogelijkheid tot het ongedaan maken van wijzigingen. Dit om fouten te minimaliseren. Event logging en audits om logs bij te houden betreffende wie wanneer toegang heeft gekregen tot de router en wat hij of zij heeft gedaan. Het laatste punt, robuuste implementatie van protocollen klinkt voor de hand liggend en simpel te bewerkstelligen. Het lastige hieraan is echter de immense hoeveelheid data die DPI appliances te verduren krijgen. Ook moet er rekening gehouden worden met uitbreidingen van de capaciteit door middel van extra interfaces.

5.2.2 Management software. Naast het operating system is nog een ander stuk software van belang voor het optimaal benutten van een DPI appliance. Dit stuk beheersoftware is meestal bereikbaar via een web interface. Het is aan te raden een computer hiervoor in te richten (veiligheidsoverwegingen). Deze PC’s hebben meestal twee doelen. Ten eerste worden ze gebruikt om het OS op de DPI appliance te beheren (via een terminal service). Daarnaast wordt deze PC gebruikt om een eventuele softwarebundel die wordt meegeleverd met een DPI appliance op te installeren. Deze softwarebundel heeft meestal meerdere functionaliteiten (afhankelijk per fabrikant), al kun je het over het algemeen opdelen in deze vier categorieën: Policies toepassen Rapporteren Gebruikersidentificatie


25

Resource verbruik De eerste categorie, policies toepassen, is de voornaamste reden waarom netwerkbeheerders een DPI appliance implementeren, het toepassen van policies. Hierbij verschilt de implementatie per fabrikant. Dit is ook meteen het vlak waarop fabrikanten elkaar de loef proberen af te steken. Elke fabrikant claimt namelijk dat haar product de meeste protocollen of juist bepaalde protocollen wel er uit haalt. De policies kunnen onder andere worden toegepast op protocol, op IP, op poort, op URL, op soort verkeer, of hoeveelheid data binnen een bepaalde tijdslimiet. De manieren die worden gebruikt om deze policies toe te passen komen in paragraaf 5.3 aan bod. De tweede categorie is rapporteren. Dit is voor de meeste netwerkbeheerders ook een belangrijke feature. Deze optie stelt ze in staat om gedetailleerde rapporten te genereren. De mogelijkheden hierin verschillen ook weer per fabrikant. In meeste gevallen kun je in ieder geval op vaste intervallen rapportages laten genereren Dit kan op basis van verschillende criteria. Denk hierbij aan per subnet, per protocol, per IP etcetera. In de meeste gevallen wordt deze informatie opgeslagen in een externe database (dit omdat de opslagcapaciteit van een DPI appliance niet voldoende is voor een dergelijke hoeveelheid informatie). Kort gezegd, alles wat over de interfaces van een DPI appliance naar binnen of naar buiten gaat kan worden gerapporteerd. De export- en weergave methoden verschillen sterk per fabrikant maar je kunt hierbij denken aan verschillende soorten grafieken, diagrammen en formaten (TXT, CSV, HTML etcetera). De derde categorie, gebruikersidentificatie, wordt gebruikt om individuele gebruikers van het netwerk te onderkennen (ter illustratie, in het geval van een internetprovider, om haar klanten te identificeren). Afhankelijk van de fabrikant is dit ook mogelijk in een omgeving waar automatisch IP adressen worden toegekend (DHCP), in andere gevallen zijn vaste IP’s vereist, of wordt deze informatie op een andere manier achterhaald. Andere methodes zijn onder andere op basis van subnet of de combinatie van MAC adres van het modem en het dynamische toegekende IP adres. De vierde categorie, resource verbruik spreekt voor zich. Dit kan in meeste gevallen worden gedaan per gebruiker, per groep of per subnet. In de meeste gevallen wordt dit gedaan op IP niveau. Dit houdt in dat je per IP adres kan zien hoeveel dataverkeer er wordt gegenereerd. Er zijn / komen echter ook methodes op de markt die de beheerders in staat stellen om dit per IP per protocol te doen. In sommige gevallen is het al mogelijk om profielen op te stellen zodat je combinaties van datastromen kan bijhouden. Dit kan erg nuttig zijn, bijvoorbeeld in het geval van VoIP dat gebruik maakt van meerdere protocollen. De beheerder maakt dan een profiel waarin het dataverkeer van alleen de SIP, H323 en MGCP protocollen wordt gemeten. Op deze manier weet je precies hoeveel data er wordt gebruikt door het VoIP verkeer op je netwerk.

5.3

Identificatie technieken

Een van de lastigere punten bij het selecteren van een DPI appliance voor een netwerk is het gegeven dat elk bedrijf adverteert met haar eigen benamingen voor de verscheidende inspectie mechanismen. Arbor noemt het “Peakflow X Application Intelligence” terwijl GenieRM adverteert met de “network policy controller” en Cisco ondertussen adverteert met onder andere pattern matching en protocol decode-based analysis, termen die weer veel op die van de basistechnieken lijken. Dit maakt het er niet makkelijker op. Aan de andere kant blijft het in de meeste gevallen gelukkig alleen bij een naam. De identificatietechnieken van deze appliances zijn uiteindelijk allemaal gebaseerd op vier technieken; signature-based identification, application layer gateway-based identification en behavior-based


26

identification, welk alle drie gebruikt worden voor bekend dataverkeer. De vierde methode, pattern matching wordt veelal gebruikt voor het identificeren van pakketten waarvan geen eigenschappen bekend zijn.

5.3.1 signature-based identification De eerste techniek, signature-based identification, gebruikt unieke eigenschappen van protocollen om deze te onderscheiden en te identificeren. Elk protocol onderscheidt zich, omdat ze allemaal gebruik maken van een andere poort, numerieke eigenschappen of bepaalde (tekst)strings (of een combinatie). Daarnaast heeft ieder protocol zijn eigen unieke karakteristieken. Dit wordt ook wel de “vingerafdruk” genoemd van een protocol. Het filter controleert een data-flow op basis van deze unieke karakteristieken om ze van elkaar te onderscheiden. Op deze manier weet het filter welk pakketje bij welke applicatie hoort. Zoals gezegd wordt er gebruik gemaakt van de unieke informatie in een data packet die toebehoord aan een applicatie en / of protocol. De eerste methode, op poortnummer, spreekt voor zich. Elke applicatie maakt gebruik van een bepaalde poort voor de datacommunicatie. Zo gaat HTTP verkeer over poort 80 en FTP verkeer over poort 21. Het nadeel van deze methode is echter dat een poort erg makkelijk te “spoofen” is. Spoofen wil zeggen dat je een poort nummer “faked”. Hiervan zou sprake zijn als FTP verkeer over poort 80 zou gaan, de identificatie engine zal in dat geval denken dat het om HTTP verkeer gaat. (dit is een denkbeeldig scenario in werkelijkheid zijn er meerdere filters actief waardoor dit altijd nog onderkend zal worden als niet legitiem dataverkeer.). De tweede methode is op basis van numerieke eigenschappen. Als voorbeeld nemen we het UDP verkeer dat plaats vindt bij het opzetten van een Skype connectie (versie 2.12 en ouder) (figuur 10).

Fig. 10 Skype sessie initiatie

De client stuurt een message van 18 bytes naar een server en verwacht als antwoord hierop een bericht van 11 bytes van de server. Daarna stuurt de client nogmaals een bericht, dit keer met een lengte van 23 bytes. Daarna verwacht de client voor de laatste keer een bericht van de server. Ditmaal is de verwachte lengte 18, 51 of 53 bytes. Het filter gebruikt deze feiten als vingerafdruk. Het nadeel is alleen dat dit net als bij poort analyse vrij gemakkelijk te “faken” is. Voor de laatste methode, analyse op basis van (tekst)strings, pakken we er een voorbeeld bij. Voor de duidelijkheid zijn de frameheader en frametrailer uit de weergave op de volgende pagina weggelaten (figuur 11).


27

Fig. 11 Kazaa data packet

De afbeelding hierboven is een schematische weergave van een data packet van Kazaa. In dit voorbeeld gaat de signature analyse af op de string die staat bij user-agent in combinatie met de GET request string. Deze hierboven genoemde filter methodieken zijn weer op te delen in twee varianten, Signature matching op basis van een vaste locatie binnen het packet. Sommige protocollen hebben bepaalde informatie altijd op dezelfde locatie zitten binnen een data packet. Signature matching op basis van een random locatie binnen het packet. Sommige informatie wisselt steeds van plek binnen een data packet. De “vingerafdrukken” zijn opgeslagen in een database. Deze database zit of in het geheugen/opslagmedium van de appliance of is een stand-alone variant op een server. Dit is meteen het grote pluspunt van deze manier van identificatie. De database met vingerafdrukken kan gemakkelijk worden ge-update met nieuwe definities. Op deze manier heb je altijd de meest recente “vingerafdrukken”. Een nadeel aan de andere kant is dat er veelal kosten verbonden zitten aan de updates. Daarnaast zijn deze updates specifiek voor het hardware platform dat men als bedrijf aanschaft en niet universeel uitwisselbaar.

5.3.2

Application gateway-layer identification

Er zijn protocollen waarbij de control- en service-flows gescheiden zijn, hierdoor heeft de service-flow geen karakteristieken. Application Gateway Layer identification is speciaal ontwikkeld voor dergelijke protocollen. Het inspectieproces werkt als volgt: De appliaction layer gateway identificeert de control-flow en zoekt de service-flow die de control-flow matched. Dit gebeurd aan de hand van een signature. Er worden dus verschillende application layer gateways gebruikt voor verschillende protocollen. SIP en H.323 vallen bijvoorbeeld in deze categorie. SIP en H.323 zetten data-flows op aan de hand van signaal interactie en onderhandeling. Deze interactie en onderhandeling vind plaats in een aparte control-flow. Daarnaast zijn de data-flows altijd RTP packets die beveiligd zijn. Er kan dus geen gebruik worden gemaakt van signature-based identification. Dit omdat de vingerafdrukken in een aparte flow zitten en de data-flow ook nog eens beveiligd is. De enige manier om tot een correcte analyse te komen is door het onderkennen van de control-flow en deze toe te kennen aan SIP en H.323 protocol interactie. Deze techniek heeft baat bij DPI appliances. Dit omdat de enige manier om deze flows te herkennen, is door de complete stroom data packets te onderscheppen en te onderzoeken. Aan een data packet kan niet worden gezien of het bij VoIP of een ander protocol hoort. Het nadeel van deze techniek is echter wel dat de toepasbaarheid niet erg groot is.


28

5.3.3 Behavior-based identification De derde methode gebruikt voorkennis betreffende netwerkgedrag om dreigingen op het netwerk te herkennen. Deze manier van identificatie neemt ook de meeste tijd in beslag om correct te implementeren. Voordat deze techniek kan worden toegepast zal er een analyse moeten worden uitgevoerd op het netwerk. Deze analyse zal dan gelden als baseline voor netwerkverkeer onder “normale” omstandigheden. Dit proces gaat meestal over meerdere dagen of zelfs weken. Hoe langer de tijd een filter heeft om het netwerk te leren kennen, hoe effectiever het uiteindelijk zal zijn. Daarnaast is er bij deze methode ook vaak nog de mogelijkheid om zelf drempelwaardes op te geven (denk hierbij aan bijvoorbeeld het maximum aantal inkomende connecties op een server). Deze methode wordt gebruikt om dreigingen te identificeren die niet protocol afhankelijk zijn. Het wordt gebruikt om bijvoorbeeld spam te herkennen. Dit zal worden herkend omdat er in een dergelijk geval een toename is in het aantal connecties en hoeveelheid data van en naar een mail server. Als dit boven een bepaalde waarde uitkomt dan zal dit worden herkend als spam.

5.3.4 Pattern matching De drie eerder genoemde technieken gaan uit van bepaalde voorwaardes waar aan voldaan moet worden (of juist niet). Op basis daarvan treden ze wel of niet in werking. Pattern matching wordt veelal toegepast om niet bekende data packets, data flows of ander onbekend dataverkeer te scannen op schadelijke data. Dit kan bewerkstelligd worden op drie verschillende manieren. Deze methodes zijn software pattern matching, TCAM pattern SNORT: SNORT is matching en ASCII module matching. Elk van deze methodes heeft zijn een populair open source eigen voor- en nadelen. Deze worden beschreven in elk van de bijhorende softwarematig DPI paragrafen. Alle drie de technieken zijn bedoeld om bepaalde character strings te vergelijken of op te zoeken. Deze strings zijn gedefinieerd in een vooraf vastgestelde grammatica. De meest gebruikte grammatica hiervoor is die van het software filter pakket SNORT of een afgeleide hiervan.

filterpakket. Een van de pluspunten is de simpelheid van de grammatica om detectie regels te maken

5.3.4.1 Software pattern matching De eerste methode is software pattern matching. Deze methode kan zowel per packet op een enkele string zoeken (single-mode), of op meerdere tegelijk binnen een data packet (multi-mode). Voor het zoeken naar een enkele string wordt gebruik gemaakt van het Boyer-Moore algoritme. Dit algoritme is ontwikkeld in 1977 en wordt vandaag de dag veel gebruikt vanwege zijn efficiëntie. Onder andere de zoekfunctie van vele programma’s is op dit algoritme gebaseerd (notepad, wordpad, Internet Explorer). Het aparte aan dit algoritme is dat hoe langer de string is, hoe sneller het algoritme wordt. Voor de multi-mode wordt gebruik gemaakt van het Aho-Corasick algoritme. Dit algoritme gaat uit van een eindige set data waarbinnen de zoekopdracht wordt uitgevoerd. De keuze voor deze manier van pattern matching zal in de toekomst alleen maar groeien naarmate de hardware sneller wordt. Zoals de naam al doet vermoeden is de snelheid van deze methode compleet afhankelijk van de rekenkracht van de appliance waarin deze wordt toegepast. Tegenwoordig zijn dualcore CPU’s gemeengoed en het aantal cores op een CPU zal alleen maar toenemen de komende jaren. Ter illustratie: Als een CPU acht cores heeft met ieder de mogelijkheid om vier threads tegelijk af te handelen dan is dat genoeg snelheid op een datastroom van vijf Gigabit per seconde real-time te inspecteren met een van de twee bovengenoemde algoritmes. De snelste oplossing op de markt is in staat om zelfs op snelheden van 1,2Tbps real-time te scannen. Deze capaciteit zal alleen nog maar toenemen in der loop der jaren. Het is natuurlijk wel afwachten of de DPI appliances qua snelheid de groei van de hoeveelheid data die over het internet gaat kan bijhouden.


29

5.3.4.2 TCAM pattern matching De tweede methode is TCAM pattern matching. Deze methode is compleet afhankelijk van hardware en dan vooral van een speciaal type geheugen, CAM geheugen. CAM staat voor content-addressable memory, ook wel bekend als associative memory. In tegenstelling tot standaard geheugen (random access memory (RAM)) waarbij de gebruiker (operating system) een geheugenadres opgeeft en het geheugen de bijhorende data (ook wel "data word" genoemd) uit dat geheugenadres ophaalt, is CAM zo ontworpen dat de gebruiker een “data word” opgeeft en het CAM geheugen alle geheugenadressen doorloopt opzoek naar dat “data word”. Als de data gevonden is dan retourneert het geheugen het geheugenadres of adressen waar deze data opgeslagen is. Kort gezegd is TCAM de hardware belichaming van wat in software engineering een associatief array zou worden genoemd. Binair CAM geheugen is de simpelste vorm van CAM geheugen waarbij er naar “data words” wordt gezocht met behulp van alleen maar nullen en enen. Het type CAM geheugen dat in DPI appliances wordt toegepast is zogenaamd Ternary CAM geheugen. Ternary CAM (of TCAM) geheugen heeft nog een derde staat waarin een bit kan verkeren, deze status wordt aangeduid met "X" of wordt ook wel de "do not care" bit genoemd. Deze derde bit zorgt voor een hoop flexibiliteit bij het zoeken. Een voorbeeld; TCAM geheugen heeft een “data word” opgeslagen dat wordt aangegeven met 10xx0. Dit “data word” zal dus worden gevonden met de zoektermen 10000, 10010, 10100 of 10110. Deze extra flexibiliteit komt tegen een meerprijs in vergelijking met standaard CAM geheugen, aangezien de geheugenchips een derde staat moeten kunnen opslaan. Dit wordt gedaan met behulp van een zogenaamde "mask bit". De snelheidswinst is aanmerkelijk in vergelijking met normaal geheugen. (T)CAM geheugen is in staat om in een kloktik (twee tot vier nanoseconden) een complete tabel of access control list te doorlopen, ongeacht de grootte. Echter zijn er ook een aantal nadelen. Een TCAM geheugen chip van een megabyte kost tussen de 200 en 250 dollar en consumeert 15 tot 30 watt. In vergelijking: een gigabyte geheugen voor consumenten PC’s kost 30 dollar en consumeert een tot drie watt. Daarnaast vereist deze methode dat de vingerafdrukken waarnaar hij op zoek is altijd op dezelfde positie te vinden zijn, waardoor deze techniek niet bepaald flexibel is, al zijn onderzoekers van onder andere de universiteit van Beijing bezig dit nadeel te verhelpen met de toevoeging van extra logische circuits en / of andere algoritmes. Naast de toepassing in DPI appliances wordt (T)CAM geheugen ook toegepast in CPU cache controllers en translation lookaside buffers, database engines, data compressie hardware en kunstmatige neurale netwerken.

5.3.4.3 ASCII pattern matching ASCII pattern matching is weer compleet anders in vergelijking met de vorige twee. Deze methode zet de string om van de standaard grammatica naar ASCII. Hierdoor kan de string na encodering op een chip worden ingeladen. Hierdoor kan het zoeken volledig hardwarematig gebeuren, wat een goede performance geeft. Het omzetten kan ook worden gebruikt om de database te upgraden. Elk van de genoemde filtertechnieken heeft zijn en voor- en nadelen en sterke en zwakke punten. Als men naar de praktijk kijkt dan kun je zien dat er tegenwoordig meestal wordt gekozen voor een vorm van signature based identification. De reden hiervoor is dat deze methode het makkelijkste is bij te werken met nieuwe signatures, een van de belangrijkste pluspunten van deze filtertechniek, aangezien er dagelijks nieuwe soorten aanvallen verschijnen op het internet. Daarnaast zit er ook vaak een vorm van pattern matching aan boord om onbekende varianten van potentiële gevaren van buiten af te onderkennen. Fabrikanten die claimen ook spam en dergelijke te onderscheppen zullen daarnaast ook nog enige vorm van behavior based identification hebben.


