Re: Flow-Datenspeicherung per EU-Direktive?
ja hallo erstmal,...
Am Donnerstag 26 Mai 2005 20:41 schrieb Gert Doering:
> Hi,
>
> On Wed, May 25, 2005 at 07:06:20PM +0200, Florian Weimer wrote:
> > Die vorgeschlagene Richtlinie scheinen mir vorzuschreiben, da?
> > zumindest auf IP-Schicht Flow-Daten erfa?t werden, also Quadrupel
> > (Quell-IP-Adresse, Ziel-IP-Adresse, Start-Zeit, End-Zeit). Es ist
> > explizit von der Erfassung von "Data necessary to identify the routing
> > and destination of a communication" die Rede.
> >
> > Meinen die das wirklich? Diese Datenmengen manipulationssicher und
> > permanent ?ber mindestens 12 Monate zu speichern ist durchaus eine
> > Herausforderung.
>
> Etwa 20 Gbyte pro Tag bei uns - als relativ kleinem ISP.
Wie weit komprimiert ihr eigentlich?
Als Start und Endzeit dürfte bei den meisten ISPs Sekunden nach Mitternacht
reichen. (Wobei man durch ein Speichern der Dauer statt der Endzeit einiges
Sparen könnte. Muss die Auflösung eigentlich 1sec betragen, oder reichen
10sec- Intervalle?)
Für Quelle und Ziel wird niemals der volle 32-Bit Adressraum benötigt. Durch
geschickte Definition von Symbolen für Start und Quelle, kann nochmals stark
komprimiert werden, bzw. ein Log pro IP erstellt werden - (was wieder 4-12
Bit (je nach Größe des Adressraums))weniger pro Eintrag bedeutet, da die
Information nicht geloggt werden muss)
Was den Speicherplatz angeht, so könnten Daten (+ 3 bis 6 Backups) auch
dezentral im Firmennetzwerk aufgehoben werden. (Wenn z.B. jede Workstation
üder eine 200 GB große IDE-Festplatte verfügt, kann schon einiges abgelegt
werden).
Zudem müsste der eigene Quellport kaum mitgeloggt werden, für den Zielport
reichen in den meisten Fällen wiederrum Wearte von < 1024...
Wenn ich nun in dem Datenwust suchen will, so kann ich Daten zu einem gegeben
Zeitintervall relativ effizient zur Verfügung stellen.
Keep smiling
yanosz
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx