US-Provider beklagen die Kosten der Verbindungsdatenspeicherung
Die vor allem in den USA und China geforderte Verbindungsdatenspeicherung verursacht bei auf Network Address Translation setzenden Providern immense Datenmengen und damit Kosten. Einige Entwickler wollen mit einem IETF-Standard das Problem abmildern.
Großen Internet-Providern in den USA wird die Protokollierung von Verbindungsdaten zu teuer, klagte Chris Donley von Cable Labs auf einem Treffen der Behave-Arbeitsgruppe der Internet Engineering Task Force (IETF). Die Anbieter setzen wegen des knappen Vorrats an IPv4-Adressen in ihren Netzen auf eine Form der Network Address Translation (Carrier Grade NAT, CGN), müssen sollen aber etwa für die Strafverfolgung alle Kommunikationsvorgänge ihrer Nutzer protokollieren.
Der ISP muss für jede Verbindung die Zuordnung der internen, nicht-öffentliche IP-Adresse samt Quell-Port zur öffentlichen Adresse (einschließlich der dort zugeordneten Port-Nummer) in einer Datenbank speichern. Laut Donley summiert sich diese Datenmenge bei großen Providern dabei jährlich auf etwa 1,8 Petabyte. In der IETF wird nun über einen neuen Standard gestritten, der die Bürde des Logging etwas erleichtert. Auch Vorschläge chinesischer Institutionen zum sicheren Tracing von IPv6- und IPv6-Nutzern werden heiß diskutiert.
Donley rechnete der Behave-Arbeitsgruppe der IETF vor, dass ein Durchschnittsnutzer etwa 33.000 Zugriffe pro Tag erzeugt, die etwa 5 MByte an Log-Einträgen verursachen. Im Monat kommen so also etwa 150 MByte pro Nutzer zusammen. Bei einem Provider mit rund einer Million Kunden addiert sich das auf 150 TByte pro Monat. Auch der durch das Logging erzeugte Verkehr sei beträchtlich: Bei 50.000 Kunden pro CGN sind es laut Donley 23 MBit/s. Dabei habe man über die notwendigen Auswertungen der Datenmengen noch gar nicht gesprochen, für die ebenfalls Kosten entstehen.
Donleys legte der IETF nun einen Entwurf vor, mit dem das CGN-Logging billiger werden soll. Dabei billigt das CGN jedem Nutzer einen festgelegten Pool an Ports für die Zugriffe nach außen zu. Erst wenn der Nutzer mehr Zugriffe hat, und daher Adressen außerhalb der ihm zugewiesenen Port-Liste benötigt, wird noch ein weiterer Log-Eintrag erzeugt. Eine Standardisierung dieser Idee fiel bei der IETF jedoch auf Widerstand, besondere, weil viele Experten entschieden gegen "lebensverlängernde" Maßnahmen für IPv4 sind.
Ebenfalls skeptisch beurteilen die Experten Vorschläge einer Entwickler-Gruppe von der Tsinghua-Universität und vom Cernet, die gerne eine netzübergreifende Zusammenarbeit zur Validierung von Quell-Adressen hätten. Die Vorschläge zur Validierung von Quelladressen zur Verhinderung von IP-Adress-Spoofing – aber auch zum Tracen von Endanschlüssen – liegen der SAVI-Arbeitsgruppe (Source Address Validation Improvement) bereits zur Peer-Review vor. Nach dem SAVI-Modell sollen in einem lokalem Netz alle IP-Pakete eines Hosts einem Anschluss zugeordnet werden können: SAVI-Switches prüfen so, ob die Pakete tatsächlich vom entsprechendem Anschluss stammen.
Die eng mit Cisco zusammenarbeitenden Tsinghua-Forscher haben außerdem vorgeschlagen, die SAVI-Switche für eine raschere Implementierung statt direkt beim Nutzer doch gleich beim Provider einsetzen. Dieser Vorstoß bestätigt allerdings die innerhalb der IETF inzwischen durchaus auch diskutierten Datenschutz-Befürchtungen. Die Beschränkung des SAVI-Mechanismus auf das lokale Netz sei entscheidend, warnte einer der Kommentatoren, da sonst das Risiko bestünde, die Informationen über private Geräte zuweit zu verbreiten. (rek)
