Digitale spor smuldrer for politiet: Tiden er løbet fra telelogning

Citat #1
"Vi kan have 300 brugere på en enkelt ip-adresse, og så kan det ikke fysisk lade sig gøre at sige, hvilke af disse brugere der har været i kontakt med en server på et givent tidspunkt,"

Citat #2
"...og mere omfattende sessionslogning, som ikke bare sporer, at en ip-adresse er aktiv, men også hvilke hjemmesider den kommunikerer med."

?

Hvis jeg nogensinde ville lave noget ulovligt, ville jeg bare kunne bruge VPN. Fjerner lidt hele pointen. Enhver kriminel kan gøre det samme, det er ikke engang svært.

Ja, det undrer også mig meget.
Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?
Selvom en række private computere har 1 fælles offentlig IP, så bør administratoren (evt. ISP'en) da altid vide, hvilken computer dataen sendes til. Står den unike IP (eller MAC) ikke i hver enkelt datapakkes header?
Er dette ikke blot administratorerne, som ikke vil udlevere det nødvendige materiale til politiet???

Men så skal min router her, logge alt og fortælle min ISP hvilke enheder der har hvilke IPer, på et hvilket som helst givet tidspunkt?
Ellers rammer efterforskningen jo bare det næste NAT lag, når de finder IPen på min router.

Og så kan man stadigvæk bare bruge VPN :)

Står den unike IP (eller MAC) ikke i hver enkelt datapakkes header?

MAC adressen skiftes når du skifter subnet (eg. går gennem en router). MAC adressen kan spoofes.

En væsentlig forklaring er knapheden på offentlige ip-adresser. Antallet af digitale enheder er vokset så hurtigt, at der ikke længere er unikke adresser til alle – så i dag kan der være mange brugere om en enkelt ip-adresse.

Nu skal man jo passe på, man ikke giver Pind gode idéer, f.eks. at alle ISP´er skal bruge IPv6. For det virker da oplagt, hvis han køber argumentet om problematikken omkring IPv4 - uagtet om problematikken er reel eller ej.

Står den unike IP (eller MAC) ikke i hver enkelt datapakkes header?

Her er et svar i to bidder. Først det med MAC.

En MAC adresse er noget der bruges lokalt på net af typen ethernet. Ikke alle net er ethernet og ikke alle net bruger derfor MAC adresser. Eksempel på net der ikke er ethernet er PPP over et gammeldags modem.

Ethernet er ældre end IP protokollen (ældre end både IPv4 og IPv6). Ethernet er også protokol neutral, hvilket vil sige at det er ikke lavet specielt til eksempelvis IP. Førhen var det almindeligt med andre protokoller såsom IPX (Novell) og NetBEUI (Microsoft Windows).

Man kan ikke sende en netværkspakke direkte til en IP adresse på et ethernet. Alle netværkspakker sendes til en MAC adresse. Så først skal IP adressen konverteres til en MAC adresse. Hvis min computer eksempelvis skal sende en PING pakke til 8.8.8.8 (DNS server hos Google) så skal computeren først konvertere IP adressen 8.8.8.8 til en MAC adresse. Men det er ikke noget med at den skal ud og spørge Google om hvilken MAC adresse 8.8.8.8 har. Nej, computeren ved at den bare skal aflevere pakken til min router og så er den routerens opgave at sende pakken videre ud på internettet. Derfor er det MAC adressen på min router som computeren skal bruge.

Tilsvarende kan min router ikke sende pakken direkte til Google da jeg ikke har nogen direkte linje til Google. Min router skal i stedet aflevere netværkspakken til internetudbyderens router og min router skal derfor bruge MAC adressen på internetudbyderens router.

Og sådan fortsætter det for hvert "hob" - hver router undervejs kender kun MAC adressen på den næste i kæden. På et ethernet kender man afsender og modtager MAC adresse. Og afsender er altså den forrige router i kæden af routere som pakken skal igennem, så Google kommer aldrig til at kende min MAC adresse - og de har da hellere ikke noget de kan bruge den information til. Google har jo ingen direkte forbindelse til min computer og kan derfor ikke sende netværkspakker direkte til min MAC adresse.

Det er også muligt at der undervejs er hob som ikke er baseret på ethernet (ATM eksempelvis) og så er der slet ikke MAC adresser i spil på det link.

Konsekvensen af alt det er at det ingen mening giver at logge MAC adresser. Din internetudbyder har slet ikke dine MAC adresser fra dit interne net og kan derfor ikke logge det. Udbyderen kender kun MAC adressen på din router, og den har udbyderen ofte selv udleveret til dig, så det er begrænset hvor meget det kan bruges til.

Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?

Når din browser lavet et web request, bruger den din LAN IP adresse f.eks. 192.168.1.10, og en tilfældig port, f.eks 55555. Her modtager den svar.
Når den rammer NAT, mappes de to ting om, således at routeren sender web opslaget (eller hvad det nu er) videre med f.eks. 22.33.44.55:44444, svar modtaget på denne port sendes så videre til 192.168.1.10:55555

Det betyder at skal man spore en bruger, skal man huske at logge ikke blot IP, men også port et request kommer fra. Det er de færreste web servere som gør dette, men de kan sikkert sættes til det.

