Apa yang harus disaring ketika menyediakan WiFi terbuka yang sangat terbatas untuk konferensi kecil atau rapat?


11

Ringkasan bisnis plan

Pertanyaan dasarnya adalah: jika Anda memiliki WiFi bandwidth yang sangat terbatas untuk menyediakan Internet untuk rapat kecil hanya satu atau dua hari, bagaimana Anda mengatur filter pada router untuk menghindari satu atau dua pengguna memonopoli semua bandwidth yang tersedia?

Untuk orang-orang yang tidak punya waktu untuk membaca detail di bawah ini, saya TIDAK mencari jawaban di bawah ini:

  • Amankan router dan biarkan beberapa orang tepercaya menggunakannya
  • Katakan pada semua orang untuk mematikan layanan yang tidak digunakan & umumnya mengawasi sendiri
  • Pantau lalu lintas dengan sniffer dan tambahkan filter sesuai kebutuhan

Saya menyadari semua itu. Tidak ada yang sesuai untuk alasan yang akan menjadi jelas.

JUGA CATATAN: Sudah ada pertanyaan tentang menyediakan WiFi yang memadai pada konferensi besar (> 500 peserta) di sini . Pertanyaan ini menyangkut pertemuan KECIL kurang dari 200 orang, biasanya dengan kurang dari setengahnya menggunakan WiFi. Sesuatu yang bisa ditangani dengan satu rumah atau router kantor kecil.

Latar Belakang

Saya telah menggunakan perangkat router 3G / 4G untuk memberikan WiFi ke pertemuan kecil di masa lalu dengan beberapa keberhasilan. Yang saya maksud adalah konferensi atau pertemuan satu kamar dengan urutan barcamp atau Skepticamp atau pertemuan kelompok pengguna. Pertemuan-pertemuan ini terkadang memiliki peserta teknis di sana, tetapi tidak secara eksklusif. Biasanya kurang dari setengah hingga sepertiga peserta benar-benar akan menggunakan WiFi. Ukuran pertemuan maksimum yang saya bicarakan adalah 100 hingga 200 orang.

Saya biasanya menggunakan Cradlepoint MBR-1000 tetapi banyak perangkat lain yang ada , terutama unit all-in-one yang dipasok oleh vendor 3G dan / atau 4G seperti Verizon, Sprint dan Clear. Perangkat ini menggunakan koneksi internet 3G atau 4G dan mengipaskannya ke banyak pengguna menggunakan WiFi.

Salah satu aspek kunci dari menyediakan akses internet dengan cara ini adalah bandwidth terbatas yang tersedia melalui 3G / 4G. Bahkan dengan sesuatu seperti Cradlepoint yang dapat memuat-menyeimbangkan banyak radio, Anda hanya akan mencapai beberapa megabit kecepatan unduhan dan mungkin satu megabit atau lebih dari kecepatan unggah. Itu skenario kasus terbaik. Seringkali ini jauh lebih lambat.

Tujuan dalam sebagian besar situasi pertemuan ini adalah untuk memungkinkan orang mengakses layanan seperti email, web, media sosial, layanan obrolan, dan sebagainya. Ini agar mereka dapat tinggal-blog atau tinggal-tweet prosesnya, atau cukup mengobrol online atau tetap berhubungan (dengan peserta dan non-peserta) sementara pertemuan berlangsung. Saya ingin membatasi layanan yang disediakan oleh router hanya untuk layanan yang memenuhi kebutuhan tersebut.

Masalah

Secara khusus saya perhatikan beberapa skenario di mana pengguna tertentu akhirnya menyalahgunakan sebagian besar bandwidth pada router, sehingga merugikan semua orang. Ini mendidih menjadi dua area:

  • Penggunaan yang disengaja . Orang-orang yang menonton video YouTube, mengunduh podcast ke iPod mereka, dan menggunakan bandwidth untuk hal-hal yang benar-benar tidak sesuai di ruang rapat di mana Anda harus memperhatikan pembicara dan / atau berinteraksi.

    Pada satu pertemuan bahwa kami streaming langsung (melalui koneksi terpisah, berdedikasi) melalui UStream, saya perhatikan beberapa orang di ruangan yang memiliki halaman UStream sehingga mereka dapat berinteraksi dengan obrolan rapat - tampaknya tidak menyadari bahwa mereka membuang-buang bandwidth streaming video kembali dari sesuatu yang terjadi tepat di depan mereka.

