¿Bloquear la descarga de p2p en mi oficina?

Trabajo en una oficina de educación en un país del tercer mundo. Pagamos internet por megabyte (no hay otra opción) y últimamente hemos estado utilizando una increíble cantidad de ancho de banda. Esto se debe a que el personal de la oficina se enteró de compartir p2p. Hasta donde sé, Limewire es el único programa que están usando, pero estoy seguro de que es solo cuestión de tiempo antes de que descubran el mundo más general de Bittorrent.

Usando solo un enrutador Linksys (que podría flashear), ¿hay alguna forma de evitar que la oficina destruya nuestro límite de ancho de banda mediante la descarga de elementos personales (en contra de la política).

Incluso las soluciones parciales serían mejores que nada.

Ambas buenas respuestas de satanicpuppy y cschreiner. Agregaré mis $ 0.02. Si el enrutador Linksys aceptará el firmware de Tomato ( http://www.polarcloud.com/tomato ), puede usar las opciones Traffic Shaping / QoS para quitar la prioridad de lo que desee. Me parece que la QoS / Shaper de tomate funciona mejor que cualquier otra cosa que haya probado (DDWrt y pfSense)

Estoy usando el firmware de Tomato en este momento en una situación similar en la que tengo varias personas usando una conexión y pago por MB de uso.

Mi Linksys WRT54GL generalmente tiene tiempos de funcionamiento de alrededor de 60-120 días, y funciona muy bien.

Sugeriría una táctica doble:

1. Configure reglas para permitir solo el tráfico de servicios específicos de su elección, como DNS, web, https, ftp, correo, etc. Intentar bloquear los puertos utilizados por las aplicaciones P2P es una batalla perdida, ya que en muchos casos puede cambiar el puerto utilizado en las preferencias de la aplicación o cambiar a otra aplicación.

2. La otra cosa que debe hacer es hablar con el jefe o la persona que toma las decisiones financieras (si este no es usted) y hacer una política de que esto no está permitido y dejar que los empleados sepan que está registrando lo que está sucediendo, y cualquier persona usando P2P será despedido. No vale la pena luchar por una guerra en constante aumento para encontrar una manera infalible de evitar que las personas usen P2P.

Sugiero cortafuegos SonicWall que pueden hacer tanto interna a cualquier regla, y tienen opciones de registro e informes. El firmware de tomate mencionado anteriormente también puede tener estas capacidades, no estoy tan familiarizado con él.

Intente con opendns.com, regístrese, agregue su dirección IP identificada, marque lo que desea bloquear y asegúrese de agregar las direcciones DNS de OpenDNS a su enrutador Linksys ... generalmente en la primera página del enrutador. Asegúrese de tener un inicio de sesión seguro / pw asignado a sus linksys y, por supuesto, un buen pw para abrir.

Vaya aquí para obtener instrucciones para su enrutador: https://store.opendns.com/setup/router/

Además ... si su proveedor le proporciona una IP dinámica, deberá verificar la frecuencia del cambio de dirección IP y cambiar su configuración ocasionalmente; de ​​lo contrario, no bloqueará nada cuando cambie.

Si bloquear el tráfico p2p es un problema real, es posible que desee obtener un firewall real (Linux, OpenBSD, etc.). Con la configuración adecuada (en realidad no es tan difícil, pero tendrá que leer mucho y jugar en serverfault.com), puede bloquear todo el tráfico saliente que no desee, además de limitar el tráfico saliente restante (que independientemente de P2P es siempre una buena idea). Lleva tiempo y pruebas, pero una vez que la solución está funcionando, realmente nunca tendrá que preocuparse nuevamente. He tenido una caja de OpenBSD funcionando por más de dos años sin parar.

Como se indicó aquí, los usuarios siempre encontrarán nuevas formas de pasar el tráfico, pero si mantiene el bloqueo apretado, incluso si p2p, la velocidad será miserable y pueden optar por simplemente abandonar la idea.

INGENIERÍA SOCIAL

Recuerdo que tenía un usuario descargando cosas a través de un puerto extraño como un loco. Así que prioricé ftp a través del puerto 22 y comencé una descarga de 2 gb a toda velocidad desde esa ubicación (que estaba muy cerca, por lo que la velocidad era "velocidad máxima" 200 k / seg en este momento). Eso "mató" al resto de la red. Resultado final: no solo los otros usuarios de la red estaban enojados con esta persona por "matar" su Internet, sino que el usuario también tuvo que detenerse porque la velocidad de descarga era miserable. La "razón" para que la red sea lenta le di, fue porque su conexión P2p estaba matando el viejo enrutador. (mentira).

Él detuvo sus actividades.

;)

Si las reglas de firewall de salida no lo ayudan (como señalé en un comentario a otra respuesta aquí),
el siguiente paso sería considerar un filtro basado en Snort .

Esto sería un poco más complejo y requeriría recursos y esfuerzo adicionales.
Entonces, mira esto como una sugerencia teórica; si nada más funciona ...

• Puede usar una instalación basada en Windows o elegir un cuadro de Linux
• Tendría que configurar reglas específicas como esta que detiene Bittorrent
  • habrá una 'curva de aprendizaje' a medida que localice firmas que funcionen para usted
• Podría reducir otras firmas relacionadas con 'intrusión' para el rendimiento

Esto es lo mejor que puedo encontrar en las condiciones dadas.
Agregaré más notas si obtengo mejores ideas, o tal vez algunas ampliarán esto con una mejor solución.

Debería ser bastante fácil. Para la mayoría de los enrutadores de Linksys será algo como esto: vaya a la interfaz de administración de su enrutador, (solo apunte su navegador web al enrutador. Creo que el valor predeterminado es 192.168.1.1, pero debería poder saberlo desde su PC usando "tracert google.com": el enrutador debe ser la primera entrada) y haga clic en la pestaña que dice "Restricciones de acceso" y debajo de eso debería ver un par de pestañas que dicen "Servicios bloqueados" con un botón debajo de ese dice "Agregar / Editar servicio"

Haga clic en el botón Agregar / Editar y coloque el rango de puertos que desea bloquear. Limewire por defecto es 6346.

Desafortunadamente, las versiones estándar no permiten un control de grano fino. Si publica el modelo de hardware de su enrutador, comprobaré si hay firmware actualizado. Si puede encontrar algo que ofrezca soporte completo de IPTables, puede hacer la lista blanca de puertos, que es la mejor manera de hacerlo ... Bloquee TODO excepto las cosas que desee.

@ Nik: Sí, tienes razón. Pero esto es todo lo que puede hacer con un Linksys listo para usar. La configuración de la limitación del ancho de banda y tal requiere la configuración de un proxy real, y eso requiere un servidor y una gran cantidad de conocimiento (o un montón de dinero en efectivo).

Si iba a hacerlo, configuraría un proxy de calamar para limitar por contenido , y si eso no funcionaba, simplemente estrangularía a mis usuarios problemáticos (o los despediría).

Si controla las máquinas en la oficina, en lugar de intentar bloquear los puertos en el enrutador, ¿por qué no bloquea la aplicación P2P en el firewall de Windows?

Como funciona a nivel de aplicación en lugar de a nivel de puertos / protocolos. Luego, la aplicación se bloquea independientemente del puerto que esté tratando de usar.

Nota: Si la aplicación no figura en la lista, puede agregarla a la lista mediante el botón Agregar programa en la parte inferior de esta ventana.