Điều gì để lọc khi cung cấp WiFi mở rất hạn chế cho một cuộc họp hoặc cuộc họp nhỏ?


11

Tóm tắt

Câu hỏi cơ bản là: nếu bạn có WiFi băng thông rất hạn chế để cung cấp Internet cho một cuộc họp nhỏ chỉ một hoặc hai ngày, làm thế nào để bạn đặt các bộ lọc trên bộ định tuyến để tránh một hoặc hai người dùng độc quyền tất cả băng thông có sẵn?

Đối với những người không có thời gian để đọc các chi tiết dưới đây, tôi KHÔNG tìm kiếm bất kỳ câu trả lời nào sau đây:

  • Bảo mật bộ định tuyến và chỉ cho phép một vài người đáng tin cậy sử dụng nó
  • Nói với mọi người để tắt các dịch vụ không sử dụng và nói chung là cảnh sát
  • Giám sát lưu lượng với trình thám thính và thêm bộ lọc khi cần

Tôi nhận thức được tất cả những điều đó. Không ai thích hợp vì những lý do sẽ trở nên rõ ràng.

C NOTENG LƯU Ý: Đã có một câu hỏi liên quan đến việc cung cấp WiFi đầy đủ tại các hội nghị lớn (> 500 người tham dự) tại đây . Câu hỏi này liên quan đến các cuộc họp NHỎ dưới 200 người, thường là ít hơn một nửa so với sử dụng WiFi. Một cái gì đó có thể được xử lý với một bộ định tuyến nhà hoặc văn phòng nhỏ.

Lý lịch

Tôi đã sử dụng thiết bị định tuyến 3G / 4G để cung cấp WiFi cho các cuộc họp nhỏ trong quá khứ với một số thành công. Nói nhỏ, tôi có nghĩa là các cuộc họp hoặc phòng họp đơn theo thứ tự của một barcamp hoặc Skepticamp hoặc cuộc họp nhóm người dùng. Các cuộc họp này đôi khi có người tham dự kỹ thuật ở đó, nhưng không độc quyền. Thông thường, ít hơn một nửa đến một phần ba số người tham dự sẽ thực sự sử dụng WiFi. Quy mô cuộc họp tối đa tôi đang nói đến là 100 đến 200 người.

Tôi thường sử dụng Cradlepoint MBR-1000 nhưng nhiều thiết bị khác tồn tại , đặc biệt là các thiết bị tất cả trong một được cung cấp bởi các nhà cung cấp 3G và / hoặc 4G như Verizon, Sprint và Clear. Các thiết bị này có kết nối internet 3G hoặc 4G và đưa nó ra cho nhiều người dùng sử dụng WiFi.

Một khía cạnh quan trọng của việc cung cấp truy cập mạng theo cách này là băng thông hạn chế có sẵn trên 3G / 4G. Ngay cả với thứ gì đó như Cradlepoint có thể cân bằng tải nhiều radio, bạn sẽ chỉ đạt được một vài megabits tốc độ tải xuống và có thể là một megabit hoặc hơn tốc độ tải lên. Đó là một trường hợp tốt nhất. Thường thì nó chậm hơn đáng kể.

Mục tiêu trong hầu hết các tình huống cuộc họp này là cho phép mọi người truy cập vào các dịch vụ như email, web, phương tiện truyền thông xã hội, dịch vụ trò chuyện, v.v. Điều này là để họ có thể viết blog trực tiếp hoặc tweet trực tiếp các thủ tục tố tụng, hoặc đơn giản là trò chuyện trực tuyến hoặc giữ liên lạc (với cả người tham dự và người không tham dự) trong khi cuộc họp diễn ra. Tôi muốn giới hạn các dịch vụ được cung cấp bởi bộ định tuyến chỉ những dịch vụ đáp ứng những nhu cầu đó.

Các vấn đề

Đặc biệt, tôi đã nhận thấy một vài tình huống trong đó người dùng cụ thể cuối cùng lạm dụng hầu hết băng thông trên bộ định tuyến, gây bất lợi cho mọi người. Những thứ này sôi thành hai khu vực:

  • Cố ý sử dụng . Mọi người xem video trên YouTube, tải podcast xuống iPod của họ và sử dụng băng thông cho những thứ thực sự không phù hợp trong phòng họp nơi bạn nên chú ý đến người nói và / hoặc tương tác.

    Trong một cuộc họp mà chúng tôi đang phát trực tiếp (qua một kết nối riêng, dành riêng) qua UStream, tôi nhận thấy một số người trong phòng có trang UStream để họ có thể tương tác với cuộc trò chuyện - dường như không biết rằng họ đang lãng phí truyền phát băng thông quay lại video về một cái gì đó đang diễn ra ngay trước mặt họ.

  • Vô ý sử dụng . Có một loạt các tiện ích phần mềm sẽ sử dụng rộng rãi băng thông trong nền, mà mọi người thường đã cài đặt trên máy tính xách tay và điện thoại thông minh của họ, có lẽ mà không nhận ra.

