Что фильтровать при предоставлении очень ограниченного открытого Wi-Fi для небольшой конференции или собрания?
Управляющее резюме
Основной вопрос: если у вас очень ограниченная полоса пропускания Wi-Fi для предоставления Интернета для небольшой встречи всего на день или два, как вы установите фильтры на маршрутизаторе, чтобы один или два пользователя не монополизировали всю доступную пропускную способность?
Для людей, у которых нет времени читать подробности ниже, я НЕ ищу любой из этих ответов:
- Защитите маршрутизатор и позвольте им пользоваться только нескольким доверенным людям
- Скажите всем, чтобы они отключили неиспользуемые сервисы и вообще сами полицейские
- Отслеживайте трафик с помощью сниффера и при необходимости добавляйте фильтры
Я все это знаю. Ни один из них не подходит по причинам, которые станут ясны.
ТАКЖЕ ПРИМЕЧАНИЕ: Уже есть вопрос по обеспечению адекватного Wi-Fi на больших (> 500 участников) конференциях здесь. Этот вопрос касается МАЛЕНЬКИХ встреч с участием менее 200 человек, обычно менее половины из которых используют WiFi. То, с чем можно справиться с помощью одного домашнего или небольшого офисного маршрутизатора.
Задний план
В прошлом я использовал маршрутизатор 3G / 4G для обеспечения Wi-Fi на небольших собраниях и с некоторым успехом. Под малыми я подразумеваю конференции в одной комнате или встречи на уровне баркемп или Skepticamp или собрание группы пользователей. Иногда на этих встречах присутствуют технические специалисты, но не только. Обычно от половины до трети участников фактически используют WiFi. Максимальный размер собрания, о котором я говорю, - от 100 до 200 человек.
Я обычно использую Кредлпойнт МБР-1000 но многие другие устройства существуют, особенно универсальные устройства, поставляемые поставщиками 3G и / или 4G, такими как Verizon, Sprint и Clear. Эти устройства используют подключение к Интернету 3G или 4G и передают его нескольким пользователям с помощью Wi-Fi.
Одним из ключевых аспектов предоставления сетевого доступа таким способом является ограниченная пропускная способность, доступная через 3G / 4G. Даже с чем-то вроде Cradlepoint, который может балансировать нагрузку на несколько радиомодулей, вы достигнете лишь нескольких мегабит скорости загрузки и, возможно, мегабита или около того скорости загрузки. Это лучший сценарий. Часто это происходит значительно медленнее.
Цель большинства подобных встреч - предоставить людям доступ к таким сервисам, как электронная почта, Интернет, социальные сети, чаты и так далее. Это делается для того, чтобы они могли вести живые блоги или живые твиты, или просто общаться в чате в Интернете, или иным образом оставаться на связи (как с участниками, так и с не присутствующими), пока собрание продолжается. Я хотел бы ограничить услуги, предоставляемые маршрутизатором, только теми услугами, которые отвечают этим потребностям.
Проблемы
В частности, я заметил несколько сценариев, в которых определенные пользователи в конечном итоге злоупотребляют большей частью пропускной способности маршрутизатора в ущерб всем. Они разделяются на две области:
Преднамеренное использование. Люди смотрят видео на YouTube, загружают подкасты на свой iPod и иным образом используют полосу пропускания для вещей, которые действительно неуместны в конференц-зале, где вы должны обращать внимание на говорящего и / или взаимодействовать.
На одной встрече, на которой мы транслировали прямую трансляцию (через отдельное выделенное соединение) через UStream, я заметил несколько человек в комнате, у которых была открыта страница UStream, чтобы они могли взаимодействовать с чатом встречи - очевидно, не обращая внимания на то, что они тратят пропускную способность на потоковую передачу. заднее видео того, что происходило прямо перед ними.Непреднамеренное использование. Существует множество программных утилит, которые будут широко использовать пропускную способность в фоновом режиме, которые люди часто устанавливают на свои ноутбуки и смартфоны, возможно, даже не осознавая.
Примеры:Программы одноранговой загрузки, такие как Bittorrent, которые работают в фоновом режиме
Услуги автоматического обновления ПО. Это легион, поскольку у каждого крупного поставщика программного обеспечения есть свои собственные, поэтому можно легко заставить Microsoft, Apple, Mozilla, Adobe, Google и другие загружать обновления в фоновом режиме.
Программное обеспечение безопасности, которое загружает новые сигнатуры, такие как антивирус, антивирус и т. Д.
Программное обеспечение для резервного копирования и другое программное обеспечение, которое «синхронизируется» в фоновом режиме с облачными службами.
Для некоторых цифр о том, сколько полосы пропускания сети поглощается этими службами, не связанными с Интернетом и электронной почтой, ознакомьтесь с этой недавней статьей Wired. Очевидно, что сейчас Интернет, электронная почта и чат составляют менее четверти интернет-трафика. Если цифры в этой статье верны, отфильтровав все остальное, я смогу повысить полезность Wi-Fi в четыре раза.
Теперь в некоторых ситуациях мне удавалось контролировать доступ с помощью системы безопасности на маршрутизаторе, чтобы ограничить его очень небольшой группой людей (обычно организаторами собрания). Но это не всегда уместно. На предстоящей встрече я хотел бы запустить Wi-Fi без защиты и позволить любому использовать его, потому что это происходит в месте встречи, покрытие 4G в моем городе особенно отличное. В недавнем тесте я получил 10 мегабит на месте встречи.
