SOHO - mengatur lalu lintas bittorrent dari pengguna yang bermasalah

Saya mengelola jaringan di kantor kecil (SW dev adalah "pekerjaan nyata" saya), dan ada beberapa pengguna yang mengalahkan koneksi internet kami dengan menjalankan bittorrent. Antara efek yang hampir melumpuhkan pada sisi unggahan (20Mbps) dan potensi liabilitas, saya ingin mematikan ini sebanyak mungkin.

Beberapa perincian cepat untuk mengantisipasi pertanyaan atau saran:

• kami memiliki 2 router (1 Linksys, 1 Buffalo) menjalankan DD-WRT terbaru, dan satu D-Link DIR-655 menjalankan apa pun perangkat lunak pabrik terbaru

• internet adalah paket FiOS 20/20

• pengguna terhubung melalui WiFi & kabel, semua orang menggunakan DHCP

• memperoleh perangkat keras baru (misalkan <$ 1000) yang benar-benar melakukan trik dengan andal adalah sebuah pilihan

• kami memiliki kebijakan penggunaan internet, ya, tapi saya ingin menegakkannya sebanyak mungkin melalui IT karena kita semua tahu bahwa beberapa orang tidak bisa mengikuti aturan. Ya saya tahu bahwa berurusan dengan ini adalah masalah sosial, tetapi bagian ini di luar wewenang / kendali saya.

• strategi umum (sepenuhnya memblokir akses oleh MAC / IP, memblokir port, dll.) tidak akan berfungsi. Setidaknya 2 orang secara rutin memprogram ulang alamat MAC pada antarmuka Ethernet mereka.

Saya mengerti bahwa klien BT dapat dikonfigurasi untuk menggunakan port lain, jadi hanya memblokir rentang port BT standar adalah kelemahan.

Saya tidak percaya saya orang pertama yang menguliti kucing ini. Atau mungkin hanya dept. dengan anggaran peralatan besar bisakah menguliti kucing ini?

Terima kasih atas bantuan Anda!

Anda benar, ini benar-benar masalah sosial yang perlu ditangani oleh manajemen. Jika orang-orang tertentu memengaruhi jaringan hingga menyebabkan masalah bagi orang lain, maka mereka harus ditangani dan dijelaskan apa akibatnya jika mereka terus melakukannya. Pemrograman ulang alamat MAC pada NIC mereka? Jika mereka tidak memiliki keperluan yang sah untuk melakukan itu maka Anda mungkin mempertimbangkan untuk mengunci router wifi Anda dan switch jaringan untuk hanya menerima koneksi dari alamat MAC tertentu. Jika mereka mengubahnya, mereka tidak bisa masuk ke jaringan, dan tiba-tiba penyaringan / pembatasan alamat MAC menjadi kemungkinan di router perbatasan.

Pembentukan lalu lintas untuk port non-standar juga dapat digunakan untuk mengurangi jumlah bandwidth yang tersedia untuk semua port kecuali http standar, ftp, smtp, dll. Menurunkan jumlah bandwidth yang tersedia untuk aplikasi non-standar membuat mereka jauh kurang diinginkan .

Opsi lain di router perbatasan / firewall Anda adalah hanya mengizinkan port tertentu untuk lalu lintas keluar, terbatas pada port standar. Ini mungkin atau mungkin tidak praktis mengingat lingkungan Anda.

Aktifkan QoS pada hal-hal DD-WRT Anda seperti yang dijelaskan di sini . Jadikan semua lalu lintas non-port-80/22/25 / IMAP / POP terbatas pada sejumlah bandwidth yang sangat kecil, dan buat bahkan port tersebut dibatasi untuk sesuatu yang masuk akal seperti 2Mb / dtk atau lebih.

Kemudian bacalah BOFH untuk mendapatkan ide tentang apa yang harus dilakukan terhadap pengguna yang menyinggung.

Jika sebuah kantor kecil memberi tahu karyawan untuk berhenti menggunakan bittorent atau menghadapi tindakan disipliner, menghabiskan uang / waktu pada lalu lintas untuk membentuk sebuah kantor kecil tampaknya konyol ... kecuali ada beberapa keadaan luar biasa yang belum Anda sebutkan.

Saya yakin manajer kantor Anda ingin tahu mengapa karyawan mereka punya waktu untuk mengatur bittorent, mengubah alamat mac mereka, dll pada waktu perusahaan ...

Jika Anda menggunakan trik teknis dan mengabaikan aspek sosial, orang jahat akan mencoba trik misc untuk menghindari pembatasan. Jika Anda akan menerapkan sesuatu yang menandai dan membentuk lalu lintas bittorrent, mereka akan mulai menggunakan enkripsi dll.