Det betyder også at ISP skal logge NAT mapningen. Hvis man tweaker sin NAT lidt, så kan man få den til at cache en mapning, således at den genbruges, hvorved det bliver lettere at identificere en bruger.

Den kan lade sig gøre, men der er altså en del mere som skal logges i end i dag.

Og ja, enhver kriminel kan jo blot bruge VPN, så det er kun de "dumme" som blive fanget. Heldigvis for politiet er de fleste kriminelle dumme.

...at en IP adresse ALDRIG har kunnet bruges til at identificere en person, i bedste tilfælde kunne man identificere en enhed.

...at en IP v6 adresse ofte kan identificere en enhed da MAC adressen er en del af IP v6 adressen (uanset om man er i ydre Mongoliet eller på Chr. Borg).

Dermed BURDE man gøre IP v6 obligatorisk i Danmark så kan de spore hvem som helst hvor som helst... et hint til Pind. ;-)

...men det er fortsat IKKE muligt at identificere en PERSON på en IP adresse... jeg kan jo have lånt min dims til naboens datter.

MAC adressen forlader aldrig subnettet så nej den står bestemt ikke i header. Den bliver på dit netværk.

Det er routeren som står for at videresende. Den ved at du lige har spurgt en server om data og når den så svare returnere den det til korrekte modtager.

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

Hvordan kan den anden part i en dataudveksling vide, hvem dataen skal sendes til, hvis IP'en tilhører flere computere?

En IP pakke har blandt andet følgende information i headeren:

modtager IP adresse
modtager port nummer
afsender IP adresse
afsender port nummer

Når man laver NAT, som står for Network Address Translation) så omskriver man afsender IP adressen til en fælles IP adresse. Den fælles IP adresse deles af flere computere eller kunder. Det er ikke nyt, din router derhjemme laver NAT således at du kan nøjes med én offentlig IP adresse som deles af alle dine computere.

Lad os sige at din offentlige IP adresse er 198.51.100.2. Det er din router der har den IP adresse. Dine computer på dit interne net har i stedet en adresse som typisk ser sådan ud: 192.168.1.x. Lad os sige at din computer har 192.168.1.10.

Men naboen har også en computer der har 192.168.1.10. Faktisk har de fleste privatkunder et net hvor computerne hedder noget med 192.168.1.x. Derfor dur det ikke at bruge din computers adresse direkte på internettet. Det skal laves om til routerens fælles IP adresse 198.51.100.2. Det gøres således:

Din computer sender en IP pakke med afsender IP adresse 192.168.1.10 port 1234 og modtager IP adresse 8.8.8.8 port 80. Routeren ændrer afsender IP adressen til 198.51.100.2 port 4321 og noterer i en database at trafik til port 4321 skal omskrives til IP 192.168.1.10 port 1234.

Når der så kommer trafik tilbage fra 8.8.8.8 til 198.51.100.2 port 4321 så slår routeren op i databasen og ser at det skal omskrives til 192.168.1.10 port 1234.

Nu er 198.51.100.2 en offentlig IP adresse og verden er løbet tør for offentlige IP adresser. Det er derfor ikke længere sikkert at din internetudbyder kan tilbyde dig en offentlig IP adresse. I stedet får du en delt IP adresse, hvor udbyderen bruger NAT efter samme principper som beskrevet ovenover.

Spørgsmålet var, hvordan ser udbyderen hvilken kunde der skal modtage netværkspakken, hvis flere brugere deler IP adresse. Og svaret er at udbyderens router bruger port nummeret.

Port nummeret er ikke stabilt, det vil sige at når en port ikke har været brugt i noget tid (typisk maks en time) så bliver det genbrugt, måske til en anden computer (eller kunde).

Der findes løsninger så at en udbyder vil kunne logge NAT funktionens brug af port numre sammen med tidspunktet for allokeringen. Hvis politiet så kommer med IP adresse + port nummer + tid, så vil man kunne finde frem til kunden.

Problemet er så at det er sjældent at nogen logger port numre. Politiet har derfor ikke noget port nummer og så kommer man ikke videre. Der forhindrer også at politiet kan gøre brug af sessionlogning da de ikke er i stand til at udpege en specifik borger de vil have logs for. Det vil næppe være lovligt at bede om logs for en delt IP adresse og dermed om logs for hundrede af borgere der ikke er under mistanke.

...at en IP v6 adresse ofte kan identificere en enhed da MAC adressen er en del af IP v6 adressen (uanset om man er i ydre Mongoliet eller på Chr. Borg).

Kan vi ikke også slå fast at intet mainstream operativsystem stadig bruger MAC adressen som en del af IPv6 adressen som standard?

Alle er skiftet privacy extensions https://tools.ietf.org/html/rfc4941 som betyder at din computer jævnligt skifter IPv6 adresse. Maskinen bruger en kryptografisk stærk tilfældighedsgenerator til at finde på nye adresser.

