SOHO: limitare il traffico bittorrent degli utenti problematici

Gestisco la rete in un piccolo ufficio (SW dev è il mio "vero lavoro"), e ci sono un paio di utenti che hanno battuto il diavolo dalla nostra connessione Internet eseguendo bittorrent. Tra l'effetto quasi paralizzante sul lato upload (20 Mbps) e la potenziale responsabilità, voglio chiudere il più possibile.

Alcuni rapidi dettagli in previsione di domande o suggerimenti:

• abbiamo 2 router (1 Linksys, 1 Buffalo) con l'ultimo DD-WRT e un D-Link DIR-655 funzionante qualunque sia l'ultimo software di fabbrica

• Internet è un piano FiOS 20/20

• gli utenti si connettono tramite WiFi e via cavo, tutti usano DHCP

• l'acquisizione di nuovo hardware (diciamo <$ 1000) che fa davvero il trucco in modo affidabile è un'opzione

• abbiamo adottato una politica di utilizzo di Internet, sì, ma voglio applicarla il più possibile tramite l'IT perché sappiamo tutti che alcune persone non riescono a seguire le regole. Sì, lo so che affrontare questo è un problema sociale, ma questa parte è fuori dalla mia autorità / controllo.

• le strategie comuni (blocco completo dell'accesso tramite MAC / IP, blocco delle porte, ecc.) non funzioneranno. Almeno 2 persone riprogrammano abitualmente gli indirizzi MAC sulle loro interfacce Ethernet.

Comprendo che i client BT possono essere configurati per utilizzare altre porte, quindi il solo blocco dell'intervallo di porte BT standard è debole.

Non riesco a credere di essere la prima persona a scuoiare questo gatto. O forse dipende solo dall'IT. con budget di attrezzature di grandi dimensioni può scuoiare questo gatto?

Grazie per l'aiuto!

Hai ragione, è davvero un problema sociale che deve essere affrontato dalla direzione. Se alcune persone hanno un impatto sulla rete al punto che sta causando problemi ad altri, allora devono essere affrontate e spiegate quali saranno le conseguenze se la continuano. Riprogrammazione degli indirizzi MAC sulle loro schede NIC? Se non hanno legittimo bisogno di farlo, potresti considerare di bloccare il router wifi e gli switch di rete per accettare connessioni solo da determinati indirizzi MAC. Se lo cambiano, non possono accedere alla rete e all'improvviso il filtro / limitazione dell'indirizzo MAC diventa una possibilità sul router di frontiera.

La modellazione del traffico per le porte non standard può anche essere impiegata per ridurre la quantità di larghezza di banda disponibile per tutte le porte tranne http, ftp, smtp, ecc. Standard La riduzione della quantità di larghezza di banda disponibile per applicazioni non standard le rende molto meno desiderabili .

Un'altra opzione sul router / firewall di frontiera è consentire solo determinate porte per il traffico in uscita, limitato alle porte standard. Questo può o meno essere pratico dato il tuo ambiente.

Abilita QoS sulle tue cose DD-WRT come descritto qui . Rendi tutto il traffico non-port-80/22/25 / IMAP / POP limitato a una quantità molto piccola di larghezza di banda e limita anche quelle porte a qualcosa di ragionevole come 2Mb / se circa.

Quindi vai a leggere BOFH per idee su cosa fare agli utenti offensivi.

Se è un piccolo ufficio dire ai dipendenti di smettere di usare azioni bittorent o affrontare azioni disciplinari, spendere soldi / tempo per modellare il traffico per un piccolo ufficio sembra ridicolo ... a meno che non ci siano circostanze straordinarie che non hai menzionato.

Sono sicuro che il responsabile del tuo ufficio vorrebbe sapere perché i loro dipendenti hanno il tempo di impostare bittorent, cambiare il loro indirizzo mac, ecc. Al momento dell'azienda ...

Se scegli trucchi tecnici e ignori l'aspetto sociale, i cattivi proveranno trucchi sbagliati per evitare le restrizioni. Se implementerai qualcosa che segna e modella il traffico bittorrent, inizieranno a usare la crittografia ecc.

