Was kann gefiltert werden, wenn für eine kleine Konferenz oder ein Meeting nur sehr begrenztes offenes WLAN bereitgestellt wird?


11

Zusammenfassung

Die grundlegende Frage lautet: Wenn Sie über eine sehr begrenzte Bandbreite verfügen, um das Internet für ein kleines Meeting von nur ein oder zwei Tagen bereitzustellen, wie stellen Sie die Filter auf dem Router ein, um zu vermeiden, dass ein oder zwei Benutzer die gesamte verfügbare Bandbreite monopolisieren?

Für Leute, die nicht die Zeit haben, die Details unten zu lesen, suche ich KEINE dieser Antworten:

  • Sichern Sie den Router und lassen Sie ihn nur von wenigen vertrauenswürdigen Personen verwenden
  • Sagen Sie allen, sie sollen nicht genutzte Dienste ausschalten und sich im Allgemeinen selbst überwachen
  • Überwachen Sie den Datenverkehr mit einem Sniffer und fügen Sie nach Bedarf Filter hinzu

Ich bin mir dessen bewusst. Keiner ist aus Gründen angemessen, die klar werden.

AUCH HINWEIS: Es gibt bereits eine Frage zur Bereitstellung von angemessenem WLAN bei großen Konferenzen (> 500 Teilnehmer) hier . Diese Frage betrifft KLEINE Besprechungen mit weniger als 200 Personen, in der Regel weniger als die Hälfte derjenigen, die WLAN nutzen. Etwas, das mit einem einzelnen Heim- oder kleinen Bürorouter erledigt werden kann.

Hintergrund

Ich habe in der Vergangenheit ein 3G / 4G-Routergerät verwendet, um kleinen Meetings mit einigem Erfolg WLAN zur Verfügung zu stellen. Mit klein meine ich Einzelraumkonferenzen oder Besprechungen in der Reihenfolge eines Barcamps oder Skepticamps oder einer Benutzergruppensitzung. Diese Treffen haben manchmal technische Teilnehmer, aber nicht ausschließlich. Normalerweise nutzen weniger als ein halbes bis ein Drittel der Teilnehmer das WLAN. Die maximale Besprechungsgröße, über die ich spreche, beträgt 100 bis 200 Personen.

Ich verwende normalerweise einen Cradlepoint MBR-1000, aber es gibt viele andere Geräte , insbesondere All-in-One-Geräte, die von 3G- und / oder 4G-Anbietern wie Verizon, Sprint und Clear geliefert werden. Diese Geräte nehmen eine 3G- oder 4G-Internetverbindung auf und fächern sie über WLAN an mehrere Benutzer auf.

Ein wesentlicher Aspekt bei der Bereitstellung des Netzzugangs auf diese Weise ist die begrenzte Bandbreite, die über 3G / 4G verfügbar ist. Selbst mit so etwas wie dem Cradlepoint, der mehrere Radios ausgleichen kann, werden Sie nur ein paar Megabit Download-Geschwindigkeit und vielleicht ein Megabit oder so Upload-Geschwindigkeit erreichen. Das ist ein Best-Case-Szenario. Oft ist es erheblich langsamer.

In den meisten dieser Besprechungssituationen besteht das Ziel darin, den Benutzern den Zugriff auf Dienste wie E-Mail, Web, soziale Medien, Chat-Dienste usw. zu ermöglichen. Auf diese Weise können sie den Vorgang live bloggen oder live twittern oder einfach online chatten oder auf andere Weise (sowohl mit Teilnehmern als auch mit Nichtteilnehmern) in Kontakt bleiben, während das Meeting fortgesetzt wird. Ich möchte die vom Router bereitgestellten Dienste auf diejenigen Dienste beschränken, die diese Anforderungen erfüllen.

Probleme

Insbesondere habe ich einige Szenarien bemerkt, in denen bestimmte Benutzer den größten Teil der Bandbreite auf dem Router zum Nachteil aller missbrauchen. Diese kochen in zwei Bereiche:

  • Vorsätzliche Verwendung . Leute, die sich YouTube-Videos ansehen, Podcasts auf ihren iPod herunterladen und ansonsten die Bandbreite für Dinge verwenden, die in einem Besprechungsraum, in dem Sie auf den Sprecher achten und / oder interagieren sollten, wirklich nicht geeignet sind.

    Bei einem Meeting, bei dem wir Live-Streaming (über eine separate, dedizierte Verbindung) über UStream durchgeführt haben, sind mir mehrere Personen im Raum aufgefallen, auf denen die UStream-Seite geöffnet war, damit sie mit dem Meeting-Chat interagieren konnten - anscheinend ohne zu bemerken, dass sie Bandbreiten-Streaming verschwendeten Zurück Video von etwas, das direkt vor ihnen stattfand.

