SOHO - limita o tráfego bitorrent de usuários problemáticos

8

Eu gerencio a rede em um pequeno escritório (o SW dev é o meu "trabalho de verdade"), e há alguns usuários que superam nossa conexão com a Internet executando o bittorrent. Entre o efeito quase paralisante do lado do upload (20 Mbps) e a responsabilidade potencial, quero encerrar o máximo possível.

Alguns detalhes rápidos em antecipação a perguntas ou sugestões:

  • temos 2 roteadores (1 Linksys, 1 Buffalo) executando o DD-WRT mais recente e um D-Link DIR-655 executando o que for o software de fábrica mais recente

  • Internet é o plano FiOS 20/20

  • os usuários se conectam via Wi-Fi e com fio, todos usam DHCP

  • adquirir um novo hardware (digamos <$ 1000) que realmente faz o truque de forma confiável é uma opção

  • temos uma política de uso da Internet, sim, mas quero aplicá-la o máximo possível por meio da TI, porque todos sabemos que algumas pessoas simplesmente não conseguem seguir as regras. Sim, eu sei que lidar com isso é uma questão social, mas esta parte está fora da minha autoridade / controle.

  • as estratégias comuns (bloquear completamente o acesso por MAC / IP, bloquear portas, etc.) não funcionarão. Pelo menos 2 das pessoas reprogramam rotineiramente os endereços MAC em suas interfaces Ethernet.

Entendo que os clientes BT podem ser configurados para usar outras portas, portanto, apenas o bloqueio do intervalo de portas BT padrão é uma fraqueza.

Não acredito que sou a primeira pessoa a esfolar esse gato. Ou talvez apenas o departamento de TI. com grandes orçamentos de equipamentos pode esfolar esse gato?

Obrigado pela ajuda!

Dan
fonte
Muito complicado mesmo - eu vou ficar de olho nesse ...
RobertTheGrey

Respostas:

4

Você está certo, é realmente um problema social que precisa ser tratado pela gerência. Se certas pessoas estão impactando a rede a ponto de causar problemas para outras pessoas, elas precisam ser tratadas e explicadas quais serão as consequências se continuarem assim. Reprogramando os endereços MAC em suas NICs? Se eles não tiverem necessidade legítima de fazer isso, considere bloquear o roteador wifi e os comutadores de rede para aceitar apenas conexões de determinados endereços MAC. Se eles mudarem, não poderão acessar a rede e, de repente, a filtragem / limitação de endereços MAC se tornará uma possibilidade no roteador de borda.

A modelagem de tráfego para portas não padrão também pode ser empregada para reduzir a quantidade de largura de banda disponível para todas as portas, exceto o http, ftp, smtp, etc. Reduzir a quantidade de largura de banda disponível para aplicativos não padrão os torna muito menos desejáveis .

Outra opção no seu roteador / firewall de borda é permitir apenas determinadas portas para tráfego de saída, limitadas às portas padrão. Isso pode ou não ser prático, dado o seu ambiente.

Justin Scott
fonte
4

Habilite a QoS no seu material DD-WRT, conforme descrito aqui . Torne todo o tráfego que não seja de porta 80/22/25 / IMAP / POP limitado a uma quantidade muito pequena de largura de banda e faça até essas portas limitadas a algo razoável, como 2 Mb / s ou mais.

Em seguida, leia BOFH para obter idéias sobre o que fazer com os usuários ofensivos.

pjz
fonte
2

Se for um escritório pequeno, peça aos funcionários que parem de usar ações disciplinares ou enfrentem ações disciplinares, gastar dinheiro / tempo na modelagem de tráfego para um escritório pequeno parece ridículo ... a menos que haja circunstâncias extraordinárias que você não tenha mencionado.

Estou certo de que o gerente do seu escritório gostaria de saber por que os funcionários têm tempo para configurar bittorent, alterar o endereço MAC, etc, no horário da empresa ...

Elemento
fonte
2

Se você usar truques técnicos e ignorar o aspecto social, os bandidos tentarão truques diversos para evitar as restrições. Se você implementar algo que marque e modele o tráfego bittorrent, eles começarão a usar criptografia etc.

Se você for apenas social e começar a gritar com os bandidos, você se tornará o inimigo deles. Especialmente se este não é o seu trabalho principal lá. Eles podem pensar que você os está restringindo para agradar o chefe, por exemplo. E trabalhar diariamente com pessoas que te odeiam é triste.