Med privacy extensions er det bagefter umuligt at udpege hvilken computer der havde adressen. Man kan stadig udpege kundeforholdet, dvs. hvilken husstand hvis der er tale om fastnet. Det er det samme som normalt med IPv4+NAT i kunderouteren.

Nu skal man jo passe på, man ikke giver Pind gode idéer, f.eks. at alle ISP´er skal bruge IPv6. For det virker da oplagt, hvis han køber argumentet om problematikken omkring IPv4 - uagtet om problematikken er reel eller ej.

Det ville da ellers være en oplagt måde at få rullet IPv6 ud.

Danmark år 2017 - det eneste land med 100 % IPv6-dækning ;-)

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.

Nye firmaer som vil levere bedre Internet, er dermed udelukket på forhånd.
Det vil tvinge kunderne tilbage til TDC's håbløse kobber ADSL, fordi TDC er de eneste som har IPv4 adresser nok.
Samtlige trådløse udbydere jeg kender, bruger Carrier Grade NAT, fordi de ikke kan skaffe IPv4 adresser.

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

Hvorfor skulle de logge alt? For mange udbydere er det primært et spørgsmål om økonomi, og de får jo ikke penge for at logge deres kunders trafik.

Derfor vil logning m.v. være begrænset til et absolut minimum.

Hvorfor tror du at Teleindustrien slår sig i tøjret ved udsigten til sessionslogning? Det er ikke fordi de har moralske skrupler - de store gamle ISP'er er professionelle organisationer, der er blottet for personlig moralsk stillingtagen fra ledelsen. For dem er det udelukkende et spørgsmål om økonomi.

Det har har da aldrig haft det letter, og det har aldrig været svært.
Når man ser hvor meget svindel der har været med varer sendt til muldyr, hvor det bare har krævet at man har lettet røven. Men at der ikke er sket noget som helst, butikerne betaler jo også bare selv. Så set det mere ud som de gerne vil have et sytem der bare printer lovovertræder ud, direkte til retten , så man slet ikke skal lave noget.
Som med fotofælder og nummerplade scanner.

Som jeg ser det, så kommer alle de sager de opklare i aviserne, og det er ikke mange.

Hvis alle de penge som bliver brugt til en meget hurtigt totalt ubrugeligt total overvågning 24/7-365 af alle borger, blev brugt til lidt rigtigt politiarbjede, altså efterforskning, eller ved at møde op når borger ringer om røveri, overfald eller indbrud. Så vil jeg mene at samfundet fik mere ud af det.
Lige så snart den første sag er ført med beviser fra sesionslogning, som med maste data fra lufthavnen, som i sig selv ikke var nok til en domfændelse. Så finder de kriminele ud af at beskytte sig.

Men det udvikler sig nok som SKAT skattekontrol og indrivelse, EDB og Djøfer i stedet for dyre og flere vidensmedarbejder. Så ender selv basis arbejdet, lov og orden med at forsvinde. Hvor mange ansatte i SKAT kunne man få for 29 Milliarder, som det efterhånden har kostet. Udover at ejedomsfastættelse skrottes, og der bruges gorillamedtoder, for at bringe sags antalet ned.

Sandsynligheden taler nok mere for, at man vælger at forbyde Carrier Grade NAT efter anbefaling fra TDC.

Ja, TDC kunne godt finde på at stille det forslag. Problemet er bare at der er for mange Internetudbydere i Danmark, som ikke har IP-adresser nok.
Selv elselskaberne bruger CGN på deres net....

Men du får mig ikke til at tro at udbyderne ikke ved hvem de har på deres adresser. Selv ved dem som benytter carrier grade nat/delt ip. Det logges alt sammen og at der nu er tilføjet et lag af lokale ip adresser ændre ikke på det.

Vi (Skywire) ved hvem der har en CGN adresse, men vi logger ikke port numre. Vi er <IKKE> interesseret i at logge vores brugeres færden.
Derudover så lægger en sådan logning beslag på rigtigt mange ressourcer i systemerne. Noget der koster penge, så hvorfor skulle vi ?

Sessionslogning er en meget skidt glidebane. For det første så logges alt, som alle foretager sig (overvågning 24/7/365 af alle), for det andet fanger man ikke banditterne, de bruger bare værktøjer til at undgå det, og for det tredje, så ønsker jeg ikke at have ansvaret for sådanne data. De er jo meget værdifulde for rigtigt mange virksomheder og dem der ønsker at misbruge dem.
Hvorfor tror du at Google og Facebook logger alt til højre og venstre ?
Det er fordi de kan profilere dig på kryds og tværs, og opbygge en profil over dig, så de kan proppe de rigtige reklamer i hovedet på dig.

Det ville da ellers være en oplagt måde at få rullet IPv6 ud.

Danmark år 2017 - det eneste land med 100 % IPv6-dækning ;-)

Det da netop være en oplagt mulighed, men så er det jo tvang og jeg ved ikke lige om det er måden at udrulle det på. Men hvis man forestillede sig, at der kom lovgivning på området, vil andre landes parlementer nok kigge nysgerrigt med.

