Digitale spor smuldrer for politiet: Tiden er løbet fra telelogning

Politiet kan ikke længere identificere en bruger via det digitale fingeraftryk, ip-adressen. Telelogning bliver dermed uanvendelig, og kriminelle får lettere spil.

Et vigtigt efterforskningsredskab smuldrer mellem hænderne på politiet. Den telelogning, som med en dommerkendelse gør det muligt at se, hvem en mistænkt har kommunikeret med, bliver stadigt mere værdiløs.

Det digitale fingeraftryk, ip-adressen, er nemlig ikke længere tilstrækkeligt til at identificere en internetbruger.

Illustration: Privatfoto

»Politiet står med store udfordringer for at kunne foretage samme sporing som hidtil,« siger tele-professor Knud Erik Skouby, Aalborg Universitet.

I 2014 indhentede politiet 4.112 kendelser til at se i oplysninger om telefonsamtaler, sms'er og internettrafik, som teleselskaberne logger om danskerne.

Oplysningerne bliver ifølge rigsadvokatens statistik oftest brugt til at opklare narkokriminalitet.

Danskernes kommunikation flytter imidlertid hastigt fra traditionelle telefonsamtaler og sms’er, som politiet kan spore, til ip-baserede tjenester som f.eks. Messenger og Skype. Dem har politiet ikke samme mulighed for at følge.

»Politiet får stadigt vanskeligere ved at spore kriminalitet på nettet ud fra logning,« konstaterer Peter Kruse fra sikkerhedsfirmaet CSIS, der bl.a. hjælper politiet med at efterforske it-kriminalitet.

Ip-adressen afslører ikke længere specifikke brugere

En væsentlig forklaring er knapheden på offentlige ip-adresser. Antallet af digitale enheder er vokset så hurtigt, at der ikke længere er unikke adresser til alle – så i dag kan der være mange brugere om en enkelt ip-adresse.

Derfor er det ikke muligt alene ud fra en ip-adresse og et kommunikationstidspunkt entydigt at sige, hvem der har brugt en specifik adresse på et givent tidspunkt og f.eks. udvekslet børneporno, hacket en server eller kommunikeret med en kriminel.

»Vi kan have 300 brugere på en enkelt ip-adresse, og så kan det ikke fysisk lade sig gøre at sige, hvilke af disse brugere der har været i kontakt med en server på et givent tidspunkt,« siger direktør Yoel Caspersen fra internetudbyderen Kviknet.

Ingeniøren har været i kontakt med alle de store danske teleselskaber. Hovedparten bekræfter udfordringen med ip-adresserne, men ønsker ikke at uddybe.

Selskabet 3 svarer dog, at det benytter teknikken NAT (Network Address Translation), som gør det muligt at lade flere kunder dele samme ip-adresse.

Desuden viser en aktindsigt, som formand for IT-Politisk Forening Jesper Lund har fået, at Rigspolitiet allerede i 2014 ville indskærpe over for teleselskaberne, at de skulle udlevere en kundes identitet ud fra en ip-adresse.

Samtlige selskaber svarede, at det langtfra altid er muligt.

Fagkilder: Der er bedre metoder til sessionsefterforskning

Rigspolitiets særlige cybercrime-enhed, NC3, ønsker ikke at kommentere, hvilke konsekvenser delingen af ip-adresser har for efterforskningen af kriminalitet herhjemme.

Centerchef Kim Aarenstrup begrunder tavsheden med, at der er nye undersøgelser i gang for at genindføre den stærkt kontroversielle og mere omfattende sessionslogning, som ikke bare sporer, at en ip-adresse er aktiv, men også hvilke hjemmesider den kommunikerer med.

Justitsminister Søren Pind (V) har bl.a. begrundet ønsket om at genindføre den med, at politiet ellers mister de muligheder, telelogningen tidligere gav.

Samtlige de kilder, Version2 har talt med, understreger, at der kan være andre og mere effektive måder at genoprette politiets muligheder for digital efterforskning på end sessionslogning. Men ingen bestrider, at problemet er presserende.

»Tidligere var det meget nemmere for politiet at spore mistænkte med telelogning. Det er meget sværere i dag, og den udvikling vil bare fortsætte,« siger lektor René Rydhof Hansen fra Aalborg Universitets afdeling for computer science.

Peter Kruse fra CSIS påpeger, at udfordringen med at identificere brugere alene ud fra en ip-adresse ikke blot skyldes manglen på adresser hos udbyderne, men også de mange forskellige netværk, herunder virksomhedsnet og hotspots.

Her deles flere brugere også om samme ip-adresse.

»Det bliver kun mere kompliceret af, at mange producenter nu indbygger kryptering, fordi der er så meget fokus på privacy og overvågning,« siger han.

Denne artikel stammer fra avisen Ingeniøren fredag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Sander

Citat #1
"Vi kan have 300 brugere på en enkelt ip-adresse, og så kan det ikke fysisk lade sig gøre at sige, hvilke af disse brugere der har været i kontakt med en server på et givent tidspunkt,"

Citat #2
"...og mere omfattende sessionslogning, som ikke bare sporer, at en ip-adresse er aktiv, men også hvilke hjemmesider den kommunikerer med."

?

  • 6
  • 0
Kenneth Andersen

Ja, det undrer også mig meget.
Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?
Selvom en række private computere har 1 fælles offentlig IP, så bør administratoren (evt. ISP'en) da altid vide, hvilken computer dataen sendes til. Står den unike IP (eller MAC) ikke i hver enkelt datapakkes header?
Er dette ikke blot administratorerne, som ikke vil udlevere det nødvendige materiale til politiet???

  • 3
  • 2
Peter Henriksen

Men så skal min router her, logge alt og fortælle min ISP hvilke enheder der har hvilke IPer, på et hvilket som helst givet tidspunkt?
Ellers rammer efterforskningen jo bare det næste NAT lag, når de finder IPen på min router.

Og så kan man stadigvæk bare bruge VPN :)

  • 7
  • 0
Michael Weber

En væsentlig forklaring er knapheden på offentlige ip-adresser. Antallet af digitale enheder er vokset så hurtigt, at der ikke længere er unikke adresser til alle – så i dag kan der være mange brugere om en enkelt ip-adresse.

Nu skal man jo passe på, man ikke giver Pind gode idéer, f.eks. at alle ISP´er skal bruge IPv6. For det virker da oplagt, hvis han køber argumentet om problematikken omkring IPv4 - uagtet om problematikken er reel eller ej.

  • 2
  • 0
Baldur Norddahl

Står den unike IP (eller MAC) ikke i hver enkelt datapakkes header?

Her er et svar i to bidder. Først det med MAC.

En MAC adresse er noget der bruges lokalt på net af typen ethernet. Ikke alle net er ethernet og ikke alle net bruger derfor MAC adresser. Eksempel på net der ikke er ethernet er PPP over et gammeldags modem.

Ethernet er ældre end IP protokollen (ældre end både IPv4 og IPv6). Ethernet er også protokol neutral, hvilket vil sige at det er ikke lavet specielt til eksempelvis IP. Førhen var det almindeligt med andre protokoller såsom IPX (Novell) og NetBEUI (Microsoft Windows).

Man kan ikke sende en netværkspakke direkte til en IP adresse på et ethernet. Alle netværkspakker sendes til en MAC adresse. Så først skal IP adressen konverteres til en MAC adresse. Hvis min computer eksempelvis skal sende en PING pakke til 8.8.8.8 (DNS server hos Google) så skal computeren først konvertere IP adressen 8.8.8.8 til en MAC adresse. Men det er ikke noget med at den skal ud og spørge Google om hvilken MAC adresse 8.8.8.8 har. Nej, computeren ved at den bare skal aflevere pakken til min router og så er den routerens opgave at sende pakken videre ud på internettet. Derfor er det MAC adressen på min router som computeren skal bruge.

Tilsvarende kan min router ikke sende pakken direkte til Google da jeg ikke har nogen direkte linje til Google. Min router skal i stedet aflevere netværkspakken til internetudbyderens router og min router skal derfor bruge MAC adressen på internetudbyderens router.

Og sådan fortsætter det for hvert "hob" - hver router undervejs kender kun MAC adressen på den næste i kæden. På et ethernet kender man afsender og modtager MAC adresse. Og afsender er altså den forrige router i kæden af routere som pakken skal igennem, så Google kommer aldrig til at kende min MAC adresse - og de har da hellere ikke noget de kan bruge den information til. Google har jo ingen direkte forbindelse til min computer og kan derfor ikke sende netværkspakker direkte til min MAC adresse.

Det er også muligt at der undervejs er hob som ikke er baseret på ethernet (ATM eksempelvis) og så er der slet ikke MAC adresser i spil på det link.

Konsekvensen af alt det er at det ingen mening giver at logge MAC adresser. Din internetudbyder har slet ikke dine MAC adresser fra dit interne net og kan derfor ikke logge det. Udbyderen kender kun MAC adressen på din router, og den har udbyderen ofte selv udleveret til dig, så det er begrænset hvor meget det kan bruges til.

  • 14
  • 0
Kjeld Flarup Christensen

Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?

Når din browser lavet et web request, bruger den din LAN IP adresse f.eks. 192.168.1.10, og en tilfældig port, f.eks 55555. Her modtager den svar.
Når den rammer NAT, mappes de to ting om, således at routeren sender web opslaget (eller hvad det nu er) videre med f.eks. 22.33.44.55:44444, svar modtaget på denne port sendes så videre til 192.168.1.10:55555

Det betyder at skal man spore en bruger, skal man huske at logge ikke blot IP, men også port et request kommer fra. Det er de færreste web servere som gør dette, men de kan sikkert sættes til det.

Det betyder også at ISP skal logge NAT mapningen. Hvis man tweaker sin NAT lidt, så kan man få den til at cache en mapning, således at den genbruges, hvorved det bliver lettere at identificere en bruger.

Den kan lade sig gøre, men der er altså en del mere som skal logges i end i dag.

Og ja, enhver kriminel kan jo blot bruge VPN, så det er kun de "dumme" som blive fanget. Heldigvis for politiet er de fleste kriminelle dumme.

  • 8
  • 0
Maciej Szeliga

...at en IP adresse ALDRIG har kunnet bruges til at identificere en person, i bedste tilfælde kunne man identificere en enhed.

...at en IP v6 adresse ofte kan identificere en enhed da MAC adressen er en del af IP v6 adressen (uanset om man er i ydre Mongoliet eller på Chr. Borg).

Dermed BURDE man gøre IP v6 obligatorisk i Danmark så kan de spore hvem som helst hvor som helst... et hint til Pind. ;-)

...men det er fortsat IKKE muligt at identificere en PERSON på en IP adresse... jeg kan jo have lånt min dims til naboens datter.

  • 9
  • 0
Simon Bjørnes

MAC adressen forlader aldrig subnettet så nej den står bestemt ikke i header. Den bliver på dit netværk.

Det er routeren som står for at videresende. Den ved at du lige har spurgt en server om data og når den så svare returnere den det til korrekte modtager.

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

  • 1
  • 0
Baldur Norddahl

Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?