30

6 Het plaatsen en onderhouden van DPI filters Bij elke aanpassing aan een netwerkinfrastructuur moet er goed worden nagedacht over de consequenties die een bepaald stuk hardware met zich meebrengt als het wordt geplaatst in een operationeel netwerk. In dit hoofdstuk kijken we naar hoe een DPI filter geplaatst kan worden. Daarnaast kijken we naar wat de beste plek is voor het plaatsen van een DPI appliance. Als laatst wordt er kort gekeken naar wat de consequenties zijn voor de beheerders.

6.1

Methodes van plaatsing

Er zijn verschillende methodes voor het plaatsen van DPI appliances. Deze methodes zullen kort worden besproken in deze paragraaf. Net als bij de meeste firewalls zijn er hoofdzakelijk twee methodes van plaatsing. Ofwel inlinetransparant, of inline-gateway. In de eerste methode wordt het DPI content filter als transparant apparaat in het netwerk geplaatst. Bij deze methode zit er in geen logische scheiding tussen de interfaces op het filter. Al het verkeer wordt gecontroleerd zonder dat de bestemming wordt aangepast. Bij de tweede methode is er wel een logische scheiding tussen de inkomende interface en de uitgaande interface. Hierbij vervult het DPI content filter ook een gateway functie. Net als met routers en firewalls hebben de meeste DPI filters de mogelijkheid om de twee bovenstaande methodes van plaatsing ook in redundante vorm uit te voeren. Dit wil zeggen dat je alles eigenlijk twee keer installeert. Mocht er dan wat fout gaan met een van de twee filters dan zal de andere het werk overnemen.

6.2

Plaatsbepaling

Belangrijker dan de methode van plaatsing is misschien nog wel het bepalen van de plaats voor het filter. De efficiëntie van een DPI filter staat of valt bij twee punten. Ten eerste de configuratie en ten tweede plaatsing. Op de afbeelding hieronder is een schematische weergave te zien van het netwerk bij een ISP.

Het Internet

Fig. 12 Mogelijke plaatsen DPI filters


31

Elk van de vier plaatsen binnen het netwerk heeft voordelen en nadelen ten opzichte van de andere plaatsen. De voor- en nadelen van de plaatsing op elk van de opgegeven locaties staat hieronder. DPI filterplaats #1 – Als men een DPI filter op locatie #1 plaats dan zal al het dataverkeer dat van en naar de gebruikers/abonnees vanaf het internet gaat worden gefilterd evenals het verkeer van en naar de servers van de ISP. Het voordeel van deze locatie is dat men totale controle heeft over het verkeer dat van en naar gebruikers gaat. Het nadeel is echter wel dat de servers bij de ISP onbeschermd zijn. DPI filterplaats #2 – Op deze manier wordt het al het verkeer van en naar het internet gefilterd dat de gebruikers genereren. Verkeer van de gebruikers naar de servers van de ISP’s wordt niet gefilterd. Het voordeel van deze methode is dat men het eigen netwerk “afsluit” van de rest van het internetverkeer. Het nadeel is dat dit ook eventueel mensen dupeert die geen klant zijn bij deze ISP. Denk hierbij aan netwerkverkeer dat vanwege ingestelde routes over het netwerk van deze ISP komt. DPI filterplaats #3 - Bij deze methode van plaatsing wordt alleen het verkeer van en naar de servers van de ISP’s gefilterd. Voordeel van deze manier is dat de servers compleet zijn “afgeschermd”. Het nadeel is dat het overige verkeer vrij spel heeft. DPI filterplaats #4 – de laatste plaats is op de last mile verbinding naar de gebruikers toe. De last mile verbinding is het laatste stuk tussen de gebruiker en het netwerk. Meestal is het zo dat de last mile verbinding door een X aantal gebruikers wordt gedeeld. Door DPI filters op deze plek toe te passen, kan men per hub (benaming voor het gehele aantal gebruikers op één last mile verbinding) filteren. Voordeel is dat men per hub beperkingen op kan leggen waardoor eventuele sancties een kleinere groep mensen raakt in plaats van allemaal. Het nadeel van deze methode is dat het administratief veel meer werk is. Uiteraard zijn combinaties van deze plaatsen ook mogelijk. Men zou bijvoorbeeld er voor kunnen kiezen om DPI filters te plaatsen op locatie #1 en #3. Dit heeft tot gevolg dat de ISP, en het verkeer van al haar gebruikers kan managen, en dat het verkeer van en naar de servers (al dan niet vanuit de gebruikers) ook word beheerd. Deze manier van implementatie is er een die veel voor kan komen. Immers, deze methode geeft ISP’s de mogelijkheid om al het dataverkeer van hun klanten te beheren en filteren. Het andere voordeel is dat de servers van de ISP’s ook beschermd zijn door middel van een aparte set filters.

6.3

Consequenties voor beheerders

De komst van DPI filters betekent ook de komst van extra werk voor beheerders. In eerste instantie klinkt dit als veel extra werk en procedures om onder de knie te krijgen. Echter, als we gaan kijken naar de realiteit, dan blijkt dat mee te vallen. Als we kijken naar de algemene kennis die nodig is voor het installeren en implementeren van DPI content filters, dan blijkt dat er niet meer kennis nodig is dan voor de installatie van andere netwerk apparatuur. De methodes van configuratie zijn het zelfde als bij meeste andere beheerbare netwerkapparatuur die vandaag de dag verkrijgbaar is. Men zal zich alleen de manier van configuratie eigen moeten maken. Commando’s en methodes van configuratie kunnen per fabrikant natuurlijk verschillen. Een van de weinige verschillen met andere netwerkapparatuur is dat er meer updates zullen uitkomen voor de software. Net als met virusscanners moet de signature database van een DPI content filter op regelmatige basis worden vernieuwd. Dit omdat er natuurlijk constant nieuwe vormen van aanvallen bij komen. Met de updates is er altijd een risico. Het kan namelijk goed zijn dat de updates zorgen dat de huidige configuratie meer of minder meldingen zal gaan geven. Dit door wijzigingen in de signatures. Men doet er dus verstandig aan om goed te kijken naar welke signatures bij een update worden bijgewerkt. Dit is ook meteen de Achilleshiel van deze producten. De effectiviteit van DPI appliances staat of valt bij de efficiëntie van de signatures. Omdat deze signatures door middel van mensenwerk worden opgesteld is dit iets dat natuurlijk foutgevoelig is. Daarnaast kan dit ook een zeer tijdrovende klus zijn als men de syntax niet kent waarmee dit gebeurd. Een aanzienlijke leerperiode kan dus nodig zijn


32

Een laatste punt van aandacht is dat je met het plaatsen van elk extra DPI content filter je ook weer een extra mogelijk punt van falen krijgt. Als er storingen optreden in het netwerk dan zal men dus nu ook de oorzaak bij de DPI filters kunnen zoeken. Al met al zal een netwerkbeheerder een tweetal extra taken krijgen. Allereerst zal hij policies moeten gaan definiëren en aan de hand daarvan filterinstellingen maken. Daarnaast zal hij deze instellingen moeten gaan bijhouden.


33

7 Wat kunnen eindgebruikers verwachten? Nu we inzicht hebben in de technische werking van DPI filters, kunnen we gaan kijken naar de hoofd onderzoeksvraag: “Wat zijn de consequenties van het doorvoeren van DPI filtering op het internet en wat betekend dit voor de gebruikers?”. Allereerst kijken we naar de huidige status van DPI filtering. Er zijn ISP’s die het niet toegeven, maar wel al een (beperkte) vorm van DPI filtering toepassen. We kijken naar wat dit momenteel inhoudt voor de gebruikers van het internet via deze providers. Ook kijken we aan de hand van twee scenario’s naar wat de toekomstmogelijkheden zijn van DPI filters. Allereerst zal er worden gekeken naar een scenario waarin DPI filtering wordt gebruikt om het internet een “better place” te maken voor iedereen (worst case scenario). Daarna wordt er gekeken naar wat de impact zou zijn als men het als censuurmiddel zou gebruiken (best case scenario). Deze scenario’s zijn misschien wat in het extreme getrokken, maar het doel er van is om duidelijk te maken wat de mogelijke gevolgen zijn van DPI content filters op het internet in positieve en negatieve zin.

7.1

Huidige implementatie van DPI filters

Zoals gezegd worden DPI filters stilletjes aan steeds meer geïmplementeerd, en dan voornamelijk in Amerika en Canada. Vaak zonder medeweten van de gebruikers van het betreffende netwerk. De reden hiervoor is dat de DPI techniek nogal omstreden is. Hiervoor zijn verschillende redenen. Een van de belangrijkste redenen is dat veel mensen deze techniek zien als een inbreuk op hun privacy. De filters zijn immers in staat om “alles” af te tappen en te scannen. Je persoonlijke email zou kunnen worden afgetapt terwijl die nog niet op de plaats van bestemming is. Nou gaat dat voorbeeld wel erg ver, en er is nog geen bericht dat dit soort praktijken toegepast worden door ISP’s. Feit is wel dat met DPI technieken ISP’s dit zonder al te veel problemen (wetgevingen buiten beschouwing gelaten) kunnen doen. De andere reden is het feit dat het plaatsen van deze filters in gaat tegen de gedachte van het internet. Het primaire idee achter het internet was om een netwerk te maken waarover iedereen zonder enige limitaties informatie kon versturen en aanbieden. Dit verschijnsel wordt ook wel netneutraliteit genoemd. Eigenlijk staan netneutraliteit en DPI filtering lijnrecht tegenover elkaar. Dit wordt duidelijk als men kijkt naar wat men doet en wil doen met DPI filters en dat afzet tegen de onderstaande definitie van netneutraliteit, deze is opgesteld door Daniel Weitzner, hij was betrokken bij het oprichten van het “Center for Democracy & Technology” Daarnaast geeft hij les aan de MIT en is hij werkzaam voor de W3C, de organisatie die zich bezig houdt met webstandaarden. Zijn definitie is opgebouwd uit vier punten: Geen “discriminatie” bij het routen van packets. Gebruikers hebben de controle en keuze over de af te nemen services. De mogelijkheid om nieuwe services en protocollen te gebruiken zonder goedkeuring van de netwerkbeheerders. zonder limitaties data uitwisselen over verschillende, administratief gescheiden backbone netwerken. Het is duidelijk dat al deze punten teniet worden of kunnen worden gedaan met behulp van DPI filters. DPI filters geven netwerkbeheerders de mogelijkheid om op een zeer gedetailleerd niveau beperkingen op te leggen. Deze beperkingen kunnen niet alleen per type dataverkeer of bestandstype worden op gelegd, maar tot op het niveau waarop je voor elke individuele aansluiting of gebruiker (bijvoorbeeld in het geval van ISP’s) precies kan instellen wat deze persoon wel en niet mag. In de komende drie paragraven kijken we achtereenvolgens naar wat er momenteel allemaal speelt omtrent DPI filters. We kijken eerst naar hoe


W3C: de W3C is een international consortium dat zich bezighoudt met standaarden voor het internet. Ingeburgerde webstandaarden zijn onder andere HTML, XML, CSS en DOM.

34

“rijp” de huidige generatie DPI content filters is, om vervolgens te kijken naar de huidige toepassingen van DPI filters door ISP’s. Als laatst kijken we naar de belangenorganisaties (MPAA en RIAA) die DPI content filters verplicht willen zien worden.

7.1.1 DPI filters DPI filters in de huidige vorm zijn nog niet zo lang op de markt. Deze filters zijn dus nog niet technisch gerijpt en er komen regelmatig nog nieuwe fouten of kinderziektes aan het licht. Veel fabrikanten zijn dus nog bezig met het optimaliseren van hun DPI filters, en sommige fabrikanten laten nog grote steken vallen. Internetevolution. Dit werd duidelijk tijdens een recent onderzoek van de website http://www.internetevolution.com. Dit onderzoek werd uitgevoerd door deze site in samenwerking met de SNEP (Syndicat National de l’Édition Phonographique, de Franse variant van de RIAA of BREIN). Dit onderzoek is gericht op de doeltreffendheid van het huidige aanbod DPI filters. Het EANTC (European Advanced Networking Test Center) faciliteerde de testomgeving voor de periode van een half jaar en de kosten werden betaald door de SNEP, het EANTC en http://www.internetevolution.com.

com: Deze internet site kijkt naar de nieuwste ontwikkelingen omtrent het internet en discussieert over de mogelijke impact daarvan. De site is een initiatief van Techweb.

Het EANTC stuurde een open invitatie naar 28 fabrikanten van DPI filters. Tussen de 28 genodigden zaten alle grote spelers op de markt, Allot Communications, Cisco Systems, Ellaycoya Networks, Arbor Networks, F5 Networks, Huawei Technologies, Narus en Sandvine. In de uitnodiging werd duidelijk hoe serieus deze test zou zijn. Verschillende methodieken waren opgesteld om tests zo eerlijk mogelijk te laten verlopen, en fabrikanten mochten zelfs hun eigen engineers sturen om de apparatuur voor en tijdens elke test af te stellen voor optimale resultaten. Wel moesten de DPI filters aan een aantal eisen voldoen: Beschikken over twee, fast ethernet, Gigabit of 10 Gigabit poorten Mogelijkheid tot het detecteren en monitoren van P2P protocollen Gefragmenteerde data packets kunnen afhandelen Reguleren en blokkeren van P2P protocollen Het monitoren, loggen en opslaan van informatie volgens overheidsstandaarden. De test bestond voornamelijk uit het herkennen en beperken van bepaalde types verkeer uit een mix van dataverkeer dat representatief was voor het dataverkeer dat over het netwerk van een ISP gaat (er zijn gespecialiseerde apparaten in de markt die elke type dataverkeer kunnen genereren). Dit dataverkeer was als volgt opgebouwd: Totale bandbreedte verbruik door gegenereerd dataverkeer: 1Gbps P2P sessies verdeeld over 13 verschillende gesimuleerde P2P applicaties: 44.100 connecties Web en andere internet services(HTTP, SMTP, POP3, FTP, RTP): maximaal 6.200.000 connecties die gelijktijdig actief zijn. Stateless IP verkeer: 2.000 IP flows Aantal cliënts gesimuleerd: 62.000 Als men zich bedenkt dat het gros van de genodigden zich richt op de grote ISP’s en internationale bedrijven, dan zou een dergelijke hoeveelheid verkeer geen probleem mogen zijn voor de DPI filters. Uiteindelijk reageerden slechts vijf van de 28 fabrikanten op de uitnodiging. Deze vijf eiste ook dat ze een veto kregen dat hun de optie gaf om op elk gewenst moment uit de test te stappen. Ook wilde de 5 fabrikanten de resultaten eerst bekijken en op dat moment pas wel of niet akkoord gaan met het publiceren van de resultaten. Uiteindelijk ging slechts twee fabrikanten akkoord met publicatie van de test resultaten (Ellacoya en Ipoque). De resultaten van deze twee fabrikanten waren goed in vergelijking met de andere drie fabrikanten die hun veto gebruikte om publicatie tegen te gaan. Niet de test zelf maar het feit dat veel fabrikanten niet bereid waren om deel te nemen aan de test zegt wat over de huidige status van DPI content filters. Er is nog veel ruimte voor verbetering en men kan stellen dat het gebruik van deze appliances nog niet geheel zonder risico’s is. Zo blijkt uit de onderzoeksresultaten dat sommige P2P applicaties beter worden herkend dan anderen.


35

De grafiek hieronder geeft de detectie percentages weer van de apparaten van Ellacoya en Ipoque. De test was om het P2P verkeer te onderkennen uit al het dataverkeer dat werd gegenereerd op de eerder genoemde methode.

Fig. 13 detectie ratio

De grafiek geeft duidelijk aan dat het zowel per fabrikant als per applicatie kan verschillen. Het is duidelijk dat de bekendere applicaties (BitTorrent, eDonkey en Gnutella) beter worden herkend dan de oudere / minder bekende P2P protocollen. Echter was dit natuurlijk slechts een van de vele tests. Een andere belangrijke test was hoe goed de DPI appliances de bovenstaande applicatie protocollen konden reguleren. Met reguleren bedoelen we het instellen van een limiet betreffende de bandbreedte die deze applicaties mogen gebruiken. De applicaties kregen in de voorgaande test elk een bepaalde hoeveelheid bandbreedte. Deze werd nu bijgesteld. In een test hadden de protocollen nog 75% van de bandbreedte over (25% regulatie dus) en in de andere test hadden ze slechts 25% van de originele bandbreedte tot hun beschikking (75% regulatie). Ter illustratie, in de vorige test kreeg het BitTorrent protocol 100Mbit bandbreedte. In deze tests krijgt het protocol dus respectievelijk 75Mbit en 25Mbit bandbreedte. De resultaten staan in de onderstaande grafiek:

Fig. 14 Detectie ratio P2P applicaties met 25% regulatie


36

De volgende grafiek toont de resultaten van de test waarbij er 75% regulatie wordt toegepast.

Fig. 15 Detectie ratio P2P applicaties met 75% regulatie

Als laatste is er nog getest hoe goed het detectie ratio is als er gebruik word gemaakt van encryptie. In de onderstaande tests word er in sommige gevallen onderscheid gemaakt tussen pakketjes waarvan de payload alleen is beveiligd. (Deze zijn aangegeven en hebben een “plain header”). Andere zijn volledig beveiligd.

