SOHO - reduza o tráfego de bittorrents dos usuários problemáticos

Navegue suas respostas
8

Eu gerencio a rede em um pequeno escritório (o SW dev é meu "trabalho real"), e há alguns usuários que saem da nossa conexão com a internet executando o bittorrent. Entre o efeito quase incapacitante no lado do upload (20Mbps) e a responsabilidade potencial, eu quero desligar isso o máximo possível.

Alguns detalhes rápidos em antecipação de perguntas ou sugestões:

  • temos dois roteadores (1 Linksys, 1 Buffalo) rodando o mais recente DD-WRT, e um D-Link DIR-655 executando qualquer que seja o software de fábrica mais recente

  • a internet é o plano FiOS 20/20

  • usuários se conectam via Wi-Fi e & com fio, todo mundo usa DHCP

  • adquirir novo hardware (digamos < $ 1000) que realmente faz o truque de forma confiável é uma opção

  • nós temos uma política de uso da internet, sim, mas eu quero reforçá-la tanto quanto possível via TI, porque todos nós sabemos que algumas pessoas simplesmente não podem seguir as regras. Sim, eu sei que lidar com isso é uma questão social, mas essa parte está fora da minha autoridade / controle.

  • as estratégias comuns (bloquear completamente o acesso por MAC / IP, bloquear portas, etc.) não funcionarão. Pelo menos duas das pessoas reprogramam rotineiramente os endereços MAC em suas interfaces Ethernet.

Eu entendo que os clientes BT podem ser configurados para usar outras portas, então apenas bloquear o intervalo de portas BT padrão é muito difícil.

Eu não posso acreditar que sou a primeira pessoa a esfolar esse gato. Ou talvez apenas o departamento dependa. com grandes orçamentos de equipamentos pode esfolar esse gato?

Obrigado pela sua ajuda!

    
por Dan 30.04.2009 / 21:29

11 respostas

4

Você está certo, é realmente um problema social que precisa ser tratado pela gerência. Se certas pessoas estão impactando a rede a ponto de causar problemas para outras pessoas, elas precisam ser tratadas e explicadas quais serão as consequências se continuarem funcionando. Reprogramando os endereços MAC em suas NICs? Se eles não têm necessidade legítima de fazer isso, então você pode considerar o bloqueio do seu roteador Wi-Fi e switches de rede para aceitar apenas conexões de certos endereços MAC. Se eles mudarem, eles não poderão entrar na rede e, de repente, a filtragem / limitação de endereço MAC se tornará uma possibilidade no roteador de borda.

A modelagem de tráfego para portas não padrão também pode ser empregada para reduzir a quantidade de largura de banda disponível para todas as portas, exceto a http, ftp, smtp padrão, etc. Reduzindo a quantidade de largura de banda disponível para aplicativos não-padrão muito menos desejável.

Outra opção no seu firewall / roteador de borda é permitir apenas determinadas portas para o tráfego de saída, limitado às portas padrão. Isso pode ou não ser prático dado o seu ambiente.

    
por 30.04.2009 / 21:39
4

Habilite a QoS em seu material DD-WRT, conforme descrito aqui . Faça todo o tráfego não-port-80/22/25 / IMAP / POP limitado a uma quantidade muito pequena de largura de banda, e faça até mesmo essas portas limitadas a algo razoável como 2Mb / s ou mais.

Em seguida, leia BOFH para ter ideias sobre o que fazer com os usuários infratores.

    
por 30.04.2009 / 21:37
2
Se for um pequeno escritório dizer aos funcionários que parem de usar bittorent ou enfrentem medidas disciplinares, gastar dinheiro / tempo em modelagem de tráfego para um pequeno escritório parece ridículo ... a menos que haja algumas circunstâncias extraordinárias que você não mencionou.

Tenho certeza de que o gerente do seu escritório gostaria de saber por que seus funcionários têm tempo de configurar o bittorent, alterar seu endereço MAC, etc no horário da empresa ...

    
por 30.04.2009 / 23:00
2

Se você optar por truques técnicos e ignorar o aspecto social, os bandidos tentarão truques para evitar as restrições. Se você implementar algo que marque e forme o tráfego bittorrent, eles começarão a usar criptografia, etc.