En IP pakke har blandt andet følgende information i headeren:

modtager IP adresse
modtager port nummer
afsender IP adresse
afsender port nummer

Når man laver NAT, som står for Network Address Translation) så omskriver man afsender IP adressen til en fælles IP adresse. Den fælles IP adresse deles af flere computere eller kunder. Det er ikke nyt, din router derhjemme laver NAT således at du kan nøjes med én offentlig IP adresse som deles af alle dine computere.

Lad os sige at din offentlige IP adresse er 198.51.100.2. Det er din router der har den IP adresse. Dine computer på dit interne net har i stedet en adresse som typisk ser sådan ud: 192.168.1.x. Lad os sige at din computer har 192.168.1.10.

Men naboen har også en computer der har 192.168.1.10. Faktisk har de fleste privatkunder et net hvor computerne hedder noget med 192.168.1.x. Derfor dur det ikke at bruge din computers adresse direkte på internettet. Det skal laves om til routerens fælles IP adresse 198.51.100.2. Det gøres således:

Din computer sender en IP pakke med afsender IP adresse 192.168.1.10 port 1234 og modtager IP adresse 8.8.8.8 port 80. Routeren ændrer afsender IP adressen til 198.51.100.2 port 4321 og noterer i en database at trafik til port 4321 skal omskrives til IP 192.168.1.10 port 1234.

Når der så kommer trafik tilbage fra 8.8.8.8 til 198.51.100.2 port 4321 så slår routeren op i databasen og ser at det skal omskrives til 192.168.1.10 port 1234.

Nu er 198.51.100.2 en offentlig IP adresse og verden er løbet tør for offentlige IP adresser. Det er derfor ikke længere sikkert at din internetudbyder kan tilbyde dig en offentlig IP adresse. I stedet får du en delt IP adresse, hvor udbyderen bruger NAT efter samme principper som beskrevet ovenover.

Spørgsmålet var, hvordan ser udbyderen hvilken kunde der skal modtage netværkspakken, hvis flere brugere deler IP adresse. Og svaret er at udbyderens router bruger port nummeret.

Port nummeret er ikke stabilt, det vil sige at når en port ikke har været brugt i noget tid (typisk maks en time) så bliver det genbrugt, måske til en anden computer (eller kunde).

Der findes løsninger så at en udbyder vil kunne logge NAT funktionens brug af port numre sammen med tidspunktet for allokeringen. Hvis politiet så kommer med IP adresse + port nummer + tid, så vil man kunne finde frem til kunden.

Problemet er så at det er sjældent at nogen logger port numre. Politiet har derfor ikke noget port nummer og så kommer man ikke videre. Der forhindrer også at politiet kan gøre brug af sessionlogning da de ikke er i stand til at udpege en specifik borger de vil have logs for. Det vil næppe være lovligt at bede om logs for en delt IP adresse og dermed om logs for hundrede af borgere der ikke er under mistanke.

  • 6
  • 0
Baldur Norddahl

...at en IP v6 adresse ofte kan identificere en enhed da MAC adressen er en del af IP v6 adressen (uanset om man er i ydre Mongoliet eller på Chr. Borg).

Kan vi ikke også slå fast at intet mainstream operativsystem stadig bruger MAC adressen som en del af IPv6 adressen som standard?

Alle er skiftet privacy extensions https://tools.ietf.org/html/rfc4941 som betyder at din computer jævnligt skifter IPv6 adresse. Maskinen bruger en kryptografisk stærk tilfældighedsgenerator til at finde på nye adresser.

Med privacy extensions er det bagefter umuligt at udpege hvilken computer der havde adressen. Man kan stadig udpege kundeforholdet, dvs. hvilken husstand hvis der er tale om fastnet. Det er det samme som normalt med IPv4+NAT i kunderouteren.

  • 12
  • 0
Yoel Caspersen Blogger

Nu skal man jo passe på, man ikke giver Pind gode idéer, f.eks. at alle ISP´er skal bruge IPv6. For det virker da oplagt, hvis han køber argumentet om problematikken omkring IPv4 - uagtet om problematikken er reel eller ej.

Det ville da ellers være en oplagt måde at få rullet IPv6 ud.

Danmark år 2017 - det eneste land med 100 % IPv6-dækning ;-)

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.

  • 4
  • 0
Kjeld Flarup Christensen

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.


Nye firmaer som vil levere bedre Internet, er dermed udelukket på forhånd.
Det vil tvinge kunderne tilbage til TDC's håbløse kobber ADSL, fordi TDC er de eneste som har IPv4 adresser nok.
Samtlige trådløse udbydere jeg kender, bruger Carrier Grade NAT, fordi de ikke kan skaffe IPv4 adresser.

  • 3
  • 0
Yoel Caspersen Blogger

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

Hvorfor skulle de logge alt? For mange udbydere er det primært et spørgsmål om økonomi, og de får jo ikke penge for at logge deres kunders trafik.

Derfor vil logning m.v. være begrænset til et absolut minimum.

Hvorfor tror du at Teleindustrien slår sig i tøjret ved udsigten til sessionslogning? Det er ikke fordi de har moralske skrupler - de store gamle ISP'er er professionelle organisationer, der er blottet for personlig moralsk stillingtagen fra ledelsen. For dem er det udelukkende et spørgsmål om økonomi.

  • 7
  • 0
Bent Jensen

Det har har da aldrig haft det letter, og det har aldrig været svært.
Når man ser hvor meget svindel der har været med varer sendt til muldyr, hvor det bare har krævet at man har lettet røven. Men at der ikke er sket noget som helst, butikerne betaler jo også bare selv. Så set det mere ud som de gerne vil have et sytem der bare printer lovovertræder ud, direkte til retten , så man slet ikke skal lave noget.
Som med fotofælder og nummerplade scanner.