Fig. 16 Detectie bij encryptie

Zoals te zien is, zijn de verschillen tussen de verschillende tests in sommige gevallen apart te noemen. Sommige P2P applicaties worden beter herkend als er regulatie op toe word gepast, terwijl andere protocollen weer minder goed worden gereguleerd. De conclusie vanuit de partijen die betrokken waren bij het testen was dat zowel Ipoque als Ellacoya een degelijk apparaat hebben neergezet dat in vergelijking met de anderen goede prestaties en performance aflevert. Er moet wel benadrukt worden dat er nog behoorlijk veel ruimte is voor verbetering aan de bestaande filteroplossingen. Daarnaast wordt met klem benadrukt dat de meeste oplossingen nog in de kinderschoenen staan.


37

7.1.2 ISP’s Ondanks de fouten en feiten die in de vorige paragraaf naar voren kwamen zien veel ISP’s DPI filters als “het” apparaat om Quality of Service toe te gaan passen. (QoS). Kortgezegd is QoS een methode om het netwerkverkeer te “vormen” wanneer dat nodig word geacht. Op drukke momenten kan er meer of minder bandbreedte worden toegekend aan een protocol of bepaald type data packet. De reden die ze noemen om dit toe te gaan passen is omdat het internet “overbelast” is, momenteel gaat er meer data overheen dan dat er is voorzien qua infrastructuur. De hoeveelheid data zal alleen nog maar toenemen de komende jaren. Een bijkomend voordeel in het geval van ISP’s is dat ze ook in een keer totale controle krijgen over wat ze wel of niet toelaten op hun netwerk. Hier zijn ook weer drie redenen waarom men tegen deze toepassing van DPI filtering is. Ten eerste gaat dit in tegen het netneutraliteit concept. Deze stelt namelijk onder andere het volgende: “Geen “discriminatie” bij het routen van packets.”, en, “zonder limitaties data uitwisselen over verschillende, administratief gescheiden backbone netwerken.”. Met QoS ben je duidelijk onderscheidt aan het maken tussen verkeer en trek je het ene type verkeer voor op de andere soorten dataverkeer. Als tweede argument zegt me dat op de lange termijn de capaciteit van het internet toch zal moeten vergroten, dus waarom niet nu er al mee beginnen, aangezien er momenteel meer data wordt verstuurd dan waarvoor het netwerk ontworpen is. Het laatste argument is dat ISP’s tot op heden niet altijd even openlijk over het toepassen van QoS door middel van DPI filtering. Een goed voorbeeld daarvan is een geval dat nu gaande is in Canada. Bell Canada is een van de grootste ISP’s in Canada. Ook zij beheren een stuk van de backbone van het internet. De backbone van het internet wordt door ISP’s beheerd. (feitelijk zorgt een provider ervoor dat jij verbinding krijgt het op het stukje backbone dat die provider beheerd). Net als in Nederland is het normaal als ISP dat je je netwerk onderverhuurd aan bijvoorbeeld kleinere ISP’s of andere bedrijven die daar baat bij hebben. Dit is wettelijk geregeld in verband met eerlijke concurrentie en een open markt. Bell Canada doet dat ook, ze verhuurt lijnen aan een aantal kleinere ISP’s die de minder bewoonde gebieden van Canada van internet voorzien. Een van die ISP’s die lijnen huurt bij Bell Canada is een ISP genaamd Wireless Nomad. Deze kleine speler op de markt beheert een paar duizend connecties. Ze leveren een draadloze internetverbinding en VoIP services. Daarvoor huren ze bij Bell Canada bandbreedte. In maart 2008 kreeg Wireless Nomad een heleboel telefoontjes van klanten die klaagden dat, vooral hun P2P dataverkeer, veel langzamer dan normaal was. In sommige gevallen tot wel 90% langzamer dan normaal. Wireless Nomad was niet de boosdoener. Al snel bleek dat Bell Canada, die al een jaar bezig was met content filtering, zonder voorgaande mededeling dit ook had geïmplementeerd op de lijnen die ze verhuren aan bedrijven zoals Wireless Nomad. Dit terwijl Wireless Nomad altijd had geadverteerd met een volledig open en transparante verbinding met het internet. Bell Canada’s reactie was de volgende: “Bell's head of regulatory affairs said that his users were "hostages" to a small number of P2P bandwidth hogs.”. Helaas werd deze uitspraak gebaseerd op cijfers uit 2006 die afkomstig waren van hetzelfde bedrijf dat de DPI filters leverde aan Bell Canada, Sandvine. Deze cijfers zeggen dat 80% van het netwerkverkeer P2P gerelateerd is. Echter blijkt nu dat in de piekuren dit cijfer eerder rond de 20% ligt


38

en dat 70% door HTTP verkeer word gegenereerd. De reden waarom Bell Canada een probleem maakt van P2P verkeer is het feit dat dit protocol alle beschikbare bandbreedte te allen tijde gebruikt. De dag na publicatie van het artikel waarin werd gesteld dat Bell Canada DPI filtering op zijn huurlijnen toepaste, kwam er een stortvloed van reacties van andere ISP’s in Canada die ook allemaal soortgelijke problemen hadden op de lijnen die zij huurden van Bell Canada. Een voor een hebben ze altijd geadverteerd met 100% open en transparant internet en nu werd dat zonder voorafgaande mededeling onmogelijk gemaakt. De Canadeze waakhond voor telecommunicatie en TV (the Canadian Radio-television and Telecommunications Commission (CRTC) heeft Bell Canada inmiddels verzocht om met harde cijfers over de brug te komen in verband met deze praktijken. Een sectie van de brief (die op internet is gezet door de CRTC) die naar Bell Canada is verstuurd beschrijft onder andere dat het volgende met feiten moet worden onderbouwd: “Bell Canada states that 5% of users were generating 60% of total traffic and 60% of that traffic was P2P traffic and Bell concludes that 95% of Bell subscribers were being negatively impacted. Provide full rationale and evidence in support of Bell Canada 's view that 95% of its customers were being negatively affected. In addition, clarify whether Bell Canada is concluding that 95% of its customers, or 95% of all retail IS end-users (that is, including customers of independent ISPs that use GAS to 5 provide their high-speed retail Internet services) are negatively affected.”. Dit onderzoek is opgestart nadat een groot aantal onafhankelijke internet providers, die allemaal lijnen huren bij Bell Canada, protest hebben ingediend. Het zal dus afwachten worden wat er daar gaat gebeuren, maar de kans is aanwezig dat de CRTC dit zal aanduiden als oneerlijke concurrentie. In dit geval kan dit vergaande gevolgen hebben voor de toekomst, zowel bij een positieve als bij een negatieve uitkomst vanuit het oogpunt van de klant. Ook in Amerika lopen er soortgelijke zaken. In Amerika is Comcast in opspraak omdat ze volgens eigen zeggen: “in piekuren P2P verkeer reguleren om de overige internetgebruikers tegemoet te komen.”. Het debat dat daar momenteel plaatsvindt is of dit onder redelijk netwerkmanagement valt of niet. Ook deze uitspraak kan van belang zijn voor veel internetgebruikers. Dit omdat uit deze uitspraak richtlijnen zouden kunnen volgen betreffende het gebruik van DPI filters. Wel blijkt uit tests dat Comcast dit niet alleen in piekuren doet, maar ook daarbuiten. Deze test werd gedaan door het Max Planck Instituut. Daarvoor gebruikte ze een speciaal geschreven Torrent applicatie die verschillende statistieken doorstuurde. Participanten deden vrijwillig mee en waren verspreid over de hele wereld. Onderstaande afbeelding is een grafische weergave van de uitgevoerde test. Rode stippen zijn cliënts die werden “afgeknepen” door een DPI filter, de zwarte stippen hadden geen enkele beperking op hun verbinding:

Fig. 17 Uitslag filtertests Max Planck instituut 5

Quote uit open brief van CRTC naar Bell Canada http://www.crtc.gc.ca/archive/ENG/Letters/2008/lt080515.htm)


39

Het laatste voorbeeld van DPI content filters dat recentelijk in het nieuws is, is de “Great firewall of China” (of (golden shield project) in het Chinees). Het is al vaak in het nieuws geweest dat China al het internetverkeer filtert. Dit wordt gedaan vanuit de Chinese overheid. Effectief komt het er op neer dat alle webpagina’s waar een opinie kan worden neergezet is geblokkeerd door de Chinese overheid. Een aantal van deze websites zijn: Wikipedia (Chinese versie) BBC nieuws (Chinese versie) Sites met betrekking tot Taiwanese media of overheid Sites met betrekking tot Tibet Weblog sites zoals wordpress.com & blogger.com Al met al is dit een toepassing van DPI filters waarbij ze puur en alleen als censuurmiddel worden gebruikt, iets wat in het Westen tegenwoordig ondenkbaar is. Het mag duidelijk zijn dat veel inwoners van China het hier niet mee eens zijn en er van alles aan doen om dit te omzeilen. Dit door bijvoorbeeld gebruik te maken van bepaalde proxy servers of andere tools om de identiteit van hun computer te verbergen. Er zijn zelfs Wikipedia artikelen (waar men niet bij kan) waarin staat beschreven hoe dit te omzeilen is.

Controverse: Een van de redenen dat de MPAA, RIAA en BREIN zoveel mensen tegen de borst stoot is het feit dat zei als particulier bedrijf ogenschijnlijk gemakkelijk aan privé gegevens komen.

Gelukkig is er ook nog één positieve toepassing van content filtering die sinds enige tijd in veel landen verplicht is gesteld. Het betreft hier het toepassen van filters om de uitwisseling van kinderporno op het internet tegen te gaan. Dit is in ieder geval op Europees niveau wettelijk vastgelegd. Je kunt een aantal dingen afleiden uit het bovenstaande incidenten. Ten eerste geeft deze situatie weer hoeveel “macht” de ISP’s hebben die de backbone van het internet beheren. Zij kunnen zonder tussenkomst van andere partijen in principe hele protocollen, soorten dataverkeer of zelfs huurders van lease lijnen blokkeren. Daarnaast kan men stellen dat als dit soort technieken niet in goed overleg worden toegepast dit negatieve reacties uitlokt en in sommige gevallen zelfs “tegenaanvallen”. Ook blijkt dat lang niet elke ISP heil ziet in DPI content filters als oplossing voor het overvolle internet. Zij zien meer heil in bijvoorbeeld het toevoegen van capaciteit omdat dit in de toekomst toch nodig zal zijn.

7.1.3 Belangenorganisaties platen- en filmmaatschappijen Naast de ISP’s is er nog een andere groep die DPI content filters wil gaan toepassen, de RIAA en de MPAA. Zoals in de opdrachtomschrijving geschreven, is de redenering van de RIAA en MPAA vrij simpel, DPI filtering is momenteel het beste wapen dat beschikbaar is om het illegaal uitwisselen van auteursrechtelijk materiaal tegen te gaan. Zoals geschreven in de inleiding is de berichtgeving omtrent de RIAA en MPAA de aanleiding geweest om dit onderzoek te doen. De RIAA (Recording Industry Association of America) en MPAA (Motion Picture Association of America) zijn belangenorganisaties voor respectievelijk de platenmaatschappijen en filmmaatschappijen. Kort door de bocht, ze zijn de Amerikaanse tegenhanger van wat de BREIN (Bescherming Rechten Entertainment Industrie Nederland) in Nederland is. Het verschil is echter dat de RIAA en MPAA vanuit de platenmaatschappijen en filmmaatschappijen is opgezet. De BREIN is alleen spreekbuis voor deze partijen in Nederland en wordt dus gehuurd. Alledrie deze partijen zijn de afgelopen 2 jaar regelmatig in het nieuws geweest vanwege hun campagnes tegen het illegaal uitwisselen van auteursrechtelijk materiaal. Helaas voor hen was dit nieuws meestal negatief in plaats van positief. De reden hiervoor is omdat er in de afgelopen jaren heel wat gevallen zijn geweest waarin de methodes waarop ze te werk gaan dubieus te noemen zijn. Een kort overzicht van een aantal nieuwsberichten waarin de MPAA en RIAA genoemd worden: 2008 shaping up to be Year of Filters at colleges ISPs (Arstechnica 15 jan. 2008) De Amerikaanse overheid discussieert over het wel of niet verplicht stellen van DPI filters op scholen om illegaal uitwisselen van materiaal tegen te gaan. De RIAA en MPAA hebben hier voor gelobbyd en stellen een open source pakket beschikbaar dat voor dit doel gebruikt kan worden. Echter blijkt dit pakket helemaal niet open source te zijn nadat de licentie doorgespit


40

was door het hoofd van de Ubuntu Linux distributie. Tot de dag van vandaag is dat pakket nog niet beschikbaar gesteld. Oops, MPAA admits college piracy numbers grossly inflated (Arstechnica 22 jan. 2008) De MPAA geeft toe dat het de cijfers die men eerder publiceerde omtrent illegaal downloaden op colleges “lichtelijk” heeft overdreven. In het originele artikel beweerde de MPAA dat 44% van alle studenten wel eens illegaal download op colleges en universiteiten. In dit artikel werd dat gerectificeerd naar 15% RIAA boss move copyright filtering from ISPs to users (Arstechnica 7 feb. 2008) Artikel waarin het hoofd van de RIAA het idee heeft om DPI filters te installeren bij de gebruikers thuis. Dit zou niet verplicht zijn. Een van de vragen die wordt gesteld in het artikel is waarom iemand vrijwillig zo’n filter zou installeren? Dansende peuter schendt auteursrecht (Nu.nl 26 juli 2007) In een 29 seconden durende video is te zien hoe het kind op en neer springt op de maat van 'Let's Go Crazy', een nummer van Prince dat op de achtergrond te horen is. De moeder van het kind had de beelden in februari online gezet om ze aan vrienden en familie te laten zien. Platenmaatschappij Universal stuurde Youtube daarop een bevel om de beelden te laten verwijderen. Het filmpje zou inbreuk maken op het auteursrecht. Naast de drie bovengenoemde berichten zijn er de afgelopen jaren ook meerdere berichten in de krant gestaan waarvan de strekking is dat de RIAA of MPAA bot ving bij de rechter met hun aanklachten, de verkeerde persoon aan het vervolgen was, helemaal geen of alleen indirect bewijs had tegen de aangeklaagde of de rechter van mening was dat de werkmethodes van de RIAA of MPAA onbehoorlijk waren. Je kunt je bij nieuwsberichten natuurlijk altijd de objectiviteit van de journalist in twijfel trekken. Maar het mag duidelijk zijn dat al deze, toch vooral negatieve publiciteit, duidelijk maakt dat de RIAA en MPAA (en ook de BREIN in Nederland) op de verkeerde manier bezig zijn met het bestrijden van illegaal uitwisselen van auteursrechtelijk materiaal. Vooral het feit dat men de privacy van mensen schaadt om tot bewijs te komen schiet vaak in het verkeerde keelgat. Dit verandert niet met het lobbyen voor het verplicht stellen van DPI filters. Een ander punt waarop de MPAA/RIAA en haar tegenstanders het niet over eens zijn is het feit of het illegaal aanbieden van auteursrechtelijk materiaal wel of geen gevolgen heeft voor de verkopen van legitieme exemplaren van dit materiaal. De RIAA en MPAA roepen al jaren dat de verkopen van CD’s en DVD’s daalt door de toenemende groei van illegale content. Als men dan gaat kijken op de website van de MPAA en daar de statistieken opvraagt over 2007 dan zijn er twee blokjes tekst die er meteen uitspringen: “The domestic box office continued to grow in 2007, reaching $9.63 billion after a 5.4% gain” en deze “Worldwide box office reached another all-time high in 2007 with $26.7 billion, a 4.9% increase”. Als men daarna kijkt naar de cijfers vanaf 1992 (figuur 20) tot vorig jaar (ook uit het jaarlijkse rapport van 2007), dan kan men zich afvragen of de filmindustrie nou echt zoveel lijdt onder het downloaden van films. Er zijn 2 jaren die slechter zijn dan de voorgaande jaren, echter kan je vraagtekens zetten bij het feit of dit alleen maar komt door het uitwisselen van films via het internet of dat er misschien een andere reden is.

Fig. 18 Inkomsten filmindustrie US vanaf 1992

Bij de cijfers van de RIAA ligt het wat moeilijker, de cijfers van conventionele audio dragers laat al jaren een verval zien, echt blijkt dat als men de cijfers nog eens goed bekijkt dit wel ten goede komt


41

van de digitale verspreiding van audio. Deze manier van verkoop groeit stevig door. Het enige nadeel is dat deze vorm van distributie nog niet optimaal word benut. Ook kun je je afvragen of ze met het lobbyen voor het toepassen van DPI filters zichzelf niet in de vingers gaan snijden. Het is immers de vraag of de DPI filters wel het verschil zullen zien tussen een mp3tje dat legaal word aangeschaft of dat het via een illegale manier is bemachtigd. De tests waarover gesproken werd in paragraaf 8.1.1 is reden genoeg om de huidige efficiëntie van deze filters in twijfel te trekken. De cijfers van de RIAA staan in het overzicht op de volgende pagina (figuur 21)

Fig. 19 Jaarcijfers van de RIAA

Dit geeft een idee waarom steeds meer mensen denken hetgeen dat de RIAA en MPAA aan het doen zijn, totaal geen nut heeft. De tegenstanders van de RIAA en MPAA zijn van mening dat ze zich niet moeten vasthouden aan wet en business model dat alleen voorziet in het ongeoorloofd kopiëren van een fysieke kopie. Dat wil zeggen iemand die een kopie maakt van een CD die hijzelf heeft gekocht. Als het een CD van een andere betreft is het afhankelijk van het feit of de eigenaar hiermee heeft ingestemd, in dat geval is hij verantwoordelijk, aangezien hij op dat moment auteursrechtelijk materiaal aanbiedt. Met de groeispurt die de afgelopen jaren heeft plaatsgevonden betreffende de online mogelijkheden om muziek te kopen kan je je natuurlijk afvragen of die wet niet achterhaalt is. Dit omdat er niets tastbaars meer is en lang niet alle mp3’s van een originele CD, maar eerder een kopie van een bestand zijn. In dit geval komt er dus nooit een fysiek medium aan te pas. Iets wat wel word gesteld in de wet. Dit is vastgelegd in de conventie van Bern. Deze conventie omvat een aantal wetten betreffende auteursrechtelijk beelden geluidsmateriaal. Echter heeft deze conventie een fysieke kopie als uitgangspunt. Al met al zijn er nog heel wat punten waarop de RIAA en MPAA hun methodes moeten verbeteren als het aankomt op het tegengaan van illegaal aanbieden en downloaden van auteursrechtelijk materiaal. In plaats van dat er miljoenen word gestoken in het vervolgen van mensen, zou men er beter aan doen om geld te investeren in onderzoek naar nieuwe distributiemethodes. I-tunes heeft bijvoorbeeld aangetoond dat het internet ook een prima kanaal is om je producten aan de man te brengen. Echter moet er een heleboel veranderen aan het oude gedachtegoed van de MPAA en RIAA. Hierbij wordt gedoeld op de prijzen van content en de restricties die men er aan koppelt met bijvoorbeeld DRM (Digital Rights Management is een methode om het aantal kopieën of aantal computers waar iets op kan worden afgespeeld te beperken).