Jika Anda hanya bersosialisasi dan mulai meneriaki orang-orang jahat, Anda akan menjadi musuh mereka. Apalagi jika ini bukan pekerjaan utama Anda di sana. Mereka mungkin berpikir Anda membatasi mereka untuk menyenangkan bos misalnya. Dan bekerja setiap hari dengan orang-orang yang membenci Anda sedih.

Pendekatan yang sangat efektif yang hampir tidak melibatkan kekerasan adalah memantau penggunaan jaringan. Siapkan sesuatu seperti mrtg dan buat grafik penggunaan jaringan tersedia untuk umum bagi siapa saja di kantor. Jadi, segera setelah seseorang mengeluh tentang internet yang lambat - kirim dia ke sana untuk mencari tahu siapa yang membuang-buang bandwidth.

Dengan cara ini Anda tidak perlu bertarung sendirian melawan babi bandwidth. Anda bahkan tidak perlu bertarung sama sekali, pengguna yang baik akan memakan yang buruk.

Jika Anda tidak memiliki wewenang untuk memukul mereka pada masalah dan orang-orang yang tidak mau juga, maka Anda kurang beruntung. Ya ada cara teknologi untuk mengatasi ini. Tampaknya setidaknya beberapa pengguna masalah Anda mungkin cukup cerdas untuk menghindari hampir semua solusi teknologi yang Anda coba. Lebih buruk lagi, bagi orang semacam itu, Anda sekarang secara implisit telah memvalidasi bahwa itu boleh dilakukan oleh mereka (karena tidak ada respons manajemen) selama mereka melakukannya dengan cara yang menghindari penghalang jalan yang Anda pasang.

Anda harus melihat pada M0n0wall dan pfSense .

Saya percaya fitur traffic traffic pfSense lebih baik dan itulah yang saya sarankan.

Dokumentasinya sayangnya sangat langka tetapi jika Anda bereksperimen sedikit saja tidak sulit untuk mencari tahu.
Jalankan saja wizard dan pelajari dari aturan yang akan dibuat. Juga, periksa Panduan Membentuk Lalu Lintas ini .

Meskipun ini tidak akan menyelesaikan masalah sosial Anda dan juga tidak akan menjadi solusi akhir dalam menegakkan aturan, saya percaya ini adalah jalan tengah yang baik.
Anda dapat mengizinkan mereka menggunakan bandwidth sambil memastikan segala sesuatu yang lebih penting tidak terpengaruh.

Sudahkah Anda mempertimbangkan proxy web seperti Squid? Itu mungkin salah satu pilihan. Saya tahu anak laki-laki besar dapat menyaring di tingkat paket.

Cara lain untuk memerangi ini adalah dengan menjalankan pemindaian periode setiap workstation / laptop sejauh apa yang diinstal. Anda melihat klien BitTorrent, Anda menandai pengguna. Anda dapat membuat skrip untuk hal-hal mudah dengan menanyakan registri di:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Kunci mesin-mesin itu - hapus hak admin. Mereka bertingkah seperti anak-anak manja, dan satu-satunya yang dapat Anda lakukan adalah memperlakukan mereka seperti itu.

Itu tidak akan berfungsi untuk pengguna yang canggih, tetapi saya pernah memblokir pengguna tertentu dari situs dengan memasukkan entri dummy di c: \ Windows \ system32 \ etc \ hosts

Router SOHO seperti Cisco 871w memiliki kemampuan untuk melakukan inspeksi paket yang mendalam. Anda dapat menolak P2P pada semua port tanpa mempengaruhi traffic lainnya.

Hal yang sama berlaku untuk Perpesanan Instan, RDP, dll. Beberapa klien perpesanan instan dapat dikonfigurasikan untuk keluar melalui Port 80 (HTTP), yang kemungkinan besar tidak akan Anda blokir. Tetapi router seperti Cisco 871w sebenarnya beroperasi pada level yang lebih tinggi dari model OSI dan dapat mendeteksi apakah lalu lintas melintasi port 80 adalah HTTP atau protokol lain.

Alasan untuk solusi teknis adalah bahwa biasanya jenis manajemen yang melakukannya.
Ini masalah yang sama dengan keamanan, mereka yang memiliki data paling sensitif adalah mereka yang tidak peduli dengan kata sandi, mengirim email rahasia dari Yahoo saat masuk ke wifi bandara yang tidak terenkripsi dan kehilangan laptop.
Karena Anda tidak dapat menegakkan aturan bersama mereka - mereka membuat aturan - satu-satunya solusi adalah yang tidak mereka ketahui.