Som jeg ser det, så kommer alle de sager de opklare i aviserne, og det er ikke mange.

Hvis alle de penge som bliver brugt til en meget hurtigt totalt ubrugeligt total overvågning 24/7-365 af alle borger, blev brugt til lidt rigtigt politiarbjede, altså efterforskning, eller ved at møde op når borger ringer om røveri, overfald eller indbrud. Så vil jeg mene at samfundet fik mere ud af det.
Lige så snart den første sag er ført med beviser fra sesionslogning, som med maste data fra lufthavnen, som i sig selv ikke var nok til en domfændelse. Så finder de kriminele ud af at beskytte sig.

Men det udvikler sig nok som SKAT skattekontrol og indrivelse, EDB og Djøfer i stedet for dyre og flere vidensmedarbejder. Så ender selv basis arbejdet, lov og orden med at forsvinde. Hvor mange ansatte i SKAT kunne man få for 29 Milliarder, som det efterhånden har kostet. Udover at ejedomsfastættelse skrottes, og der bruges gorillamedtoder, for at bringe sags antalet ned.

  • 2
  • 0
Jens Jönsson

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.

Ja, TDC kunne godt finde på at stille det forslag. Problemet er bare at der er for mange Internetudbydere i Danmark, som ikke har IP-adresser nok.
Selv elselskaberne bruger CGN på deres net....

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

Vi (Skywire) ved hvem der har en CGN adresse, men vi logger ikke port numre. Vi er <IKKE> interesseret i at logge vores brugeres færden.
Derudover så lægger en sådan logning beslag på rigtigt mange ressourcer i systemerne. Noget der koster penge, så hvorfor skulle vi ?

Sessionslogning er en meget skidt glidebane. For det første så logges alt, som alle foretager sig (overvågning 24/7/365 af alle), for det andet fanger man ikke banditterne, de bruger bare værktøjer til at undgå det, og for det tredje, så ønsker jeg ikke at have ansvaret for sådanne data. De er jo meget værdifulde for rigtigt mange virksomheder og dem der ønsker at misbruge dem.
Hvorfor tror du at Google og Facebook logger alt til højre og venstre ?
Det er fordi de kan profilere dig på kryds og tværs, og opbygge en profil over dig, så de kan proppe de rigtige reklamer i hovedet på dig.

  • 13
  • 0
Michael Weber

Det ville da ellers være en oplagt måde at få rullet IPv6 ud.

Danmark år 2017 - det eneste land med 100 % IPv6-dækning ;-)

Det da netop være en oplagt mulighed, men så er det jo tvang og jeg ved ikke lige om det er måden at udrulle det på. Men hvis man forestillede sig, at der kom lovgivning på området, vil andre landes parlementer nok kigge nysgerrigt med.

En én-til-én relation mellem internet-abonnent og ip-adresse vil de forskellige efterretningstjenester m.fl. nok ikke have noget imod.

  • 0
  • 0
Kenneth Andersen

Til flere indlæg om "WTF":

https://supportforums.cisco.com/blog/153276/what-happens-when-router-rec...
"Encapsulation process: L3 header will remain intact unchanged except for nating, vpn etc. layer 2 headers keep changing on hop by hop basis, depending on transmission-media."

http://www.freeccnastudyguide.com/study-guides/ccna/ch4/ip-routing/
"Exam-Alert: Remember that the source- and destination-IP-address do not change throughout the process while the source- and destination-MAC-address changes at each segment. You will see multiple questions about this on the CCNA exam! The MAC-address is only locally significant and changes each hop."

I lag 4 af OSI-modellen vil afsenderens IP vel altid stå???

  • 0
  • 0
Jesper Lund

Vi (Skywire) ved hvem der har en CGN adresse, men vi logger ikke port numre. Vi er <IKKE> interesseret i at logge vores brugeres færden.
Derudover så lægger en sådan logning beslag på rigtigt mange ressourcer i systemerne. Noget der koster penge, så hvorfor skulle vi ?

Har I fået henvendelser fra politiet, hvor de ville have oplyst hvem der brugte en IP adresse på et tidspunkt?

I den aktindsigt, som omtales i artiklen, skriver Rigspolitiet dette til de fire største internetudbydere (min fremhævelse med boldface)

Det fremgår af logningsbekendtgørelsens § 5, stk. 1, nr. 3, at en internetudbyder skal registrere navn og adresse på abonnent eller registrerede bruger, til hvem en IP-adresse, en brugeridentitet eller en telefonnummer var tildelt på kommunikationstidspunktet.

Af vejledningen til bekendtgørelsen stilles der ikke krav til politiet om, at politiet - foruden IP-adresse på kommunikationstidspunktet - tillige kan oplyse portnummeret efter indhentet retskendelse for at kunne få udleveret oplysninger om en brugers adgang til internettet.

Det er Rigspolitiets umiddelbare vurdering, at udbydere ikke kan stille krav om, at politiet tillige skal være i stand til at oplyse portnummeret for en given internetkommunikation for at få adgang til oplysninger om brugeridentitet, idet det er Rigspolitiets opfattelse, at det er op til den enkelte udbyder at indrette sine systemer således, at udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser.

Rigspolitiets henvendelse (skrevet af en jurist) er på flere måder lidt kryptisk.

Logningsbekendtgørelsen stiller krav om at tildelt dynamisk IP-adresse skal logges. Det er lidt uklart hvordan det skal fortolkes i den situation, hvor en bruger pga. CG-NAT har både en privat og en offentlig IP-adresse, men det er ikke noget stort problem for internetudbyderen at logge dem begge.