42

7.1.4 Conclusie We kunnen concluderen dat we op een punt zijn aangekomen waar keuzes zullen moeten worden gemaakt. Of men gaat op de oude methode door; dat wil zeggen dat ISP’s ongehinderd verder kunnen gaan met het plaatsen en gebruiken van DPI filters, en dat de RIAA en MPAA zullen blijven strijden tegen het uitwisselen van auteursrechtelijk materiaal terwijl ze ook aan het lobbyen zijn voor nog strengere wetten. Gebruikers zullen hier de dupe van worden en hebben weinig keuze als men wil blijven internetten. Immers, alle beheerders van het backbone hebben de macht. Als daarnaast de RIAA en MPAA met hun lobbyen succes boeken, dan is er niets dat de censuur van het internet door een aantal ISP’s en belangenorganisaties in de weg staat. Dit zal waarschijnlijk tot gevolg hebben dat er een strijd op het internet losbarst (voor zover dat nog niet gaande is) waarbij het een strijd is tussen de ISP’s en belangenorganisaties (voorstanders van DPI filtering) en de gebruikers en afnemers van het internet en haar diensten (tegenstanders van DPI filtering). Dit zal hoogstwaarschijnlijk dan een nek aan nek race worden waarbij tegenstanders manieren zullen blijven zoeken om de DPI filters te omzeilen. Daarnaast zal de technologische vooruitgang ook negatief worden beïnvloed. Dit omdat de meest ingrijpende veranderingen op het internet (Google en Youtube bijvoorbeeld) zonder tussenkomst van ISP’s of andere partijen doorgang vond, een van de krachten van internet (Nieuwe diensten kunnen zonder voorafgaande toestemming worden geïntroduceerd). Aan de andere kant kunnen zowel de belangenorganisaties als de ISP’s hun oogkleppen afzetten en de oude gedachtegangen laten varen en zich klaarmaken voor een heel nieuwe manier van aanbieden wat betreft internet services en muziekdragers. Denk hierbij aan wereldwijde MP3 winkels, nieuwe business modellen voor ISP’s en nieuwe vormen van internetabonnementen. Beide mogelijkheden zullen hierna worden besproken. Momenteel is het in ieder geval zo dat de huidige toepassingen (snelheidsregulaties op basis van protocollen) van DPI filtering niet direct ten goede komen van het internet. Zowel voor de gebruikers, als voor de algemene groei van het internet als modern informatiemedium dat nog lang niet aan haar technische limiet zit.

7.2

Worst case scenario

Zoals aan het einde van 7.1.4 werd gezegd kan het twee kanten op gaan betreffende het gebruik van DPI filters. In deze paragraaf wordt er gekeken, aan de hand van de huidige situatie en mogelijkheden van de DPI filters, wat de impact is als deze filters zouden worden gebruikt op een manier die niet ten goede komt van de gebruikers van internet en het internet zelf. Denk hierbij aan censuur, een hoeveelheid data die niet te verwerken is, opdringen van reclame, “tol” vragen voor het gebruik van een verbinding en balkanisatie. Er word in dit hoofdstuk aangenomen dat DPI filters zich in de komende jaren verder ontwikkelen zodat de kinderziektes er uit zijn en dat deze apparaten volwassen genoeg zijn om door alle ISP’s toegepast te worden. Het volgende scenario is dan mogelijk: Jan Modaal wordt ’s ochtends wakker. Hij doet z’n kamerjas aan loopt naar beneden en zet zijn computer aan. Ondertussen zet hij een kop Reclame: met koffie. Als hij terugkomt, logt hij in op zijn computer. Na het opstarten mag behulp van DPI filters wordt al Jan zich een weg klikken door een tiental reclamevensters die elke toegepast ochtend op z’n scherm getoond wordt door zijn internet provider. Nadat momenteel. De Jan door deze reclame heen heeft geklikt kan hij zijn computer gebruiken Britse ISP BT (British voor zijn dagelijkse ochtendronde. Allereerst controleert hij zijn mail. Tot Telecom) is hiermee twee maanden geleden deed hij dit nog bij Yahoo!. Echter besloot zijn ISP aan het toen dat iedereen maar gebruik moest maken van het email systeem van experimenteren. de provider. Dit omdat de ISP inkomsten misliep vanwege te weinig reclame-inkomsten uit de reclame die in het mail programma wordt getoond. Nu krijgt Jan gratis bij zijn mail 10 reclame vensters. Toch raar, als de ISP adverteert met een spam vrije email box. De spam zit er niet meer in maar hangt er boven. Gelukkig kreeg Jan een royale twee dagen van te voren te horen dat Yahoo! niet meer toegankelijk zou zijn en heeft hij nog net op tijd al zijn belangrijke mail kunnen doorsturen naar zijn nieuwe, verplichte mailbox.


43

Na het controleren van zijn email wil Jan even wat opzoeken. Jan gaat naar www.google.nl, zijn favoriete zoekmachine. Al snel word de browser gevuld met de mededeling dat Google niet beschikbaar is omdat het deze maand niet kon betalen voor het doorsturen van data vanaf zijn servers, of Jan gebruik wil maken van de zoekmachine AskPietje, deze doet het namelijk ook prima volgens de ISP, die geheel toevallig ook eigenaar is van deze zoekmachine. Als laatste besluit Jan modaal nog wat nieuws te lezen. Echter blijken zijn populairste nieuws websites niet te bereiken, boos belt hij zijn ISP op. De ISP vertelt hem vriendelijk dat zij deze sites niet blokkeren maar dat het goed kan zijn dat een andere provider dit wel doet. Hier kunnen ze echter niets aan doen omdat dat buiten hun macht ligt. Jan’s klomp breekt. “Dat word hopen dat ik genoeg websites kan bereiken vandaag om informatie te vinden voor mijn onderzoek…”, denkt Jan bij zichzelf. Voordat Jan naar het werk vertrekt beseft hij zich dat er een nieuwe update is voor zijn favoriete online game. “Nog even snel downloaden.”, denkt Jan. Hij start de update om vervolgens meteen een foutmelding te krijgen. Jan kijkt op de klok en bedenkt zich dat het na achten in de ochtend is. “Oh, zo laat alweer, gelukkig kan ik vanavond na 22.00 wel updaten want dan word het P2P protocol niet in zijn geheel geblokkeerd.”. Lichtelijk gefrustreerd gaat Jan Modaal naar zijn werk. Het bovenstaande voorbeeld lijkt misschien wat extreem, maar dit alles is wel mogelijk met behulp van DPI content filters. Zelfs ondanks de gebreken en kinderziektes die de huidge generaties hebben. Ook zijn er weinig tot geen wetten die ISP’s het verbiedt om iets dergelijks te doen. Uiteraard zullen consumentenbonden klagen, maar wettelijk is er weinig dat er aan gedaan kan worden. Als gebruiker ga je immers akkoord met de gebruikersvoorwaarden van een ISP.

7.2.1 ISP’s ISP’s hebben zich de afgelopen jaren dood gestaard op DPI filtering. Sinds er in 2008 een aantal providers zijn begonnen met het introduceren van DPI filters, zijn heel veel providers gevolgd. Niet alleen in Amerika maar ook in Europa zijn DPI content filters gemeengoed geworden en wordt al het dataverkeer gereguleerd op basis van protocol, tijdstip en hoeveelheid data. Dit tot groot ongenoegen van de klant. De overheid heeft zich er niet mee bemoeid en de ISP’s praktisch carte blanche gegeven, onder het mom van vrije marktwerking (deze marktwerking is ver te zoeken. Business modellen zijn verouderd en alle abonnementsvormen zijn nog steeds op basis van flat fee). Met andere woorden, er is geen enkele regulatie betreffende het gebruik van DPI content filters. Fabrikanten van deze producten concurreren dan ook fel om marktaandeel. Dit levert het volgende globale plaatje op:

Fig. 20 Balkanisatie

Op de afbeelding hierboven zien we Jan Modaal uit het voorbeeldscenario. Hij wil graag de website www.abc.nl bezoeken. Zoals te zien is zijn er meerdere wegen die daar naartoe leiden, net als in het echt. De keuze van de route is afhankelijk van de instellingen bij elk van de providers. Nu alle ISP’s


44

DPI content filtering hebben geïmplementeerd is het ook afwachten welke restricties elke ISP heeft opgelegd op zijn stukje backbone. Samen met het feit dat de route ook afhangt van verschillende omstandigheden is het nog maar zeer de vraag of de Jan Modaal de website kan bekijken. Dit verschijnsel wordt ook wel balkanisatie genoemd. De kans dat balkanisatie zal plaatsvinden op het internet is groot als er geen regulaties komen voor het gebruik van filteren en wel of niet doorgeven van bepaalde informatie. Als men zich dan bedenkt dat alle ISP’s in Amerika zich eind jaren ‘90 sterk hebben gemaakt voor de zogenaamde Digital Millennium Rights Act (DMCA). Deze wet vrijwaarde elke ISP in Amerika van medeplichtigheid aan het verspreiden van auteursrechtelijk beschermd materiaal. Feitelijk konden ISP’s gewoonweg doorgeefluik worden van al het internetverkeer zonder dat ze daar aansprakelijk voor konden worden gesteld (Het mag duidelijk zijn dat deze wet er was ten goede van netneutraliteit). Dit alles is teniet gedaan nu ISP’s massaal zijn overgestapt op DPI content filtering. De ISP’s hebben absolute controle over wat er wel en niet over hun netwerk gaat. Een ander nadeel hiervan is dat ISP’s nu de middelen hebben om bepaalde services of websites op elk gewild tijdstip te blokkeren. Dit kan weer gebruikt worden om een slaatje uit zowel aanbieders als gebruikers van webservices te slaan. Ook kan een internet provider geld gaan eisen van aanbieders van deze services. Niet betalen betekend dat klanten van de desbetreffende ISP deze webservice niet kunnen gebruiken. Aan de andere kant kunnen ISP’s op deze manier de abonnementskosten blijven verhogen als klanten zo graag deze service(s) willen hebben Als gevolg hiervan worden kleinere, beginnende ondernemingen die weinig tot geen kapitaal hebben gedemotiveerd om hun service aan de man te brengen via het internet. Als men zich dan bedenkt dat een gros van de populairste websites die er tegenwoordig (2008) bestaan zijn begonnen zonder kapitaal, dan mag het duidelijk zijn dat dit potentieel Garagewerk: de technische groei en ontwikkeling van het internet ernstig dwars kan Google is geboren in zitten. De reden hiervoor is simpel. In plaats van dat de gebruikers van een studentenflat op het internet de evolutie van het web in gang houden door hun gebruik en een aantal PC’s die de eigen input in zowel sociale als technische vorm, zullen in dit scenario de uit 2 hands onderdelen bestond. ISP’s de touwtjes op dit gebied in handen hebben. Feitelijk kunnen ze met De eerste keer dat behulp van de DPI content filters nieuwe ideeën en ontwikkelingen Google op het tegenhouden op hun netwerk. Dit heeft weer tot gevolg dat de internet te vinden adoptiegraad van een nieuwe (misschien (r)evolutionaire) service of was, draaide de techniek minimaal is en daarmee de overlevingskansen van deze service PC’s in de garage of techniek ook. Elke ISP kan er zijn eigen reden voor hebben om dit te van een vriend van doen. Uiteraard kan de hoeveelheid toegelaten services per provider de twee oprichters. verschillen, al is de kans groot dat elke provider voor zoveel mogelijk winst Een ander gaat door zo min mogelijk te investeren in andere zaken dan de inkomsten voorbeeld, Napster is ook ontwikkeld verhogen of het aanprijzen van zijn eigen services. zonder kapitaal op een studentenkamer. Een andere tak in de IT wereld die flink zal leiden onder de balkanisatie door het gebruik van DPI filters, is de open source community. De afgelopen jaren is er een sterke groei te zien in het aantal open source softwareprojecten. Niet alleen de open source software community heeft baat gehad bij de explosieve groei van het internet, ook de open source operating systems community maakt een sterke groei mee. Dit met behulp van het internet. De reden hiervoor is dat internet hét distributiemedium is voor open source software. Dit komt omdat het gros van de open source pakketten gratis is. Er is geen budget voor distributie via winkels of andere retail outlets (op enkele pakketten na), en als ISP’s besluiten om P2P volledig te blokkeren dan zal dit een enorme klap in het gezicht zijn van de open source community, omdat die van het internet afhankelijk zijn als primair distibutiekanaal.


45

Ook de (IT) zakenwereld zal heel veel hinder gaan ondervinden van DPI filters. De afgelopen jaren is er een sterke toename geweest in het gebruik van IT middelen en het internet voor business. In sommige gevallen zijn bedrijven tegenwoordig al compleet afhankelijk van IT of het internet. Bedrijven die diensten aan hun klanten aanbieden over het internet zullen moeten onderhandelen met ISP’s over doorgifte van hun data. De kans hierbij is groot dat men als bedrijf met meerdere ISP’s om de de tafel zal moeten gaan zitten, dit in verband met de balkanisatie van het internet. Een andere manier om dit te ondervangen is door klanten of werknemers een ISP te verplicht te stellen, in het laatste geval zal er een keuze moeten worden gemaakt. Of gebruik maken van de diensten van dat bedrijf, of een “vrije” keuze hebben qua internetprovider. Een voorbeeld van een bedrijfstak die dergelijke keuzes zal moeten gaan maken is het bankwezen. Deze maken gebruik van het internet voor de internationale aandelenhandel (de handel waarmee de grote winst wordt gemaakt). Een andere dienst van de banken die mogelijk lastig wordt om te realiseren is het internetbankieren. Het mag duidelijk zijn dat als er op deze manier zal worden omgegaan met DPI content filters, dit grote gevolgen zal hebben voor het internet, haar gebruikers en de keuzevrijheid die de gebruikers gewend zijn.

7.2.2

Belangenorganisaties platen- en filmmaatschappijen

De MPAA en RIAA waren uitermate blij met de vrijwillige keuze van internet providers om toch gebruik te gaan maken van DPI content filtering. Nadat duidelijk werd dat elke ISP uiteindelijk overstapte op DPI filtering, begonnen de RIAA en MPAA met een nieuwe strategie. Nadat iedere ISP een DPI content filter heeft geïnstalleerd, zijn ze begonnen met het individueel benaderen van elke ISP. Elke ISP krijgt de mogelijkheid zich aan te sluiten bij een nieuw distributiekanaal dat word gestart vanuit de muziek- en filmindustrie. Daarbij krijgt elke ISP de mogelijkheid om te bepalen welke artiesten/labels/uitgevers/genres beschikbaar zijn voor haar klanten. Ook kan men als ISP aangeven of en hoeveel procent van de winst naar hun zelf gaat. Dit wordt doorberekend in de prijs van de muziek- en filmbestanden. (als een mp3 1euro zou gaan kosten en de ISP’s willen 20% van de opbrengst zien dan zal een dergelijk nummer bij de desbetreffende provider 1,20 euro gaan kosten). Op deze manier hebben de RIAA, MPAA en dus de platen- en filmmaatschappijen hun zin. ISP’s reguleren het internet en dus het uitwisselen van auteursrechtelijk materiaal. Daarnaast hebben ze een monopoly op het internet als retail outlet voor muziek en films omdat ISP’s de toegang regelen. De kans dat overige online muziekwinkels compleet worden afgesloten lijkt klein, vooral omdat dit wel onder het concurrentie beding valt. Het totaal blokkeren van webwinkels zal dus waarschijnlijk niet toegestaan worden vanuit de overheid. Echter behouden ISP’s natuurlijk wel de mogelijkheid om de snelheid van deze webwinkels drastisch te verlagen, waardoor het toch aantrekkelijk word om muziek aan te schaffen via het distributiekanaal dat word aangeboden vanuit de ISP’s. Daarnaast is er ook nog de kans dat de belangenorganisaties hun focus moeten verleggen naar de illegale hard-copy handel van auteursrechtelijk materiaal. Waarschijnlijk zal dit meer geld gaan kosten dan het opsporen van uitwisselactiviteiten op het internet. Immers laat iemand die 10cd’s naar iemand brengt geen spoor achter, iets dat wel (elektronisch) gebeurt op het internet. Het feit dat de opsporing moeilijker zal gaan kan daarnaast ook betekenen dat de methodes van de MPAA en RIAA nog agressiever zullen gaan worden.

7.3

Best case scenario

Nu we een mogelijk negatief scenario hebben geschetst, waarin DPI content filters als censuur/machtsmiddel worden toegepast, kijken we als laatste in deze paragraaf naar een scenario waarbij DPI filters worden gebruikt ten behoeve van de (technologische) groei van het internet alsmede als centrale spil in een nieuw businessmodel voor ISP’s. Net als in de vorige paragraaf is het scenario gebaseerd op de technische mogelijkheden van DPI content filtering, waarbij er vanuit wordt gegaan dat alle kinderziektes zijn verwijderd uit deze apparaten. We beginnen weer met Jan Modaal.