En én-til-én relation mellem internet-abonnent og ip-adresse vil de forskellige efterretningstjenester m.fl. nok ikke have noget imod.

Til flere indlæg om "WTF":

https://supportforums.cisco.com/blog/153276/what-happens-when-router-rec...
"Encapsulation process: L3 header will remain intact unchanged except for nating, vpn etc. layer 2 headers keep changing on hop by hop basis, depending on transmission-media."

http://www.freeccnastudyguide.com/study-guides/ccna/ch4/ip-routing/
"Exam-Alert: Remember that the source- and destination-IP-address do not change throughout the process while the source- and destination-MAC-address changes at each segment. You will see multiple questions about this on the CCNA exam! The MAC-address is only locally significant and changes each hop."

I lag 4 af OSI-modellen vil afsenderens IP vel altid stå???

Vi (Skywire) ved hvem der har en CGN adresse, men vi logger ikke port numre. Vi er <IKKE> interesseret i at logge vores brugeres færden.
Derudover så lægger en sådan logning beslag på rigtigt mange ressourcer i systemerne. Noget der koster penge, så hvorfor skulle vi ?

Har I fået henvendelser fra politiet, hvor de ville have oplyst hvem der brugte en IP adresse på et tidspunkt?

I den aktindsigt, som omtales i artiklen, skriver Rigspolitiet dette til de fire største internetudbydere (min fremhævelse med boldface)

Det fremgår af logningsbekendtgørelsens § 5, stk. 1, nr. 3, at en internetudbyder skal registrere navn og adresse på abonnent eller registrerede bruger, til hvem en IP-adresse, en brugeridentitet eller en telefonnummer var tildelt på kommunikationstidspunktet.

Af vejledningen til bekendtgørelsen stilles der ikke krav til politiet om, at politiet - foruden IP-adresse på kommunikationstidspunktet - tillige kan oplyse portnummeret efter indhentet retskendelse for at kunne få udleveret oplysninger om en brugers adgang til internettet.

Det er Rigspolitiets umiddelbare vurdering, at udbydere ikke kan stille krav om, at politiet tillige skal være i stand til at oplyse portnummeret for en given internetkommunikation for at få adgang til oplysninger om brugeridentitet, idet det er Rigspolitiets opfattelse, at det er op til den enkelte udbyder at indrette sine systemer således, at udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser.

Rigspolitiets henvendelse (skrevet af en jurist) er på flere måder lidt kryptisk.

Logningsbekendtgørelsen stiller krav om at tildelt dynamisk IP-adresse skal logges. Det er lidt uklart hvordan det skal fortolkes i den situation, hvor en bruger pga. CG-NAT har både en privat og en offentlig IP-adresse, men det er ikke noget stort problem for internetudbyderen at logge dem begge.

At logningsbekendtgørelsen stiller krav om at noget skal logges er ikke det samme som at denne information nødvendigvis skal være brugbar for politiet. Både den danske logningslov fra 2002 og det ulovlige EU-logningsdirektiv fra 2006 forholder sig ikke til NAT. I den østrigske implementering af logningsdirektivet, der kom relativt sent (omkring 2011) står der faktisk, at kravet om logning af tildelt IP-adresse ikke gælder hvis udbyderen bruger NAT. Hvilket giver god mening. Hvorfor logge oplysninger der er ubrugelige?

I det næste afsnit får juristen hos Rigspolitiet vendt tingene totalt på hovedet. Der er ikke nogen pligt for politiet til at oplyse portnummer. Nej, selvfølgelig er der ikke det, men (og hvad der er mere relevant) der kan ikke ud af logningsbekendtgørelsen udledes nogen pligt for udbyderne til at logge information om brug af sourceporte i NAT-gateway. Det er reelt en fuld sessionslogning, hvor blot information om destination IP-adresse og porte er slettet.

Nogle udbydere gør dette frivilligt, herunder de fire internetudbydere som fik et brev fra Rigspolitiet, men det er meget vanskeligt at læse det som en pligt ud fra logningsbekendtgørelsen. Og hvis det ikke er en pligt, kan man stille spørgsmål ved om det overhovedet er lovligt for internetudbyderne at gøre det, da § 23 i udbudsbekendtgørelsen forpligter teleudbydere til at slette trafikdata umiddelbart efter at transmissionen er afsluttet, medmindre der er tale om data som skal bruges til fakturering, eller medmindre der er en konkret logningspligt efter retsplejelovens § 786, stk. 4 (aka logningsbekendtgørelsen). Så begrebet "frivillig logning" for at være venlig overfor den gode kunde Rigspolitiet eksisterer faktisk ikke (lovligt altså; at "frivillig logning" foregår, og at Rigspolitiet opfordrer udbyderne til at gøre noget som reelt er ulovligt efter telelovgivningen, er en anden sag).