At logningsbekendtgørelsen stiller krav om at noget skal logges er ikke det samme som at denne information nødvendigvis skal være brugbar for politiet. Både den danske logningslov fra 2002 og det ulovlige EU-logningsdirektiv fra 2006 forholder sig ikke til NAT. I den østrigske implementering af logningsdirektivet, der kom relativt sent (omkring 2011) står der faktisk, at kravet om logning af tildelt IP-adresse ikke gælder hvis udbyderen bruger NAT. Hvilket giver god mening. Hvorfor logge oplysninger der er ubrugelige?

I det næste afsnit får juristen hos Rigspolitiet vendt tingene totalt på hovedet. Der er ikke nogen pligt for politiet til at oplyse portnummer. Nej, selvfølgelig er der ikke det, men (og hvad der er mere relevant) der kan ikke ud af logningsbekendtgørelsen udledes nogen pligt for udbyderne til at logge information om brug af sourceporte i NAT-gateway. Det er reelt en fuld sessionslogning, hvor blot information om destination IP-adresse og porte er slettet.

Nogle udbydere gør dette frivilligt, herunder de fire internetudbydere som fik et brev fra Rigspolitiet, men det er meget vanskeligt at læse det som en pligt ud fra logningsbekendtgørelsen. Og hvis det ikke er en pligt, kan man stille spørgsmål ved om det overhovedet er lovligt for internetudbyderne at gøre det, da § 23 i udbudsbekendtgørelsen forpligter teleudbydere til at slette trafikdata umiddelbart efter at transmissionen er afsluttet, medmindre der er tale om data som skal bruges til fakturering, eller medmindre der er en konkret logningspligt efter retsplejelovens § 786, stk. 4 (aka logningsbekendtgørelsen). Så begrebet "frivillig logning" for at være venlig overfor den gode kunde Rigspolitiet eksisterer faktisk ikke (lovligt altså; at "frivillig logning" foregår, og at Rigspolitiet opfordrer udbyderne til at gøre noget som reelt er ulovligt efter telelovgivningen, er en anden sag).

I det sidste afsnit i citatet fra Rigspolitiets brev bliver det nærmest absurd. Rigspolitiet mener, at de skal være muligt at få oplyst en brugeridentitet alene på grundlag af IP-adresse og timestamp (uden portnummet), og at det er op til den enkelte udbyder at indrette systemerne, således at "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser". Hvis dette virkelig skal stå til troende, har Rigspolitiet indført et forbud mod at anvende CG-NAT og de facto indført et krav om at alle CPE'er skal have tildelt en offentlig IP-adresse. Selv TDC som svømmer i IPv4 sammenlignet med andre bruger CG-NAT på mobilt internet (generelt), så kravet kan nok kun efterleves at ved køre ren IPv6 og dermed blokere kundernes adgang til internettjenester, som kun har en IPv4 adresse.

Det giver selvfølgelig ingen mening, men efter min mening overfortolker Rigspolitiets logningsbekendtgørelsens bestemmelser her. Logningsbekendtgørelsen stiller krav om at visse oplysninger skal logges, og det prøver Rigspolitiet med den sidste ledsætning "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser" at manipulere til et pligt om at gøre noget som reelt er teknisk umuligt, nemlig at finde den ukendte NN blandt 1000 samtidige brugere af en delt IP-adresse.

Jesper Lund
Formand, IT-Politisk Forening

  • 11
  • 0
Yoel Caspersen Blogger

Logningsbekendtgørelsen stiller krav om at visse oplysninger skal logges, og det prøver Rigspolitiet med den sidste ledsætning "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser" at manipulere til et pligt om at gøre noget som reelt er teknisk umuligt, nemlig at finde den ukendte NN blandt 1000 samtidige brugere af en delt IP-adresse.

Super indlæg Jesper.

Nu er det heldigvis (endnu) ikke Rigspolitiet, der definerer lovene her i landet, så de må nok erkende, at de rammer muren hvis deres forespørgsel går på en bruger bag et Carrier Grade NAT hos en udbyder, der overholder loven.

For politiets vedkommende haster det med at forstå, at internettet IKKE er A-til-B-kommunikation ligesom telenettet, og at de må finde på nogle nye måder at efterforske på, der ikke krænker hele befolkningens ret til privatliv og retssikkerhed.

  • 7
  • 0
Mogens Ritsholm

det sidste afsnit i citatet fra Rigspolitiets brev bliver det nærmest absurd. Rigspolitiet mener, at de skal være muligt at få oplyst en brugeridentitet alene på grundlag af IP-adresse og timestamp (uden portnummet

Meget enig.

Man kan måske forestille sig CG-NAT log udvidet med destination IP. For der er nok ikke så mange bag en offentlig IP-adresse, der samtidigt er i kontakt med samme IP. Og når politiet har source-IP i et spor, har de nok også destination IP, hvorfra sporet nok stammer.

Men det er en håbløs drøm, som rigspolitiet vil forfølge. NAT forsvinder nok ikke med IPv6, blandt andet ved connectivity mellem rene IPv6 og IPv4 maskiner.

Men først og fremmest bygger hele drømmen om udpegning via IP på et entydigt kundeforhold mellem bruger og televirksomhed samt troen på, at IP er en slags telefonnummer for internet.

Sådan er det ikke længere. Vi bruger et utal af devices til vore tjenester. Vi bruger net i private domæner, der ikke er teleudbydere, og derfor ikke skal logge. Over 70% af internettrafikken fra smartphones går allerede via WIFI, hvor mobiludbyderen er koblet helt væk.

