Bloquer le téléchargement P2P dans mon bureau?

8

Je travaille dans un bureau d'éducation dans un pays du tiers monde. Nous payons Internet par mégaoctet (pas d'autre choix) et avons récemment utilisé une quantité incroyable de bande passante. En effet, le personnel du bureau a découvert le partage p2p. Pour autant que je sache, Limewire est le seul programme qu'ils utilisent, mais je suis sûr que ce n'est qu'une question de temps avant qu'ils découvrent le monde plus général de bittorrent.

En utilisant uniquement un routeur linksys (que je pourrais flasher), y a-t-il un moyen pour moi d'empêcher le bureau de détruire notre limite de bande passante en téléchargeant des articles personnels (contre la politique).

Même les semi-corrections seraient mieux que rien.

Andrew
la source
1
un pare-feu solide peut le bloquer ..
ukanth
3
Cette question pourrait également avoir de bonnes réponses sur serverfault.com, car cela ressemble à une tâche sysadmin typique (au cas où vous n'en trouveriez pas ici, bien sûr).
Gnoupi
(Tiers-monde - êtes-vous sûr? En.wikipedia.org/wiki/Third_World )
Arjan
1
Limewire? Apprenez-leur à utiliser correctement p2p, puis dites-leur de ne pas le faire.
Phoshi
2
En fait, je pensais que personne ne devrait plus utiliser ce terme pour parler des pays en développement. Mais si même quelqu'un qui y travaille l'utilise et peut en sourire, alors apparemment je me trompe. :-(
Arjan

Réponses:

6

Les deux bonnes réponses de satanicpuppy et cschreiner. Je vais ajouter mes 0,02 $. Si le routeur linksys accepte le micrologiciel Tomato ( http://www.polarcloud.com/tomato ), vous pouvez utiliser les options Traffic Shaping / QoS pour dé-prioriser tout ce que vous voulez. Je trouve que le Tomato QoS / Shaper fonctionne mieux que tout ce que j'ai essayé (DDWrt et pfSense)

J'utilise actuellement le micrologiciel Tomato dans une situation quelque peu similaire où j'ai plusieurs personnes utilisant une seule connexion, et je paie par Mo d'utilisation.

Mon Linksys WRT54GL a généralement des temps de disponibilité d'environ 60 à 120 jours, et il fonctionne très bien.

delta flou
la source
+1, c'est aussi un bon chemin. Lorsque vous ne pouvez pas bloquer, essayez de supprimer les priorités.
nik
1
Alors, je me connecte au routeur, je vérifie les téléchargements, puis je les priorise? Cela signifie-t-il que je dois continuer à vérifier, ou puis-je le faire pour dé-prioriser automatiquement? Je ne suis pas opposé au travail, je veux juste savoir si cette solution sera efficace en mon absence.
Andrew
Non, c'est le contraire. Pour commencer, vous devez désigner le trafic prioritaire et enregistrer les paramètres. À partir de là, le routeur le fera automatiquement. Je n'ai pas eu à garder mon installation actuelle depuis près d'un an. Il s'assoit tranquillement et fait de la QoS. Vraiment un morceau fantastique de programmation.
scuzzy-delta
1
Cependant, cela ne permettra aux autres programmes d'avoir une meilleure connexion Internet qu'en cas de besoin, mais cela n'empêchera pas les mégaoctets supplémentaires de payer.
Gnoupi
2
Je suivrais cette tactique si votre Linksys la soutient, mais dans l'ensemble, c'est une action POLITIQUE que vous devez mettre en place sur le lieu de travail.
Jakub
6

Je suggérerais une tactique à deux volets:

  1. Configurez des règles pour autoriser uniquement le trafic pour des services spécifiques de votre choix, tels que DNS, Web, https, ftp, courrier, etc. Essayer de bloquer les ports utilisés par les applications P2P est une bataille perdue, car dans de nombreux cas, vous pouvez modifier le port utilisé dans les préférences de l'application ou basculez vers une autre application.

  2. L'autre chose à faire est de parler au patron ou à la personne qui prend les décisions financières (si ce n'est pas vous) et de lui faire une politique interdisant cela et de faire savoir aux employés que vous enregistrez ce qui se passe, et à quiconque en utilisant P2P sera tiré. Cela ne vaut pas votre temps de mener une guerre en constante escalade pour trouver un moyen infaillible d'empêcher les gens d'utiliser le P2P.

Je suggère des pare-feu SonicWall qui peuvent à la fois être internes à toutes les règles et avoir des options de journalisation et de rapport. Le firmware de la tomate mentionné précédemment peut également avoir ces capacités — je ne le connais pas très bien.

ridogi
la source
1

Essayez opendns.com, inscrivez-vous, ajoutez votre adresse IP identifiée, cochez ce que vous voulez bloquer et assurez-vous d'ajouter les adresses DNS OpenDNS à votre routeur linksys ... généralement sur la première page du routeur. Assurez-vous d'avoir un login / pw sécurisé assigné à votre linksys et bien sûr un bon pw pour les opendns.

