SOHO - điều tiết lưu lượng bittorrent từ người dùng có vấn đề

Tôi quản lý mạng trong một văn phòng nhỏ (SW dev là "công việc thực sự" của tôi) và có một vài người dùng đã đánh bại kết nối internet của chúng tôi bằng cách chạy bittorrent. Giữa hiệu ứng gần như tê liệt ở phía tải lên (20Mbps) và trách nhiệm pháp lý tiềm năng, tôi muốn tắt nó càng nhiều càng tốt.

Một số chi tiết nhanh chóng trong dự đoán các câu hỏi hoặc đề xuất:

• chúng tôi có 2 bộ định tuyến (1 Linksys, 1 Buffalo) chạy DD-WRT mới nhất và một D-Link DIR-655 chạy bất cứ phần mềm nhà máy mới nhất nào

• Internet là kế hoạch FiOS 20/20

• Người dùng kết nối qua WiFi & có dây, mọi người đều sử dụng DHCP

• có được phần cứng mới (giả sử <$ 1000) mà thực sự lừa một cách đáng tin cậy là một tùy chọn

• chúng tôi có chính sách sử dụng internet, vâng, nhưng tôi muốn thực thi nó nhiều nhất có thể thông qua CNTT vì tất cả chúng ta đều biết rằng một số người không thể tuân thủ các quy tắc. Có tôi biết rằng việc giải quyết vấn đề này là một vấn đề xã hội, nhưng phần này nằm ngoài thẩm quyền / sự kiểm soát của tôi.

• các chiến lược chung (chặn hoàn toàn quyền truy cập bằng MAC / IP, chặn cổng, v.v.) sẽ không hoạt động. Ít nhất 2 người thường xuyên lập trình lại các địa chỉ MAC trên giao diện Ethernet của họ.

Tôi hiểu rằng các máy khách BT có thể được cấu hình để sử dụng các cổng khác, vì vậy chỉ cần chặn phạm vi cổng BT tiêu chuẩn là yếu.

Tôi không thể tin tôi là người đầu tiên lột da con mèo này. Hoặc có thể chỉ có IT depts. Với ngân sách thiết bị lớn có thể lột da con mèo này?

Cảm ơn bạn đã giúp đỡ!

Bạn nói đúng, đây thực sự là một vấn đề xã hội cần được quản lý giải quyết. Nếu một số người nhất định đang tác động đến mạng đến mức gây ra sự cố cho người khác, thì họ cần phải được xử lý và giải thích hậu quả sẽ ra sao nếu họ tiếp tục. Lập trình lại các địa chỉ MAC trên các NIC của họ? Nếu họ không có nhu cầu chính đáng để làm điều đó thì bạn có thể xem xét việc khóa bộ định tuyến wifi và chuyển mạch mạng để chỉ chấp nhận kết nối từ một số địa chỉ MAC nhất định. Nếu họ thay đổi nó, họ không thể truy cập mạng và đột nhiên việc lọc / giới hạn địa chỉ MAC trở thành khả năng tại bộ định tuyến viền.

Định hình lưu lượng truy cập cho các cổng không chuẩn cũng có thể được sử dụng để giảm lượng băng thông có sẵn cho tất cả các cổng ngoại trừ http, ftp, smtp, v.v. Việc giảm lượng băng thông có sẵn cho các ứng dụng không chuẩn khiến chúng trở nên ít mong muốn hơn .

Một tùy chọn khác tại bộ định tuyến / tường lửa biên giới của bạn là chỉ cho phép một số cổng nhất định cho lưu lượng truy cập đi, giới hạn ở các cổng tiêu chuẩn. Điều này có thể hoặc không thể thực tế với môi trường của bạn.

Kích hoạt QoS trên công cụ DD-WRT của bạn như được mô tả ở đây . Làm cho tất cả lưu lượng truy cập không phải là cổng-80/22/25 / IMAP / POP bị giới hạn ở một số lượng băng thông rất nhỏ và làm cho ngay cả các cổng đó bị giới hạn ở mức hợp lý như 2Mb / giây.

Sau đó hãy đọc BOFH để biết ý tưởng về những việc cần làm đối với người dùng vi phạm.

Nếu một văn phòng nhỏ bảo nhân viên ngừng sử dụng hành vi kỷ luật hoặc đối mặt với kỷ luật, thì việc dành tiền / thời gian cho việc định hình giao thông cho một văn phòng nhỏ có vẻ vô lý ... trừ khi có một số trường hợp đặc biệt mà bạn chưa đề cập.

Tôi chắc chắn rằng người quản lý văn phòng của bạn sẽ muốn biết lý do tại sao nhân viên của họ có thời gian để thiết lập bittorent, thay đổi địa chỉ mac của họ, v.v. vào thời gian của công ty ...

Nếu bạn dùng các thủ thuật kỹ thuật và bỏ qua khía cạnh xã hội, kẻ xấu sẽ thử các thủ đoạn linh tinh để tránh các hạn chế. Nếu bạn sẽ triển khai thứ gì đó đánh dấu và định hình lưu lượng bittorrent, họ sẽ bắt đầu sử dụng mã hóa, v.v.