    Ví dụ:

  • Các chương trình tải ngang hàng như Bittorrent chạy trong nền

  • Dịch vụ cập nhật phần mềm tự động. Đây là những quân đoàn, vì mọi nhà cung cấp phần mềm lớn đều có riêng của họ, vì vậy người ta có thể dễ dàng có Microsoft, Apple, Mozilla, Adobe, Google và những người khác đều cố gắng tải xuống các bản cập nhật trong nền.

  • Phần mềm bảo mật tải xuống các chữ ký mới như chống vi-rút, chống phần mềm độc hại, v.v.

  • Phần mềm sao lưu và phần mềm khác "đồng bộ hóa" trong nền với các dịch vụ đám mây.

Để biết một số con số về mức độ băng thông mạng bị hút bởi các dịch vụ không phải là email, không phải email này, hãy xem bài viết có dây gần đây này . Rõ ràng web, email và trò chuyện cùng nhau chưa đến một phần tư lưu lượng truy cập Internet. Nếu các số trong bài viết đó là chính xác, bằng cách lọc ra tất cả những thứ khác tôi sẽ có thể tăng tính hữu dụng của WiFi bốn lần.

Bây giờ, trong một số tình huống, tôi đã có thể kiểm soát quyền truy cập bằng cách sử dụng bảo mật trên bộ định tuyến để giới hạn nó trong một nhóm người rất nhỏ (thường là người tổ chức cuộc họp). Nhưng điều đó không phải lúc nào cũng thích hợp. Trong một cuộc họp sắp tới, tôi muốn chạy WiFi mà không cần bảo mật và cho phép bất cứ ai sử dụng nó, bởi vì nó diễn ra tại địa điểm cuộc họp, vùng phủ sóng 4G trong thị trấn của tôi đặc biệt xuất sắc. Trong một thử nghiệm gần đây, tôi đã nhận được 10 Megabits tại địa điểm họp.

Giải pháp "nói với mọi người với cảnh sát" được đề cập ở trên là không phù hợp vì (a) phần lớn khán giả phi kỹ thuật và (b) bản chất không chủ ý của phần lớn việc sử dụng như mô tả ở trên.

Giải pháp "chạy sniffer và lọc khi cần" không hữu ích vì các cuộc họp này thường chỉ kéo dài một vài ngày, thường chỉ một ngày và có một đội ngũ tình nguyện viên rất nhỏ. Tôi không có một người để dành cho việc giám sát mạng và đến khi chúng tôi có các quy tắc được điều chỉnh hoàn toàn thì cuộc họp sẽ kết thúc.

Những gì tôi đã có

Điều đầu tiên, tôi hình dung rằng tôi sẽ sử dụng các quy tắc lọc tên miền của OpenDNS để lọc ra toàn bộ các lớp trang web. Một số trang web video và ngang hàng có thể bị xóa bằng cách sử dụng này. (Có, tôi biết rằng việc lọc qua DNS về mặt kỹ thuật sẽ giúp các dịch vụ có thể truy cập được - hãy nhớ rằng, phần lớn người dùng không có kỹ thuật này tham dự cuộc họp 2 ngày. Thế là đủ). Tôi hình dung mình sẽ bắt đầu với những lựa chọn này trong UI của OpenDNS:

Các hộp kiểm bộ lọc OpenDNS

Tôi nghĩ rằng có lẽ tôi cũng sẽ chặn DNS (cổng 53) cho bất kỳ thứ gì khác ngoài chính bộ định tuyến, để mọi người không thể bỏ qua cấu hình DNS của tôi. Một người dùng thông thái có thể giải quyết vấn đề này, vì tôi sẽ không đặt nhiều bộ lọc phức tạp lên tường lửa, nhưng tôi không quan tâm quá nhiều. Bởi vì các cuộc họp này không kéo dài rất lâu, nên có lẽ nó sẽ không đáng để gặp rắc rối.

Điều này sẽ bao gồm phần lớn lưu lượng truy cập không phải là web, tức là ngang hàng và video nếu bài viết có dây đó là chính xác. Vui lòng tư vấn nếu bạn nghĩ rằng có những hạn chế nghiêm trọng đối với phương pháp OpenDNS.

Tôi cân gi

Lưu ý rằng OpenDNS tập trung vào những thứ "phản cảm" trong bối cảnh này hay bối cảnh khác. Video, âm nhạc, đài phát thanh và ngang hàng đều được bảo hiểm. Tôi vẫn cần đề cập đến một số điều hoàn toàn hợp lý mà chúng tôi chỉ muốn chặn vì chúng không cần thiết trong một cuộc họp. Hầu hết trong số này là các tiện ích tải lên hoặc tải xuống những thứ hợp pháp trong nền.