  • Penggunaan yang tidak disengaja . Ada berbagai utilitas perangkat lunak yang akan memanfaatkan bandwidth secara ekstensif di latar belakang, yang sering dipasang orang di laptop dan ponsel cerdas mereka, mungkin tanpa disadari.

    Contoh:

  • Peer to peer mengunduh program seperti Bittorrent yang berjalan di latar belakang

  • Layanan pembaruan perangkat lunak otomatis. Ini adalah legiun, karena setiap vendor perangkat lunak besar memiliki sendiri, sehingga orang dapat dengan mudah memiliki Microsoft, Apple, Mozilla, Adobe, Google dan lainnya semua mencoba mengunduh pembaruan di latar belakang.

  • Perangkat lunak keamanan yang mengunduh tanda tangan baru seperti anti-virus, anti-malware, dll.

  • Cadangkan perangkat lunak dan perangkat lunak lain yang "disinkronkan" di latar belakang ke layanan cloud.

Untuk beberapa angka tentang berapa banyak bandwidth jaringan yang dihisap oleh layanan jenis non-web dan non-email ini, lihat artikel Kabel terbaru ini . Rupanya web, email, dan obrolan semuanya kurang dari seperempat dari lalu lintas Internet sekarang. Jika angka-angka dalam artikel itu benar, dengan menyaring semua hal lainnya saya harus dapat meningkatkan kegunaan WiFi empat kali lipat.

Sekarang, dalam beberapa situasi saya sudah bisa mengontrol akses menggunakan keamanan pada router untuk membatasinya pada sekelompok kecil orang (biasanya penyelenggara pertemuan). Tapi itu tidak selalu tepat. Pada pertemuan yang akan datang saya ingin menjalankan WiFi tanpa keamanan dan membiarkan siapa pun menggunakannya, karena itu terjadi di lokasi pertemuan jangkauan 4G di kota saya sangat bagus. Dalam tes baru-baru ini saya mendapat 10 Megabits di situs pertemuan.

Solusi "kirim orang ke polisi sendiri" yang disebutkan di atas tidak tepat karena (a) audiens yang sebagian besar non-teknis dan (b) sifat tidak disengaja dari sebagian besar penggunaan seperti dijelaskan di atas.

Solusi "menjalankan pelacak dan memfilter sesuai kebutuhan" tidak berguna karena pertemuan ini biasanya hanya berlangsung beberapa hari, seringkali hanya satu hari, dan memiliki staf sukarela yang sangat kecil. Saya tidak memiliki orang yang dapat mendedikasikan untuk pemantauan jaringan, dan pada saat kami mendapatkan aturan yang benar-benar selesai rapat akan berakhir.

Apa yang saya punya

Hal pertama, saya pikir saya akan menggunakan aturan penyaringan domain OpenDNS untuk menyaring seluruh kelas situs. Sejumlah situs video dan peer-to-peer dapat dihapus menggunakan ini. (Ya, saya sadar bahwa pemfilteran melalui DNS secara teknis membuat layanan dapat diakses - ingat, ini sebagian besar adalah pengguna non-teknis yang menghadiri pertemuan 2 hari. Cukup). Saya pikir saya akan mulai dengan pilihan-pilihan ini di UI OpenDNS:

Kotak centang filter OpenDNS

Saya pikir saya mungkin juga akan memblokir DNS (port 53) untuk apa pun selain router itu sendiri, sehingga orang tidak dapat mem-bypass konfigurasi DNS saya. Seorang pengguna yang cerdas dapat mengatasi ini, karena saya tidak akan menempatkan banyak filter rumit pada firewall, tapi saya tidak terlalu peduli. Karena pertemuan ini tidak berlangsung lama, mungkin tidak akan sepadan dengan masalahnya.

Ini harus mencakup sebagian besar lalu lintas non-web, yaitu peer-to-peer dan video jika artikel Wired itu benar. Mohon saran jika Anda merasa ada keterbatasan parah pada pendekatan OpenDNS.

Apa yang saya butuhkan

Perhatikan bahwa OpenDNS berfokus pada hal-hal yang "tidak menyenangkan" dalam beberapa konteks atau lainnya. Video, musik, radio, dan peer-to-peer semuanya diliput. Saya masih perlu membahas beberapa hal yang sangat masuk akal yang hanya ingin kami blokir karena tidak diperlukan dalam rapat. Sebagian besar adalah utilitas yang mengunggah atau mengunduh hal-hal yang sah di latar belakang.