46

Jan Modaal wordt ’s ochtends wakker. Hij doet z’’n kamerjas aan loopt naar beneden en zet zijn computer aan. Ondertussen zet hij een kop koffie. Als hij terugkomt, logt hij in op zijn computer. Na het opstarten controleert Jan allereerst zijn mail. Sinds twee maanden doet hij dit bij de emaildienst van Yahoo!. Dit omdat hij niet tevreden was over het email systeem van zijn provider. Zijn ISP deed niet moeilijk en Jan kon zonder problemen zijn mail overzetten. De enkele reclame banner die boven in beeld staat bij Yahoo! vind Jan niet storend. Zeker niet gezien de gratis functionaliteiten die Yahoo! aanbiedt. Na het controleren van zijn mail wil Jan even wat opzoeken. De keuze aan zoekmachines om dat mee te doen is groot, zijn ISP biedt namelijk de mogelijkheid om elke willekeurige zoekmachine te integreren in een startpagina die Jan zelf kan samenstellen via een webinterface die is ontwikkeld door de ISP. Na het controleren van al zijn favoriete nieuwssites bedenkt hij zich dat hij nog de laatste updates moet binnenhalen voor zijn favoriete online game. Als hij ze probeert te downloaden lukt het niet, en Jan krabt zich achter de oren. Maar dan bedenkt hij zich dat hij deze maand er voor gekozen had om geen extra abonnementskosten te betalen voor P2P gebruik. Snel logt hij in op een webpagina waar hij zelf wijzigingen kan aanbrengen in het servicepakket. Hij vinkt aan dat hij de rest van de maand toch nog gebruik wil maken van P2P. aangezien de maand nog maar 2 weken duurt, betaald hij deze maand alleen voor die twee weken. Tevreden gaat Jan Modaal naar zijn werk.

7.3.1 ISP’s ISP’s hebben de afgelopen jaren de ontwikkelingen van DPI filters in de gaten gehouden. Een aantal ISP’s waren “early adopters” en passen de techniek al een tijd toe, vooral om copyrightschending tegen te gaan. Dit om druk vanuit de RIAA en MPAA weg te nemen. Echter blijkt er ook heel wat controverse te zijn omtrent DPI filters. Dit heeft ook een heel groot aantal ISP’s er tijden van weerhouden om deze filters te implementeren. Ook bleek al snel dat het filteren van verkeer zonder mededeling richting klanten vaak averechts werkte. Een ISP deed echter het tij keren voor DPI content filters. Hun invalshoek was de volgende: “Klanten zien restricties die door derden worden opgelegd als censuur. In plaats daarvan moet een systeem worden ontwikkeld waardoor de klant baas is over de services die hij of zij wil af nemen bij een ISP. Op deze manier hebben ze een groot gevoel van zelfcontrole over zowel de service als over hun portemonnee.” Anders gezegd moet er een systeem komen waarmee klanten on-the-fly online hun services kunnen activeren of deactiveren. Aan het eind van de maand moet de gebruiker bovenop een basisbedrag alleen betalen voor de services die hij of zij heeft afgenomen. Een voorbeeld om een en ander te verduidelijken (Alle prijzen zijn illustratief en op geen enkele wijze ergens op gebaseerd). Klant A Basisabonnement (mail en web) 12 dagen VOiP a € 0,10 per dag 30 dagen P2P a € 0,20 per dag 30 dagen FTP a € 0,15 per dag 30 dagen onbeperkt RDP a € 0,05 Totaal:

€ 17,50 € 1,20 € 6,00 € 4,50 € 1,50 € 30,70

Klant B Basisabonnement (mail en web) 5 dagen VOiP a € 0,10 per dag 1 dagen P2P a € 0,20 per dag

€ 17,50 € 0,50 € 0,20

Totaal:

€18,20

Zoals te zien is, is er een groot verschil tussen klant A en klant B. Klant A is een hoger bedrag kwijt. Maar als men dan kijkt naar welke dienste men heeft gekregen dan is te zien dat klant A veel meer mogelijkheden had om grote hoeveelheden data te verstoken (via bijvoorbeeld P2P, FTP of RDP). Dit terwijl klant B bijna de helft minder betaald maar in verhouding ook veel minder bandbreedte zal verstoken.


47

Zoals eerder gezegd zou er een systeem moeten zijn waarbij mensen zelf bepalen op welke tijdstip welk diensten beschikbaar zijn. Je zou dit kunnen vergelijken met het systeem dat Vodafone® een aantal jaar geleden introduceerde voor mobiele abonnementen, Vodafone Blox. Vodafone Blox is in de regel een prepaid abonnementsvorm waarbij de abonnee zelf kan Abonnementen op kiezen welke diensten men wanneer wil gebruiken. Dit kan door maat: In Engeland is zogenaamde Blox aan te schaffen. Elke Blox is een bepaalde dienst voor er een provider, een vooraf gestelde periode. Denk hierbij aan internet, sms, korting op de plus.net, die eerste belminuten enzovoort. adverteert met op DPI filters stellen ISP’s in staat om dit concept nog verder uit te bouwen. Zoals eerder geschreven zijn DPI content filters in staat om per uitgegeven IP adres te filteren. Nou klinkt filteren in dit geval wat negatief. Maar wat er bedoeld word is dat men deze filters kan gebruiken om de services per gebruiker te reguleren. Dit werkt als volgt:

internetaansluitingen op maat. Hier zit echter een datalimiet aan, een snelheidslimiet en gebruikers zijn niet in staat om dit dynamisch te wijzigen.

1. Een gebruiker meldt zich aan bij een ISP. De gebruiker krijgt een abonnementsvorm waarin bijvoorbeeld alleen maar web en mail verkeer bij inbegrepen zit (poort 25 en 80). 2. Daarnaast krijgt de gebruiker, zoals gewoonlijk, een gebruikersnaam en wachtwoord. 3. Naast de gebruikelijke toepassing van gebruikersnaam en wachtwoord om email te controleren of je gegevens te veranderen, geeft de combinatie van gebruikersnaam en wachtwoord ook toegang tot een zogenaamd servicecentrum. De authenticatie gebeurd middels, bijvoorbeeld, een RADIUS server (deze zijn veelgebruikt door ISP’s en verscheidende DPI filters hebben al de mogelijkheid om hiermee overweg te kunnen) 4. In dit servicecentrum kan men op elk gewenst moment services aanzetten en uitzetten (afgezien van de standaard diensten web en mail). 5. als een service wordt aangezet dan is dit voor minimaal een dag. Eerder uitschakelen kan maar er wordt een dag in rekening gebracht. 6. Aan het eind van de maand betaald de gebruiker precies voor wat men heeft gebruikt. De gebruiker is hier van op de hoogte. Immers, hij bepaald zelf van welke diensten hij gebruik heeft gemaakt. Deze nieuwe methode van internetdiensten aanbieden heeft een aantal voordelen:

Gebruikers betalen naar wat zei verstoken, gebruik maken van bijvoorbeeld P2P zal meer kosten dan gebruik te maken van RDP, dat nodig is voor remote desktop connecties. Dit is iets wat verschillende ISP’s graag zouden willen zien. Ze pleiten immers al tijden voor een eerlijker systeem dan het flat fee model Dataverbruik wordt een stuk inzichtelijker voor ISP’s. ze kunnen met behulp van de DPI content filters precies per IP zien hoeveel dataverkeer er word gegenereerd. Hierdoor kan men als ISP veel beter anticiperen op bijvoorbeeld de hoeveelheid bandbreedte nodig zal zijn per maand. Hierdoor kan men beter schatten wat voor kosten er gepaard zullen gaan met eventuele uitbreidingen. Daarnaast zal het dataverbruik ook dalen in vergelijking met conventionele abonnementen. Dit omdat men niet zo maar onnodige bandbreedte zal verspillen omdat men dat direct voelt in de portemonnee. Dat is een van de nadelen van de huidige flat fee abonnementen. Of men nou alleen de mail controleert of 30 dagen per maand spendeert aan downloaden, je betaalt het zelfde. Dit ontmoedigt natuurlijk niet om minder te downloaden. Klanten weten precies waar ze aan toe zijn. Naast het feit dat de filters worden gebruikt kunnen worden om abonnementsvormen te regelen, kunnen ze ook worden gebruikt om het internet veiliger te maken. Aangezien de meeste DPI filters de mogelijkheid hebben om virussen, trojans, worms, phising etc. te onderscheppen. Aanbieders van andere diensten dan internettoegang worden niet benadeeld, zij kunnen ongestoord hun content / service aanbieden. De keuze ligt bij de klant of hij het waard vind om eventueel extra te betalen voor deze dienst. Denk hierbij aan het eerder aangehaalde voorbeeld van updates voor een game die via P2P wordt verspreid. De ISP’s zelf houden de uiteindelijke controle. Zij kunnen met behulp van de statistieken van gebruikers precies zien of iemand op een of andere manier gebruik maakt van een dienst waarvoor hij of zij niet betaald.


48

Al met al zijn er voor zowel klanten als ISP’s heel wat voordelen te halen uit een dergelijke toepassing van DPI content filtering. Daarnaast kan dit model ook prima werken voor het bedrijfsleven. Deze groep internetgebruikers kan dan gebruik maken van hetzelfde systeem, met als enig verschil dat ze over een langere periode kunnen instellen wat wel en niet nodig is qua services. Een ander pluspunt is dat dit de kosten voor ISP’s op een aantal vlakken naar beneden helpt. Ten eerste hoeft er minder geïnvesteerd te worden in DPI content filters, aangezien ze in principe alleen op de lijnen tussen de ISP’s en haar gebruikers geplaatst hoeven te worden (filterplaats #4). Daarnaast stellen de statistieken die deze filters genereren de ISP’s in staat om een veel duidelijkere inschatting te maken over de bandbreedte die beschikbaar moet zijn. Een laatste voordeel is dat dit businessmodel weer een heel nieuw scala aan mogelijkheden geeft de concurrentie en marktwerking tussen ISP’s te vergroten. Doordat de gebruiker zelf kan kiezen wanneer hij wat wilt gebruiken qua diensten, zal hij ook een afweging gaan maken tussen hoe vaak en wanneer hij gebruik zal maken van deze diensten. Dit geeft hem extra afwegingsmogelijkheden om te kiezen voor een bepaalde ISP. Hierdoor zullen ISP’s moeten “vechten” om de nieuwe klanten. Dit heeft tot gevolg dat er allerhande acties, promoties, voordeelbundels en dergelijke worden aangeprezen om de klant binnen te halen.

7.3.2 Belangenorganisaties platen- en filmmaatschappijen Zoals al een aantal keer gezegd is in deze scriptie was de berichtgeving over DPI filters en het lobbyen daarvoor door de MPAA en RIAA een van de hoofdaanleidingen voor deze scriptie. In deze laatste paragraaf van hoofdstuk zeven kijken we naar hoe de MPAA en RIAA er mogelijk voorstaan na de implementatie van DPI filters als zijnde DMCA: De DMCA een nieuw businessmodel voor ISP’s. (Digital Millenium In eerste instantie waren de MPAA en RIAA verheugd om te horen dat meer en meer ISP’s overstapten naar DPI content filters. Deze vreugde was echter van korte duur toen bleek dat ISP’s dit niet deden als maatregel tegen het uitwisselen van auteursrechtelijk materiaal, maar deden om een nieuw business model te faciliteren. Hier was weinig tegen te doen door de RIAA en/of MPAA, aangezien de ISP’s nog altijd een hand boven het hoofd werd gehouden middels de DMCA wet. Voor de MPAA en RIAA zat er niet veel anders op dan doorgaan op de manier waarop ze al jaren bezig waren. Dat wil zeggen, doorgaan met het opsporen en vervolgen van personen die zich schuldig maken aan het uitwisselen van auteursrechtelijk materiaal. Net als voorheen zijn de methodes die hiervoor gebruikt worden door velen aangemerkt als buiten proporties en overdreven.

Rights Act) is een Amerikaanse wet die in 1998 is aangenomen door de toenmalige president Clinton. Deze wet is in het leven geroepen om te zorgen dat ISP’s nooit aansprakelijk konden worden gesteld voor het verkeer dat over hun netwerk gaat.

Uiteindelijk komt dan toch het besef bij de MPAA en RIAA dat dit misschien toch niet de juiste methode is om kopieergedrag tegen te gaan. Na een strijd van jaren tegen uitwisseling via het internet en de weerzin die er een tijd is geweest om het internet als primaire distributiemedium te gebruiken, gaan de platen- en filmmaatschappijen overstag. Uiteraard zijn er al een aantal labels, studio’s en bedrijven die al langer gebruik maken van het internet als distributie medium. Gesterkt door hun succes wagen de MPAA en RIAA zich op onbekend terrein als zij aankondigen dat men DRM vrije muziek tegen een schappelijke prijs (een prijs die concurrerend is met de al bestaande mp3- en filmwinkels zoals I-tunes) zal gaan aanbieden op het internet. Uiteindelijk blijkt dit een goede keuze. Doordat alle platenlabels nu vertegenwoordigd zijn op het internet en er eindelijk een geduchte concurrent is voor I-tunes ontstaat er een gezonde concurrentie op het internet tussen verscheidende webwinkels die audio en video aanbieden. Dit komt zo wel ten goede van de klant als de maatschappijen. De maatschappijen en winkels genereren meer afzet en dus meer omzet. Tegelijkertijd daalt de prijs van content door de concurrentie, hier plukt de consument weer de vruchten van. En doordat er dan eindelijk goede distributiekanalen zijn met schappelijke prijzen is er ook een daling te zien in de uitwisseling van auteursrechtelijk materiaal dat buiten deze distributiekanalen om gaat.


49

8 Conclusie We hebben in dit onderzoek naar heel wat aspecten gekeken omtrent Deep Packet Inspection content filtering. Allereerst hebben we gekeken naar hoe de ontwikkeling is verlopen van simpele firewall, die alleen een IP controleert, naar een netwerkapparaat dat in staat is om ongekende hoeveelheden data real-time te scannen om precies te bepalen bij wat voor type verkeer deze data hoort. Daaruit bleek dat deze evolutie voornamelijk te danken was aan de wet van Moore. Anders gezegd was het een kwestie van tijd voordat er genoeg rekenkracht voorhanden was om dergelijke acties uit te voeren. Daarna hebben we de vier meest voorkomende identificatietechnieken die worden gebruikt door DPI content filters onderkend, en vervolgens onderzocht hoe ze werken, wat de pluspunten zijn en wat de minpunten zijn. De vier identificatietechnieken zijn: Signature based identification Application gateway layer identification Behavior based identification Pattern matching Al met al konden er twee conclusies worden getrokken uit dit deelonderzoek. Ten eerste bleek dat het als potentiële koper van een dergelijk DPI content filter niet gemakkelijk was om een weg te banen door alle filtertechnieken. Zoals eerder gezegd zijn ze in vier categorieën op te delen, maar elke fabrikant heeft er zijn of haar eigen “hippe” naam voor. Dit is iets dat erg misleidend kan werken. Daarnaast bleek dat ik de meeste gevallen het ging om een vorm van signature based identification in combinatie met een softwarematige vorm van pattern matching. Voornamelijk omdat het wel of niet kunnen updaten erg zwaar meeweegt. Daarna hebben we gekeken naar wat er zou veranderen voor de beheerders bij ISP’s. De conclusie was duidelijk, de impact was niet veel groter dan als er een nieuwe router/firewall/managed switch zou komen. Wel kwamen er twee punten aan het licht die aandacht verdienen. Ten eerste kan men concluderen dat het frequente updaten dat nodig is bij deze apparaten meteen de achilleshiel is van de filters. Want als deze niet goed geüpdate zijn, dan kan dat serieus impact hebben op de efficiëntie van deze apparaten. Deze updates worden nog altijd door mensen gemaakt en aangepast, de mogelijkheid tot het maken van fouten is dus altijd aanwezig. Daarnaast blijkt dat men als beheerder er rekening mee moet houden dat elk geplaatst filter een extra “point of failure” is binnen een netwerk. De aanpassingen aan de bestaande infrastructuur daarentegen, blijken uiteindelijk, onafhankelijk van de plaatsing, minimaal te zijn. Dit is te danken aan het feit dat de filters tussen de verbinding kan worden geplaatst zonder dat overige apparatuur dit merkt. Vervolgens is er gekeken huidige status en implementatie van DPI content filters. Daar uit kwamen een aantal verassende conclusies. De eerste en meeste verassende misschien nog wel was de uitkomst van een onafhankelijk onderzoek naar de efficiëntie van DPI content filters die vandaag de dag op de markt te krijgen zijn. Niet zozeer de uitslagen, maar het feit dat er uiteindelijk maar vijf fabrikanten hebben gereageerd op de oproep, waarvan er ook maar weer twee akkoord zijn gegaan met publicatie van de resultaten, zegt wat over de kwaliteit en efficiëntie van de huidige generatie filters. De gepubliceerde resultaten lieten een vrij wisselend beeld zien en schiepen het beeld dat het erg afhankelijk was van het type verkeer dat herkend moest worden en het wel of niet encoderen van deze datastromen. Wel bleek dat in alle geteste gevallen het filteren op zich geen impact had op de doorvoersnelheid van de data. Al met al waren er maar twee producten die degelijk genoeg waren om te functioneren binnen een netwerk. Echter zullen ze in geen van beide gevallen 100 procent scores halen. En als datastromen versleuteld worden, dan is de effectiviteit in sommige gevallen ver te zoeken. Dit heeft tot gevolg dat het plaatsen in principe geen nut heeft. Immers als een P2P protocol niet 100 procent wordt herkend, dan zullen er altijd nog gebruikers zijn waarvan het verkeer onbelemmerd doorgang vind. Hierdoor wordt alsnog zoveel bandbreedte verstookt als dat er beschikbaar is. Eigenlijk kunnen we dus concluderen dat het momenteel weinig tot geen nut heeft om deze DPI appliances te plaatsen, er zitten nog veel kinderziektes in. Ook werd er gekeken naar de huidige toepassingen van DPI content filters. Daaruit bleek dat DPI content filtering steeds meer en meer word toegepast. Het blijkt dat dat dit niet in goede aarde valt bij de gebruikers. Hiervoor zijn twee redenen naar voren gekomen uit het onderzoek. De eerste reden is het feit dat ISP’s in de meeste gevallen niet vooraf aangeven bij de gebruikers van hun netwerk. Dit is iets dat veel mensen als “not done” ervaren. Daarnaast zijn gebruikers het er niet mee eens dat ISP’s voor de gebruikers gaat bepalen wat wel en wat niet dataverkeer is dat voorrang behoort te krijgen op andere datastromen.


