SOHO - ограничить битторрент трафик от проблемных пользователей

Я управляю сетью в небольшом офисе (SW dev - моя «настоящая работа»), и есть пара пользователей, которые чертовски выбивают наше интернет-соединение, используя bittorrent. Между почти разрушительным эффектом на стороне загрузки (20 Мбит / с) и потенциальной ответственностью, я хочу как можно больше прекратить это.

Некоторые быстрые детали в ожидании вопросов или предложений:

• у нас есть 2 маршрутизатора (1 Linksys, 1 Buffalo), на которых установлена ​​последняя версия DD-WRT, и один D-Link DIR-655, на котором установлено новейшее заводское программное обеспечение.

• Интернет - это план FiOS 20/20

• пользователи подключаются через WiFi и проводной, все используют DHCP

• приобретение нового оборудования (скажем, <1000 долларов США), которое действительно делает свое дело надежно, является вариантом

• у нас есть политика использования интернета, да, но я хочу максимально усилить ее с помощью ИТ, потому что все мы знаем, что некоторые люди просто не могут следовать правилам. Да, я знаю, что решение этой проблемы является социальной проблемой, но эта часть находится вне моей власти / контроля.

• общие стратегии (полностью блокировать доступ по MAC / IP, блокировать порты и т. д.) не будут работать. По крайней мере 2 человека регулярно перепрограммируют MAC-адреса на своих интерфейсах Ethernet.

Я понимаю, что клиенты BT могут быть настроены на использование других портов, поэтому просто блокировка стандартного диапазона портов BT является слабым соусом.

Я не могу поверить, что я первый человек, который снял кожу с этой кошки. Или, может быть, только ИТ-отделы. с большими бюджетами оборудования можно шкурить эту кошку?

Спасибо за вашу помощь!

Вы правы, это действительно социальная проблема, которая должна решаться руководством. Если некоторые люди влияют на сеть до такой степени, что это создает проблемы для других, то им нужно разобраться и объяснить, каковы будут последствия, если они будут продолжать в том же духе. Перепрограммирование MAC-адресов на их сетевых картах? Если у них нет законной необходимости делать это, вы можете заблокировать маршрутизатор Wi-Fi и сетевые коммутаторы, чтобы принимать соединения только с определенных MAC-адресов. Если они меняют его, они не могут войти в сеть, и внезапно фильтрация / ограничение MAC-адресов становится возможной на пограничном маршрутизаторе.

Формирование трафика для нестандартных портов также можно использовать для уменьшения объема доступной полосы пропускания для всех портов, кроме стандартных http, ftp, smtp и т. Д. Уменьшение количества полосы пропускания, доступной для нестандартных приложений, делает их намного менее желательными ,

Другой вариант на вашем пограничном маршрутизаторе / брандмауэре - разрешить только определенные порты для исходящего трафика, ограниченные стандартными портами. Это может или не может быть практичным, учитывая вашу среду.

Включите QoS для вашего DD-WRT, как описано здесь . Ограничьте весь трафик, не связанный с портом 80/22/25/ IMAP / POP, какой-либо очень небольшой полосой пропускания, и ограничьте даже эти порты чем-то разумным, например 2 Мбит / с или около того.

Затем прочитайте BOFH, чтобы узнать, что делать с обидчиками.

Если это небольшой офис, скажите сотрудникам прекратить использовать битторент или подвергнуться дисциплинарным взысканиям, тратить деньги / время на формирование трафика для небольшого офиса кажется нелепым ... если нет каких-то чрезвычайных обстоятельств, о которых вы не упомянули.

Я уверен, что менеджер вашего офиса захочет узнать, почему их сотрудники успевают установить битторент, менять свой MAC-адрес и т. Д. В рабочее время компании ...

Если вы пойдете на технические приемы и проигнорируете социальный аспект, плохие парни попробуют разные приемы, чтобы избежать ограничений. Если вы реализуете что-то, что помечает и формирует битторрентный трафик, они начнут использовать шифрование и т. Д.

Если вы пойдете только в социальные сети и начнете кричать на плохих парней, вы станете их врагом. Особенно, если это не твоя основная работа там. Они могут подумать, что вы ограничиваете их, чтобы понравиться боссу, например. И работать ежедневно с людьми, которые тебя ненавидят, грустно.

Очень эффективный подход, который практически не требует насилия, - это мониторинг использования сети. Установите что-то вроде mrtg и сделайте графики использования сети общедоступными для любого человека в офисе. Так что, как только кто-то будет жаловаться на медленный интернет - отправьте его туда, чтобы посмотреть, кто тратит трафик.

Таким образом, вам не придется сражаться в одиночку против свиней. Вам даже не нужно будет драться, хорошие пользователи будут есть плохих.

Если у вас нет полномочий шлепать их в первую очередь за это, и люди, которые этого не хотят, то вам не повезло. Да, есть технологические способы решения этой проблемы. Похоже, что, по крайней мере, некоторые из ваших проблемных пользователей достаточно опытны, чтобы избежать практически любого технического решения, которое вы попробуете. Хуже того, для такого рода людей вы теперь неявно подтвердили, что это нормально для них (поскольку не было никакого ответа со стороны руководства), если они делают это таким образом, чтобы избежать препятствий, которые вы установили.

Вы должны взглянуть на M0n0wall и pfSense .

Я считаю, что функции pfSense для управления трафиком лучше, и я бы предложил именно это.

Документация, к сожалению, очень скудная, но если вы немного поэкспериментируете, разобраться не составит труда.
Просто запустите мастер и изучите правила, которые он создаст. Также проверьте это Руководство по формированию трафика .

Хотя это не решит ваши социальные проблемы и не станет окончательным решением для обеспечения соблюдения правил, я считаю, что это хорошая середина.
Вы можете разрешить им использовать пропускную способность, при этом убедившись, что все остальное, что более важно, не пострадает.

Рассматривали ли вы веб-прокси, как Squid? Это может быть одним из вариантов. Я знаю, что большие мальчики могут фильтровать на уровне пакетов.

Другим способом борьбы с этим является запуск периодического сканирования каждой рабочей станции / ноутбука до того, что установлено. Вы видите клиент BitTorrent, вы отмечаете пользователя. Вы можете написать скрипт для простых вещей, запросив реестр по адресу:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Заблокируйте эти машины - удалите права администратора. Они ведут себя как испорченные дети, и единственное, что ты можешь на самом деле сделать, - так обращаться с ними.

Это не будет работать для искушенных пользователей, но я однажды заблокировал некоторых пользователей с сайта, поместив фиктивную запись в c: \ Windows \ system32 \ etc \ hosts

Маршрутизатор SOHO, такой как Cisco 871w, может выполнять глубокую проверку пакетов. Вы сможете запретить P2P на всех портах, не влияя на другой трафик.

То же самое касается мгновенных сообщений, RDP и т. Д. Некоторые клиенты обмена мгновенными сообщениями могут быть настроены на выход через порт 80 (HTTP), который вы вряд ли заблокируете. Но маршрутизатор, такой как Cisco 871w, фактически работает на более высоком уровне модели OSI и может определить, является ли трафик, проходящий через порт 80, HTTP или каким-либо другим протоколом.

Причина технического решения заключается в том, что это обычно делают типы управления.
Это та же проблема с безопасностью: те, у кого самые конфиденциальные данные, не беспокоятся о пароле, отправляют конфиденциальную электронную почту из Yahoo, когда входят в незашифрованный Wi-Fi в аэропорту и теряют ноутбуки.
Поскольку вы не можете применять правила с ними - они создают правила - единственное решение - это то, о котором они не знают.