I det sidste afsnit i citatet fra Rigspolitiets brev bliver det nærmest absurd. Rigspolitiet mener, at de skal være muligt at få oplyst en brugeridentitet alene på grundlag af IP-adresse og timestamp (uden portnummet), og at det er op til den enkelte udbyder at indrette systemerne, således at "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser". Hvis dette virkelig skal stå til troende, har Rigspolitiet indført et forbud mod at anvende CG-NAT og de facto indført et krav om at alle CPE'er skal have tildelt en offentlig IP-adresse. Selv TDC som svømmer i IPv4 sammenlignet med andre bruger CG-NAT på mobilt internet (generelt), så kravet kan nok kun efterleves at ved køre ren IPv6 og dermed blokere kundernes adgang til internettjenester, som kun har en IPv4 adresse.

Det giver selvfølgelig ingen mening, men efter min mening overfortolker Rigspolitiets logningsbekendtgørelsens bestemmelser her. Logningsbekendtgørelsen stiller krav om at visse oplysninger skal logges, og det prøver Rigspolitiet med den sidste ledsætning "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser" at manipulere til et pligt om at gøre noget som reelt er teknisk umuligt, nemlig at finde den ukendte NN blandt 1000 samtidige brugere af en delt IP-adresse.

Jesper Lund
Formand, IT-Politisk Forening

Logningsbekendtgørelsen stiller krav om at visse oplysninger skal logges, og det prøver Rigspolitiet med den sidste ledsætning "udbydere til enhver tid er i stand til at efterleve logningsbekendtgørelsens bestemmelser" at manipulere til et pligt om at gøre noget som reelt er teknisk umuligt, nemlig at finde den ukendte NN blandt 1000 samtidige brugere af en delt IP-adresse.

Super indlæg Jesper.

Nu er det heldigvis (endnu) ikke Rigspolitiet, der definerer lovene her i landet, så de må nok erkende, at de rammer muren hvis deres forespørgsel går på en bruger bag et Carrier Grade NAT hos en udbyder, der overholder loven.

For politiets vedkommende haster det med at forstå, at internettet IKKE er A-til-B-kommunikation ligesom telenettet, og at de må finde på nogle nye måder at efterforske på, der ikke krænker hele befolkningens ret til privatliv og retssikkerhed.

det sidste afsnit i citatet fra Rigspolitiets brev bliver det nærmest absurd. Rigspolitiet mener, at de skal være muligt at få oplyst en brugeridentitet alene på grundlag af IP-adresse og timestamp (uden portnummet

Meget enig.

Man kan måske forestille sig CG-NAT log udvidet med destination IP. For der er nok ikke så mange bag en offentlig IP-adresse, der samtidigt er i kontakt med samme IP. Og når politiet har source-IP i et spor, har de nok også destination IP, hvorfra sporet nok stammer.

Men det er en håbløs drøm, som rigspolitiet vil forfølge. NAT forsvinder nok ikke med IPv6, blandt andet ved connectivity mellem rene IPv6 og IPv4 maskiner.

Men først og fremmest bygger hele drømmen om udpegning via IP på et entydigt kundeforhold mellem bruger og televirksomhed samt troen på, at IP er en slags telefonnummer for internet.

Sådan er det ikke længere. Vi bruger et utal af devices til vore tjenester. Vi bruger net i private domæner, der ikke er teleudbydere, og derfor ikke skal logge. Over 70% af internettrafikken fra smartphones går allerede via WIFI, hvor mobiludbyderen er koblet helt væk.

Det er rigspolitiets drøm, der er noget galt med. For den bygger på en forældet opfattelse af forholdet mellem brugere og teleudbydere.

I stedet burde man rette blikket mod IT-udbyderne. Af dem burde man kræve registrering af brugere på en eller anden måde, mulighed for aflytning, logning af begivenheder, og pligt til at udlevere disse oplysninger efter dommerkendelse. Fuldstændig ligesom man har gjort for teleudbyderne ved telelogning.

Dansk lov tillader ikke dette, og EU-direktivers ret til frit at udbyde IT-tjenester over landegrænser står i vejen. Derfor skal problemet løses internationalt - og ikke ved at Danmark kaster sig ud i en håbløs drøm om fortsat at finde spor af den egentlige kommunikation hos teleudbyderne.

Alle andre lande har jo samme problem med spor på internet. Hvorfor så ikke søge en international tilgang, som i øvrigt er det eneste, der kan gennemføres effektivt i en international IT- og telebranche.

Man kan måske forestille sig CG-NAT log udvidet med destination IP. For der er nok ikke så mange bag en offentlig IP-adresse, der samtidigt er i kontakt med samme IP.

Det er jo sessionslogning (uden destination port).

Det er jo sessionslogning (uden destination port).

Det er korrekt. Men det er i det mindste begrænset til CGNAT. Alle med offentlige IPv4 eller IPv6 tildelinger går fri.

Som det forhåbentlig fremgår af mit indlæg, er det heller ikke mit forslag at gå den vej.

Men det er måske rigspolitiets udspil til forhandlingerne.

Jeg ved ikke hvad de ellers kan foreslå, som bevarer den håbløse drøm og reducerer omkostningerne.

