Bloquer le téléchargement P2P dans mon bureau?

Je travaille dans un bureau d'éducation dans un pays du tiers monde. Nous payons Internet par mégaoctet (pas d'autre choix) et avons récemment utilisé une quantité incroyable de bande passante. En effet, le personnel du bureau a découvert le partage p2p. Pour autant que je sache, Limewire est le seul programme qu'ils utilisent, mais je suis sûr que ce n'est qu'une question de temps avant qu'ils découvrent le monde plus général de bittorrent.

En utilisant uniquement un routeur linksys (que je pourrais flasher), y a-t-il un moyen pour moi d'empêcher le bureau de détruire notre limite de bande passante en téléchargeant des articles personnels (contre la politique).

Même les semi-corrections seraient mieux que rien.

Les deux bonnes réponses de satanicpuppy et cschreiner. Je vais ajouter mes 0,02 $. Si le routeur linksys accepte le micrologiciel Tomato ( http://www.polarcloud.com/tomato ), vous pouvez utiliser les options Traffic Shaping / QoS pour dé-prioriser tout ce que vous voulez. Je trouve que le Tomato QoS / Shaper fonctionne mieux que tout ce que j'ai essayé (DDWrt et pfSense)

J'utilise actuellement le micrologiciel Tomato dans une situation quelque peu similaire où j'ai plusieurs personnes utilisant une seule connexion, et je paie par Mo d'utilisation.

Mon Linksys WRT54GL a généralement des temps de disponibilité d'environ 60 à 120 jours, et il fonctionne très bien.

Je suggérerais une tactique à deux volets:

1. Configurez des règles pour autoriser uniquement le trafic pour des services spécifiques de votre choix, tels que DNS, Web, https, ftp, courrier, etc. Essayer de bloquer les ports utilisés par les applications P2P est une bataille perdue, car dans de nombreux cas, vous pouvez modifier le port utilisé dans les préférences de l'application ou basculez vers une autre application.

2. L'autre chose à faire est de parler au patron ou à la personne qui prend les décisions financières (si ce n'est pas vous) et de lui faire une politique interdisant cela et de faire savoir aux employés que vous enregistrez ce qui se passe, et à quiconque en utilisant P2P sera tiré. Cela ne vaut pas votre temps de mener une guerre en constante escalade pour trouver un moyen infaillible d'empêcher les gens d'utiliser le P2P.

Je suggère des pare-feu SonicWall qui peuvent à la fois être internes à toutes les règles et avoir des options de journalisation et de rapport. Le firmware de la tomate mentionné précédemment peut également avoir ces capacités — je ne le connais pas très bien.

Essayez opendns.com, inscrivez-vous, ajoutez votre adresse IP identifiée, cochez ce que vous voulez bloquer et assurez-vous d'ajouter les adresses DNS OpenDNS à votre routeur linksys ... généralement sur la première page du routeur. Assurez-vous d'avoir un login / pw sécurisé assigné à votre linksys et bien sûr un bon pw pour les opendns.

Cliquez ici pour obtenir des instructions pour votre routeur: https://store.opendns.com/setup/router/

Aussi ... si votre fournisseur vous donne une IP dynamique, vous devrez vérifier la fréquence du changement d'adresse IP et changer vos paramètres de temps en temps sinon vous ne bloquerez rien quand il changera.

Si le blocage du trafic p2p est un vrai problème, vous voudrez peut-être obtenir un vrai pare-feu (Linux, OpenBSD, etc.). Avec la bonne configuration (pas si difficile que ça, mais vous devrez lire beaucoup et jouer sur serverfault.com), vous pouvez bloquer tout le trafic sortant dont vous ne voulez pas, en plus, étrangler le trafic restant sortant (qui indépendamment du P2P est toujours une bonne idée). Cela prend du temps et des tests, mais une fois que la solution fonctionne, vous n'avez vraiment plus à vous inquiéter. J'ai une boîte OpenBSD en cours d'exécution depuis plus de deux ans sans interruption.

Comme indiqué ici, les utilisateurs trouveront toujours de nouvelles façons de passer le trafic, mais si vous gardez le blocage serré, même s'ils p2p, la vitesse sera misérable et ils peuvent choisir de simplement abandonner l'idée.

INGÉNIERIE SOCIALE

Je me souviens que j'avais un utilisateur téléchargeant des trucs via un port étrange comme un fou. J'ai donc priorisé ftp via le port 22 et commencé un téléchargement de 2 Go à pleine vitesse à partir de cet emplacement (qui était vraiment proche, donc la vitesse était de 200 k / s en «pleine vitesse» pour le moment). Cela a «tué» le reste du réseau. Résultat final: non seulement les autres utilisateurs du net étaient fâchés contre cette personne pour avoir "tué" leur internet, mais l'utilisateur devait également s'arrêter car la vitesse de téléchargement était misérable. La «raison» pour laquelle le réseau est lent que je lui ai donné, c'est parce que sa connexion P2p tuait l'ancien routeur. (mensonge).

Il a arrêté ses activités.

;)

Si les règles de pare-feu sortantes ne vous aident pas (comme je l'ai noté dans un commentaire à une autre réponse ici),
la prochaine étape serait d'envisager un filtre basé sur Snort .

Ce serait un peu plus complexe et nécessiterait des ressources et des efforts supplémentaires.
Alors, regardez cela comme une suggestion théorique; si rien d'autre ne fonctionne ...

• Vous pouvez utiliser une installation basée sur Windows ou choisir une boîte Linux
• Vous devrez configurer des règles spécifiques comme celle-ci qui arrête Bittorrent
  • il y aurait une «courbe d'apprentissage» lorsque vous repérez des signatures qui fonctionnent pour vous
• Vous pouvez réduire les autres signatures liées à l'intrusion pour les performances

C'est le mieux que je puisse trouver dans les conditions données.
Ajoutera plus de notes si j'ai de meilleures idées - ou, peut-être que certains augmenteront cela avec une meilleure solution.

Ça devrait être assez facile. Pour la plupart des routeurs Linksys, ce sera quelque chose comme ceci: Accédez à l'interface d'administration de votre routeur, (pointez simplement votre navigateur Web sur le routeur. Je pense que la valeur par défaut est 192.168.1.1, mais vous devriez pouvoir le dire depuis votre PC en utilisant "tracert google.com": le routeur doit être la première entrée) et cliquez sur l'onglet qui dit, "Restrictions d'accès" et en dessous, vous devriez voir quelques onglets qui disent "Services bloqués" avec un bouton en dessous qui dit "Ajouter / Modifier le service"

Cliquez sur le bouton Ajouter / Modifier et placez la plage de ports que vous souhaitez bloquer. Limewire par défaut est 6346.

Malheureusement, les versions standard ne permettent pas un contrôle à grain fin. Si vous publiez votre modèle de matériel de routeur, je vérifierai les firmwares mis à jour. Si vous pouvez trouver quelque chose qui offre une prise en charge complète d'IPTables, vous pouvez faire la liste blanche des ports, ce qui est la meilleure façon de procéder ... Bloquer TOUT sauf les choses que vous voulez.

@Nik: Oui, vous avez raison. Mais c'est à peu près tout ce que vous pouvez faire avec un Linksys standard. La configuration de la limitation de la bande passante, etc., nécessite la configuration d'un proxy réel, ce qui nécessite à peu près un serveur et une charge de connaissances complète (ou un tas d'argent prêt).

Si je devais le faire, je mettrais en place un proxy Squid pour limiter le contenu , et si cela ne fonctionnait pas, je limiterais l'enfer de mes utilisateurs problématiques (ou les licencierais).

Si vous contrôlez les machines au bureau, plutôt que d'essayer de bloquer les ports du routeur, pourquoi ne bloquez-vous pas simplement l'application P2P dans le pare-feu Windows?

Comme cela fonctionne au niveau de l'application plutôt qu'au niveau des ports / protocoles. Ensuite, l'application est bloquée quel que soit le port qu'elle essaie d'utiliser.

Remarque: Si l'application n'est pas répertoriée dans la liste, vous pouvez l'ajouter à la liste en utilisant le bouton Ajouter un programme au bas de cette fenêtre.