Secara khusus, saya ingin mengetahui nomor port atau nama DNS yang akan difilter untuk menonaktifkan layanan berikut secara efektif:

  • Pembaruan otomatis Microsoft
  • Pembaruan otomatis Apple
  • Pembaruan otomatis Adobe
  • Pembaruan otomatis Google
  • Layanan pembaruan perangkat lunak utama lainnya
  • Pembaruan tanda tangan utama virus / malware / keamanan
  • Layanan cadangan latar belakang utama
  • Layanan lain yang berjalan di latar belakang dan dapat memakan banyak bandwidth

Saya juga ingin saran lain yang mungkin Anda miliki yang akan berlaku.

Maaf karena terlalu bertele-tele, tetapi saya merasa terbantu untuk menjadi sangat, sangat jelas pada pertanyaan-pertanyaan seperti ini, dan saya sudah memiliki setengah solusi dengan masalah OpenDNS.


+1 untuk pertanyaan yang sangat terperinci dan terperinci
Prix

OpenDNS akan melakukan pekerjaan yang sangat baik untuk memblokir bandwidth yang memonopoli situs media; Namun, masalah yang mungkin Anda hadapi adalah kenyataan bahwa pengguna akhir mana pun dapat secara manual mengedit pengaturan DNS-nya. Yaitu, kecuali jika Anda memiliki router yang mendukung perintah IPTables (router apa pun yang mendukung DD-WRT) - dengan cara itu, Anda dapat 'memaksa' mereka untuk menggunakan pengaturan DNS yang Anda tentukan.
emtunc

Jawaban:


3

Sebagai permulaan, sangat spesifik tentang jenis lalu lintas yang ingin Anda izinkan. Miliki aturan tolak default lalu izinkan port seperti 80, 443, 993, 587, 143, 110, 995, 465, 25 (Saya pribadi lebih suka tidak membuka ini, tetapi Anda mungkin akan mendapatkan banyak keluhan jika tidak melakukannya) . Juga mengizinkan koneksi UDP ke port 53 di server OpenDNS.

Ini akan memberi Anda awal yang baik. Ini akan membunuh sebagian besar protokol memonopoli bandwidth. Ini juga akan memblokir banyak koneksi VPN (bukan ssl vpns) yang seharusnya membantu mencegah orang melewati keamanan Anda.

Jika Anda memiliki firewall yang mampu memblokir tipe file, Anda mungkin juga harus memblokir exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar, dan mungkin banyak lainnya Saya pergi.

Selain itu, batasan Anda saat ini mungkin cukup baik. Anda dapat menambahkan pembaruan ke daftar. Secara pribadi, saya tidak akan memblokir pembaruan A / V. Jika Anda benar-benar ingin, Anda dapat memblokir seluruh domain mereka (* .symantec.com, * .mcafee.com, * .trendmicro.com, dll). URL pembaruan Microsoft tersedia di http://technet.microsoft.com/en-us/library/bb693717.aspx


2

Menggunakan OpenDNS tidak akan memblokir torrent.

Itu hanya akan memblokir kemampuan mereka untuk menemukan torrent baru secara online dan menambahkannya ke antrian mereka.

Jika mereka berjalan dengan 5 torrents setengah jalan, dan kemudian menghubungkan ke LAN melalui WiFi, wah, semua torrents akan dilanjutkan dan mengambil semua bandwidth yang tersedia. Pembacaan yang cermat dari situs web OpenDNS menunjukkan hal ini. Dan jika Anda berpikir tentang cara kerja DNS, itu masuk akal.

Memblokir torrents yang ada sulit. Langkah Anda yang paling cerdas adalah membatasi jumlah koneksi maksimum hingga 60-100 per pengguna, tepat di radio. iTunes dan Torrent membuka ribuan.


1

Pertama, setiap router wifi hanya benar-benar bagus untuk sekitar 60 atau lebih koneksi, jadi kasus terburuk Anda 'kurang dari 200 orang dengan kurang dari setengah menggunakan wifi' (99 pengguna) mungkin masih memerlukan setidaknya satu router lagi.

Kedua, Anda harus melihat ke dalam traffic shaping ... idealnya Anda ingin memberikan setiap IP di dalam bandwidth minimum yang dijamin sama dan membiarkan mereka memperebutkan ekstra ... dengan cara itu tidak ada yang ditutup tetapi siapa pun masih bisa meledak penuh kapasitas.


0

Saya akan menyarankan Anda untuk melihat apakah router Anda dapat menggunakan firmware khusus seperti DD-WRT . Dengan itu Anda dapat menggunakan QOS yang akan benar-benar apa yang Anda cari.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.