Men det er en håbløs drøm, som rigspolitiet vil forfølge. NAT forsvinder nok ikke med IPv6, blandt andet ved connectivity mellem rene IPv6 og IPv4 maskiner.

Jeg har personligt ikke svært ved at forestille mig EU og USA - f.eks. efter et terrorangreb - går sammen og lovgiver IPv4 ud af eksistens.
De kan trække terrorkortet samtidig med at de kan trække IPv4-er-alligevel-ved-at-tørre ud-kortet. Andre lande til følge med og der vil skabes momentum.

Og i en sådan situation vil resten af verden være nød til at følge med.

Drømmen om kunde/ip går i opfyldelse og drømmen om brugbar historik går i opfyldelse. Men det kræver nok først og fremmest et stærkt terrorkort.

Nej, selvfølgelig er der ikke det, men (og hvad der er mere relevant) der kan ikke ud af logningsbekendtgørelsen udledes nogen pligt for udbyderne til at logge information om brug af sourceporte i NAT-gateway. Det er reelt en fuld sessionslogning, hvor blot information om destination IP-adresse og porte er slettet.

Det behøver langt fra være fuld sessionslogning. Det afhænger lidt af hvor ofte disse porte skifter og udløber.

Hvis dette virkelig skal stå til troende, har Rigspolitiet indført et forbud mod at anvende CG-NAT og de facto indført et krav om at alle CPE'er skal have tildelt en offentlig IP-adresse.

Den holder næppe i retten, al den stund alle bruger Carrier Grade NAT. Så skulle politiet have været ude noget før, nu er det for sent. Skal der ændres på det skal der lovgivning til, og selv der kan en lov komme i konflikt med den europæiske menneskerettighedskonvention artikel 10 som sikrer ret til kommunikation, og i øvrigt regeringens eget mål om at sikre alle bredbånd.

så kravet kan nok kun efterleves at ved køre ren IPv6 og dermed blokere kundernes adgang til internettjenester, som kun har en IPv4 adresse.

En bruger som ikke har IPv6 er ikke afskåret fra tjenester som kun har IPv4, der findes gateways som kan klare det problem, via NAT ganske vist.

Men det kunne være en god start på en IPv6 konvertering, at ISP'er begyndte at levere IPv6 til private kunder i stedet for IPv4. Desværre er der jo ikke nogen i dag som tilbyder det.

Det behøver langt fra være fuld sessionslogning. Det afhænger lidt af hvor ofte disse porte skifter og udløber.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg har set metoden omtalt tidligere, men jeg er ikke klar over hvor udbredt den er i systemer
http://www.out-law.com/en/articles/2013/may/individuals-can-be-identifie...

"With CGNAT our broadband network ‘translates’ the source IP address on the Hub to a shared IP address, and also translates the ports being used to one within a unique block, from the 65,000 IP addresses ports available. This block is assigned for that user and that user only. We log this translation i.e. the shared IP address assigned, the block of ports and the time. If we subsequently receive a request to identify someone who is using IP address x, and port number y, and time z we can then determine who this is from the logs," the spokesperson said.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg er ikke klar over hvordan de enkelte NAT gateway software klarer opgaven.
Fra IP telefoni oplever jeg dog ind i mellem at en NAT glemmer mapningen efter få sekunder. Det er et stort problem fordi, kundens udstyr registerer sig og siger her er jeg med IP og port. Men hvis NAT'en smider denne mapning væk efter få sekunder, kan man ikke ringe til kunden.

En NAT har altså en timeout, inden for hvilken den forventer et svar. Sætter man den tilstrækkeligt højt, så vi der være en rimeligt forudsigeligt mapning, så man ikke behøver at logge ekstremt meget.
Dog kan man forestille sig en browser, som skifter port for hver request. Her vil NAT'en være nødt til at lave en ny mapning for hvert webopslag.

Det er en ofte forekommende misforståelse, at logningsreglerne kan forbyde bestemte måder at indrette sit teleudbud på.

Også rigspolitiet misforstår det i den korrespondance, som Jesper Lund har fået aktindsigt i. De giver nemlig udtryk for, at udbyderne på basis af IP skal kunne udpege en slutbruger. "skal kunne"

Det er vendt helt på hovedet i forhold til reglerne.

For logningsreglerne siger alene, at udbyderne skal gemme bestemte definerede oplysninger, såfremt de genereres eller behandles i deres net.

Intet teleudbud er forbudt efter logningsreglerne. Hvis en oplysning ikke er på listen over det, der skal gemmes, eller hvis den ikke genereres eller behandles i udbyderens net, er det bare ærgerligt.

Det er ikke logningsreglerne, der skal bestemme, hvordan teleudbud indrettes. Det må i givet fald fremgå af de almene regler for teleudbud, hvis CG-NAT skal forbydes. Og det er næppe ok efter gældende EU-regler.

I gældende logningsbekendtgørelse og vejledning står der alene, at man skal gemme brugerens tildelte offentlige IP-adresse. Så reglerne kræver ikke, at man gemmer både IP og portnummer, selv om flere udbydere gør det.

