SOHO: acelerador del tráfico de bittorrent de usuarios problemáticos

Administro la red en una pequeña oficina (SW Dev es mi "trabajo real"), y hay un par de usuarios que superan nuestra conexión a Internet ejecutando bittorrent. Entre el efecto casi paralizante en el lado de carga (20 Mbps) y la posible responsabilidad, quiero cerrar esto tanto como sea posible.

Algunos detalles rápidos en previsión de preguntas o sugerencias:

• Tenemos 2 enrutadores (1 Linksys, 1 Buffalo) con el último DD-WRT, y un D-Link DIR-655 con el último software de fábrica.

• Internet es el plan FiOS 20/20

• los usuarios se conectan por WiFi y por cable, todos usan DHCP

• adquirir un nuevo hardware (digamos <$ 1000) que realmente hace el truco de manera confiable es una opción

• Tenemos una política de uso de Internet, sí, pero quiero aplicarla lo más posible a través de TI porque todos sabemos que algunas personas simplemente no pueden seguir las reglas. Sí, sé que lidiar con esto es un problema social, pero esta parte está fuera de mi autoridad / control.

• Las estrategias comunes (bloquear completamente el acceso por MAC / IP, bloquear puertos, etc.) no funcionarán. Al menos 2 de las personas reprograman rutinariamente las direcciones MAC en sus interfaces Ethernet.

Entiendo que los clientes BT se pueden configurar para usar otros puertos, por lo que solo bloquear el rango de puertos BT estándar es una salsa débil.

No puedo creer que sea la primera persona en desollar este gato. O tal vez solo los departamentos de TI. con grandes presupuestos de equipo puede pelar este gato?

¡Gracias por tu ayuda!

Tienes razón, realmente es un problema social que la gerencia debe abordar. Si ciertas personas están impactando la red hasta el punto de que está causando problemas a otros, entonces deben ser atendidas y explicadas cuáles serán las consecuencias si continúan. ¿Reprogramación de las direcciones MAC en sus NIC? Si no tienen una necesidad legítima de hacerlo, puede considerar bloquear el enrutador wifi y los conmutadores de red para aceptar solo conexiones de ciertas direcciones MAC. Si lo cambian, no pueden acceder a la red, y de repente el filtrado / limitación de direcciones MAC se convierte en una posibilidad en el enrutador de borde.

El modelado de tráfico para puertos no estándar también se puede emplear para reducir la cantidad de ancho de banda disponible para todos los puertos, excepto el estándar http, ftp, smtp, etc. Reducir la cantidad de ancho de banda disponible para aplicaciones no estándar los hace mucho menos deseables .

Otra opción en su enrutador / firewall de borde es permitir solo ciertos puertos para el tráfico saliente, limitado a los puertos estándar. Esto puede o no ser práctico dado su entorno.

Habilite QoS en su material DD-WRT como se describe aquí . Haga que todo el tráfico no port-80/22/25 / IMAP / POP se limite a una cantidad muy pequeña de ancho de banda, y limite incluso esos puertos a algo razonable como 2Mb / so más o menos.

Luego, lea BOFH para obtener ideas sobre qué hacer con los usuarios infractores.

Si se trata de una pequeña oficina, dígales a los empleados que dejen de usar bittorent o se enfrenten a medidas disciplinarias, gastar dinero / tiempo en la configuración del tráfico para una pequeña oficina parece ridículo ... a menos que haya algunas circunstancias extraordinarias que no haya mencionado.

Estoy seguro de que el gerente de su oficina querría saber por qué sus empleados tienen tiempo para configurar bittorent, cambiar su dirección MAC, etc. en el horario de la empresa ...

Si buscas trucos técnicos e ignoras el aspecto social, los malos intentarán trucos diversos para evitar las restricciones. Si implementa algo que marca y da forma al tráfico de bittorrent, comenzarán a usar cifrado, etc.

Si solo te vuelves social y comienzas a gritarle a los malos, te convertirás en su enemigo. Especialmente si este no es tu trabajo principal allí. Podrían pensar que los estás restringiendo para complacer al jefe, por ejemplo. Y trabajar a diario con personas que te odian es triste.

Un enfoque muy efectivo que casi no involucra violencia es monitorear el uso de la red. Configure algo como mrtg y haga que los gráficos de uso de la red estén disponibles públicamente para cualquier persona en la oficina. Tan pronto como alguien se queje de la lentitud de Internet, envíelo allí para ver quién está desperdiciando el ancho de banda.

De esta manera no tendrás que luchar solo contra los cerdos de ancho de banda. Ni siquiera necesitarás pelear, los buenos usuarios se comerán a los malos.

Si no tienes la autoridad para golpearlos y las personas que sí lo hacen no están dispuestas, entonces no tienes suerte. Sí, hay formas tecnológicas de abordar esto. Parece que al menos algunos de sus usuarios problemáticos probablemente sean lo suficientemente inteligentes como para evitar prácticamente cualquier solución tecnológica que intente. Peor aún, para ese tipo de persona que ahora ha validado implícitamente que está bien que hagan (ya que no hubo respuesta de la administración) siempre y cuando lo hagan de una manera que evite los obstáculos que usted puso.

Deberías echar un vistazo a M0n0wall y pfSense .

Creo que las características de configuración de tráfico de pfSense son mejores y esa es la que sugeriría.

Desafortunadamente, la documentación es muy escasa, pero si la experimentas un poco, no es difícil resolver las cosas.
Simplemente ejecute el asistente y aprenda de las reglas que creará. Además, consulte esta Guía de configuración de tráfico .

Si bien esto no resolverá sus problemas sociales ni será una solución final para hacer cumplir las reglas, creo que es un buen término medio.
Puede permitirles usar el ancho de banda mientras se asegura de que todo lo que sea más importante no se vea afectado.

¿Has considerado un proxy web como Squid? Esa puede ser una opción. Sé que los chicos grandes pueden filtrar a nivel de paquete.

Otra forma de combatir esto es ejecutar exploraciones periódicas de cada estación de trabajo / computadora portátil hasta lo que está instalado. Ves un cliente BitTorrent, marcas al usuario. Puede hacer un script para las cosas fáciles consultando el registro en:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Bloquee esas máquinas, elimine los derechos de administrador. Actúan como niños mimados, y lo único que realmente puedes hacer es tratarlos de esa manera.

No funcionará para usuarios sofisticados, pero una vez bloqueé a ciertos usuarios de un sitio al colocar una entrada ficticia en c: \ Windows \ system32 \ etc \ hosts

Un enrutador SOHO como un Cisco 871w tiene la capacidad de realizar una inspección profunda de paquetes. Podrá denegar P2P en todos los puertos sin afectar otro tráfico.

Lo mismo ocurre con la mensajería instantánea, RDP, etc. Algunos clientes de mensajería instantánea pueden configurarse para salir a través del puerto 80 (HTTP), que es poco probable que bloquee. Pero un enrutador como el Cisco 871w en realidad opera en un nivel superior del modelo OSI y puede detectar si el tráfico que atraviesa el puerto 80 es HTTP o algún otro protocolo.

La razón de la solución técnica es que generalmente son los tipos de administración los que lo están haciendo.
Es el mismo problema con la seguridad, aquellos con los datos más confidenciales son los que no se molestan con una contraseña, envían correos electrónicos confidenciales de Yahoo mientras están conectados al wifi del aeropuerto sin encriptar y pierden computadoras portátiles.
Como no puede hacer cumplir las reglas con ellos, ellos hacen las reglas, la única solución es una que no conocen.