Uma abordagem muito eficaz que quase não envolve violência é monitorar o uso da rede. Configure algo como mrtg e disponibilize publicamente os gráficos de uso da rede para qualquer pessoa no escritório. Então, assim que alguém reclamar sobre a internet lenta - envie-o para ver quem está desperdiçando a largura de banda.

Dessa forma, você não terá que lutar sozinho contra os porcos da largura de banda. Você nem precisa lutar, os bons usuários comem os ruins.

Anônimo
fonte
1

Se você não tem autoridade para dar um tapinha neles e as pessoas que não o desejam também, então você está sem sorte. Sim, existem maneiras tecnológicas de resolver isso. Parece que pelo menos alguns dos usuários com problemas provavelmente são espertos o suficiente para evitar praticamente qualquer solução tecnológica que você tente. Pior ainda, para esse tipo de pessoa que você validou implicitamente que é aceitável que eles o façam (já que não houve resposta da gerência), desde que o façam de uma maneira que evite os obstáculos que você coloca.

EBGreen
fonte
1

Você deve dar uma olhada no M0n0wall e no pfSense .

Acredito que os recursos de modelagem de tráfego do pfSense são melhores e esse é o que eu sugeriria.

Infelizmente, a documentação é muito escassa, mas se você experimentá-la um pouco, não é difícil entender as coisas.
Basta executar o assistente e aprender com as regras que ele criará. Além disso, consulte este Guia de modelagem de tráfego .

Embora isso não resolva seus problemas sociais e não seja uma solução final para aplicar as regras, acredito que seja um bom meio termo.
Você pode permitir que eles usem a largura de banda enquanto garante que tudo o mais importante não seja afetado.

Carlos Lima
fonte
1

Você já considerou um proxy da web como o Squid? Essa pode ser uma opção. Eu sei que os meninos grandes podem filtrar no nível do pacote.

Outra maneira de combater isso é executar verificações periódicas de cada estação de trabalho / laptop até onde estiver instalado. Você vê um cliente BitTorrent, sinaliza o usuário. Você pode criar scripts para as coisas mais fáceis consultando o registro em:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

K. Brian Kelley
fonte
Uau, falar sobre um exagero :))
kubanczyk
1

Bloqueie essas máquinas - remova os direitos de administrador. Eles estão agindo como crianças mimadas, e a única coisa que você realmente pode fazer é tratá-las dessa maneira.

Kara Marfia
fonte
Não vejo como isso impediria alguém de executar um cliente bittorrent.
Anônimo
11
Se você REALMENTE tiver tempo para explodir, basta restringi-los para executar apenas os produtos aprovados. Nesse ponto, estou pensando - por que essas pessoas ainda recebem salários?
21430 Kara Marfia
0

Ele não funcionará para usuários sofisticados, mas uma vez eu bloqueei certos usuários de um site colocando uma entrada fictícia em c: \ Windows \ system32 \ etc \ hosts

cagcowboy
fonte
Isso não funcionará para o bittorrent, já que todas as transferências são ponto a ponto. Você poderia bloquear os rastreadores, mas há muitos para que isso funcione (e a maioria dos clientes suporta DHT, portanto, nem precisa de um rastreador). Dito isto, seria o arquivo torrent mais difícil inicialmente começar ..
DBR
11
Sim, eu estava pensando em bloquear o pirate bay, por exemplo, não os downloads.
Cagcowboy 30/04/09
0

Um roteador SOHO como um Cisco 871w tem a capacidade de fazer uma inspeção profunda de pacotes. Você seria capaz de negar o P2P em todas as portas sem afetar outro tráfego.

O mesmo vale para mensagens instantâneas, RDP, etc ... Alguns clientes de mensagens instantâneas podem ser configurados para sair pela porta 80 (HTTP), que é improvável que você bloqueie. Mas um roteador como o Cisco 871w realmente opera em um nível mais alto do modelo OSI e pode detectar se o tráfego que atravessa a porta 80 é ou não HTTP ou algum outro protocolo.

Jim March
fonte
0

O motivo da solução técnica é que geralmente são os tipos de gerenciamento que estão fazendo isso.
É o mesmo problema de segurança: aqueles com os dados mais sensíveis são os que não se incomodam com uma senha, enviam e-mails confidenciais do Yahoo enquanto estão conectados ao wifi do aeroporto não criptografado e perdem laptops.
Como você não pode impor as regras com eles - eles fazem as regras - a única solução é aquela que eles não conhecem.

Martin Beckett
fonte