50

Ook bleek dat twee belangenorganisaties een flinke duit in het zakje doen. Iets waarmee bij het opstellen van de scope geen rekening was gehouden. Dit zijn de RIAA en MPAA, twee organisaties die opkomen voor de belangen van de muziekindustrie en filmindustrie. Zij zien DPI content filtering als hét middel in de strijd tegen het uitwisselen van auteursrechtelijk materiaal. Deze strijd voeren zei namens de film- en muziekmaatschappijen al enkele jaren op agressieve wijze. Volgens de RIAA en MPAA is dit uitwisselen de directe oorzaak van de dalen inkomsten van platen- en filmmaatschappijen. Na wat onderzoek bleek echter dat de cijfers op de site van RIAA en MPAA een heel andere beeld schetste. Hieruit viel te concluderen dat het kennelijk lang niet zo schadelijk is voor de muziekindustrie als men de consument en ISP’s wil voorhouden. De reden voor het lobbyen, blijkt dus ogenschijnlijk te zijn om nog meer te kunnen verkopen. Met al deze informatie en feiten hebben we twee scenario’s opgemaakt over de eventuele wijdverspreide toepassing van DPI content filters. In het eerste scenario hebben we dit gedaan vanuit een negatief perspectief. Doordat er geen regulering is (of onderlinge afspraken) leidt dit tot een wildgroei van dergelijke filters wat tot gevolg heeft dat het internet steeds minder en minder toegankelijk wordt. Dit is te wijten aan het feit dat ISP’s zich bezighouden met alleen hun stukje zonder te kijken naar wat andere ISP’s doen. Dit leidt tot een balkanisatie van het internet. Voor de gebruikers heeft dit zeer grote gevolgen. De manier waarop wij internet momenteel gebruiken is dan totaal niet meer mogelijk. De RIAA en MPAA gebruiken in dit scenario deze “wanorde” tot hun eigen voordeel. Het tweede scenario was vanuit een positief oogpunt. In dit scenario worden DPI content filters als centrale spil gebruikt in een geheel nieuw business model. Dit blijkt ook een enorme impuls te zijn voor de marktwerking omtrent ISP’s. Door de komst van DPI content filters als middel om diensten en toegang te regelen, komt er een heel scala aan punten bij waarmee men kan adverteren en dus concurreren. Uiteindelijk leidt dit tot hernieuwde concurrentie waarbij de prijzen dalen, de afzet groeit en dus ook de omzet. Gebruikers en ISP’s zijn tevreden mensen. Al met al kunnen we niet met zekerheid zeggen wat de toekomst gaat brengen. Dit hangt van een aantal factoren af. Ten eerst hangt het af in hoeverre de DPI filtertechnieken groeien en volwassen worden. Dit is een van de vereisten voor het gebruik van DPI filters zoals in het positieve scenario. Aangezien er momenteel nog veel ruimte voor verbetering is (zeker op het vlak van efficiëntie). Daarnaast zal men als fabrikant zijnde ook vraagstukken moeten gaan tackelen zoals: “wat als men een encryptie methode gebruikt?”. Uit het onderzoek bleek dat dit een heel grote impact heeft op de efficiëntie van de DPI filters. Een derde aandachtspunt is het feit dat zolang er geen vorm van regulatie is, iedere ISP zijn of haar regels kan gaan toepassen. Dit kan desastreus zijn, afhankelijk van hoe en waar men als ISP zijnde de filters gaat plaatsen. Als dit op alle in- en uitgaande verbindingen is dan zal dit ook gebruikers die geen klant zijn bij de betreffende ISP beïnvloeden. Al met al hangt het van een aantal factoren af welke kant we op gaan met het internet.


51

Reflectie Dit deel van de scriptie is ingericht voor de persoonlijke reflectie van de auteur van dit document. In dit deel word er gekeken naar hoe er is gefunctioneerd binnen Logica, wat de sterke en minder sterke punten zijn, en aan welke competenties er is gewerkt tijdens deze periode van 100 dagen.


52

9 Omschrijving Projectwerkzaamheden Er wordt in dit hoofdstuk teruggeblikt op de projectwerkzaamheden die zijn uitgevoerd tijdens mijn afstudeerperiode. In dit hoofdstuk kijken we achtereenvolgens naar de gebruikte methodieken en technieken, randvoorwaarden en uitgangspunten, een overzicht van de werkzaamheden en hoe deze zijn verlopen.

9.1

Gebruikte methodieken en technieken

De hele afstudeerfase is ingedeeld volgens de watervalmethode. Dit wil zeggen dat elke fase strak gedefinieerd is en dat er na afronding van een fase niet zal worden teruggekeerd naar die fase. Dit in tegenstelling tot cyclische projectmethodes. Er zijn vier fases gedefinieerd. Dit zijn de initiatiefase, de onderzoeksfase, de conclusiefase en de afrondingsfase. Elk van deze fases hieronder besproken. Initiatiefase In deze fase is het project opgezet, wat gebeurt aan de hand van de opdrachtomschrijving. De opdracht is uitgewerkt aan de hand van de projectomschrijving en de vergaarde informatie. Dit heeft geleidt tot een plan van aanpak. Dit document is de leidraad op het vlak van de planning en de op te leveren producten. Nadat het plan van aanpak was goedgekeurd door de begeleiding van Working Tomorrow is er begonnen met de volgende fase. Onderzoeksfase In deze fase is het onderzoek verricht naar DPI filter systemen die op de markt zijn. Dit is gedaan door middel van literatuurstudie. In deze fase is eerst gekeken naar de technische werking van de gebruikte filtertechnieken. Vervolgens zijn de mogelijkheden van de software die wordt meegeleverd met de DPI appliances onderkend. Als derde onderzoekspunt is er gekeken naar waar de filters te plaatsen zijn en wat dit voor de effectiviteit betekend. Het voorlaatste onderzoekspunt was het onderkennen van de consequenties voor beheerders van netwerken die deze apparaten moeten onderhouden. Het laatste onderzoekspunt was om te bepalen wat de huidige status is van DPI filters. Hiermee wordt bedoeld dat er gekeken is naar de volwassenheid van de techniek en de huidige implementaties van de filters. Conclusiefase In dit deel van het onderzoek wordt alle, in de onderzoeksfase verkregen informatie, verwerkt. Deze informatie is gebruikt om twee mogelijke toekomst scenario’s op te stellen. Het ene scenario had een positieve insteek, het andere scenario een negatieve. Daarna is de complete conclusie opgesteld. Afrondingsfase Deze laatste fase is gebruikt om alles betreffende het afstuderen af te ronden. In deze periode is de scriptie meerdere malen bijgewerkt aan de hand van feedback vanuit de begeleiding van Working Tomorrow en mijn opdrachtgever. Daarnaast zijn alle appendices toegevoegd en is er ook gereflecteerd op het eigen functioneren tijdens deze periode. Dit leidt tot de definitieve versie van de scriptie. Daarnaast zal er tijdens deze fase een factsheet worden gemaakt ten behoeve van Logica. Ook een presentatie ter verdediging van het afstudeerproject is gemaakt tijdens deze laatste fase. Door middel van scoping is er aan het begin van dit afstudeerproject bepaald wat wel en niet onderzocht zou worden ten behoeve van mijn onderzoeksvragen. Daarnaast is er voor de rest geen gebruik gemaakt van andere methodes of technieken. De reden hiervoor is het feit dat dit onderzoek helemaal theoretisch was. Er was dus geen behoefte aan bouwplannen, technische documentatie etc. Om de voortgang in de gaten te houden is er voor gekozen om ook een aantal mijlpalen te definiëren. Elk van deze mijlpalen moest op een bepaalde datum af zijn. Als dit niet het geval was dan betekende dat achterstand. De volgende mijlpalen waren gedefinieerd (volgende pagina):


53

Mijlpaal Plan van Aanpak Onderzoeksdeel van scriptie Concluderend deel van scriptie Concept scriptie Go / no go gesprek met HvA Best en worst case scenario’s klaar Final version van de scriptie Afstudeerpresentatie (ppt)

Deadline 3 maart 2008 18 april 2008 9 mei 2008 12 mei 2008 Week van 12 – 16 mei 23 mei 2008 20 juni 2008 27 juni 2008

De enige mijlpaal die niet gehaald is, is het go / no-go gesprek deze vond ietwat later plaats. Dit had echter geen invloed op de rest van de planning.

9.2

Randvoorwaarden en uitgangspunten

Aan het begin van dit onderzoek zijn er een aantal randvoorwaardes gesteld. Deze zijn vastgelegd om te verzekeren dat het onderzoek niet te maken kreeg met verschillende tegenslagen. Deze randvoorwaarden waren de volgende Dit project dient binnen een periode van 5 maanden afgerond te zijn. Logica voorziet in een werkplek en begeleiding tijdens dit project. De student levert tijdig materiaal aan ter beoordeling bij zijn begeleiders. Begeleiding vanuit de HvA en Logica komen, net als de student hun afspraken na, indien dit niet mogelijk is, word dit tijdig gecommuniceerd. Er waren voor de rest geen verdere uitgangspunten of randvoorwaarden gedefinieerd voor dit onderzoeksproject.

9.3

Inventarisatie van de werkzaamheden

De werkzaamheden die door mij tijdens de afstudeerperiode zijn uitgevoerd bestond voor een groot deel uit literatuurstudie en het vinden van materiaal dat relevant was voor mijn onderzoek. In het onderstaande overzicht is te zien wat voor werkzaamheden er zijn uitgevoerd voor elk van de fases die aan het begin van dit project zijn gedefinieerd. Fase Initiatiefase

Onderzoeksfase

Conclusiefase Afrondingsfase

Werkzaamheden Opstellen van de opdrachtomschrijving en bepalen van de scope Opstellen van een planning Opstellen van PvA ten behoeve van een duidelijke structuur tijdens dit afstudeerproject Verzamelen en organiseren van informatiebronnen Structuur van de scriptie opgezet Onderzoek naar de evolutie van firewalls naar DPI content filters Onderzoek naar de verschillende filtertechnieken en de (on)mogelijkheden daarvan Onderzoek naar de functionaliteiten van het OS van de DPI filters en de bijhorende managementsoftware Onderzoek naar de verschillende plaatsingsmethodes en de consequenties daarvan Onderzoek naar de huidige implementatie van DPI content filters en de daarbij horende randverschijnselen. Opstellen van een tweetal scenario’s die een mogelijk beeld schetsen van toekomstige toepassingen van DPI content filters. Afronden van de scriptie Appendices toevoegen Presentatie ten behoeve van de afstudeerzitting maken Opstellen eventuele vervolgopdrachten ten behoeve van LogicaCMG Zelfreflectie


54

9.4

Verloop van de werkzaamheden

In deze paragraaf kijken we per fase hoe de werkzaamheden voor de betreffende fase zijn verlopen. Mogelijke problemen of moeilijkheden en andere opvallende voorvallen evenals de positieve punten zullen worden opgesomd. Initiatiefase: In deze fase heb ik vooral moeite gehad om de scope te bepalen. De reden hiervoor is omdat het een erg breed onderwerp is, waarbij een heleboel aspecten en partijen zijn te betrekken. Mede door mijn interesse in het onderwerp en vooral de sociale aspecten er omheen was het lastig om bepaalde dingen te schrappen. Buiten dat om verliep deze fase voorspoedig. Onderzoeksfase: Tijdens het onderzoek verliep alles zonder problemen. Een enig punt waar ik tegenaan liep was het feit dat ik uiteindelijk materiaal had gemaakt dat niet binnen het onderzoek paste. Dit omdat dit niet relevant was voor het onderzoek en functioneren van DPI content filters. Het betrof een hoofdstuk over de specifieke hardware die aanwezig is in DPI content filters. Na overleg is dit achterwege gelaten. Voor de rest heeft dit geen invloed gehad op mijn planning. Conclusiefase: In het begin van de conclusiefase was het zoeken naar hoe ik de scenario’s zou opstellen. Er moest iets van een overeenkomst zijn tussen beide scenario’s zodat het duidelijk werd dat er twee keer een zelfde soort situatie werd geschetst waarvan er een positief en een negatief was. Nadat ik dit voor mijzelf helder had, waren ervoor de rest weinig problemen in deze fase. Wel ben ik tijdens deze fase wat buiten de scope getreden. De reden hiervoor was de actuele berichtgeving omtrent DPI content filters en de invloed van de MPAA en RIAA hierop. Daarom is er alsnog besloten om deze twee partijen mee te nemen in het onderzoek. Afrondingsfase: Net als in de voorgaande fases, waren er in deze fase ook weinig tot geen problemen tegengekomen, Al moet er tijdens het schrijven dat stuk nog wel het een en ander gebeuren (maken van een PowerPoint presentatie onder andere). Echter voorzie ik hier geen problemen in. Al met al kan ik spreken over een zeer geslaagd onderzoeksproject waarbij (bijna) alles binnen de vooraf gedefinieerde grenzen heeft plaatsgevonden. Daarnaast zijn er geen grote problemen geweest en is alles binnen de voorafgestelde tijd afgerond. Dit is beaamd door de eindevaluatie die heeft plaatsgevonden binnen Logica. Deze evaluatie over mijn functioneren was erg positief.


55

10

Zelfreflectie

Naast terugblikken op de projectwerkzaamheden en alle facetten die daarbij horen, kijken we ook naar mijn functioneren tijdens de afstudeerperiode. In dit hoofdstuk word er gekeken of ik de vooraf gestelde leerdoelen heb gehaald en wat voor keuzes ik onder andere heb gemaakt.

10.1 Zelfreflectie op de werkzaamheden Tijdens mijn werkzaamheden hier zijn er weinig obstakels geweest. Gedurende de hele periode ben ik zelfstandig met mijn werk bezig geweest. Binnen Working Tomorrow is het ook zo dat er aan het eind van de periode een zelfreflectie wordt gedaan over de afgelopen periode. Dit gebeurt aan de hand van een aantal punten. Deze punten staan hieronder opgesomd met daarmee mijn eigen reflectie omtrent het betreffende punt. Dit geeft een goed beeld van hoe ik tegen mijn eigen functioneren aankijk. Flexibiliteit: Ik vind van mijzelf dat ik me flexibel heb opgesteld. Tijdens mijn periode bij Working Tomorrow ben ik van architect en competence manager gewisseld. Dit heeft geen invloed gehad op mijn planning of functioneren. Sociale vaardigheden: Tijdens mijn periode bij Working Tomorrow heb ik altijd, voor zover mogelijk, klaargestaan om collega’s op welk vlak dan ook te helpen. Dit is iets waar ik mijn inziens in geslaagd ben. Daarnaast ben ik altijd heel open geweest betreffende mijzelf en mijn beperkingen. Teamworker: Tijdens de afstudeerperiode heb ik mij open en sociaal opgesteld. Dit uitte zich ook in samenwerken. Dit is vooral gebeurd met een collega. Dit omdat onze opdrachten de meeste raakvlakken had. Dit uitte zich in een aantal brainstormsessies en het door nemen van elkaars werk. Zelfstandigheid: Ik denk dat ik tijdens het afstuderen heb duidelijk gemaakt dat zelfstandigheid geen probleem is voor mij. Tijdens mijn werk aan mijn scriptie heb ik geen sturing nodig gehad qua planning of werkverdeling. Stressbestendigheid: Tijdens mijn periode hier zijn er een redelijk aantal personeelswijzigingen geweest. Dit heeft nooit invloed gehad op mijn manier van werken. Dit is iets waar voor mij persoonlijk uit blijkt dat ik geen last van stress had tijdens mijn afstudeerperiode. Drive: Voor mij is dit vooral duidelijk uit het feit dat nooit met tegenzin naar Logica ben gegaan ’s ochtends. Ook het feit dat ik nooit gedemotiveerd ben geraakt om verder te gaan met mijn scriptie is voor mij een duidelijk signaal. Senioriteit: Zelf vind ik dat ik gedurende mijn periode bij Logica professioneel ben omgegaan met mijn opdracht. Ik heb alle mogelijke moeite gedaan om een goed onderbouwd samenhangend verhaal te maken, waarbij rekening werd gehouden met de wensen en eisen vanuit school, Logica en Working Tomorrow. De Feedback die ik daarbij ontving heb ik ten volste benut om tot een zo goed mogelijk eindproduct te komen. Verslaglegging: Zelf ben ik erg tevreden over de kwaliteit van mijn documentatie. Ik heb tijdens het werk aan mijn documentatie weer meer ervaring kunnen opdoen met het schrijven van professionele documentatie. Diepgang: De diepgang van mijn onderzoek was aan het begin een soort van struikelblok. Voordat deze goed was afgesteld was ik een week of drie verder. Uiteindelijk ben ik tevreden met de hoeveelheid diepgang die er in zit. Meer diepgang zou ten koste zijn gegaan van de planning, terwijl minder diepgang ten koste van de kwaliteit zou zijn gegaan. Overview: Ik vind dat dit ook geen probleem is geweest. Door elke dag te beginnen met het doornemen van de planning en het materiaal dat de dag daarvoor was gemaakt, heb ik tijdens de hele periode goed overzicht kunnen houden. Hierdoor is het uiteindelijke doel altijd helder gebleven. Technische kennis & vaardigheden: In het begin merkte ik dat vooral met theoretische kennis van networking wat te wensen overliet. Naarmate ik meer en meer met het onderwerp bezig was, kwam dit weer terug. Ik ben van mening dat mijn technische kennis en vaardigheden ruim voldoende zijn. Niet alleen op het vlak van networking, maar ook op dat van OS’es, dagelijks beheer, en service management.


56

Presentatievaardigheden: Ik ben van nature iemand die niet graag voor een (grote) groep mensen gaat presenteren. Daarom viel mijn proefpresentatie binnen Working Tomorrow mij 100% mee. Zeker als ik dit vergelijk met bijvoorbeeld meer dan een jaar geleden. Ik heb steeds mijn zenuwen meer onder controle en laat mijzelf minder afleiden door wat er in de ruimte gebeurt. Wel zou het tempo wat lager kunnen. Initiatieven: Tijdens mijn afstudeerperiode ben ik betrokken geweest met het regelen van het uitje. Daarnaast ben ik altijd de gene geweest die initiatief nam naar de opdrachtgever toe omtrent contact momenten. De complete zelfevaluatie is te vinden in de appendices.

10.2 Gestelde en behaalde leerdoelen Aan het begin van deze afstudeerperiode zijn er twee leerdoelen gedefinieerd. Dit waren de volgende: Met behulp van dit project mijn opleiding met goed gevolg af ronden. Logica voorzien van nieuwe inzichten betreffende DPI hardware content filtering. Wat betreft het eerste doel is dit nog afwachten. Dit zal afhankelijk zijn van mijn afstudeerzitting die half augustus zal plaatsvinden. Afgaande op mijn functioneren en de reacties en feedback op mijn scriptie zal dit geen probleem mogen vormen. Het tweede doel is ook behaald. Door onderzoek naar de specifieke werking, de verschillende scan methodes, de zwakken en sterke punten is het helder geworden wat momenteel de (on)mogelijkheden zijn van deze filters en wat de potentie gaat zijn als deze techniek ontdaan is van zijn kinderziektes.

10.3 Gemaakte keuzes Een groot deel van de gemaakte keuzes vond plaats tijdens de initiatiefase en hadden betrekking op de scope. Dit was ook voor mij een van de lastigere zaken. De reden hiervoor is mijn enthousiasme en interesse omtrent het onderwerp. Uiteindelijk moest er worden gekozen welke punten wel of niet zouden worden meegenomen in de scope van de opdracht. Er moest een keuze worden gemaakt uit onder andere de volgende punten: Juridische aspecten Belangenorganisaties Dit waren twee punten waar een tijd twijfel over bestond (De overige punten van de scope stonden wel al vast). Uiteindelijk is er in eerste instantie voor gekozen om de belangenorganisaties te laten zitten en de juridische aspecten er bij te betrekken. Een tweetal weken later bleek dat de juridische aspecten lastiger waren dan verwacht (ook omdat ik daar natuurlijk geen achtergrond mee heb). Daarnaast bleek dat in de recente berichtgeving omtrent DPI content filters de belangenorganisaties een flink duit in de zak deden op het gebied van lobbyen voor deze nieuwe techniek. Daarom is er uiteindelijk besloten om de juridische zaken achterwege te laten en toch de belangenorganisaties bij het verhaal te betrekken. Een andere keuze die tijdens het onderzoek genomen is, was het wel of niet bezoeken van een aantal ISP’s in Nederland. Tijdens het opzetten van de scope en dergelijke was het idee er al om een of twee ISP’s in Nederland aan te schrijven / bezoeken om daar een kort interview te doen omtrent hun visie / standpunt omtrent DPI filters. Uiteindelijk is er besloten dit toch niet te doen in verband met tijdgebrek. De keuze werd op dat moment gemaakt omdat de toegevoegde waarde daarvan niet geheel zeker was en het feit dat er uiteindelijk meer tijd nodig was voor literatuurstudie

10.4 Competenties Voordat ik met mijn afstuderen begon heb ik een aantal comptenties opgegeven waaraan ik nog wilde werken tijdens mijn afstuderen. Elk van deze competenties is hieronder opgenoemd, gevolgd door persoonlijk commentaar over het wel of niet behalen van deze competentie.


57

A1: Brede proffesionalisering: Werkt zelfstandig en werkt resultaatgericht samen in een multidisciplinair team, ook in een internationale omgeving. Geeft richting en inhoud aan de ontwikkeling van persoonlijke beroepsrelevante competenties, onder andere op basis van feedback en zelfreflectie. Kan (recent wetenschappelijke) kennis en inzichten toepassen in verschillende beroepssituaties. Is ondernemend, toont initiatief en durft risico te nemen. Is toegerust met actuele kennis, inzichten, concepten en onderzoeksresultaten. Is resultaatgericht en stressbestendig bij kritische beroepssituaties. Deze competentie is mijn inziens gehaald. Hiervoor zijn verschillende redenen. Allereerst was het onderwerp van mijn keuze heel actueel. Dit is bijvoorbeeld duidelijk geworden door het feit dat er gedurende mijn onderzoeksperiode meer en meer nieuws kwam omtrent DPI content filters. Daarnaast is Logica een internationale IT werkgever met daarbinnen alle disciplines van het IT vakgebied. Tijdens mijn periode bij Logica heb ik mijzelf dus goed kunnen orienteren op wat er allemaal voor mogelijkheden zijn. A3: (wetenschappenlijke) toepassing: Kan (recente wetenschappelijke) kennis, inzichten, theorieën, concepten en onderzoeksresultaten toepassen op een voorspelbare en betrouwbare manier in verschillende beroepssituaties. Kan relevante informatie verzamelen uit diverse bronnen. Ook deze competentie is mijn inziens behaald. Deze competentie omvat mijn hele onderzoeksfase. Tijdens mijn onderzoeksfase ben ik namelijk bezig geweest met het verzamelen, ordenen en categoriseren van informatie ten behoeve van mijn onderzoek. Deze bronnen bestonden uit artikelen, nieuws, wetenschappelijke papers, productsheets en dergelijke. Daarna is deze informatie toegepast ten behoeve van mijn onderzoek. A6: probleemgericht werken: Kan zelfstandig een probleem definieren bij een (complexe) praktijksituatie of bij het uitvoeren van een beroep van ICT’er. Analyseert de gestelde eisen en mogelijkheden. Pakt de problemen uit het vakgebied stelselmatig aan op basis van relevante kennis en (theoretische) inzichten. Ontwikkelt en past zinvolle (nieuwe) oplossingstrategieën toe en kan de effectiviteit hiervan beoordelen. De derde competentie is feitelijk een omschrijving van mijn werkwijze tijdens mijn periode bij Logica. Aan de hand van een zelfgedefiniëerde probleemomschrijving heb ik een planning opgesteld die mijn in staat stelde om stelselmatig aan het onderzoek te werken. Tijdens dit onderzoek werden actualiteiten en technische kennis gecombineerd om tot een conclusie te komen. Aan de hand van deze conclusie is er een theoretisch inzicht opgesteld dat onderdeel is van het antwoord op mijn onderzoeksvraag. A8: Sociaalcommunatieve bekwaamheid: Communiceert op diverse manieren effectief met verschillende geledingen. Werkt zelfstandig en werkt resultaatgericht samen in een multidisciplinair team. Kan luisteren naar de inbreng van een ander. Heeft een eigen inbreng. Reflecteert op eigen gedrag. Kan conflicten hanteren. Kan vakliteratuur in de nederlandse en de engelse taal lezen. Kan een verslag of rapport opstellen conform de richtlijnen. Net als de vorige drie competenties is ook de vierde behaald. Tijdens mijn afstudeer periode heb ik regelmatig contact onderhouden met mijn begeleiders en manager(s) binnen logica. Dit was per telefoon en per email. Daarnaast heb ik tijdens meetings altijd opengestaan voor feedback op mijn werk alsmede op mijn functioneren. Daarnaast heb ik ook zelf regelmatig om feedback gevraagd omtrent deze twee punten. B1: analyseren: Voert een analyse uit van processen, producten en informatiestromen in hun onderlinge samenhang en de context van de omgeving. Stelt functionele specificaties op. Deze laatste competentie is behaald door het feit dat ik constant ben bezig geweest met het analyseren van de informatie die ik verzamelde ten behoeve van mijn onderzoek. Al met al ben ik van mening dat ik tijdens mijn afstudeerperiode bij Logica prima aan mijn competenties heb gewerkt. Alle vooraf opgegeven competenties zijn behaald, iets wat bij heeft gedragen aan een succesvolle afstudeerperiode.


58

Appendices Dit laatste deel van de scriptie is gebruikt om additionele informatie een plek te geven binnen de scriptie. In deze sectie staan onder andere een afbeeldingenlijst, een lijst me afkortingen alsmede een technische verdieping in de packet headers. Daarnaast is er ook een bronnenlijst en is er een kopie van de evaluatie van de auteur opgenomen


59

Appendix A: Lijst met figuren en tabellen Fig. 1 Organogram Logica..................................................................................................................... 12 Fig. 2 Het OSI model ............................................................................................................................. 16 Fig. 3 TCP/IP framework ....................................................................................................................... 17 Fig. 4 Payload........................................................................................................................................ 18 Fig. 5 Payload met TCP header ............................................................................................................ 18 Fig. 6 Payload, TCP header en IP header ............................................................................................ 18 Fig. 7 Compleet data packet.................................................................................................................. 19 Fig. 8 Totaalbeeld TCP/IP encapsulatie................................................................................................ 19 Fig. 9 Werkgebieden filtermethodes...................................................................................................... 22 Fig. 10 Skype sessie initiatie ................................................................................................................. 27 Fig. 11 Kazaa data packet..................................................................................................................... 28 Fig. 12 Mogelijke plaatsen DPI filters .................................................................................................... 31 Fig. 13 detectie ratio .............................................................................................................................. 36 Fig. 14 Detectie ratio P2P applicaties met 25% regulatie ..................................................................... 36 Fig. 15 Detectie ratio P2P applicaties met 75% regulatie ..................................................................... 37 Fig. 16 Detectie bij encryptie ................................................................................................................. 37 Fig. 17 Uitslag filtertests Max Planck instituut ....................................................................................... 39 Fig. 18 Inkomsten filmindustrie US vanaf 1992..................................................................................... 41 Fig. 19 Jaarcijfers van de RIAA ............................................................................................................. 42 Fig. 20 Balkanisatie ............................................................................................................................... 44

Appendix B: Lijst met afkortingen ACL

ASCII

ATM

BGP CSV DDR2 DNS

DDoS DHCP DPI DRAM EGP FTP HTML

Access Control List. Een “lijst” die in de meeste gevallen wordt bijgehouden door de DPI appliance. Deze lijst bevat regels waaraan het dataverkeer wordt getoetst. Anders gezegd de rechten en permissies die dataverkeer hebben op basis van bron en doelbestemming. American Standard Code for Information Interchange. Een standaard om letters, cijfers, leestekens en andere symbolen te representeren en aan ieder teken in die reeks een geheel getal te koppelen, waarmee dat teken kan worden aangeduid. Asynchronous Transfer Mode. een communicatietechniek waarmee in zeer hoge snelheden data packets met een vaste lengte verstuurd kunnen worden. Kenmerk van ATM is dat een vaste bandbreedte per gebruiker beschikbaar is. Border Gateway Protocol. Routingprotocol dat het uitwisselen van routing informatie tussen routers bewerkstelligd, op deze manier wordt de meeste efficiënte route gekozen. Comma Seperated Values. Type bestand waarbij tussen elke waarde een komma zit. Double Data Rate versie 2. Geheugentechniek die het in staat stelt om clock cycles van geheugen twee keer te benutten in plaats van een keer. Domain Name System. Systeem dat domeinnamen vertaalt naar de corresponderende IP adressen en vice versa. De server die deze dienst biedt wordt een DNS server genoemd. Distributed Denial of Service. Type cyberaanval waarbij er en dusdanige grote hoeveelheid verzoeken binnenkomt op een computer waardoor die computer bezwijkt. Dynamic Host Control Protocol. Protocol dat belast is met de automatische uitgave van IP adressen aan apparaten die zich aanmelden op een TCP/IP netwerk. Deep Packet Inspection. Vorm van packet filtering waarbij het complete data packet gescand wordt. Dynamic Random Access Memory. De huidige standaard voor werkgeheugen voor computers. Exterior Gateway Protocol. Protocol ontwikkeld om informatie tussen routers uit te wisselen. File Transfer Protocol. Een client-server protocol dat het toestaat om bestanden en gegevens tussen twee computers uit te wisselen over het TCP/IP protocol. HyperText Markup Language. Script taal voor het ontwikkelen en opmaken van webpagina’s.


60

HTTP ICMP IGRP IMAP IP

IRC IS-IS MAC MGCP

MPLS NAT

NPU OS OSI OSPF POP3 P2P PAT PPP

QoS RADIUS RARP RDP RIP RTP SIP

HyperText Transfer Protocol. Standaardprotocol voor het verzenden van webpagina's via internet. Internet Control Message Protocol. Extensie van het internet protocol. Wordt gebruikt voor het genereren van foutmeldingen Interior Gateway Routing Protocol. Protocol gebruikt door routers om routing tables uit te wisselen tussen elkaar. Internet Mail Access Protocol. Protocol voor het lezen van e-mail. Bij IMAP wordt de post op de server bewaard in plaats van lokaal. Internet Protocol. Protocol dat de adressering van het dataverkeer op internet regelt. Samen met het TCP protocol is het IP protocol verantwoordelijk voor de datacommunicatie tussen alle op Internet aangesloten computers en netwerken. Internet Relay Chat. Een protocol dat internetgebruikers met elkaar laat chatten in verschillende kanalen , over verschillende onderwerpen. Intermediate sytem to intermediate system. Routing protocol dat door routers wordt gebruikt. Dit protocol maakt gebruik van een link-state algoritme. Medium Access Control. Dit is binnen een netwerk het unieke hardware adres van aangesloten apparatuur, elke apparaat heeft zijn eigen unieke MAC adres. Media Gateway Control Protocol. Protocol dat wordt gebruikt voor VoIP. Zoals de naam doet vermoeden is dit protocol belast met de controle van een VoIP gesprek. Dwz. dat dit protocol de verbindingen opzet, beheerd en beëindigd tussen 2 endpoints. Multi Protocol Label Switching. Techniek die een label aanbrengt in een data packet. Aan de hand van dit label wordt de route bepaald voor dit packet over het netwerk. Network Address Translation. Methode die specifiek bedoeld is om meerdere gebruikers dezelfde internettoegang te laten gebruiken. Hierbij wordt gebruik gemaakt van de mogelijkheid van het IP protocol om het IP-adres te veranderen in een ander IP-adres. Network Processing Unit. CPU die geoptimaliseerd is voor netwerkgerelateerde bewerkingen. Operating System. Het stuk software waarmee de hardware van een appliance wordt aangestuurd. Open Systems Interconnection. De benaming voor het ISO referentiemodel voor netwerken. Open Shortest Path First. Een interior gateway routing protocol ontwikkeld voor IP netwerken gebaseerd op het kortste pad naar de bestemming of het link-state algorithm. Post Office Protocol versie 3. Op dit moment nog het meest gebruikte protocol om email van de mailserver op te halen en naar een systeem te transporteren. Peer-2-Peer. Protocol ontwikkeld voor de uitwisseling van bestanden, in plaats van te verbinden met een server, verbinden gebruikers rechtstreeks met elkaar. Port Address Translation. Netwerktechniek voor het vertalen van communicatie tussen twee pc’s waarvan er een op een publiek netwerk zit en de ander op een privé netwerk. Point to Point Protocol. Protocol voor een TCP/IP verbinding over een point-to-point verbinding zoals een telefoonlijn. Bij PPP is synchrone en asynchrone communicatie mogelijk waardoor een lijn met andere gebruikers gedeeld kan worden. Quality of Service. Is de mogelijkheid om netwerk karakteristieken te beïnvloeden ten einde een goede degelijke verbinding te realiseren. Remote Authentication Dial In User Service. Is een authenticatie, autorisatie en accounting protocol voor onder andere netwerktoegang. Reverse Address Resolution Protocol. protocol gebruikt om een IP adres te achterhalen op basis van het netwerkadres. Remote Desktop Protocol. Een protocol van Microsoft voor de terminal server. Met dit protocol communiceert de client toepassing met de terminal server Routing Information Protocol. Een open protocol waarmee routers aan elkaar doorgeven welke routes voorhanden zijn om IP informatie naar zijn bestemming te transporteren. Real-Time Protocol. Een transport protocol dat ontwikkeld is om end-to-end delivery te ondersteunen voor data met real-time karakteristieken. Session Initiation Protocol. Een protocol dat het mogelijk moet maken om een betrouwbare verbinding op te zetten over een IP netwerk. Voornamelijk gebruikt in combinatie met VoIP.


61

SMTP SNMP

SQL SSH TCAM TCP

TTL TXT UDP

URPF URL VLAN VoIP VPN

Simple Mail Transfer Protocol. Protocol behorend tot de TCP/IP suite voor het verzenden en ontvangen van e-mail in TCP/IP netwerken zoals Internet. Simple Network Management Protocol. SNMP is een structuur voor over een TCP/IP netwerk voor het beheren van het netwerk en de bijhorende apparatuur. Wijdverspreide standaard die in bijna alle elektronica kan worden toegepast. Structured Query Language. Taal ontwikkeld voor de communicatie met databases. Secure SHell. Een command line interface die gebruikt wordt om over een beveiligde verbinding toegang te verkrijgen tot een systeem op afstand. Ternary Content Addressable Memory. Geheugen technologie die in staat is om een brede dataset in een minimaal tijdsbestek te doorlopen. Transport Control Protocol. Een protocol dat de verzending, ontvangst en het eventueel opnieuw zenden van data packets coördineert in een netwerk om te zorgen voor een betrouwbare verbinding. Time To Live. Variabele die aangeeft hoelang een data packet valide is. Text. Afkorting waarmee tekst bestanden worden aangegeven. User Datagram Protocol. Een sessieloos netwerk protocol dat niet garandeert dat data ook zijn bestemming bereikt (in tegenstelling tot TCP). Wordt toegepast op data stromen die vaak tijdsafhankelijk zijn zoals streaming media. Unicast Remote Path Forwarding. Een protocol ontwikkeld om het in een loop raken van request tegen te gaan. Uniform Recourse Locator. uniek adres, volgens een vaste opmaak, dat verwijst naar een bestand op een server die verbonden is met het internet Virtual Local Area Network. Logische verzameling van computers die niet fysiek op eenzelfde netwerk zitten. Voice over Internet Protocol. Jong protocol bedoeld om telefonie over datanetwerken te ondersteunen. Virtual Private Network. Een beveiligd netwerk dat gebruik maakt van reeds bestaande netwerkinfrastructuur. Het “private” aspect wordt gerealiseerd door deze verbindingen te encrypten.