Jeg har også fået mange henvendelser om WIFI-baserede net, hvor det påstås, at kunderne skal registreres.

Det er også forkert. For som sagt er intet udbud forbudt. Og hvis man ikke har kundens navn og adresse blandt de oplysninger, der behandles eller genereres i forbindelse med udbud, er det bare ærgerligt.

Det er ikke politiet, der skal bestemme, hvordan teleudbud indrettes. Sådan er det i den nugældende lov. Og sådan bliver det forhåbentlig også fremover.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg skal ikke kunne sige, hvor udbredt den metode er, men den medfører en kraftig teknisk forringelse af forbindelsen.

Hvis vi lader 300 brugere dele en IP-adresse, giver det lidt over 200 porte pr. bruger, som skal allokeres statisk.

Afhængig af NAT-typen medfører det en begrænsning af antallet af samtidige forbindelser.

Et full cone NAT er nok den type NAT, der giver færrest problemer med P2P-trafik, herunder også SIP og dermed VoIP. I et full cone NAT kan alle eksterne hosts sende data til en port, der er åbnet via NAT, og derved få data ind til maskinen på indersiden.

Det gør det nemt at lave hole punching, der bruges af P2P-klienter.

Men det betyder også, at de 200 porte hurtigt er brugt, for en given port på ydersiden vil forwarde trafikken til en specifik port på den interne host, uanset hvor pakkerne kommer fra, så de eksterne porte kan ikke deles mellem flere sessions med flere eksterne hosts.

Hvis man derimod anvender symmetrisk NAT, skabes der en mapping mellem en ekstern IP-adresse og en given port, og det vil således være muligt at genbruge den eksterne port øjeblikkeligt, hvis den eksterne IP-adresse er en anden. Det gør til gengæld hole punching umuligt, og så kan man sige farvel til det meste P2P-kommunikation.

Så uanset hvad så er det en rigtig dårlig ide at begrænse sine klienter til kun at bruge 200 porte - og så har vi slet ikke kigget på session timeout, der også vil forværre situationen.

Hvis vi lader 300 brugere dele en IP-adresse, giver det lidt over 200 porte pr. bruger, som skal allokeres statisk.

Men hvad nu hvis du nøjes med 10 brugere per fælles IP-adresse? Det vil stadig give dig mulighed for 10.000 kunder med den 1024 adresser du får fra RIPE. Og herefter kan du købe flere IP adresser til cirka 10 USD per adresse, eller 1 USD per kunde hvis du bruger 1 til 10 mapping.

Min favorit CGN teknologi er MAP: https://en.wikipedia.org/wiki/Mapping_of_Address_and_Port

MAP går ud på at man statisk allokere en port range til hver kunde. Det er kundens router der udfører NAT funktionen. MAP er stateless i ISP netværket hvilket gør at det skalerer godt.

ISP routeren ser en netværkspakke til IP adresse X og port Y. Routeren laver et opslag i en statisk database og ser at adresse X og port range a-b, hvor a < Y < b, tilhører kunde Z. Routeren sender herefter netværkspakken som en IPv6 GRE pakke til Z.

100% stateless og med et enkelt read-only opslag per netværkspakke. ISP netværket behøver ikke have support for MAP ud over MAP-gatewayen. Der kan være flere MAP-gateways og de behøver ikke koordinere state. Redundans opnås med helt almindelig anycast for MAP-gatewayen.

Eneste ulempe er at kunderouteren skal håndtere at WAN er IPv6 only og den skal have support for MAP. Begge dele er til at håndtere hvis man forudsætter at ISP har leveret kunderouteren.

Det gør til gengæld hole punching umuligt, og så kan man sige farvel til det meste P2P-kommunikation.

Der er nok et par rettighedshavere, der er villige til at betale jer for at vælge dén løsning :)

Har I fået henvendelser fra politiet, hvor de ville have oplyst hvem der brugte en IP adresse på et tidspunkt?

Aldrig. Den dag det kommer vil vi have listen klar med spørgsmål om hvad de vil, hvorfor de vil have det, hvordan de forestiller sig at vi skal give dem, hvor I loven det står at de må få hvad, hvordan og hvornår osv.
Problemet er jo netop at loven er så hamrende uklar at den i praksis er ubrugelig.

Er det almindeligt at CG-NAT gateways kan konfigureres, så hver bruger begrænses til et bestemt port range, eller lignende? (således at man ikke behøver at logge hver NAT session og dens portanvendelse).

Jeg er ikke bekendt med at det udstyr vi (Skywire) benytter kan det. Det vil i øvrigt i min optik forringe kundernes oplevelse af Internetforbindelsen. Nogle kunder åbner ekstremt mange forbindelser. Mange bliver så lukket hurtigt lige efter. Men begynder man at begrænse antallet af mulige åbne sessioner, så er det 100% sikkert at de vil opleve en dårlig forbindelse.
Jeg har eksperimenteret en del med det, da jeg havde noget udstyr der døde ved for mange sessioner, noget der gav rigtigt mange henvendelser fra kunder om dårlig forbindelse.

