SOHO - limita o tráfego bitorrent de usuários problemáticos

Eu gerencio a rede em um pequeno escritório (o SW dev é o meu "trabalho de verdade"), e há alguns usuários que superam nossa conexão com a Internet executando o bittorrent. Entre o efeito quase paralisante do lado do upload (20 Mbps) e a responsabilidade potencial, quero encerrar o máximo possível.

Alguns detalhes rápidos em antecipação a perguntas ou sugestões:

• temos 2 roteadores (1 Linksys, 1 Buffalo) executando o DD-WRT mais recente e um D-Link DIR-655 executando o que for o software de fábrica mais recente

• Internet é o plano FiOS 20/20

• os usuários se conectam via Wi-Fi e com fio, todos usam DHCP

• adquirir um novo hardware (digamos <$ 1000) que realmente faz o truque de forma confiável é uma opção

• temos uma política de uso da Internet, sim, mas quero aplicá-la o máximo possível por meio da TI, porque todos sabemos que algumas pessoas simplesmente não conseguem seguir as regras. Sim, eu sei que lidar com isso é uma questão social, mas esta parte está fora da minha autoridade / controle.

• as estratégias comuns (bloquear completamente o acesso por MAC / IP, bloquear portas, etc.) não funcionarão. Pelo menos 2 das pessoas reprogramam rotineiramente os endereços MAC em suas interfaces Ethernet.

Entendo que os clientes BT podem ser configurados para usar outras portas, portanto, apenas o bloqueio do intervalo de portas BT padrão é uma fraqueza.

Não acredito que sou a primeira pessoa a esfolar esse gato. Ou talvez apenas o departamento de TI. com grandes orçamentos de equipamentos pode esfolar esse gato?

Obrigado pela ajuda!

Você está certo, é realmente um problema social que precisa ser tratado pela gerência. Se certas pessoas estão impactando a rede a ponto de causar problemas para outras pessoas, elas precisam ser tratadas e explicadas quais serão as consequências se continuarem assim. Reprogramando os endereços MAC em suas NICs? Se eles não tiverem necessidade legítima de fazer isso, considere bloquear o roteador wifi e os comutadores de rede para aceitar apenas conexões de determinados endereços MAC. Se eles mudarem, não poderão acessar a rede e, de repente, a filtragem / limitação de endereços MAC se tornará uma possibilidade no roteador de borda.

A modelagem de tráfego para portas não padrão também pode ser empregada para reduzir a quantidade de largura de banda disponível para todas as portas, exceto o http, ftp, smtp, etc. Reduzir a quantidade de largura de banda disponível para aplicativos não padrão os torna muito menos desejáveis .

Outra opção no seu roteador / firewall de borda é permitir apenas determinadas portas para tráfego de saída, limitadas às portas padrão. Isso pode ou não ser prático, dado o seu ambiente.

Habilite a QoS no seu material DD-WRT, conforme descrito aqui . Torne todo o tráfego que não seja de porta 80/22/25 / IMAP / POP limitado a uma quantidade muito pequena de largura de banda e faça até essas portas limitadas a algo razoável, como 2 Mb / s ou mais.

Em seguida, leia BOFH para obter idéias sobre o que fazer com os usuários ofensivos.

Se for um escritório pequeno, peça aos funcionários que parem de usar ações disciplinares ou enfrentem ações disciplinares, gastar dinheiro / tempo na modelagem de tráfego para um escritório pequeno parece ridículo ... a menos que haja circunstâncias extraordinárias que você não tenha mencionado.

Estou certo de que o gerente do seu escritório gostaria de saber por que os funcionários têm tempo para configurar bittorent, alterar o endereço MAC, etc, no horário da empresa ...

Se você usar truques técnicos e ignorar o aspecto social, os bandidos tentarão truques diversos para evitar as restrições. Se você implementar algo que marque e modele o tráfego bittorrent, eles começarão a usar criptografia etc.

Se você for apenas social e começar a gritar com os bandidos, você se tornará o inimigo deles. Especialmente se este não é o seu trabalho principal lá. Eles podem pensar que você os está restringindo para agradar o chefe, por exemplo. E trabalhar diariamente com pessoas que te odeiam é triste.

Uma abordagem muito eficaz que quase não envolve violência é monitorar o uso da rede. Configure algo como mrtg e disponibilize publicamente os gráficos de uso da rede para qualquer pessoa no escritório. Então, assim que alguém reclamar sobre a internet lenta - envie-o para ver quem está desperdiçando a largura de banda.

Dessa forma, você não terá que lutar sozinho contra os porcos da largura de banda. Você nem precisa lutar, os bons usuários comem os ruins.

Se você não tem autoridade para dar um tapinha neles e as pessoas que não o desejam também, então você está sem sorte. Sim, existem maneiras tecnológicas de resolver isso. Parece que pelo menos alguns dos usuários com problemas provavelmente são espertos o suficiente para evitar praticamente qualquer solução tecnológica que você tente. Pior ainda, para esse tipo de pessoa que você validou implicitamente que é aceitável que eles o façam (já que não houve resposta da gerência), desde que o façam de uma maneira que evite os obstáculos que você coloca.

Você deve dar uma olhada no M0n0wall e no pfSense .

Acredito que os recursos de modelagem de tráfego do pfSense são melhores e esse é o que eu sugeriria.

Infelizmente, a documentação é muito escassa, mas se você experimentá-la um pouco, não é difícil entender as coisas.
Basta executar o assistente e aprender com as regras que ele criará. Além disso, consulte este Guia de modelagem de tráfego .

Embora isso não resolva seus problemas sociais e não seja uma solução final para aplicar as regras, acredito que seja um bom meio termo.
Você pode permitir que eles usem a largura de banda enquanto garante que tudo o mais importante não seja afetado.

Você já considerou um proxy da web como o Squid? Essa pode ser uma opção. Eu sei que os meninos grandes podem filtrar no nível do pacote.

Outra maneira de combater isso é executar verificações periódicas de cada estação de trabalho / laptop até onde estiver instalado. Você vê um cliente BitTorrent, sinaliza o usuário. Você pode criar scripts para as coisas mais fáceis consultando o registro em:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Bloqueie essas máquinas - remova os direitos de administrador. Eles estão agindo como crianças mimadas, e a única coisa que você realmente pode fazer é tratá-las dessa maneira.

Ele não funcionará para usuários sofisticados, mas uma vez eu bloqueei certos usuários de um site colocando uma entrada fictícia em c: \ Windows \ system32 \ etc \ hosts

Um roteador SOHO como um Cisco 871w tem a capacidade de fazer uma inspeção profunda de pacotes. Você seria capaz de negar o P2P em todas as portas sem afetar outro tráfego.

O mesmo vale para mensagens instantâneas, RDP, etc ... Alguns clientes de mensagens instantâneas podem ser configurados para sair pela porta 80 (HTTP), que é improvável que você bloqueie. Mas um roteador como o Cisco 871w realmente opera em um nível mais alto do modelo OSI e pode detectar se o tráfego que atravessa a porta 80 é ou não HTTP ou algum outro protocolo.

O motivo da solução técnica é que geralmente são os tipos de gerenciamento que estão fazendo isso.
É o mesmo problema de segurança: aqueles com os dados mais sensíveis são os que não se incomodam com uma senha, enviam e-mails confidenciais do Yahoo enquanto estão conectados ao wifi do aeroporto não criptografado e perdem laptops.
Como você não pode impor as regras com eles - eles fazem as regras - a única solução é aquela que eles não conhecem.