BitTorrent de bloqueo

¿Cómo se puede bloquear, o ralentizar severamente, BitTorrent y servicios similares peer-to-peer (P2P) en la red de una pequeña oficina?

Al buscar Server Fault no pude encontrar una pregunta que sirviera como punto de encuentro para las mejores ideas técnicas sobre esto. Las preguntas existentes tratan sobre situaciones específicas, y las respuestas dominantes son de naturaleza social / legal. Esos son enfoques válidos, pero sospecho que una discusión puramente técnica sería útil para mucha gente. Supongamos que no tiene acceso a las máquinas en la red.

Con el uso del cifrado aumentando en el tráfico P2P, parece que la inspección de paquetes con estado se está convirtiendo en una solución menos viable. Una idea que parece tener sentido para mí es simplemente limitar a los usuarios pesados ​​por IP, independientemente de lo que estén enviando o recibiendo, pero no parece que muchos enrutadores admitan esa funcionalidad en este momento.

¿Cómo puede acelerar el tráfico P2P / BitTorrent?

Creo que la mayoría de los enfoques que preguntan "¿Cómo bloqueo X" son simplemente erróneos. Es la enumeración de la maldad.

Ahora ve a votarme, pero creo que deberías (como lo haces con los firewalls "normales") simplemente permitir el tráfico que coincida con el tráfico conocido. Pero ahora tiene un problema, el tráfico HTTP cifrado SSL no es tan fácil de permitir. Hay soluciones que son efectivamente un hombre en el medio del ataque, por lo que si no tienes control total sobre los clientes y firmas contratos donde la gente acepta que te espíen, podrías enfrentar cargos legales (en algunos países está totalmente prohibido por ley , algunos países permiten tales términos en los contratos).

Para mí, el único nivel sensato en el que desea diferenciar entre P2P y el tráfico normal es un firewall de aplicación. No hay forma de que un cortafuegos en la capa de IP o transporte pueda tomar decisiones sensatas sobre si la carga útil real es una solicitud válida o no.

He estado allí, lo intenté. Simplemente no funcionará. En un entorno SOHO, como donde trabajo, no hay forma de saber qué es P2P y qué es tráfico "legítimo", ya que el equipo que tenemos no es tan sofisticado. La única forma en que he encontrado que vale la pena es una forma más "manual".

Mi sistema de monitoreo (Nagios) me alerta cuando el tráfico en la interfaz externa del firewall se mantiene por encima de un punto preestablecido durante más de dos períodos de verificación consecutivos, que están separados por 5 minutos. Cuando esto sucede, miro la visualización del tráfico en vivo en la interfaz de administración del firewall (Smoothwall) y si veo una máquina en particular con un flujo de tráfico bastante continuo hacia o desde Internet, tengo una mirada remota para ver qué se está ejecutando en esa máquina . Si veo algo que sé que es un cliente P2P, visitaré a ese usuario.

Esto es bastante burdo pero, y este es un punto bastante importante, es lo mejor que puedo hacer con lo que tengo disponible .

Mi método preferido es configurar el cliente para que se estrangule. Este parece ser el método más simple y efectivo. Casi todos los clientes lo admiten; Utilizo el antiguo cliente ctorrent e incluso es compatible con la aceleración configurable dinámicamente a través de la extensión CTCS .

Si el cliente o usuario administrador se niega a hacerlo, y la ingeniería social falla, corro directamente para QFQ o WF2Q . No todos los enrutadores SOHO de $ 50 no lo admiten, esta es una operación técnica y complicada, obtienes lo que pagas . Construyo mis propios enrutadores con tecnología Alix o Soekris (el costo suele ser de alrededor de $ 100 cada uno con piezas usadas fuera de eBay) para poder ejecutar m0n0-wall , pfSense o FreeBSD directo (mi sistema operativo de elección, aunque no hay razón para que Linux no pueda ser utilizado ) Últimamente he estado buscando en la RouterStation como una alternativa más barata a estos SBC .

Las personas inteligentes de ResTek en mi antiguo empleador, que administraban una gran red de residencias universitarias, tuvieron que lidiar mucho con esta. Terminaron con un modelador de paquetes que des-priorizó el tráfico BT en relación con el tráfico HTTP normal. Los paquetes aún se transmitieron y el intercambio aún sucedió, pero le tomó a los perros la edad de ^{1 año} . Según ellos, funcionó muy bien.

Incluso con cargas útiles cifradas, el tráfico BT es reconocible por su forma; muchas conexiones algo persistentes a muchos otros nodos. Todavía es evitable, así que no es perfecto.

1: Entonces, ¿qué hicieron? Schlep a la WLAN del campus a BT cosas. Entonces, cuando llegaron los avisos de DMCA, el portal cautivo ya había registrado su información de inicio de sesión e IP, por lo que sabíamos con quién hablar.

En un entorno SOHO?

• l7-filter es una extensión de iptables de Linux que permite que las reglas de firewall coincidan con los datos de la capa de aplicación en los paquetes. Agregue esto a un firewall de iptables existente ...
• Elimine los clientes BitTorrent de las máquinas de los usuarios.