Se vai solo sui social e inizi a urlare contro i cattivi, diventerai il loro nemico. Soprattutto se questo non è il tuo lavoro principale lì. Potrebbero pensare che li stai limitando per compiacere il capo, per esempio. E lavorare quotidianamente con persone che ti odiano è triste.

Un approccio molto efficace che non comporta quasi nessuna violenza è il monitoraggio dell'utilizzo della rete. Imposta qualcosa come mrtg e rendi i grafici di utilizzo della rete disponibili al pubblico per chiunque in ufficio. Quindi non appena qualcuno si lamenterà di Internet lenta, mandalo lì per vedere chi sta sprecando la larghezza di banda.

In questo modo non dovrai combattere da solo contro i maiali della larghezza di banda. Non avrai nemmeno bisogno di combattere, i buoni utenti mangeranno quelli cattivi.

Se non hai l'autorità per schiacciarli al più presto e anche le persone che non lo desiderano, allora sei quasi sfortunato. Sì, ci sono modi tecnologici per affrontare questo. Sembra che almeno alcuni dei tuoi utenti problematici siano probabilmente abbastanza esperti da evitare praticamente qualsiasi soluzione tecnologica che provi comunque. Peggio ancora, per quel tipo di persona che ora hai implicitamente convalidato che è giusto che lo facciano (poiché non c'è stata alcuna risposta da parte della direzione) purché lo facciano in un modo che eviti i blocchi stradali che hai messo.

Si dovrebbe prendere uno sguardo su M0n0wall e pfSense .

Credo che le funzionalità di traffic shaping di pfSense siano migliori ed è quella che suggerirei.

La documentazione è purtroppo molto scarsa ma se ci provi un po 'non è difficile capire le cose.
Basta eseguire la procedura guidata e imparare dalle regole che creerà. Inoltre, controlla questa guida sulla modellizzazione del traffico .

Anche se questo non risolverà i tuoi problemi sociali né sarà la soluzione finale per far rispettare le regole, credo che sia una buona via di mezzo.
Puoi consentire loro di utilizzare la larghezza di banda assicurandoti che tutto ciò che è più importante non venga influenzato.

Hai considerato un proxy web come Squid? Questa potrebbe essere un'opzione. So che i ragazzi grandi possono filtrare a livello di pacchetto.

Un altro modo per contrastare questo è eseguire scansioni periodiche di ogni workstation / laptop per quanto installato. Vedi un client BitTorrent, contrassegni l'utente. Puoi eseguire lo script per le cose semplici interrogando il registro su:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Blocca quelle macchine: rimuovi i diritti di amministratore. Si comportano come bambini viziati e l'unica cosa che puoi davvero fare è trattarli in quel modo.

Non funzionerà per utenti sofisticati, ma una volta ho bloccato alcuni utenti da un sito inserendo una voce fittizia in c: \ Windows \ system32 \ etc \ hosts

Un router SOHO come Cisco 871w ha la capacità di eseguire ispezioni approfondite dei pacchetti. Saresti in grado di negare P2P su tutte le porte senza influire sull'altro traffico.

Lo stesso vale per Instant Messaging, RDP, ecc ... Alcuni client di messaggistica istantanea possono essere configurati per uscire attraverso la Porta 80 (HTTP), che difficilmente si bloccherebbe. Ma un router come Cisco 871w funziona effettivamente a un livello superiore del modello OSI e può rilevare se il traffico che attraversa la porta 80 è HTTP o qualche altro protocollo.

Il motivo della soluzione tecnica è che di solito sono i tipi di gestione che lo stanno facendo.
È lo stesso problema con la sicurezza, quelli con i dati più sensibili sono quelli che non si preoccupano di una password, inviano e-mail confidenziali da Yahoo mentre si connettono al wifi dell'aeroporto non crittografato e perdono i laptop.
Dal momento che non è possibile applicare le regole con loro - creano le regole - l'unica soluzione è quella di cui non sono a conoscenza.