  • Unbeabsichtigte Verwendung . Es gibt eine Vielzahl von Software-Dienstprogrammen, die die Bandbreite im Hintergrund in großem Umfang nutzen, die die Leute oft auf ihren Laptops und Smartphones installiert haben, vielleicht ohne es zu merken.

    Beispiele:

  • Peer-to-Peer-Download-Programme wie Bittorrent, die im Hintergrund ausgeführt werden

  • Automatische Software-Update-Dienste. Dies sind Legionen, da jeder große Softwareanbieter seine eigenen hat, sodass Microsoft, Apple, Mozilla, Adobe, Google und andere problemlos versuchen können, Updates im Hintergrund herunterzuladen.

  • Sicherheitssoftware, die neue Signaturen wie Virenschutz, Malware usw. herunterlädt.

  • Sicherungssoftware und andere Software, die im Hintergrund mit Cloud-Diensten "synchronisiert" wird.

In diesem kürzlich erschienenen kabelgebundenen Artikel erfahren Sie, wie viel Netzwerkbandbreite von diesen Nicht-Web- und Nicht-E-Mail-Diensten beansprucht wird . Anscheinend machen Web, E-Mail und Chat zusammen jetzt weniger als ein Viertel des Internetverkehrs aus. Wenn die Zahlen in diesem Artikel korrekt sind, sollte ich durch Herausfiltern aller anderen Dinge in der Lage sein, die Nützlichkeit des WiFi um das Vierfache zu erhöhen.

In einigen Situationen konnte ich den Zugriff mithilfe der Sicherheit des Routers steuern, um ihn auf eine sehr kleine Gruppe von Personen (normalerweise die Organisatoren des Meetings) zu beschränken. Das ist aber nicht immer angemessen. Bei einem bevorstehenden Meeting möchte ich das WLAN ohne Sicherheit betreiben und es von jedem nutzen lassen, da es am Tagungsort passiert, dass die 4G-Abdeckung in meiner Stadt besonders gut ist. In einem kürzlich durchgeführten Test habe ich am Treffpunkt 10 Megabit erreicht.

Die oben erwähnte Lösung "Sagen Sie den Leuten, dass sie sich selbst überwachen sollen" ist aufgrund (a) eines weitgehend nicht technischen Publikums und (b) der unbeabsichtigten Natur eines Großteils der oben beschriebenen Verwendung nicht angemessen.

Die Lösung "Sniffer ausführen und nach Bedarf filtern" ist nicht sinnvoll, da diese Besprechungen in der Regel nur einige Tage, häufig nur einen Tag, dauern und nur sehr wenige freiwillige Mitarbeiter haben. Ich habe keine Person, die sich der Netzwerküberwachung widmet, und wenn wir die Regeln vollständig angepasst haben, ist das Meeting beendet.

Was ich habe

Als erstes dachte ich mir, ich würde OpenDNSs Domain-Filterregeln verwenden, um ganze Klassen von Sites herauszufiltern. Auf diese Weise können eine Reihe von Video- und Peer-to-Peer-Sites gelöscht werden. (Ja, mir ist bewusst, dass durch das Filtern über DNS die Dienste technisch zugänglich bleiben. Denken Sie daran, dass es sich größtenteils um nicht technische Benutzer handelt, die an einem zweitägigen Meeting teilnehmen. Es reicht aus.) Ich dachte, ich würde mit diesen Auswahlen in der OpenDNS-Benutzeroberfläche beginnen:

Kontrollkästchen für OpenDNS-Filter

Ich denke, ich werde wahrscheinlich auch DNS (Port 53) für etwas anderes als den Router selbst blockieren, damit die Leute meine DNS-Konfiguration nicht umgehen können. Ein versierter Benutzer könnte dies umgehen, da ich nicht viele ausgefeilte Filter in die Firewall einfügen werde, aber es ist mir egal. Da diese Treffen nicht sehr lange dauern, wird sich die Mühe wahrscheinlich nicht lohnen.

Dies sollte den Großteil des Nicht-Web-Verkehrs abdecken, dh Peer-to-Peer und Video, wenn dieser verkabelte Artikel korrekt ist. Bitte geben Sie an, wenn Sie der Meinung sind, dass der OpenDNS-Ansatz schwerwiegende Einschränkungen aufweist.

Was ich brauche

Beachten Sie, dass OpenDNS sich auf Dinge konzentriert, die in dem einen oder anderen Kontext "zu beanstanden" sind. Video, Musik, Radio und Peer-to-Peer werden abgedeckt. Ich muss noch eine Reihe von völlig vernünftigen Dingen behandeln, die wir nur blockieren möchten, weil sie in einer Besprechung nicht benötigt werden. Die meisten davon sind Dienstprogramme, die legitime Dinge im Hintergrund hochladen oder herunterladen.