Logning af port brug pr. intern IP-adresse på en CGN-gateway ligner i mine øjne fuldstændigt 24/7/365 sessionslogning så meget, at det ikke er noget jeg ønsker at foretage mig. Man kan selvfølgelig "klippe" modtager IP ud, sådan at politiet skal have log fra modtageren for at sammenholde. Men alligevel, man har allerede der så meget information at det nemt kan misbruges.....

Hej alle,

Jeg beklager at jeg hiver op i sådan en gammel tråd, men jeg faldt over al denne glimrende info under mit forsøg på at blive klogere på IP-adresser.
Mit spørgsmål er forholdsvis urelateret, men jeg håber at en af jer har lyst til at hjælpe mig. Så sparer jeg nok et par ugers research :)

Jeg er jurist med interesse for persondatalovgivning og har sammen med et par andre indledt et projekt hvorigennem vi vil give brugerne større kontrol over deres persondata og forsøge at få dele af databehandlingen til at falde udenfor persondataloven.

Det meste af backenden har vi efterhånden regnet ud, men der findes en EU-dom fra 2016 som konkluderer at selv dynamiske IP-adresser skal anses som personhenførbare og således er underlagt persondataloven. For at vores idé skal fungere er brugerens IP-adresse derfor nødt til at være skjult for virksomheden og i virkeligheden også ISP'en. Min fornemmelse er at dette nok ikke kan lade sig gøre? Vores eneste mulighed som jeg ser det, er at samtlige brugere i så fald også skal bruge en VPN, hvilket forekommer mig som en meget uelegant løsning.

Overser jeg noget her? Jeg undskylder i øvrigt min manglende tekniske indsigt som spørgsmålet garanteret bærer præg af!

mvh Anders

Tag et kig på onion routing og Tor (begge links er til Wikipedia, så du slipper ikke for selv at researche).

For at vores idé skal fungere er brugerens IP-adresse derfor nødt til at være skjult for virksomheden og i virkeligheden også ISP'en.

Egentligt kun ISP'en. Det der gør en IP adresse personhenførbar, er ISP'en database.

der findes en EU-dom fra 2016 som konkluderer at selv dynamiske IP-adresser skal anses som personhenførbare og således er underlagt persondataloven

Det er i bund og grund uhyggeligt, for enhver apache webserver gemmer som standard en log over alle IP adresser, som har lavet request. Typisk ruller disse logs rundt efter 4 uger, men i den tid kan man se en del.

Og der er god grund til at gemme disse oplysninger. Sålænge det er IPv4. IP adressen bruges nemlig som nøgle til at analysere hvad en web bruger har lavet, f.eks. ved et hackerangreb.

Men for at få det ned på jorden igen. Webserveren kunne egentligt blot hashe IP adressen. Bortset fra at input sættet er lidt begrænset, så man kunne sikkert på få timer gå den anden vej og hente alle danske IP adresser ud af sådan en log.

Det vil betyde, at man ikke kan gå fra loggen til den eksakte bruger. Men man kan gå fra den eksakte bruger og til loggen. Det vil sige at hvis du kommer med IP'en kan du se data. Politiet eller en anden myndighed kan altså ikke spørge hvem har hentet disse data. Derimod kan de spørge, hvad har en mistænkt hentet af data.

Et krav om hashing vil derfor være et stort løft for persondata sikkerheden.

Når vi får IPv6 vil princippet, dog blive udfordret!

Men for at få det ned på jorden igen. Webserveren kunne egentligt blot hashe IP adressen. Bortset fra at input sættet er lidt begrænset, så man kunne sikkert på få timer gå den anden vej og hente alle danske IP adresser ud af sådan en log.

Har du prøvet? Jeg var selvfølgelig nød til det.

SHA-256 hashen af Version2 ip-nummer er 15a147a05ddc69c356ff932c7c6552a46df21c291cf49ccc24e7a392e35e4033, og det tog 16s på min computer at regne baglængs.

For lige at gøre det en tand mere realistisk, så smed jeg hashes af 15 forskellige IP numre efter den, og de var alle regnet ud på 31s.

De 31 sekunder er tæt på den tid, som det vil tage at løbe hele inputspace for IPv4 numre igennem (jeg havde de 4 x tre-cifrede sidst i min mask-fil, og den nåede op på at have brugt 80% af dem). Min mask tillod alle tal fra 0-299, så den kunne måske optimeres.

Når vi får IPv6 vil princippet, dog blive udfordret!

Tværtimod så er IPv6 en forudsætning for at en hash af IP adressen kan være effektiv.

En IPv6 adresse er 128 bit, så det vil ikke være praktisk muligt at afprøve alle muligheder. Det er derimod trivielt at teste alle muligheder, når der kun er 2^32 muligheder, som for en IPv4 adresse.

Der er en del af IPv6 adressen som er forudsigelig. Men bruges der privacy extensions, vil de sidste 64 bits være tilfældige, og det er også tilstrækkeligt til at det ikke er praktisk at afprøve muligheder.

Tak for input, alle sammen!
Nu er der lidt mere at læse op på for mit vedkommende :)