Blocco di BitTorrent

In che modo è possibile bloccare o rallentare gravemente BitTorrent e servizi peer-to-peer (P2P) simili sulla propria piccola rete aziendale?

Nella ricerca di Server Fault non sono riuscito a trovare una domanda che servisse da punto di incontro per le migliori idee tecniche su questo. Le domande esistenti riguardano tutte situazioni specifiche e le risposte dominanti sono di natura sociale / legale. Sono approcci validi, ma sospetto che una discussione puramente tecnica sarebbe utile a molte persone. Supponiamo che tu non abbia accesso alle macchine sulla rete.

Con l'uso della crittografia in aumento nel traffico P2P, sembra che l'ispezione dei pacchetti con stato stia diventando una soluzione meno praticabile. Un'idea che sembra avere senso per me è semplicemente limitare gli utenti pesanti tramite IP, indipendentemente da ciò che stanno inviando o ricevendo, ma al momento non sembra che molti router supportino tale funzionalità.

Come puoi limitare il traffico P2P / BitTorrent?

Penso che la maggior parte degli approcci che chiedono "Come bloccare X" siano semplicemente sbagliati. È l'enumerazione della cattiveria.

Adesso passatemi un voto negativo, ma penso che dovreste (come nel caso dei firewall "normali") consentire il traffico che corrisponde al traffico noto. Ma ora hai un problema, il traffico HTTP crittografato SSL non è così facile da consentire. Ci sono soluzioni che sono effettivamente un uomo nel mezzo dell'attacco, quindi se non hai il controllo totale sui clienti e contratti firmati in cui le persone accettano di essere ficcati il ​​naso su di te, potresti dover affrontare spese legali (in alcuni paesi che è totalmente proibito dalla legge , alcuni paesi consentono tali termini nei contratti).

Per me l'unico livello sano in cui si desidera distinguere tra traffico P2P e traffico normale è un firewall per applicazioni. Non è possibile che un firewall all'IP o al livello di trasporto prenda decisioni consapevolmente se il payload effettivo è una richiesta valida o meno.

Ci sono stato, l'ho provato. Semplicemente non funzionerà. In un ambiente SOHO, come quello in cui lavoro, non c'è modo di dire cosa sia il P2P e quale sia il traffico "legittimo", dato che l'attrezzatura che abbiamo non è così sofisticata. L'unico modo che ho trovato che valga la pena di tutto è un modo più "manuale".

Il mio sistema di monitoraggio (Nagios) mi avvisa quando il traffico sull'interfaccia esterna del firewall rimane sopra un punto preimpostato per più di due periodi di controllo consecutivi, distanti 5 minuti. Quando ciò accade, guardo la visualizzazione del traffico in tempo reale sull'interfaccia di gestione del firewall (Smoothwall) e se vedo una macchina particolare con un flusso di traffico abbastanza continuo verso o da Internet, guardo da remoto per vedere cosa è in esecuzione su quella macchina . Se vedo qualcosa che so essere un client P2P, visiterò quell'utente.

Questo è piuttosto rozzo ma, e questo è un punto piuttosto importante, è il meglio che posso fare con quello che ho a disposizione .

Il mio metodo preferito è configurare il client per limitare se stesso. Questo sembra essere il metodo più semplice ed efficace. Quasi ogni client lo supporta; Uso l'antico client ctorrent e persino supporta il throttling configurabile dinamicamente tramite l' estensione CTCS .

Se il cliente o l'utente di gestione rifiuta di farlo e il social engineering fallisce, corro dritto per QFQ o WF2Q . La maggior parte dei router SOHO da $ 50 non lo supportano, si tratta di un'operazione tecnica e complicata, ottieni quello per cui paghi . Costruisco i miei router basati su Alix o Soekris (il costo è in genere di circa $ 100 ciascuno con parti usate al di fuori di eBay) in modo da poter eseguire m0n0-wall , pfSense o FreeBSD dritto (il mio sistema operativo preferito, anche se non è possibile utilizzare Linux ). Ultimamente ho esaminato la RouterStation come un'alternativa più economica a questi SBC .

Le persone intelligenti di ResTek del mio vecchio datore di lavoro, che gestivano una grande rete di dormitori universitari, dovevano occuparsene molto. Hanno finito con uno shaper di pacchetti che ha dato la priorità al traffico BT rispetto al normale traffico HTTP. I pacchetti sono ancora passati e la condivisione è ancora avvenuta, ma ci sono voluti ¹ cane di età . Secondo loro, ha funzionato davvero bene.

Anche con payload crittografati, il traffico BT è riconoscibile per la sua forma; molte connessioni un po 'persistenti a molti altri nodi. È ancora aggirabile, quindi non è perfetto.

1: Quindi cosa hanno fatto? Vai al campus WLAN a BT cose. Quindi, quando sono arrivate le notifiche DMCA, il portale captive aveva già registrato le loro informazioni di accesso e IP, quindi sapevamo con chi parlare.

In un ambiente SOHO?

• l7-filter è un'estensione per iptables Linux che consente alle regole del firewall di corrispondere ai dati del livello applicazione nei pacchetti. Aggiungilo a un firewall iptables esistente ...
• Rimuovi i client BitTorrent dai computer degli utenti.