Bloquer BitTorrent

Comment peut-on bloquer ou ralentir gravement BitTorrent et les services P2P (peer-to-peer) similaires sur son réseau de petite entreprise?

En recherchant Server Fault, je n'ai pas pu trouver une question qui a servi de point de ralliement pour les meilleures idées techniques à ce sujet. Les questions existantes portent toutes sur des situations spécifiques et les réponses dominantes sont de nature sociale / juridique. Ce sont des approches valables, mais une discussion purement technique serait utile à beaucoup de gens, je suppose. Supposons que vous n'ayez pas accès aux machines du réseau.

Avec l'utilisation croissante du chiffrement dans le trafic P2P, il semble que l'inspection dynamique des paquets devienne une solution moins réalisable. Une idée qui me semble logique consiste simplement à limiter les utilisateurs lourds par IP, indépendamment de ce qu'ils envoient ou reçoivent - mais il ne semble pas que de nombreux routeurs prennent en charge cette fonctionnalité pour le moment.

Comment limiter le trafic P2P / BitTorrent?

Je pense que la plupart des approches qui demandent "Comment verrouiller X" sont tout simplement erronées. C'est l'énumération de la méchanceté.

Maintenant, allez vers le bas, mais je pense que vous devriez (comme vous le faites avec les pare-feu "normaux") autoriser simplement le trafic qui correspond au bon trafic connu. Mais maintenant vous avez un problème, le trafic HTTP crypté SSL n'est pas aussi facile à autoriser. Il existe des solutions qui sont en fait un homme au milieu de l'attaque, donc si vous n'avez pas un contrôle total sur les clients et que vous signez des contrats où les gens acceptent d'être espionnés, vous pourriez faire face à des accusations (dans certains pays, ce qui est totalement interdit par la loi). , certains pays autorisent ces clauses dans les contrats).

Pour moi, le seul niveau sain où vous voulez faire la différence entre le P2P et le trafic normal est un pare-feu d'application. Il n'y a aucun moyen pour un pare-feu au niveau de l'IP ou de la couche transport de prendre en toute sécurité des décisions quant à savoir si la charge utile réelle est une demande valide ou non.

J'y suis allé, j'ai essayé ça. Ne fonctionnera tout simplement pas. Dans un environnement SOHO, comme là où je travaille, il n'y a aucun moyen de dire ce qu'est le P2P et ce qui est du trafic "légitime", car l'équipement que nous avons n'est pas si sophistiqué. Le seul moyen que j'ai trouvé qui vaut quoi que ce soit est une méthode plus "manuelle".

Mon système de surveillance (Nagios) m'alerte lorsque le trafic sur l'interface externe du pare-feu reste au-dessus d'un point prédéfini pendant plus de deux périodes de contrôle consécutives, à 5 minutes d'intervalle. Lorsque cela se produit, je regarde l'affichage du trafic en direct sur l'interface de gestion du pare-feu (Smoothwall) et si je vois une machine particulière avec un flux de trafic assez continu vers ou depuis Internet, je regarde à distance pour voir ce qui fonctionne sur cette machine . Si je vois quelque chose que je sais être un client P2P, je rendrai visite à cet utilisateur.

C'est assez grossier mais, et c'est un point assez important, c'est le mieux que je puisse faire avec ce que j'ai à ma disposition .

Ma méthode préférée consiste à configurer le client pour qu'il se réduise lui-même. Cela semble être la méthode la plus simple et la plus efficace. Presque tous les clients le soutiennent; J'utilise l'ancien client ctorrent et même il prend en charge la limitation configurable dynamiquement via l' extension CTCS .

Si le client ou l'utilisateur gérant refuse de le faire et que l'ingénierie sociale échoue, je cours directement pour QFQ ou WF2Q . La plupart des routeurs SOHO à 50 $ ne le prennent pas en charge, il s'agit d'une opération technique et compliquée, vous en avez pour votre argent . Je construis mes propres routeurs Alix ou Soekris (le coût est généralement d'environ 100 $ chacun avec des pièces d'occasion sur eBay) afin que je puisse exécuter m0n0-wall , pfSense ou directement FreeBSD (mon système d'exploitation de choix, bien qu'aucune raison pour laquelle Linux ne puisse pas être utilisé ). Dernièrement, j'ai cherché la RouterStation comme une alternative moins chère à ces SBC .

Les gens intelligents de ResTek chez mon ancien employeur, qui géraient un grand réseau de dortoirs universitaires, ont dû beaucoup faire face à celui-ci. Ils se sont retrouvés avec un formateur de paquets qui a priorisé le trafic BT par rapport au trafic HTTP normal. Les paquets sont toujours passés et le partage s'est toujours produit, mais il a fallu un chien à l'âge de ¹ an . Selon eux, cela a très bien fonctionné.

Même avec des charges utiles chiffrées, le trafic BT est reconnaissable à sa forme; beaucoup de connexions quelque peu persistantes à beaucoup d'autres nœuds. C'est toujours contournable, donc ce n'est pas parfait.

1: Alors qu'ont-ils fait? Schlep sur le campus WLAN pour les choses BT. Ainsi, lorsque les notifications DMCA sont arrivées, le portail captif avait déjà enregistré leurs informations de connexion et IP, nous savions donc juste à qui parler.

Dans un environnement SOHO?

• l7-filter est une extension de iptables Linux qui permet aux règles de pare-feu de correspondre aux données de la couche application dans les paquets. Ajoutez ceci à un pare-feu iptables existant ...
• Supprimez les clients BitTorrent des machines des utilisateurs.