Nếu bạn chỉ đi xã hội và bắt đầu la mắng kẻ xấu, bạn sẽ trở thành kẻ thù của họ. Đặc biệt nếu đây không phải là công việc chính của bạn ở đó. Họ có thể nghĩ rằng bạn đang hạn chế họ để làm hài lòng ông chủ chẳng hạn. Và làm việc hàng ngày với những người ghét bạn là điều đáng buồn.

Một cách tiếp cận rất hiệu quả mà hầu như không có bạo lực là giám sát việc sử dụng mạng. Thiết lập một cái gì đó như mrtg và làm cho biểu đồ sử dụng mạng công khai cho bất kỳ ai trong văn phòng. Vì vậy, ngay khi ai đó sẽ phàn nàn về internet chậm - hãy gửi anh ta đến đó để xem ai đang lãng phí băng thông.

Bằng cách này, bạn sẽ không phải chiến đấu một mình chống lại băng thông. Bạn thậm chí sẽ không cần phải chiến đấu, những người dùng tốt sẽ ăn những người xấu.

Nếu bạn không có quyền đánh vào họ vì khao khát điều đó và những người không sẵn lòng cũng vậy, thì bạn đã hết may mắn rồi. Vâng, có những cách công nghệ để giải quyết điều này. Dường như ít nhất một số người dùng có vấn đề của bạn có thể đủ hiểu biết để tránh khá nhiều giải pháp công nghệ mà bạn thử. Tồi tệ hơn, đối với loại người mà bạn đã xác nhận hoàn toàn rằng họ có thể làm được (vì không có phản hồi của quản lý) miễn là họ làm theo cách tránh các rào cản mà bạn đưa ra.

Bạn nên xem trên M0n0wall và pfSense .

Tôi tin rằng các tính năng định hình lưu lượng truy cập của pfSense tốt hơn và đó là tính năng tôi muốn đề xuất.

Rất tiếc, tài liệu này rất khan hiếm nhưng nếu bạn thử nghiệm một chút thì không khó để tìm ra mọi thứ.
Chỉ cần chạy trình hướng dẫn và tìm hiểu từ các quy tắc mà nó sẽ tạo ra. Ngoài ra, hãy xem Hướng dẫn định hình giao thông này .

Mặc dù điều này sẽ không giải quyết các vấn đề xã hội của bạn cũng như sẽ không phải là một giải pháp cuối cùng trong việc thực thi các quy tắc, tôi tin rằng đó là một nền tảng tốt.
Bạn có thể cho phép họ sử dụng băng thông trong khi đảm bảo mọi thứ khác quan trọng hơn sẽ không bị ảnh hưởng.

Bạn đã xem xét một proxy web như Squid? Đó có thể là một lựa chọn. Tôi biết các chàng trai lớn có thể lọc ở cấp độ gói.

Một cách khác để chống lại điều này là chạy quét thời gian của từng máy trạm / máy tính xách tay cho đến khi cài đặt. Bạn thấy một khách hàng BitTorrent, bạn gắn cờ người dùng. Bạn có thể viết kịch bản cho những thứ dễ dàng bằng cách truy vấn sổ đăng ký tại:

HKLM \ PHẦN MỀM \ Microsoft \ Windows \ CurrentVersion \ Gỡ cài đặt \

Khóa các máy đó - xóa quyền quản trị viên. Chúng hành động như những đứa trẻ hư hỏng, và điều duy nhất bạn thực sự có thể làm là đối xử với chúng theo cách đó.

Nó sẽ không hoạt động đối với người dùng tinh vi, nhưng tôi đã từng chặn một số người dùng khỏi một trang web bằng cách đặt một mục giả trong c: \ Windows \ system32 \ etc \ hosts

Bộ định tuyến SOHO như Cisco 871w có khả năng kiểm tra gói sâu. Bạn sẽ có thể từ chối P2P trên tất cả các cổng mà không ảnh hưởng đến lưu lượng khác.

Điều tương tự cũng xảy ra với Tin nhắn tức thời, RDP, v.v ... Một số ứng dụng khách nhắn tin tức thời có thể được định cấu hình để đi qua Cổng 80 (HTTP) mà bạn không thể chặn được. Nhưng một bộ định tuyến như Cisco 871w thực sự hoạt động ở mức cao hơn của mô hình OSI và có thể phát hiện xem lưu lượng đi qua cổng 80 là HTTP hay một số giao thức khác.

Lý do cho giải pháp kỹ thuật là vì đó thường là các loại quản lý đang thực hiện nó.
Vấn đề tương tự với bảo mật, những người có dữ liệu nhạy cảm nhất là những người không bận tâm đến mật khẩu, gửi email bí mật từ Yahoo trong khi đăng nhập vào wifi sân bay không được mã hóa và mất máy tính xách tay.
Vì bạn không thể thực thi các quy tắc với họ - họ đưa ra các quy tắc - giải pháp duy nhất là giải pháp mà họ không biết.