Cliquez ici pour obtenir des instructions pour votre routeur: https://store.opendns.com/setup/router/

Aussi ... si votre fournisseur vous donne une IP dynamique, vous devrez vérifier la fréquence du changement d'adresse IP et changer vos paramètres de temps en temps sinon vous ne bloquerez rien quand il changera.

user16825
la source
Je ne pense pas que OpenDNS fonctionnera. Le mieux qu'il semble être en mesure de faire est de bloquer les sites Web où des fichiers torrent peuvent être trouvés (par exemple piratebay) ... mais cela ne va pas arrêter limewire, non?
Andrew
Cela n'empêchera pas non plus quelqu'un de m'envoyer un fichier torrent sur lequel je pourrais double-cliquer.
Martin Marconcini
cela pourrait empêcher le client torrent de trouver des trackers, mais cela n'empêcherait pas de remplacer ceux par des adresses IP directes.
Quack Quichotte
1

Si le blocage du trafic p2p est un vrai problème, vous voudrez peut-être obtenir un vrai pare-feu (Linux, OpenBSD, etc.). Avec la bonne configuration (pas si difficile que ça, mais vous devrez lire beaucoup et jouer sur serverfault.com), vous pouvez bloquer tout le trafic sortant dont vous ne voulez pas, en plus, étrangler le trafic restant sortant (qui indépendamment du P2P est toujours une bonne idée). Cela prend du temps et des tests, mais une fois que la solution fonctionne, vous n'avez vraiment plus à vous inquiéter. J'ai une boîte OpenBSD en cours d'exécution depuis plus de deux ans sans interruption.

Comme indiqué ici, les utilisateurs trouveront toujours de nouvelles façons de passer le trafic, mais si vous gardez le blocage serré, même s'ils p2p, la vitesse sera misérable et ils peuvent choisir de simplement abandonner l'idée.

INGÉNIERIE SOCIALE

Je me souviens que j'avais un utilisateur téléchargeant des trucs via un port étrange comme un fou. J'ai donc priorisé ftp via le port 22 et commencé un téléchargement de 2 Go à pleine vitesse à partir de cet emplacement (qui était vraiment proche, donc la vitesse était de 200 k / s en «pleine vitesse» pour le moment). Cela a «tué» le reste du réseau. Résultat final: non seulement les autres utilisateurs du net étaient fâchés contre cette personne pour avoir "tué" leur internet, mais l'utilisateur devait également s'arrêter car la vitesse de téléchargement était misérable. La «raison» pour laquelle le réseau est lent que je lui ai donné, c'est parce que sa connexion P2p tuait l'ancien routeur. (mensonge).

Il a arrêté ses activités.

;)

Martin Marconcini
la source
0

Si les règles de pare-feu sortantes ne vous aident pas (comme je l'ai noté dans un commentaire à une autre réponse ici),
la prochaine étape serait d'envisager un filtre basé sur Snort .

Ce serait un peu plus complexe et nécessiterait des ressources et des efforts supplémentaires.
Alors, regardez cela comme une suggestion théorique; si rien d'autre ne fonctionne ...

  • Vous pouvez utiliser une installation basée sur Windows ou choisir une boîte Linux
  • Vous devrez configurer des règles spécifiques comme celle-ci qui arrête Bittorrent
    • il y aurait une «courbe d'apprentissage» lorsque vous repérez des signatures qui fonctionnent pour vous
  • Vous pouvez réduire les autres signatures liées à l'intrusion pour les performances

C'est le mieux que je puisse trouver dans les conditions données.
Ajoutera plus de notes si j'ai de meilleures idées - ou, peut-être que certains augmenteront cela avec une meilleure solution.

nik
la source
0

Ça devrait être assez facile. Pour la plupart des routeurs Linksys, ce sera quelque chose comme ceci: Accédez à l'interface d'administration de votre routeur, (pointez simplement votre navigateur Web sur le routeur. Je pense que la valeur par défaut est 192.168.1.1, mais vous devriez pouvoir le dire depuis votre PC en utilisant "tracert google.com": le routeur doit être la première entrée) et cliquez sur l'onglet qui dit, "Restrictions d'accès" et en dessous, vous devriez voir quelques onglets qui disent "Services bloqués" avec un bouton en dessous qui dit "Ajouter / Modifier le service"

Cliquez sur le bouton Ajouter / Modifier et placez la plage de ports que vous souhaitez bloquer. Limewire par défaut est 6346.

Malheureusement, les versions standard ne permettent pas un contrôle à grain fin. Si vous publiez votre modèle de matériel de routeur, je vérifierai les firmwares mis à jour. Si vous pouvez trouver quelque chose qui offre une prise en charge complète d'IPTables, vous pouvez faire la liste blanche des ports, ce qui est la meilleure façon de procéder ... Bloquer TOUT sauf les choses que vous voulez.

@Nik: Oui, vous avez raison. Mais c'est à peu près tout ce que vous pouvez faire avec un Linksys standard. La configuration de la limitation de la bande passante, etc., nécessite la configuration d'un proxy réel, ce qui nécessite à peu près un serveur et une charge de connaissances complète (ou un tas d'argent prêt).

Si je devais le faire, je mettrais en place un proxy Squid pour limiter le contenu , et si cela ne fonctionnait pas, je limiterais l'enfer de mes utilisateurs problématiques (ou les licencierais).

Satanicpuppy
la source
En fait, ces choses ne fonctionnent pas très bien. Après un certain temps, les gens «découvrent» des outils d'anonymisation / tunneling qui finissent par occuper plus de bande passante pour la même quantité de données (cryptage, reroutage P2P). La seule bonne chose à ce sujet est - espérons-le, ils seront découragés par l'effort et l'inconfort de cette voie. Mais cela ne fonctionne pas toujours.
nik
0

Si vous contrôlez les machines au bureau, plutôt que d'essayer de bloquer les ports du routeur, pourquoi ne bloquez-vous pas simplement l'application P2P dans le pare-feu Windows?

Comme cela fonctionne au niveau de l'application plutôt qu'au niveau des ports / protocoles. Ensuite, l'application est bloquée quel que soit le port qu'elle essaie d'utiliser.

image

Remarque: Si l'application n'est pas répertoriée dans la liste, vous pouvez l'ajouter à la liste en utilisant le bouton Ajouter un programme au bas de cette fenêtre.

harrymc
la source
J'aurais dû le mentionner, mais je n'ai pas accès à chaque ordinateur.
Andrew