Insbesondere möchte ich Portnummern oder DNS-Namen kennen, die gefiltert werden sollen, um die folgenden Dienste effektiv zu deaktivieren:

  • Automatische Microsoft-Updates
  • Automatische Updates von Apple
  • Automatische Adobe-Updates
  • Automatische Updates von Google
  • Andere wichtige Software-Update-Dienste
  • Wichtige Updates für Viren / Malware / Sicherheitssignaturen
  • Wichtige Hintergrundsicherungsdienste
  • Andere Dienste, die im Hintergrund ausgeführt werden und viel Bandbreite verbrauchen können

Ich hätte auch gerne andere Vorschläge, die Sie haben könnten.

Es tut mir leid, dass ich so ausführlich bin, aber ich finde es hilfreich, bei Fragen dieser Art sehr, sehr klar zu sein, und ich habe bereits eine halbe Lösung mit der OpenDNS-Sache.


+1 für die sehr gut ausgearbeitete und detaillierte Frage
Prix

OpenDNS wird sehr gut daran arbeiten, diese bandbreitenintensiven Medienseiten zu blockieren. Das Problem, mit dem Sie möglicherweise konfrontiert werden, ist jedoch die Tatsache, dass jeder Endbenutzer seine DNS-Einstellungen manuell bearbeiten kann. Das heißt, es sei denn, Sie haben einen Router, der IPTables-Befehle unterstützt (jeder Router, der DD-WRT unterstützt). Auf diese Weise können Sie sie zwingen, die von Ihnen angegebenen DNS-Einstellungen zu verwenden .
emtunc

Antworten:


3

Geben Sie zunächst genau an, welche Art von Verkehr Sie zulassen möchten. Haben Sie eine Standardverweigerungsregel und lassen Sie dann Ports wie 80, 443, 993, 587, 143, 110, 995, 465, 25 zu (ich persönlich würde dies lieber nicht öffnen, aber Sie werden wahrscheinlich eine Menge Beschwerden erhalten, wenn Sie dies nicht tun). . Erlauben Sie auch UDP-Verbindungen zu Port 53 auf OpenDNS-Servern.

Dies gibt Ihnen einen guten Start. Es wird die meisten Bandbreiten-Hogging-Protokolle töten. Es blockiert auch viele VPN-Verbindungen (allerdings nicht SSL-VPNs), um zu verhindern, dass Personen Ihre Sicherheit umgehen.

Wenn Sie eine Firewall haben, die Dateitypen blockieren kann, sollten Sie wahrscheinlich auch exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar und wahrscheinlich eine Reihe anderer blockieren Ich lasse aus.

Davon abgesehen sind Ihre derzeitigen Einschränkungen wahrscheinlich anständig genug. Sie können der Liste Aktualisierungen hinzufügen. Persönlich würde ich A / V-Updates nicht blockieren. Wenn Sie wirklich möchten, können Sie die gesamten Domains blockieren (* .symantec.com, * .mcafee.com, * .trendmicro.com usw.). Microsoft-Update-URLs finden Sie unter http://technet.microsoft.com/en-us/library/bb693717.aspx


2

Die Verwendung von OpenDNS blockiert keine Torrents.

Es blockiert nur ihre Fähigkeit, neue Torrents online zu finden und sie ihrer Warteschlange hinzuzufügen.

Wenn sie mit 5 Torrents auf halbem Weg hereinkommen und dann über WLAN eine Verbindung zum LAN herstellen, werden alle Torrents fortgesetzt und nehmen die gesamte verfügbare Bandbreite in Anspruch. Eine sorgfältige Lektüre der OpenDNS-Website weist darauf hin. Und wenn Sie darüber nachdenken, wie DNS funktioniert, ist dies sinnvoll.

Das Blockieren vorhandener Torrents ist schwierig. Am klügsten ist es, die Anzahl der maximalen Verbindungen direkt im Radio auf 60 bis 100 pro Benutzer zu begrenzen. iTunes und Torrent öffnen Tausende.


1

Zunächst einmal ist ein WLAN-Router wirklich nur für etwa 60 Verbindungen geeignet. Im schlimmsten Fall benötigen weniger als 200 Personen mit weniger als der Hälfte WLAN-Nutzung (99 Benutzer) möglicherweise noch mindestens einen weiteren Router.

Zweitens sollten Sie sich mit der Gestaltung des Datenverkehrs befassen. Idealerweise möchten Sie jeder IP im Inneren die gleiche garantierte Mindestbandbreite geben und sie um das Extra streiten lassen. Auf diese Weise wird niemand ausgeschlossen, aber jeder kann trotzdem voll platzen Kapazität.


Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.