SOHO - drosseln Sie den Bittorrent-Verkehr von problematischen Benutzern

Ich verwalte das Netzwerk in einem kleinen Büro (SW dev ist mein "richtiger Job"), und es gibt ein paar Benutzer, die unsere Internetverbindung durch das Ausführen von Bittorrent zum Teufel schlagen. Zwischen dem fast lähmenden Effekt auf der Upload-Seite (20 Mbit / s) und der möglichen Haftung möchte ich dies so weit wie möglich beenden.

Einige kurze Details im Vorgriff auf Fragen oder Vorschläge:

• Wir haben 2 Router (1 Linksys, 1 Buffalo) mit dem neuesten DD-WRT und einen D-Link DIR-655 mit der neuesten Werkssoftware

• Internet ist FiOS 20/20 Plan

• Benutzer stellen eine Verbindung über WLAN und Kabel her, jeder verwendet DHCP

• Der Erwerb neuer Hardware (sagen wir <1000 US-Dollar), die den Trick wirklich zuverlässig ausführt, ist eine Option

• Wir haben eine Internetnutzungsrichtlinie, ja, aber ich möchte sie so weit wie möglich über die IT durchsetzen, da wir alle wissen, dass einige Leute die Regeln einfach nicht befolgen können. Ja, ich weiß, dass der Umgang damit ein soziales Problem ist, aber dieser Teil liegt außerhalb meiner Autorität / Kontrolle.

• Die gängigen Strategien (Zugriff vollständig über MAC / IP blockieren, Ports blockieren usw.) funktionieren nicht. Mindestens zwei der Personen programmieren die MAC-Adressen auf ihren Ethernet-Schnittstellen routinemäßig neu.

Ich verstehe, dass BT-Clients so konfiguriert werden können, dass sie andere Ports verwenden. Das Blockieren des Standard-BT-Portbereichs ist also Weaksauce.

Ich kann nicht glauben, dass ich die erste Person bin, die diese Katze häutet. Oder vielleicht nur IT-Abteilungen. Kann diese Katze mit großen Ausrüstungsbudgets häuten?

Danke für Ihre Hilfe!

Sie haben Recht, es ist wirklich ein soziales Problem, das vom Management angegangen werden muss. Wenn bestimmte Personen das Netzwerk so stark beeinflussen, dass es anderen Probleme bereitet, müssen sie behandelt und erklärt werden, welche Konsequenzen dies haben wird, wenn sie es aufrechterhalten. Die MAC-Adressen auf ihren NICs neu programmieren? Wenn dies nicht unbedingt erforderlich ist, können Sie Ihren WLAN-Router und Ihre Netzwerk-Switches sperren, um nur Verbindungen von bestimmten MAC-Adressen zu akzeptieren. Wenn sie es ändern, können sie nicht in das Netzwerk gelangen, und plötzlich wird das Filtern / Begrenzen von MAC-Adressen am Grenzrouter möglich.

Traffic Shaping für nicht standardmäßige Ports kann auch verwendet werden, um die verfügbare Bandbreite für alle Ports mit Ausnahme von http, ftp, smtp usw. zu reduzieren. Wenn Sie die für nicht standardmäßige Anwendungen verfügbare Bandbreite verringern, sind sie viel weniger wünschenswert .

Eine weitere Option an Ihrem Grenzrouter / Ihrer Firewall besteht darin, nur bestimmte Ports für ausgehenden Datenverkehr zuzulassen, die auf Standardports beschränkt sind. Dies kann in Ihrer Umgebung praktisch sein oder auch nicht.

Aktivieren Sie die QoS für Ihre DD-WRT-Inhalte wie hier beschrieben . Beschränken Sie den gesamten Nicht-Port-80/22/25 / IMAP / POP-Verkehr auf eine sehr geringe Bandbreite, und beschränken Sie sogar diese Ports auf einen vernünftigen Wert wie etwa 2 MBit / s.

Lesen Sie dann BOFH, um Ideen zu erhalten, was Sie mit den betroffenen Benutzern tun können.

Wenn es sich um ein kleines Büro handelt, das die Mitarbeiter auffordert, keine Bittorenz mehr anzuwenden oder Disziplinarmaßnahmen zu ergreifen, erscheint es lächerlich, Geld / Zeit für die Gestaltung des Verkehrs für ein kleines Büro aufzuwenden ... es sei denn, es gibt außergewöhnliche Umstände, die Sie nicht erwähnt haben.

Ich bin sicher, der Manager Ihres Büros möchte wissen, warum seine Mitarbeiter Zeit haben, Bittorent einzurichten, ihre Mac-Adresse zu ändern usw. zur Unternehmenszeit ...

Wenn Sie sich für technische Tricks entscheiden und den sozialen Aspekt ignorieren, versuchen die Bösen verschiedene Tricks, um die Einschränkungen zu vermeiden. Wenn Sie etwas implementieren, das Bittorrent-Verkehr markiert und formt, werden Verschlüsselung usw. verwendet.