Упомянутое выше решение «скажите людям, чтобы они сами контролировали себя» не подходит из-за (а) в значительной степени нетехнической аудитории и (б) непреднамеренного характера большей части использования, как описано выше.
Решение «запустить сниффер и фильтровать по мере необходимости» бесполезно, потому что эти встречи обычно длятся всего пару дней, часто всего один день, и в них очень мало добровольцев. У меня нет человека, которого можно было бы посвятить мониторингу сети, и к тому времени, когда мы полностью настроим правила, собрание будет закончено.
Что я получил
Во-первых, я решил использовать OpenDNS правила фильтрации доменов для фильтрации целых классов сайтов. С ее помощью можно уничтожить ряд видео- и одноранговых сайтов. (Да, я знаю, что фильтрация через DNS технически оставляет услуги доступными - помните, что это в основном нетехнические пользователи, посещающие двухдневное собрание. Этого достаточно). Я решил, что начну с выбора в пользовательском интерфейсе OpenDNS:
Я полагаю, что, вероятно, я также заблокирую DNS (порт 53) для чего-либо, кроме самого маршрутизатора, чтобы люди не могли обойти мою конфигурацию DNS. Опытный пользователь может обойти это, потому что я не собираюсь накладывать на брандмауэр много сложных фильтров, но меня это не особо волнует. Поскольку эти встречи длятся недолго, вероятно, они не будут стоить усилий.
Это должно охватывать основную часть не веб-трафика, то есть одноранговую сеть и видео, если эта статья Wired верна. Пожалуйста, сообщите, если вы считаете, что у подхода OpenDNS есть серьезные ограничения.
Что мне нужно
Обратите внимание, что OpenDNS фокусируется на вещах, которые в том или ином контексте «нежелательны». Охватывается видео, музыка, радио и одноранговые сети. Мне все еще нужно затронуть ряд вполне разумных вещей, которые мы просто хотим заблокировать, потому что они не нужны на собрании. Большинство из них - это утилиты, которые загружают или скачивают легальные вещи в фоновом режиме.
В частности, я хотел бы знать номера портов или имена DNS для фильтрации, чтобы эффективно отключить следующие службы:
- Автоматические обновления Microsoft
- Автоматические обновления Apple
- Автоматические обновления Adobe
- Автоматические обновления Google
- Другие основные службы обновления программного обеспечения
- Основные обновления вирусов / вредоносных программ / сигнатур безопасности
- Основные фоновые службы резервного копирования
- Другие службы, которые работают в фоновом режиме и могут потреблять много трафика
Я также хотел бы получить любые другие предложения, которые могут быть у вас применимы.
Извините за такую многословность, но я считаю, что очень, очень ясно, когда речь идет о вопросах подобного рода, и у меня уже есть половина решения с OpenDNS.
Для начала определите тип трафика, который вы хотите разрешить. Имейте правило запрета по умолчанию, а затем разрешите такие порты, как 80, 443, 993, 587, 143, 110, 995, 465, 25 (я лично предпочел бы не открывать это, но вы, вероятно, получите массу жалоб, если вы этого не сделаете) . Также разрешите UDP-соединения с портом 53 на серверах OpenDNS.
Это будет отличным началом. Это убьет большинство протоколов перегрузки полосы пропускания. Он также заблокирует множество VPN-подключений (но не ssl vpns), что должно помочь предотвратить обход вашей безопасности.
Если у вас есть брандмауэр, способный блокировать типы файлов, вам, вероятно, также следует заблокировать exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar и, возможно, множество других Я ухожу.
Помимо этого, ваши текущие ограничения, вероятно, достаточно приличны. Вы можете добавлять обновления в список. Лично я бы не стал блокировать обновления аудио / видео. Если вы действительно хотите, вы можете заблокировать все их домены (* .symantec.com, * .mcafee.com, * .trendmicro.com и т. Д.). URL-адреса обновлений Microsoft доступны по адресу http://technet.microsoft.com/en-us/library/bb693717.aspx
Использование OpenDNS не блокирует торренты.
Это только заблокирует их возможность находить новые торренты в Интернете и добавлять их в свою очередь.
Если они войдут с 5 торрентами на полпути, а затем подключатся к локальной сети через Wi-Fi, бац, все торренты возобновятся и займут всю доступную полосу пропускания. Внимательное чтение веб-сайта OpenDNS указывает на это. И если вы думаете о том, как работает DNS, это имеет смысл.
Блокировать существующие торренты сложно. Самый разумный шаг - ограничить максимальное количество подключений до 60-100 на пользователя прямо в радио. iTunes и Torrent открываются тысячами.
Во-первых, любой один Wi-Fi-маршрутизатор действительно годен только для примерно 60 подключений, поэтому в худшем случае, когда у вас «менее 200 человек, из которых менее половины используют Wi-Fi» (99 пользователей), может потребоваться как минимум еще один маршрутизатор.
Во-вторых, вы должны изучить формирование трафика ... в идеале вы хотите дать каждому IP-адресу внутри одинаковую гарантированную минимальную пропускную способность и позволить им бороться за лишнюю ... таким образом, никто не будет отключен, но любой может взорваться на полную вместимость.