62

Appendix C: Packet header schema’s Hieronder is een overzicht te vinden van de headers die worden toegevoegd aan de payload voordat deze het netwerk over worden gestuurd. Bij elk van de schematische weergave staat beschreven welke data er zich in de header bevindt. Het aantal bits dat deze informatie inneemt is in de grafische weergave terug te vinden. In het geval van de data link header is ook de trailer toegevoegd, daar deze een belangrijke rol speelt bij dataverkeer.

TCP header (32-bits)

Source port number Destination port number Sequence number

Acknowledgement number Header length Reserved URG ACK PSH RST SYN FIN Window size TCP checksum Urgent pointer

Identificeert de poort waarover verzonden wordt Identificeert de poort waarover ontvangen wordt Als deze waarde is ingevuld dan is dit het eerste volgnummer en de eerste byte is het volg nummer plus 1. Is deze waarde leeg dan is het volgnummer de eerste data byte. Als deze ingesteld is dan is de waarde van dit veld de eerstvolgende byte die de ontvanger verwacht. Specificeert de grootte van de TCP header. Gereserveerd voor eventueel toekomstig gebruik. Geeft aan dat the urgent pointer field van belang is. (ja/nee) Geeft aan dat the acknowledgement field van belang is. (ja/nee) Push functie (ja/nee) Reset the connection (ja/nee) Synchronize sequence numbers (ja/nee) Geen data meer van verzender (ja/nee) De grootte van het ontvangst “venster”. Deze waarde geeft aan hoeveel bytes de ontvanger momenteel wil/kan ontvangen. Checksum om de TCP header te controleren. Als de URG flag op 1 staat, dan wordt dit veld gebruikt om het volg nummer van de laatste urgente byte aan te geven.


63

IP header (32-bits)

4 bit

4 bit header version

length

8 bit type of service

3 bit flags

16 bit identification

8 bit TTL

16 bit total length (in bytes)

8 bit protocol

13 bit fragment offset

16 bit header checksum

32 bit source IP address

32 bit IP destination address IP header

Version Header length Type of service Total length Identification Flags Fragment offset TTL Protocol Header checksum Source IP address Destination IP address

Versie van IP (in meeste gevallen is deze waarde 4 (IPv4)) Lengte van de header zelf Hiermee kan een extra argument worden opgegeven om te zorgen voor maximale betrouwbaarheid of minimale vertraging De totale lengte van het datagram. ID veld wordt gebruikt om IP fragmenten van een origineel datagram te identificeren Veld dat wordt gebruikt om packet fragmenten te identificeren of te controleren Bepaald de compensatie in verband met de fragmentatie van data packets Tijd dat een data packet mag bestaan. Dit zodat de data packets niet eeuwig over het netwerk heen blijven reizen Definieert het protocol type van de data Checksum voor de IP header. IP adres van de verstuurder IP adres van de ontvanger


64

Data link header (112-bits)

Destination MAC address Source MAC address Type CRC checksum

MAC adres van de ontvanger MAC adres van de verstuurder Geeft het soort protocol aan Checksum voor het complete data packet

Appendix D: Three-way handshake

Stap 1: Stap 2: Stap 3:

De cliënt stuur een SYN (synchronisation request) naar de server met daarbij een willekeurig getal. Dit packet bevat alleen een TCP en IP header. De server stuurt een SYN, ACK (Synchronisation, acknowledgement) naar de cliënt. Hierbij zit het random getal + 1. De client stuur een ACK (acknowledgement) naar de server. Data kan nou verstuurd worden.


65

Appendix E: monolithisch vs. modulaire kernel

Routing Operating System kernel

SNMP process

Routing process

Interface process

Pckt Mngmt

Chassis control

Networ k mngmt.

Hardware

In een monolithische kernel wordt alle functionaliteit van een operating system (scheduling, file system, networking, memory management etc.). De monolithische kernel wordt meestal als een enkel proces geïmplementeerd waarbij alle elementen een geheugenadres delen. Het grote nadeel hiervan is dat als een van de elementen vastloopt, alle andere elementen ook opnieuw moeten worden gestart.

Bij een modulaire kernel worden alle elementen apart geladen met hun eigen geheugenadres en eigen proces. Als er dus een element vastloopt dan zal de rest gewoon blijven functioneren. Ook kunnen modules individueel worden gestopt en herstart zonder invloed te hebben op de overige modules


66

Appendix F: Bronnen Websites: http://www.dpacket.org – Site over DPI filters met een wetenschappelijk/educatieve insteek http://www.sans.org – Organisatie die wereldwijd IT trainingen en certificatie aanbiedt http://broadband.mpi-sws.mpg.de/transparency/results/ - Resultaten website van het Max Planck instituut (onderzoek naar het blokkeren van Bittorrent) http://www.arstechnica.com – IT gerelateerde nieuws webpagina http://www.slashdot.org – IT gerelateerde nieuws webpagina http://www.riaa.org – Website van de Recording Industry Association of America http://www.mpaa.org – Website van de Motion Picture Association of America

Fabrikanten: http://www.allot.com - Allot http://www.arbornetworks.com - Arbor http://www.cisco.com - Cisco 6 http://www.arbornetworks.com - Ellacoya http://www.enterasys.com - Enterasys http://www.f5.com - F5 networks http://www.genierm.com - GenieRM http://www.ipolicynetworks.com - Ipolicy

http://www.ipoque.com - Ipoque http://www.juniper.net - Juniper http://www.proceranetworks.com - Procera http://www.qosmos.net - Qosmos http://www.sandvine.com - Sandvine http://www.stonesoft.com - Stonesoft http://www.tippingpoint.com - Tippingpoint http://www.toplayer.com - Toplayer

Nieuws artikelen: http://www.insidehighered.com/views/2008/01/29/green - Artikel over een (opzettelijke) rekenfout aan de kant van de RIAA over percentages P2P gebruikers op campussen http://www.internetevolution.com/document.asp?doc_id=148803&page_number=1 – Onderzoek naar efficiëntie van de huidige generatie DPI content filters http://www.securityfocus.com/infocus/1514 - Geschiedenis van IDS's http://www.darkreading.com/document.asp?doc_id=143316 – Geschiedenis van firewalls http://www.answers.com/topic/deep-packet-inspection?cat=technology – Korte introductie DPI filtering mij lijst met fabrikanten http://www.slyck.com/story1677_Hi_Im_Comcast_and_Id_Like_to_Delay_You - artikel over Comcast en hun toepassing van DPI filters

Artikelen, (white) papers & boeken: Denning D.E. - An intrusion detection model, IEEE transactions on software engineering, Vol. SE-13, No. 2, Feb. 1987, 222-232 Ingham K. – A History and survey of network firewalls Fortinet – Life of packet FortiOS v3.0 white paper eSoft Inc. – The migration to Deep Packet Inspection Huawei Technologies - DPI: Escape from blind IP operation Ranum M. – What is “Deep Inspection”? Securinet UK Ltd. – Deep Packet Inspection, a new technology or an evolution IBM Redbooks – TCP/IP tutorial and Technical Overview www.acronyms.ch – The ultimate computer acronyms archive Nortel – Application-layer security: What it takes to enable the next generation of security services Network Associates – Deciphering detection techniques: part 2 anomaly-based intrusion detection Yu F., Katz R.H., Lakshman T.V. – Gigabit Pattern-matching using TCAM

6

Ellacoya is op 18 januari 2008 overgenomen door Arbor. Ten tijde van het verzamelen van informatie had Ellacoya nog een eigen website. Tijdens het opstellen van de bronnenlijst (juni 2008), bestond deze site niet meer


67

Appendix G: Specification sheets


68


69

Appendix H: Evaluatie Working Tomorrow Logica – algemeen Naam deelnemer

Stephan Lambregts

Divisie / Business unit

FS / ISA

Naam manager

Jan Witschge

Naam mentor

Petja van der Lek

Ik heb een goede indruk gekregen wat Logica als bedrijf doet. Ik heb een goede indruk gekregen wat mijn divisie / business unit doet.

4 Goed 3 Voldoende

Working Tomorrow - Algemeen Opleiding

Hogeschool van Amsterdam, Hogere informatica

Studierichting

System and network engineering

Projectleider

Co Kooijmans

Architect

Huub van Thienen

WT Locatie

Amstelveen

Opdracht

Internet content filtering

Afstudeerperiode

van: 2 feb 2008 tot: 30 juni 2008 (Lichting: 6)

De locatie waar mijn Working Tomorrow werkzaamheden plaatsvonden was goed De gemeenschappelijke presentaties waren nuttig De inhoud van de gemeenschappelijke presentaties sloot aan bij mijn verwachtingen De begeleiding van de projectleider was goed

4 Goed 3 Voldoende 4 Goed 5 Zeer goed / eens

Top van de projectleider: Gaf alle ruimte om zelfstandig te werken maar was altijd prima beschikbaar als ik hem wel nodig had. Tip voor de projectleider: De begeleiding van de architect was goed

5 Zeer goed / eens

Top van de architect: Ook de architect was altijd bereid om te helpen wanneer ik dat nodig had. Tijdens overleg en dergelijke was er ook altijd er veel geduld van de kant van de architect, dit terwijl ik soms zelf dan erg veel druk op mij zelf legde. Tip voor de architect: De compentence manager was goed beschikbaar

4 Goed

De bedrijfsmentor was goed beschikbaar

2 Matig

De communicatie met de studie was goed.

4 Goed

Voorafgaand aan Working Tomorrow Voor de sollicitatie was Working Tomorrow bekend bij mij Ik heb me aangemeld voor sollicitatie via:

3 Voldoende 3 Open brief Indien anders:

De uitnodiging voor het sollicitatiegesprek kwam binnen 16 dagen na aanmelding. Voor aanvang was ik op de hoogte van de voorwaarden van Working Tomorrow.


5 Zeer goed / eens

70

Working Tomorrow – De Opdracht De tijdsbelasting van de opdracht De opdracht sloot aan bij mijn verwachtingen

4 Goed 5 Zeer goed / eens

De moeilijkheidsgraad van de opdracht was goed

4 Goed

De behandelde onderwerpen sluiten aan bij de lesdoelen voor afstuderen van mijn studie

4 Goed

Working Tomorrow – Beoordeling Welke activiteiten kunnen Working Tomorrow nog beter maken. Geen idee, ik ben van menig dat er al een heel erg goede en fijne balans is tussen werk en ontspanning. Tip om studenten aan te trekken voor Working Tomorrow. Misschien meer het studentenkarakter van de WT afdeling benadrukken. Ik denk dat dit een groot pluspunt is van WT, Werken bij een internationaal groot bedrijf en toch niet in een keer helemaal in het diepe gegooid worden. Totaal cijfer voor Working Tomorrow:


9 = Zeer goed

71

Persoon Flexibiliteit Omschrijf je capaciteit om makkelijk in te spelen op veranderende omstandigheden in je werk.

Ik vind van mijzelf dat ik me behoorlijk flexibel heb opgesteld. Tijdens mijn periode hier ben ik van architect en competence manager gewisseld. Dit heeft helemaal geen invloed gehad op mijn functioneren of planning.

Sociale vaardigheden Geef aan in hoeverre je jezelf onderdeel hebt laten zijn van Logica.

Tijdens mijn periode hier bij WT heb ik altijd, voor zo ver mogelijk, klaargestaan om collega's op welk vlak dan ook (vakinhoudelijk, school perikelen, vervoer) te helpen. Dit is iets waar ik mijn inziens ingeslaagd ben. Daarnaast ben ik altijd heel open geweest omtrent mijzelf en mijn beperkingen, iets dat een van de steunpilaren is van de logica cultuur (openheid).

Teamworker (Samenwerken e.d.) In hoeverre vind jij jezelf een teamlid. Wat heb je gedaan om met anderen samen te werken.

Tijdens m'n periode hier heb ik mij open en sociaal opgesteld. Dit uitte zich ook in samenwerking. Echt samenwerken heb ik vooral met Thijs gedaan, dit vanwege de raakvlakken van onze opdrachten. Dit uitte zich in een paar brainstormsessies en het doornemen van elkaars werk.

Zelfstandigheid Waar uit blijkt dat jij op eigen kracht de afgelopen periode bij Logica / Working Tomorrow hebt gefunctioneerd.

Ik denk dat ik duidelijk heb gemaakt dat zelfstandigheid geen enkel probleem voor mij is. Tijdens mijn werk aan mijn afstudeerscriptie heb ik zeer weinig sturing nodig gehad qua planning en werkverdeling.

Stressbestendigheid Omschrijf in hoeverre je de afgelopen periode hebt aangetoond om te kunnen gaan met stress.

Tijdens mijn periode hier zijn er een redelijk aantal personeelswijzigingen geweest (oa mijn opdrachtgever en BU manager). Dit heeft nooit invloed gehad op mijn manier van werken, planning en dergelijke. Mijn inziens heb ik totaal geen last van stress gehad.

Drive Geef aan waar uit volgens jou blijkt dat je gemotiveerd bezig geweest bent met het uitvoeren van je afstudeeropdracht.

Voor mij is dat vooral duidelijk uit het feit dat ik nooit met tegenzin naar WT ben gegaan 's ochtends. Ook het feit dat ik nooit gedemotiveerd ben geraakt om verder te gaan met mijn scriptie is een uiting van mijn drive.


72

Senioriteit In hoeverre vind je zelf dat je op een professionele wijze bent omgegaan met je opdracht.

Ik vind dat ik zelf professioneel ben omgegaan met mijn opdracht. Ik heb alle mogelijke moeite gedaan om een goed, onderbouwd, samenhangend verhaal te maken, waarbij rekening werd gehouden met de wensen en eisen van uit school, WT en de BU. Alle feedback die ik daarbij kreeg heb ik ten volste benut om tot een zo goed mogelijk eidnproduct te komen.

Overige opmerkingen Geef hier extra punten weer die jij sterk / zwak vindt in je eigen persoonlijkheid die een rol hebben gespeeld bij het uitvoeren van je opdracht.


73

Afstudeeropdracht Verslaglegging Wat vind jij zelf over de kwaliteit van je opgeleverde documenten (Plan van aanpak, Scriptie)?

Zelf ben ik tevreden over de kwaliteit van m'n documentatie. Ik heb tijdens mijn werk aan de documentatie weer meer ervaring kunnen opdoen met het schrijven van proffesionele documentatie. Er is uiteraard nog ruimte voor verbetering (spelling en "flow" van de zinnen).

Diepgang Wat is jou mening over het niveau van de opdracht en de uitdaging om nieuwe inhoudelijke kennis op te doen.

De diepgang van mijn onderzoek was aan het begin een soort van struikelblok. Voordat deze goed was afgesteld waren we een paar weken verder. Uitiendelijk ben ik blij dat ik er nie nog meer bij heb betrokken dan dat ik nu doe. Anders was ik veel langer bezig geweest dan geplant was. Al met al ben ik erg tevreden met de diepgang. Vooral omtrent de werking van filters, ISP's en dergelijke is een verrijking geweest.

Inventiviteit Hoe ben je omgegaan met tegenslagen die je tijdens het afstuderen hebt ervaren?

Echte tegenslagen heb ik mijn inziens niet gehad tijdens mijn periode hier. De enige is denk ik geweest dat een hardware hoofdstuk uitiendelijk buiten de scope viel. Dit heeft me een week gekost maar door een goede planning kon dit makkelijk ondervangen worden.

Overview In hoeverre ben je instaat geweest afstand te nemen van je opdracht en de bredere context ervan te zien?

Ik vind dat ook dit geen probleem is geweest tijdens mijn periode hier. Elke dag begon ik met het doornemen wat al gemaakt was om weer een compleet "plaatje" te krijgen van waart ik uiteindelijk naar toe wil met mijn afstudeerscriptie. Ook os het uiteindelijke doel van mijn scriptie helder gebleven in mijn ogen.

Technische kennis & Vaardigheden Hoe beoordeel jij je eigen technische kennis en vaardigheden?

In het begin merkte ik dat voor mijn technische kennis van networking wat roestig was. Naarmate de tijd hier vorderde kwam dit weer terug. Ik ben van menig dat mijn technische kennis en vaardigheden ruim voldoende is. Niet alleen op het vlak van networking maar ook andere zaken zoals operating systems, dagelijks beheer, en een stukje IT service management.

Overige opmerkingen Geef hier extra punten aan die van invloed zijn geweest op het uitvoeren van je opdracht.


74

Overige Presentatievaardigheden Hoe heb je het geven van een presentatie ervaren? Wat waren je sterke / zwakke punten?

Ik ben van nature niet iemand die graag voor een (grote) groep mensen moet presenteren. Daarom viel het mij 100% mee hoe de presentatie voor WT ging over mijn afstudeeronderwerp. Als ik dat verglijk met bijvoorbeeld een jaar geleden, dan heb ik mijn zenuwen een stuk meer onder controle. Wel denk ik dat ik tijdens het daadwerkelijk presenteren wat meer moet temporiseren. Zelf heb ik het idee dat ik nog wel eens erg snel praat.

Initiatieven In hoeverre heb je buiten de uitvoering van je opdracht laten zien met ideeën te komen?

Tijdens de periode bij WT ben ik oa. betrokken geweest bij het regelen van het WT uitje. Daarnaast ben ik altijd de initiatiefnemer geweest richting mijn opdrachtgever qua contactmomenten.

Overige opmerkingen Hier heb je de ruimte om extra opmerkingen neer te zetten die nog niet in de zelf evaluatie aanbod zijn gekomen.

het oordeel over de architect is gebasseerd op Hans Brouwer. Met mijn huidige archtect Huub van Thienen heb ik nog te weinig contactmomenten gehad om daar wat nuttigs over te zeggen. Ook ben ik blij dat ik niet anders ben behandeld dan de rest ivm. mijn handicap


75

Scriptie Internet content filtering

Recommend Documents