Я управляю сетью в небольшом офисе (разработчик программного обеспечения - моя «настоящая работа»), и есть пара пользователей, которые чертовски убивают наше интернет-соединение, запустив bittorrent. Между почти разрушительным эффектом на стороне загрузки (20 Мбит / с) и потенциальной помехой, я хочу как можно больше отключить это.
Некоторые подробности в ожидании вопросов или предложений:
у нас есть 2 маршрутизатора (1 Linksys, 1 Buffalo) с последней версией DD-WRT и один D-Link DIR-655 с установленной последней заводской программой.
Интернет - план FiOS 20/20
пользователи подключаются через Wi-Fi и проводной, все используют DHCP
приобретение нового оборудования (скажем, <$ 1000), которое действительно надежно работает, является вариантом
Да, у нас есть политика использования Интернета, но я хочу максимально усилить ее с помощью ИТ, потому что все мы знаем, что некоторые люди просто не могут следовать правилам. Да, я знаю, что это социальная проблема, но эта часть находится вне моей власти / контроля.
обычные стратегии (полная блокировка доступа по MAC / IP, блокировка портов и т. д.) не работают. По крайней мере, двое людей регулярно перепрограммируют MAC-адреса на своих интерфейсах Ethernet.
Я понимаю, что клиенты BT могут быть настроены для использования других портов, поэтому простая блокировка стандартного диапазона портов BT - это слабое место.
Не могу поверить, что я первый, кто снял шкуру с этой кошки. А может только ИТ-отдел. с большим бюджетом на оборудование можно снять шкуру с этой кошки?
Спасибо за вашу помощь!
Включите QoS на вашем DD-WRT, как описано Вот. Ограничьте весь трафик, не относящийся к портам 80/22/25 / IMAP / POP, какой-то очень небольшой полосой пропускания, и сделайте даже эти порты ограниченными чем-то разумным, например, 2 Мбит / с или около того.
Тогда иди читай BOFH для идей о том, что делать с оскорбившими пользователями.
Вы правы, это действительно социальная проблема, которую необходимо решать руководству. Если определенные люди влияют на сеть до такой степени, что это вызывает проблемы у других, то с ними нужно разобраться и объяснить, какие будут последствия, если они будут продолжать в том же духе. Перепрограммировать MAC-адреса на своих сетевых адаптерах? Если у них нет законной необходимости в этом, вы можете подумать о том, чтобы заблокировать свой Wi-Fi-маршрутизатор и сетевые коммутаторы, чтобы принимать соединения только с определенных MAC-адресов. Если они его изменят, они не смогут подключиться к сети, и внезапно на граничном маршрутизаторе станет возможной фильтрация / ограничение MAC-адресов.
Формирование трафика для нестандартных портов также может использоваться для уменьшения доступной полосы пропускания для всех портов, кроме стандартных http, ftp, smtp и т. Д. Уменьшение количества пропускной способности, доступной для нестандартных приложений, делает их намного менее желательными. .
Другой вариант на вашем пограничном маршрутизаторе / брандмауэре - разрешить только определенные порты для исходящего трафика, ограниченный стандартными портами. Это может быть или не быть практичным в вашей среде.
Если вы пойдете на технические уловки и проигнорируете социальный аспект, плохие парни попробуют разные уловки, чтобы избежать ограничений. Если вы реализуете что-то, что маркирует и формирует битторент-трафик, они начнут использовать шифрование и т. Д.
Если вы будете общаться только с людьми и начнете кричать на плохих парней, вы станете их врагом. Особенно, если это не ваша основная работа там. Они могут подумать, что вы ограничиваете их, например, чтобы доставить удовольствие боссу. И ежедневно работать с людьми, которые тебя ненавидят, грустно.
Очень эффективный подход, почти не требующий насилия, - это мониторинг использования сети. Настройте что-то вроде mrtg и сделайте графики использования сети общедоступными для всех в офисе. Так что, как только кто-то пожалуется на медленный интернет - отправьте его посмотреть, кто тратит трафик.
Таким образом, вам не придется в одиночку бороться с ограничителями пропускной способности. Вам даже не придется драться, хорошие пользователи съедят плохих.
Если небольшой офис говорит сотрудникам прекратить использование bittorent или подвергнуться дисциплинарным взысканиям, тратить деньги / время на формирование трафика для небольшого офиса кажется нелепым ... если только нет каких-то чрезвычайных обстоятельств, о которых вы не упомянули.
Я уверен, что менеджер вашего офиса захочет узнать, почему у их сотрудников есть время для настройки bittorent, изменения своего MAC-адреса и т. Д. В рабочее время ...
Если у вас нет полномочий, чтобы ударить их по желанию, и люди, которые не хотят этого, тоже не хотят, то вам в значительной степени не повезло. Да, есть технологические способы решить эту проблему. Похоже, что по крайней мере некоторые из ваших проблемных пользователей, вероятно, достаточно сообразительны, чтобы избегать практически любого технического решения, которое вы попробуете. Хуже того, для такого типа людей вы теперь неявно подтвердили, что это нормально для них (поскольку не было ответа руководства), если они делают это таким образом, чтобы избежать препятствий, которые вы ставите.
Вы должны взглянуть на M0n0wall и pfSense.
Я считаю, что функции формирования трафика в pfSense лучше, и я бы предложил именно это.
Документация, к сожалению, очень скудная, но если немного поэкспериментировать с ней, разобраться несложно.
Просто запустите мастер и учитесь на правилах, которые он создаст. Также проверьте это Руководство по формированию трафика.
Хотя это не решит ваши социальные проблемы и не станет окончательным решением в обеспечении соблюдения правил, я считаю, что это хорошая золотая середина.
Вы можете разрешить им использовать полосу пропускания, убедившись, что все остальное, что более важно, не пострадает.
Вы рассматривали веб-прокси, как Squid? Это может быть одним из вариантов. Я знаю, что большие парни могут фильтровать на уровне пакетов.
Другой способ борьбы с этим - запускать периодическое сканирование каждой рабочей станции / ноутбука, насколько это установлено. Вы видите BitTorrent-клиент, вы отмечаете пользователя. Вы можете создать сценарий для простых вещей, запросив реестр по адресу:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \
Заблокируйте эти машины - удалите права администратора. Они ведут себя как избалованные дети, и единственное, что вы действительно можете сделать, - это так с ними обращаться.
Это не сработает для опытных пользователей, но однажды я заблокировал определенных пользователей на сайте, поместив фиктивную запись в c: \ Windows \ system32 \ etc \ hosts.
Маршрутизатор SOHO, такой как Cisco 871w, может выполнять глубокую проверку пакетов. Вы сможете запретить P2P на всех портах, не влияя на другой трафик.
То же самое касается обмена мгновенными сообщениями, RDP и т. Д. Некоторые клиенты обмена мгновенными сообщениями могут быть настроены на выход через порт 80 (HTTP), который вы вряд ли заблокируете. Но такой маршрутизатор, как Cisco 871w, фактически работает на более высоком уровне модели OSI и может определять, является ли трафик, проходящий через порт 80, HTTP или каким-либо другим протоколом.
Причина технического решения в том, что обычно это делают руководители.
Та же проблема с безопасностью: те, у кого есть наиболее конфиденциальные данные, - это те, кто не беспокоится о пароле, не отправляет конфиденциальную электронную почту от Yahoo при входе в незашифрованный Wi-Fi аэропорта и теряет ноутбуки.
Поскольку вы не можете обеспечить соблюдение правил с ними - они устанавливают правила - единственное решение - это то, о котором они не знают.