SOHO - étrangler le trafic bittorrent des utilisateurs problématiques

Je gère le réseau dans un petit bureau (SW dev est mon "vrai travail"), et il y a quelques utilisateurs qui ont battu l'enfer de notre connexion Internet en exécutant bittorrent. Entre l'effet presque paralysant du côté du téléchargement (20 Mbps) et la responsabilité potentielle, je veux arrêter cela autant que possible.

Quelques détails rapides en prévision de questions ou suggestions:

• nous avons 2 routeurs (1 Linksys, 1 Buffalo) exécutant le dernier DD-WRT et un D-Link DIR-655 exécutant le dernier logiciel d'usine

• Internet est un plan FiOS 20/20

• les utilisateurs se connectent via WiFi et filaire, tout le monde utilise DHCP

• acquérir un nouveau matériel (disons <1000 $) qui fait vraiment l'affaire est une option

• nous avons une politique d'utilisation d'Internet en place, oui, mais je veux l'appliquer autant que possible via l'informatique car nous savons tous que certaines personnes ne peuvent tout simplement pas suivre les règles. Oui, je sais que le traitement de cette question est un problème social, mais cette partie est hors de mon autorité / contrôle.

• les stratégies courantes (bloquer complètement l'accès par MAC / IP, bloquer les ports, etc.) ne fonctionneront pas. Au moins 2 des personnes reprogramment régulièrement les adresses MAC sur leurs interfaces Ethernet.

Je comprends que les clients BT peuvent être configurés pour utiliser d'autres ports, donc simplement bloquer la plage de ports BT standard est une faiblesse.

Je ne peux pas croire que je suis la première personne à avoir écorché ce chat. Ou peut-être que seuls les services informatiques. avec de gros budgets d'équipement peut dépouiller ce chat?

Merci de votre aide!

Vous avez raison, c'est vraiment un problème social qui doit être traité par la direction. Si certaines personnes ont un impact sur le réseau au point que cela cause des problèmes à d'autres, alors elles doivent être traitées et expliquées quelles seront les conséquences si elles le maintiennent. Reprogrammer les adresses MAC sur leurs cartes réseau? S'ils n'ont aucun besoin légitime de le faire, vous pouvez envisager de verrouiller votre routeur wifi et vos commutateurs réseau pour n'accepter que les connexions de certaines adresses MAC. S'ils le modifient, ils ne peuvent pas accéder au réseau, et soudainement le filtrage / limitation des adresses MAC devient une possibilité au niveau du routeur frontière.

La mise en forme du trafic pour les ports non standard peut également être utilisée pour réduire la quantité de bande passante disponible pour tous les ports, à l'exception de http, ftp, smtp, etc. Réduire la quantité de bande passante disponible pour les applications non standard les rend beaucoup moins souhaitables. .

Une autre option sur votre routeur / pare-feu frontalier est d'autoriser uniquement certains ports pour le trafic sortant, limité aux ports standard. Cela peut ou non être pratique compte tenu de votre environnement.

Activez la QoS sur vos trucs DD-WRT comme décrit ici . Rendez tout le trafic non-port-80/22/25 / IMAP / POP limité à une très petite quantité de bande passante, et limitez même ces ports à quelque chose de raisonnable comme 2Mb / s ou plus.

Ensuite, lisez BOFH pour des idées sur ce qu'il faut faire aux utilisateurs incriminés.

Si c'est un petit bureau dire aux employés d'arrêter d'utiliser bittorent ou de faire face à des mesures disciplinaires, dépenser de l'argent / du temps pour façonner le trafic pour un petit bureau semble ridicule ... sauf s'il y a des circonstances extraordinaires que vous n'avez pas mentionnées.

Je suis sûr que le directeur de votre bureau voudrait savoir pourquoi leurs employés ont le temps de configurer bittorent, de changer leur adresse mac, etc. à l'heure de l'entreprise ...

Si vous optez pour des astuces techniques et ignorez l'aspect social, les méchants essaieront des astuces diverses pour éviter les restrictions. Si vous implémentez quelque chose qui marque et façonne le trafic bittorrent, ils commenceront à utiliser le cryptage, etc.