Wenn du nur sozial bist und anfängst, die Bösen anzuschreien, wirst du ihr Feind. Vor allem, wenn dies dort nicht Ihre Hauptaufgabe ist. Sie könnten denken, Sie beschränken sie, um zum Beispiel dem Chef zu gefallen. Und täglich mit Menschen zu arbeiten, die dich hassen, ist traurig.

Ein sehr effektiver Ansatz, der fast keine Gewalt beinhaltet, ist die Überwachung der Netzwerknutzung. Richten Sie so etwas wie mrtg ein und machen Sie die Diagramme zur Netzwerknutzung für alle im Büro öffentlich verfügbar. Sobald sich jemand über langsames Internet beschwert, senden Sie ihn dorthin, um zu sehen, wer die Bandbreite verschwendet.

Auf diese Weise müssen Sie nicht alleine gegen Bandbreitenfresser kämpfen. Sie müssen überhaupt nicht kämpfen, die guten Benutzer werden die schlechten essen.

Wenn Sie nicht die Autorität haben, sie dafür zu schlagen, und die Leute, die nicht dazu bereit sind, dann haben Sie ziemlich viel Pech. Ja, es gibt technologische Möglichkeiten, dies zu beheben. Es scheint, dass zumindest einige Ihrer Problembenutzer wahrscheinlich klug genug sind, um so ziemlich jede technische Lösung zu vermeiden, die Sie versuchen. Schlimmer noch, für diese Art von Person haben Sie jetzt implizit bestätigt, dass dies für sie in Ordnung ist (da es keine Antwort des Managements gab), solange sie dies auf eine Weise tun, die die von Ihnen aufgestellten Straßensperren vermeidet.

Sie sollten sich M0n0wall und pfSense ansehen .

Ich glaube, die Traffic Shaping-Funktionen von pfSense sind besser und das würde ich vorschlagen.

Die Dokumentation ist leider sehr knapp, aber wenn Sie ein wenig damit experimentieren, ist es nicht schwer, Dinge herauszufinden.
Führen Sie einfach den Assistenten aus und lernen Sie aus den Regeln, die er erstellen wird. Überprüfen Sie auch diesen Traffic Shaping Guide .

Dies wird weder Ihre sozialen Probleme lösen noch eine endgültige Lösung für die Durchsetzung der Regeln sein, aber ich glaube, es ist ein guter Mittelweg.
Sie können ihnen erlauben, die Bandbreite zu nutzen, während Sie sicherstellen, dass alles andere, was wichtiger ist, nicht beeinträchtigt wird.

Haben Sie einen Web-Proxy wie Squid in Betracht gezogen? Das kann eine Option sein. Ich weiß, dass die großen Jungs auf Paketebene filtern können.

Eine andere Möglichkeit, dies zu bekämpfen, besteht darin, Periodenscans von jeder Workstation / jedem Laptop bis zur Installation durchzuführen. Wenn Sie einen BitTorrent-Client sehen, markieren Sie den Benutzer. Sie können ein Skript für die einfachen Dinge erstellen, indem Sie die Registrierung unter folgender Adresse abfragen:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Sperren Sie diese Computer - entfernen Sie die Administratorrechte. Sie benehmen sich wie verwöhnte Kinder, und das einzige, was Sie wirklich tun können, ist, sie so zu behandeln.

Es funktioniert nicht für anspruchsvolle Benutzer, aber ich habe einmal bestimmte Benutzer von einer Site blockiert, indem ich einen Dummy-Eintrag in c: \ Windows \ system32 \ etc \ hosts eingefügt habe

Ein SOHO-Router wie ein Cisco 871w kann Deep Packet Inspection durchführen. Sie können P2P an allen Ports verweigern, ohne den anderen Datenverkehr zu beeinträchtigen.

Gleiches gilt für Instant Messaging, RDP usw. Einige Instant Messaging-Clients können so konfiguriert werden, dass sie über Port 80 (HTTP) ausgehen, den Sie wahrscheinlich nicht blockieren würden. Ein Router wie der Cisco 871w arbeitet jedoch tatsächlich auf einer höheren Ebene des OSI-Modells und kann erkennen, ob der Datenverkehr über Port 80 HTTP oder ein anderes Protokoll ist.

Der Grund für die technische Lösung ist, dass es normalerweise die Verwaltungstypen sind, die dies tun.
Es ist das gleiche Problem mit der Sicherheit. Diejenigen mit den sensibelsten Daten sind diejenigen, die sich nicht um ein Passwort kümmern, vertrauliche E-Mails von Yahoo senden, während sie bei unverschlüsseltem Flughafen-WLAN angemeldet sind, und Laptops verlieren.
Da Sie die Regeln mit ihnen nicht durchsetzen können - sie machen die Regeln -, ist die einzige Lösung eine, die sie nicht kennen.