Det er rigspolitiets drøm, der er noget galt med. For den bygger på en forældet opfattelse af forholdet mellem brugere og teleudbydere.

I stedet burde man rette blikket mod IT-udbyderne. Af dem burde man kræve registrering af brugere på en eller anden måde, mulighed for aflytning, logning af begivenheder, og pligt til at udlevere disse oplysninger efter dommerkendelse. Fuldstændig ligesom man har gjort for teleudbyderne ved telelogning.

Dansk lov tillader ikke dette, og EU-direktivers ret til frit at udbyde IT-tjenester over landegrænser står i vejen. Derfor skal problemet løses internationalt - og ikke ved at Danmark kaster sig ud i en håbløs drøm om fortsat at finde spor af den egentlige kommunikation hos teleudbyderne.

Alle andre lande har jo samme problem med spor på internet. Hvorfor så ikke søge en international tilgang, som i øvrigt er det eneste, der kan gennemføres effektivt i en international IT- og telebranche.

  • 4
  • 0
Mogens Ritsholm

Det er jo sessionslogning (uden destination port).

Det er korrekt. Men det er i det mindste begrænset til CGNAT. Alle med offentlige IPv4 eller IPv6 tildelinger går fri.

Som det forhåbentlig fremgår af mit indlæg, er det heller ikke mit forslag at gå den vej.

Men det er måske rigspolitiets udspil til forhandlingerne.

Jeg ved ikke hvad de ellers kan foreslå, som bevarer den håbløse drøm og reducerer omkostningerne.

  • 1
  • 0
Michael Weber

Men det er en håbløs drøm, som rigspolitiet vil forfølge. NAT forsvinder nok ikke med IPv6, blandt andet ved connectivity mellem rene IPv6 og IPv4 maskiner.

Jeg har personligt ikke svært ved at forestille mig EU og USA - f.eks. efter et terrorangreb - går sammen og lovgiver IPv4 ud af eksistens.
De kan trække terrorkortet samtidig med at de kan trække IPv4-er-alligevel-ved-at-tørre ud-kortet. Andre lande til følge med og der vil skabes momentum.

Og i en sådan situation vil resten af verden være nød til at følge med.

Drømmen om kunde/ip går i opfyldelse og drømmen om brugbar historik går i opfyldelse. Men det kræver nok først og fremmest et stærkt terrorkort.

  • 0
  • 0
Kjeld Flarup Christensen

Nej, selvfølgelig er der ikke det, men (og hvad der er mere relevant) der kan ikke ud af logningsbekendtgørelsen udledes nogen pligt for udbyderne til at logge information om brug af sourceporte i NAT-gateway. Det er reelt en fuld sessionslogning, hvor blot information om destination IP-adresse og porte er slettet.


Det behøver langt fra være fuld sessionslogning. Det afhænger lidt af hvor ofte disse porte skifter og udløber.

Hvis dette virkelig skal stå til troende, har Rigspolitiet indført et forbud mod at anvende CG-NAT og de facto indført et krav om at alle CPE'er skal have tildelt en offentlig IP-adresse.


Den holder næppe i retten, al den stund alle bruger Carrier Grade NAT. Så skulle politiet have været ude noget før, nu er det for sent. Skal der ændres på det skal der lovgivning til, og selv der kan en lov komme i konflikt med den europæiske menneskerettighedskonvention artikel 10 som sikrer ret til kommunikation, og i øvrigt regeringens eget mål om at sikre alle bredbånd.

så kravet kan nok kun efterleves at ved køre ren IPv6 og dermed blokere kundernes adgang til internettjenester, som kun har en IPv4 adresse.


En bruger som ikke har IPv6 er ikke afskåret fra tjenester som kun har IPv4, der findes gateways som kan klare det problem, via NAT ganske vist.

Men det kunne være en god start på en IPv6 konvertering, at ISP'er begyndte at levere IPv6 til private kunder i stedet for IPv4. Desværre er der jo ikke nogen i dag som tilbyder det.

  • 2
  • 0
Jesper Lund

Det behøver langt fra være fuld sessionslogning. Det afhænger lidt af hvor ofte disse porte skifter og udløber.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg har set metoden omtalt tidligere, men jeg er ikke klar over hvor udbredt den er i systemer
http://www.out-law.com/en/articles/2013/may/individuals-can-be-identifie...

"With CGNAT our broadband network ‘translates’ the source IP address on the Hub to a shared IP address, and also translates the ports being used to one within a unique block, from the 65,000 IP addresses ports available. This block is assigned for that user and that user only. We log this translation i.e. the shared IP address assigned, the block of ports and the time. If we subsequently receive a request to identify someone who is using IP address x, and port number y, and time z we can then determine who this is from the logs," the spokesperson said.

  • 0
  • 0
Kjeld Flarup Christensen

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).


Jeg er ikke klar over hvordan de enkelte NAT gateway software klarer opgaven.
Fra IP telefoni oplever jeg dog ind i mellem at en NAT glemmer mapningen efter få sekunder. Det er et stort problem fordi, kundens udstyr registerer sig og siger her er jeg med IP og port. Men hvis NAT'en smider denne mapning væk efter få sekunder, kan man ikke ringe til kunden.

En NAT har altså en timeout, inden for hvilken den forventer et svar. Sætter man den tilstrækkeligt højt, så vi der være en rimeligt forudsigeligt mapning, så man ikke behøver at logge ekstremt meget.
Dog kan man forestille sig en browser, som skifter port for hver request. Her vil NAT'en være nødt til at lave en ny mapning for hvert webopslag.