Cụ thể, tôi muốn biết số cổng hoặc tên DNS để lọc để vô hiệu hóa các dịch vụ sau:

  • Cập nhật tự động của Microsoft
  • Cập nhật tự động của Apple
  • Adobe tự động cập nhật
  • Google cập nhật tự động
  • Các dịch vụ cập nhật phần mềm lớn khác
  • Cập nhật chữ ký virus / phần mềm độc hại / bảo mật chính
  • Dịch vụ sao lưu nền chính
  • Các dịch vụ khác chạy trong nền và có thể ăn nhiều băng thông

Tôi cũng muốn bất kỳ đề xuất nào khác mà bạn có thể có sẽ được áp dụng.

Xin lỗi vì quá dài dòng, nhưng tôi thấy nó rất hữu ích cho những câu hỏi có tính chất này và tôi đã có một nửa giải pháp với điều OpenDNS.


+1 cho câu hỏi được xây dựng rất chi tiết và chi tiết
Prix

OpenDNS sẽ làm rất tốt công việc chặn các trang web truyền thông ăn cắp băng thông đó; tuy nhiên, vấn đề bạn có thể gặp phải là thực tế là bất kỳ người dùng cuối nào cũng có thể chỉnh sửa cài đặt DNS của mình theo cách thủ công. Đó là, trừ khi bạn có bộ định tuyến hỗ trợ các lệnh IPTables (bất kỳ bộ định tuyến nào hỗ trợ DD-WRT) - theo cách đó, bạn có thể 'buộc' chúng sử dụng các cài đặt DNS bạn chỉ định.
emtunc

Câu trả lời:


3

Đối với người mới bắt đầu, hãy thật cụ thể về loại lưu lượng truy cập bạn muốn cho phép. Có quy tắc từ chối mặc định sau đó cho phép các cổng như 80, 443, 993, 587, 143, 110, 995, 465, 25 (Cá nhân tôi không muốn mở điều này, nhưng bạn có thể sẽ nhận được rất nhiều khiếu nại nếu bạn không) . Đồng thời cho phép kết nối UDP tới cổng 53 trên máy chủ của OpenDNS.

Điều này sẽ cung cấp cho bạn một khởi đầu tuyệt vời. Nó sẽ giết hầu hết các giao thức ăn cắp băng thông. Nó cũng sẽ chặn rất nhiều kết nối VPN (không phải ssl vpns), điều này sẽ giúp ngăn mọi người bỏ qua bảo mật của bạn.

Nếu bạn có một tường lửa có khả năng chặn các kiểu tệp, có lẽ bạn cũng nên chặn exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar và có lẽ là một nhóm khác Tôi đang rời đi.

Ngoài ra, những hạn chế hiện tại của bạn có lẽ là đủ tốt. Bạn có thể thêm thông tin cập nhật vào danh sách. Cá nhân, tôi sẽ không chặn cập nhật A / V. Nếu bạn thực sự muốn, bạn có thể chặn toàn bộ tên miền của họ (* .symantec.com, * .mcafee.com, * .trendmicro.com, v.v.). Các URL cập nhật của Microsoft có sẵn tại http://technet.microsoft.com/en-us/l Library / bb693717.aspx


2

Sử dụng OpenDNS sẽ không chặn torrent.

Nó sẽ chỉ chặn khả năng của họ để tìm torrent mới trực tuyến và thêm chúng vào hàng đợi của họ.

Nếu họ đi vào với 5 torrent được thực hiện một nửa, và sau đó liên kết với mạng LAN thông qua WiFi, thì, tất cả các torrent sẽ tiếp tục và lấy tất cả băng thông có sẵn. Đọc kỹ trang web OpenDNS chỉ ra điều này. Và nếu bạn nghĩ về cách DNS hoạt động, nó có ý nghĩa.

Chặn các torrent hiện có là khó khăn. Động thái thông minh nhất của bạn là giới hạn số lượng kết nối tối đa là 60 - 100 mỗi người dùng, ngay trên radio. iTunes và Torrent mở hàng ngàn.


1

Trước hết, bất kỳ một bộ định tuyến wifi nào thực sự chỉ tốt cho khoảng 60 kết nối, do đó, trường hợp xấu nhất trong số 'dưới 200 người với một nửa sử dụng wifi' (99 người dùng) vẫn có thể yêu cầu ít nhất một bộ định tuyến.

Thứ hai, bạn nên xem xét việc định hình lưu lượng truy cập ... lý tưởng nhất là bạn muốn cung cấp cho mọi IP ở bên trong cùng một băng thông tối thiểu được bảo đảm và để chúng chiến đấu vượt qua ... theo cách đó, không ai bị tắt nhưng ai đó vẫn có thể nổ tung sức chứa.


0

Tôi sẽ đề nghị bạn xem liệu các bộ định tuyến của bạn có thể sử dụng phần sụn tùy chỉnh như DD-WRT không . Với nó, bạn có thể sử dụng QOS sẽ thực sự là những gì bạn đang tìm kiếm.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.