Si vous ne faites que du social et commencez à crier sur les méchants, vous deviendrez leur ennemi. Surtout si ce n'est pas là votre travail principal. Ils pourraient penser que vous les limitez à plaire au patron par exemple. Et travailler au quotidien avec des gens qui vous détestent est triste.

Une approche très efficace qui n'implique presque aucune violence consiste à surveiller l'utilisation du réseau. Configurez quelque chose comme mrtg et rendez les graphiques d'utilisation du réseau accessibles à tous au bureau. Donc, dès que quelqu'un se plaindra de la lenteur d'Internet - envoyez-le là-bas pour voir qui gaspille la bande passante.

De cette façon, vous n'aurez pas à vous battre seul contre les porcs de bande passante. Vous n'aurez même pas besoin de vous battre du tout, les bons utilisateurs mangeront les mauvais.

Si vous n'avez pas le pouvoir de les frapper le premier et que les gens qui ne le veulent pas trop, alors vous n'avez pas de chance. Oui, il existe des moyens technologiques de résoudre ce problème. Il semble qu'au moins certains de vos utilisateurs problématiques sont probablement assez avertis pour éviter à peu près toutes les solutions technologiques que vous essayez. Pire encore, pour ce type de personne, vous avez maintenant implicitement validé qu'il est acceptable pour eux de le faire (car il n'y a pas eu de réponse de la direction) tant qu'ils le font de manière à éviter les barrages routiers que vous installez.

Vous devriez jeter un oeil sur M0n0wall et pfSense .

Je crois que les fonctionnalités de mise en forme du trafic de pfSense sont meilleures et c'est celle que je suggère.

La documentation est malheureusement très rare mais si vous l'expérimentez un peu, il n'est pas difficile de comprendre les choses.
Exécutez simplement l'assistant et apprenez des règles qu'il va créer. Consultez également ce guide de mise en forme du trafic .

Bien que cela ne résoudra pas vos problèmes sociaux et ne sera pas une solution finale pour faire respecter les règles, je pense que c'est un bon compromis.
Vous pouvez leur permettre d'utiliser la bande passante tout en vous assurant que tout ce qui est plus important n'est pas affecté.

Avez-vous envisagé un proxy Web comme Squid? C'est peut-être une option. Je sais que les grands garçons peuvent filtrer au niveau des paquets.

Une autre façon de lutter contre cela consiste à exécuter des analyses de période de chaque poste de travail / ordinateur portable jusqu'à ce qui est installé. Vous voyez un client BitTorrent, vous marquez l'utilisateur. Vous pouvez créer un script pour les choses faciles en interrogeant le registre à:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Verrouillez ces machines - supprimez les droits d'administrateur. Ils agissent comme des enfants gâtés, et la seule chose que vous pouvez vraiment faire est de les traiter de cette façon.

Cela ne fonctionnera pas pour les utilisateurs sophistiqués, mais j'ai déjà bloqué certains utilisateurs d'un site en mettant une entrée factice dans c: \ Windows \ system32 \ etc \ hosts

Un routeur SOHO comme un Cisco 871w a la capacité d'effectuer une inspection approfondie des paquets. Vous seriez en mesure de refuser le P2P sur tous les ports sans affecter les autres trafics.

Il en va de même pour la messagerie instantanée, RDP, etc ... Certains clients de messagerie instantanée peuvent être configurés pour sortir via le port 80 (HTTP), que vous ne bloquerez probablement pas. Mais un routeur comme le Cisco 871w fonctionne réellement à un niveau supérieur du modèle OSI et peut détecter si le trafic traversant le port 80 est HTTP ou un autre protocole.

La raison de la solution technique est que ce sont généralement les types de gestion qui le font.
C'est le même problème avec la sécurité, ceux qui ont les données les plus sensibles sont ceux qui ne se soucient pas d'un mot de passe, envoient des e-mails confidentiels de Yahoo tout en étant connecté au wifi de l'aéroport non crypté et perdent les ordinateurs portables.
Puisque vous ne pouvez pas appliquer les règles avec eux - ils en font les règles - la seule solution est celle qu'ils ne connaissent pas.