Se você for apenas social e começar a gritar com os bandidos, você se tornará seu inimigo. Especialmente se este não é o seu trabalho principal. Eles podem pensar que você está restringindo-os para agradar o chefe, por exemplo. E trabalhar diariamente com pessoas que odeiam você é triste.

Uma abordagem muito eficaz que envolve quase nenhuma violência é monitorar o uso da rede. Configure algo como o mrtg e torne os gráficos de uso de rede disponíveis publicamente para qualquer pessoa no escritório. Então, assim que alguém reclamar da internet lenta, mande-o para lá e veja quem está perdendo a banda.

Desta forma, você não terá que lutar sozinho contra os porcos da largura de banda. Você nem precisará lutar, os bons usuários comerão os ruins.

    
por 16.07.2009 / 07:57
1

Se você não tem a autoridade para bater-lhes no pulso para isso e as pessoas que não estão dispostos também, então você está muito sem sorte. Sim, existem maneiras tecnológicas de resolver isso. Parece que pelo menos alguns de seus usuários com problemas provavelmente são espertos o suficiente para evitar qualquer solução de tecnologia que você tente. Pior ainda, para esse tipo de pessoa, você agora validou implicitamente que não há problema em fazê-lo (já que não houve resposta da gerência), desde que o faça de uma maneira que evite os obstáculos colocados por você.

    
por 30.04.2009 / 21:49
1

Você deve dar uma olhada em M0n0wall e pfSense .

Acredito que os recursos de modelagem de tráfego do pfSense são melhores e esse é o que eu sugeriria.

A documentação infelizmente é muito escassa, mas se você experimentar um pouco, não é difícil descobrir as coisas.
Basta executar o assistente e aprender com as regras que ele criará. Além disso, verifique este Guia de modelagem de tráfego .

Embora isso não resolva suas questões sociais, nem será uma solução final para impor as regras, acredito que seja um bom meio-termo.
Você pode permitir que eles usem a largura de banda e garantir que tudo o mais importante não seja afetado.

    
por 08.05.2009 / 21:43
1

Já considerou um proxy da web como o Squid? Isso pode ser uma opção. Eu sei que os garotos grandes podem filtrar no nível do pacote.

Outra maneira de combater isso é executar varreduras de período de cada estação de trabalho / laptop até onde está instalado. Você vê um cliente BitTorrent, você sinaliza o usuário. Você pode criar scripts para as coisas fáceis consultando o registro em:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

    
por 08.05.2009 / 22:27
1

Bloqueie essas máquinas - remova os direitos de administrador. Eles estão agindo como crianças mimadas, e a única coisa que você pode realmente fazer é tratá-los dessa maneira.

    
por 27.05.2009 / 17:24
0

Não funcionará para usuários sofisticados, mas uma vez eu bloqueei certos usuários de um site colocando uma entrada fictícia em c: \ Windows \ system32 \ etc \ hosts

    
por 30.04.2009 / 21:36
0

Um roteador SOHO como um Cisco 871w tem a capacidade de fazer inspeção profunda de pacotes. Você seria capaz de negar o P2P em todas as portas sem afetar outro tráfego.

O mesmo vale para Instant Messaging, RDP, etc ... Alguns clientes de mensagens instantâneas podem ser configurados para sair pela porta 80 (HTTP), o que é improvável que você bloqueie. Mas um roteador como o Cisco 871w, na verdade, opera em um nível mais alto do modelo OSI e pode detectar se o tráfego na porta 80 é HTTP ou algum outro protocolo.

    
por 27.05.2009 / 17:30
0

O motivo da solução técnica é que geralmente são os tipos de gerenciamento que estão fazendo isso.
É o mesmo problema com a segurança, aqueles com os dados mais confidenciais são aqueles que não se incomodam com uma senha, enviam e-mails confidenciais do Yahoo enquanto acessam o wi-fi não criptografado do aeroporto e perdem laptops. Desde que você não pode impor as regras com eles - eles fazem as regras - a única solução é aquela que eles não conhecem.

    
por 27.05.2009 / 18:08

Tags

É possível usar o etckeeper com um único repositório git compartilhado? Quão seguros são arquivos WinRAR protegidos por senha?