  • 2
  • 0
Mogens Ritsholm

Det er en ofte forekommende misforståelse, at logningsreglerne kan forbyde bestemte måder at indrette sit teleudbud på.

Også rigspolitiet misforstår det i den korrespondance, som Jesper Lund har fået aktindsigt i. De giver nemlig udtryk for, at udbyderne på basis af IP skal kunne udpege en slutbruger. "skal kunne"

Det er vendt helt på hovedet i forhold til reglerne.

For logningsreglerne siger alene, at udbyderne skal gemme bestemte definerede oplysninger, såfremt de genereres eller behandles i deres net.

Intet teleudbud er forbudt efter logningsreglerne. Hvis en oplysning ikke er på listen over det, der skal gemmes, eller hvis den ikke genereres eller behandles i udbyderens net, er det bare ærgerligt.

Det er ikke logningsreglerne, der skal bestemme, hvordan teleudbud indrettes. Det må i givet fald fremgå af de almene regler for teleudbud, hvis CG-NAT skal forbydes. Og det er næppe ok efter gældende EU-regler.

I gældende logningsbekendtgørelse og vejledning står der alene, at man skal gemme brugerens tildelte offentlige IP-adresse. Så reglerne kræver ikke, at man gemmer både IP og portnummer, selv om flere udbydere gør det.

Jeg har også fået mange henvendelser om WIFI-baserede net, hvor det påstås, at kunderne skal registreres.

Det er også forkert. For som sagt er intet udbud forbudt. Og hvis man ikke har kundens navn og adresse blandt de oplysninger, der behandles eller genereres i forbindelse med udbud, er det bare ærgerligt.

Det er ikke politiet, der skal bestemme, hvordan teleudbud indrettes. Sådan er det i den nugældende lov. Og sådan bliver det forhåbentlig også fremover.

  • 5
  • 0
Yoel Caspersen Blogger

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg skal ikke kunne sige, hvor udbredt den metode er, men den medfører en kraftig teknisk forringelse af forbindelsen.

Hvis vi lader 300 brugere dele en IP-adresse, giver det lidt over 200 porte pr. bruger, som skal allokeres statisk.

Afhængig af NAT-typen medfører det en begrænsning af antallet af samtidige forbindelser.

Et full cone NAT er nok den type NAT, der giver færrest problemer med P2P-trafik, herunder også SIP og dermed VoIP. I et full cone NAT kan alle eksterne hosts sende data til en port, der er åbnet via NAT, og derved få data ind til maskinen på indersiden.

Det gør det nemt at lave hole punching, der bruges af P2P-klienter.

Men det betyder også, at de 200 porte hurtigt er brugt, for en given port på ydersiden vil forwarde trafikken til en specifik port på den interne host, uanset hvor pakkerne kommer fra, så de eksterne porte kan ikke deles mellem flere sessions med flere eksterne hosts.

Hvis man derimod anvender symmetrisk NAT, skabes der en mapping mellem en ekstern IP-adresse og en given port, og det vil således være muligt at genbruge den eksterne port øjeblikkeligt, hvis den eksterne IP-adresse er en anden. Det gør til gengæld hole punching umuligt, og så kan man sige farvel til det meste P2P-kommunikation.

Så uanset hvad så er det en rigtig dårlig ide at begrænse sine klienter til kun at bruge 200 porte - og så har vi slet ikke kigget på session timeout, der også vil forværre situationen.

  • 3
  • 0
Baldur Norddahl

Hvis vi lader 300 brugere dele en IP-adresse, giver det lidt over 200 porte pr. bruger, som skal allokeres statisk.

Men hvad nu hvis du nøjes med 10 brugere per fælles IP-adresse? Det vil stadig give dig mulighed for 10.000 kunder med den 1024 adresser du får fra RIPE. Og herefter kan du købe flere IP adresser til cirka 10 USD per adresse, eller 1 USD per kunde hvis du bruger 1 til 10 mapping.

Min favorit CGN teknologi er MAP: https://en.wikipedia.org/wiki/Mapping_of_Address_and_Port

MAP går ud på at man statisk allokere en port range til hver kunde. Det er kundens router der udfører NAT funktionen. MAP er stateless i ISP netværket hvilket gør at det skalerer godt.

ISP routeren ser en netværkspakke til IP adresse X og port Y. Routeren laver et opslag i en statisk database og ser at adresse X og port range a-b, hvor a < Y < b, tilhører kunde Z. Routeren sender herefter netværkspakken som en IPv6 GRE pakke til Z.

100% stateless og med et enkelt read-only opslag per netværkspakke. ISP netværket behøver ikke have support for MAP ud over MAP-gatewayen. Der kan være flere MAP-gateways og de behøver ikke koordinere state. Redundans opnås med helt almindelig anycast for MAP-gatewayen.

Eneste ulempe er at kunderouteren skal håndtere at WAN er IPv6 only og den skal have support for MAP. Begge dele er til at håndtere hvis man forudsætter at ISP har leveret kunderouteren.

  • 2
  • 0
Jens Jönsson

Har I fået henvendelser fra politiet, hvor de ville have oplyst hvem der brugte en IP adresse på et tidspunkt?

Aldrig. Den dag det kommer vil vi have listen klar med spørgsmål om hvad de vil, hvorfor de vil have det, hvordan de forestiller sig at vi skal give dem, hvor I loven det står at de må få hvad, hvordan og hvornår osv.
Problemet er jo netop at loven er så hamrende uklar at den i praksis er ubrugelig.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg er ikke bekendt med at det udstyr vi (Skywire) benytter kan det. Det vil i øvrigt i min optik forringe kundernes oplevelse af Internetforbindelsen. Nogle kunder åbner ekstremt mange forbindelser. Mange bliver så lukket hurtigt lige efter. Men begynder man at begrænse antallet af mulige åbne sessioner, så er det 100% sikkert at de vil opleve en dårlig forbindelse.
Jeg har eksperimenteret en del med det, da jeg havde noget udstyr der døde ved for mange sessioner, noget der gav rigtigt mange henvendelser fra kunder om dårlig forbindelse.

Logning af port brug pr. intern IP-adresse på en CGN-gateway ligner i mine øjne fuldstændigt 24/7/365 sessionslogning så meget, at det ikke er noget jeg ønsker at foretage mig. Man kan selvfølgelig "klippe" modtager IP ud, sådan at politiet skal have log fra modtageren for at sammenholde. Men alligevel, man har allerede der så meget information at det nemt kan misbruges.....

  • 4
  • 0
Anders Christensen

Hej alle,

Jeg beklager at jeg hiver op i sådan en gammel tråd, men jeg faldt over al denne glimrende info under mit forsøg på at blive klogere på IP-adresser.
Mit spørgsmål er forholdsvis urelateret, men jeg håber at en af jer har lyst til at hjælpe mig. Så sparer jeg nok et par ugers research :)

Jeg er jurist med interesse for persondatalovgivning og har sammen med et par andre indledt et projekt hvorigennem vi vil give brugerne større kontrol over deres persondata og forsøge at få dele af databehandlingen til at falde udenfor persondataloven.

Det meste af backenden har vi efterhånden regnet ud, men der findes en EU-dom fra 2016 som konkluderer at selv dynamiske IP-adresser skal anses som personhenførbare og således er underlagt persondataloven. For at vores idé skal fungere er brugerens IP-adresse derfor nødt til at være skjult for virksomheden og i virkeligheden også ISP'en. Min fornemmelse er at dette nok ikke kan lade sig gøre? Vores eneste mulighed som jeg ser det, er at samtlige brugere i så fald også skal bruge en VPN, hvilket forekommer mig som en meget uelegant løsning.

Overser jeg noget her? Jeg undskylder i øvrigt min manglende tekniske indsigt som spørgsmålet garanteret bærer præg af!

mvh Anders

  • 0
  • 0
Kjeld Flarup Christensen

For at vores idé skal fungere er brugerens IP-adresse derfor nødt til at være skjult for virksomheden og i virkeligheden også ISP'en.


Egentligt kun ISP'en. Det der gør en IP adresse personhenførbar, er ISP'en database.

der findes en EU-dom fra 2016 som konkluderer at selv dynamiske IP-adresser skal anses som personhenførbare og således er underlagt persondataloven


Det er i bund og grund uhyggeligt, for enhver apache webserver gemmer som standard en log over alle IP adresser, som har lavet request. Typisk ruller disse logs rundt efter 4 uger, men i den tid kan man se en del.

Og der er god grund til at gemme disse oplysninger. Sålænge det er IPv4. IP adressen bruges nemlig som nøgle til at analysere hvad en web bruger har lavet, f.eks. ved et hackerangreb.

Men for at få det ned på jorden igen. Webserveren kunne egentligt blot hashe IP adressen. Bortset fra at input sættet er lidt begrænset, så man kunne sikkert på få timer gå den anden vej og hente alle danske IP adresser ud af sådan en log.

Det vil betyde, at man ikke kan gå fra loggen til den eksakte bruger. Men man kan gå fra den eksakte bruger og til loggen. Det vil sige at hvis du kommer med IP'en kan du se data. Politiet eller en anden myndighed kan altså ikke spørge hvem har hentet disse data. Derimod kan de spørge, hvad har en mistænkt hentet af data.

Et krav om hashing vil derfor være et stort løft for persondata sikkerheden.

Når vi får IPv6 vil princippet, dog blive udfordret!

  • 1
  • 0
Bjarne Nielsen

Men for at få det ned på jorden igen. Webserveren kunne egentligt blot hashe IP adressen. Bortset fra at input sættet er lidt begrænset, så man kunne sikkert på få timer gå den anden vej og hente alle danske IP adresser ud af sådan en log.

Har du prøvet? Jeg var selvfølgelig nød til det.

SHA-256 hashen af Version2 ip-nummer er 15a147a05ddc69c356ff932c7c6552a46df21c291cf49ccc24e7a392e35e4033, og det tog 16s på min computer at regne baglængs.

For lige at gøre det en tand mere realistisk, så smed jeg hashes af 15 forskellige IP numre efter den, og de var alle regnet ud på 31s.

De 31 sekunder er tæt på den tid, som det vil tage at løbe hele inputspace for IPv4 numre igennem (jeg havde de 4 x tre-cifrede sidst i min mask-fil, og den nåede op på at have brugt 80% af dem). Min mask tillod alle tal fra 0-299, så den kunne måske optimeres.

  • 2
  • 0
Baldur Norddahl

Når vi får IPv6 vil princippet, dog blive udfordret!

Tværtimod så er IPv6 en forudsætning for at en hash af IP adressen kan være effektiv.

En IPv6 adresse er 128 bit, så det vil ikke være praktisk muligt at afprøve alle muligheder. Det er derimod trivielt at teste alle muligheder, når der kun er 2^32 muligheder, som for en IPv4 adresse.

Der er en del af IPv6 adressen som er forudsigelig. Men bruges der privacy extensions, vil de sidste 64 bits være tilfældige, og det er også tilstrækkeligt til at det ikke er praktisk at afprøve muligheder.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize