Co filtrować, zapewniając bardzo ograniczone otwarte WiFi na małej konferencji lub spotkaniu?


11

Streszczenie

Podstawowe pytanie brzmi: jeśli masz bardzo ograniczoną przepustowość Wi-Fi, aby zapewnić Internet na małe spotkanie trwające tylko dzień lub dwa, jak ustawić filtry w routerze, aby jeden lub dwóch użytkowników nie zmonopolizowało całej dostępnej przepustowości?

Dla osób, które nie mają czasu na zapoznanie się z poniższymi szczegółami, NIE szukam żadnej z tych odpowiedzi:

  • Zabezpiecz router i pozwól, aby korzystało z niego tylko kilka zaufanych osób
  • Powiedz wszystkim, aby wyłączali nieużywane usługi i ogólnie sami pilnowali policji
  • Monitoruj ruch za pomocą sniffera i dodaj filtry w razie potrzeby

Jestem tego świadomy. Żadne nie są odpowiednie z powodów, które staną się jasne.

RÓWNIEŻ UWAGA: Istnieje już pytanie dotyczące zapewnienia wystarczającej liczby dużych konferencji WiFi (> 500 uczestników) tutaj . To pytanie dotyczy MAŁYCH spotkań mniejszych niż 200 osób, zwykle z mniej niż połową korzystania z Wi-Fi. Coś, co można obsłużyć za pomocą pojedynczego routera domowego lub małego biura.

tło

W przeszłości korzystałem z routera 3G / 4G, aby z powodzeniem zapewnić WiFi na małych spotkaniach. Przez małe rozumiem konferencje lub spotkania w jednym pokoju na zamówienie barcampu lub Skepticampa lub spotkania grupy użytkowników. W spotkaniach tych czasami biorą udział specjaliści techniczni, ale nie wyłącznie. Zwykle mniej niż połowa do jednej trzeciej uczestników faktycznie korzysta z WiFi. Maksymalny rozmiar spotkania, o którym mówię, wynosi od 100 do 200 osób.

Zwykle używam Cradlepoint MBR-1000, ale istnieje wiele innych urządzeń , zwłaszcza urządzenia typu „wszystko w jednym” dostarczane przez dostawców 3G i / lub 4G, takie jak Verizon, Sprint i Clear. Urządzenia te korzystają z połączenia internetowego 3G lub 4G i przekazują je wielu użytkownikom korzystającym z Wi-Fi.

Jednym z kluczowych aspektów zapewniania dostępu do sieci w ten sposób jest ograniczona przepustowość dostępna w sieci 3G / 4G. Nawet przy czymś takim jak Cradlepoint, który może zrównoważyć obciążenie wielu radiotelefonów, osiągniesz tylko kilka megabitów prędkości pobierania i być może megabit prędkości przesyłania. To najlepszy scenariusz. Często jest znacznie wolniejszy.

Celem większości tych spotkań jest umożliwienie ludziom dostępu do usług takich jak poczta elektroniczna, sieć, media społecznościowe, usługi czatu i tak dalej. Dzieje się tak, aby mogli oni blogować na żywo lub tweetować na żywo, a także po prostu czatować online lub w inny sposób pozostawać w kontakcie (zarówno z uczestnikami, jak i osobami niebędącymi uczestnikami) podczas trwania spotkania. Chciałbym ograniczyć usługi świadczone przez router do tylko tych usług, które spełniają te potrzeby.

Problemy

W szczególności zauważyłem kilka scenariuszy, w których poszczególni użytkownicy ostatecznie wykorzystują większość przepustowości routera ze szkodą dla wszystkich. Sprowadzają się one do dwóch obszarów:

  • Użycie celowe . Ludzie oglądają filmy z YouTube, pobierają podcasty na iPody i w inny sposób wykorzystują przepustowość do rzeczy, które tak naprawdę nie są odpowiednie w sali konferencyjnej, w której należy zwracać uwagę na mówcę i / lub interakcję.

    Na jednym spotkaniu, które transmitowaliśmy na żywo (przez osobne, dedykowane połączenie) przez UStream, zauważyłem kilku ludzi w pokoju, którzy mieli stronę UStream w górę, aby mogli wchodzić w interakcje z czatem na spotkaniu - najwyraźniej nieświadomy, że marnują pasmo transmisji strumieniowej wstecz wideo z tego, co miało miejsce tuż przed nimi.

  • Niezamierzone użycie . Istnieje wiele programów narzędziowych, które będą szeroko wykorzystywać przepustowość w tle, które ludzie często instalują na swoich laptopach i smartfonach, być może nie zdając sobie z tego sprawy.

    Przykłady:

  • Pobieranie programów peer to peer, takich jak Bittorrent, które działają w tle

  • Usługi automatycznej aktualizacji oprogramowania. Są to legiony, ponieważ każdy główny producent oprogramowania ma swoje własne, więc z łatwością można mieć w tle Microsoft, Apple, Mozilla, Adobe, Google i inne.

  • Oprogramowanie zabezpieczające, które pobiera nowe sygnatury, takie jak antywirus, anty-malware itp.

  • Oprogramowanie do tworzenia kopii zapasowych i inne oprogramowanie, które „synchronizuje” się w tle z usługami w chmurze.

W przypadku niektórych liczb dotyczących tego, ile przepustowości sieci jest zasysane przez te nie-sieciowe, nie-e-mailowe usługi, sprawdź ten ostatni artykuł przewodowy . Najwyraźniej Internet, poczta e-mail i czat razem stanowią mniej niż jedną czwartą ruchu internetowego. Jeśli liczby w tym artykule są prawidłowe, odfiltrowując wszystkie inne rzeczy, powinienem być w stanie czterokrotnie zwiększyć użyteczność WiFi.

Teraz, w niektórych sytuacjach, byłem w stanie kontrolować dostęp za pomocą zabezpieczeń routera, aby ograniczyć go do bardzo małej grupy osób (zazwyczaj organizatorów spotkania). Ale to nie zawsze jest właściwe. Na nadchodzącym spotkaniu chciałbym uruchomić WiFi bez zabezpieczeń i pozwolić każdemu z niego korzystać, ponieważ dzieje się tak w miejscu spotkania, że ​​zasięg 4G w moim mieście jest szczególnie doskonały. W ostatnim teście mam 10 megabitów na stronie spotkania.

Wspomniane na górze rozwiązanie „każ ludziom sami na policję” nie jest odpowiednie ze względu na (a) w dużej mierze nietechniczną publiczność i (b) niezamierzony charakter większości zastosowań, jak opisano powyżej.

Rozwiązanie „uruchom sniffer i filtruj w razie potrzeby” nie jest przydatne, ponieważ te spotkania zazwyczaj trwają tylko kilka dni, często tylko jeden dzień i mają bardzo niewielką grupę wolontariuszy. Nie mam osoby, która poświęciłaby się monitorowaniu sieci, a do czasu, gdy całkowicie poprawimy zasady, spotkanie się skończy.

Co mam

Po pierwsze, pomyślałem, że użyję reguł filtrowania domen OpenDNS do odfiltrowania całych klas witryn. Za pomocą tego można usunąć wiele witryn wideo i peer-to-peer. (Tak, wiem, że filtrowanie przez DNS technicznie pozostawia dostęp do usług - pamiętaj, że są to głównie nietechniczni użytkownicy, którzy biorą udział w dwudniowym spotkaniu. Wystarczy). Pomyślałem, że zacznę od tych wyborów w interfejsie OpenDNS:

Pola wyboru filtrów OpenDNS

Myślę, że prawdopodobnie również zablokuję DNS (port 53) na czymkolwiek innym niż sam router, aby ludzie nie mogli ominąć mojej konfiguracji DNS. Wytrawny użytkownik może obejść ten problem, ponieważ nie zamierzam umieszczać wielu skomplikowanych filtrów w zaporze, ale nie obchodzi mnie to zbytnio. Ponieważ te spotkania nie trwają zbyt długo, prawdopodobnie nie będzie to warte kłopotu.

Powinno to obejmować większość ruchu poza siecią, tj. Peer-to-peer i wideo, jeśli artykuł przewodowy jest poprawny. Proszę doradzić, jeśli uważasz, że istnieją poważne ograniczenia w podejściu OpenDNS.

Czego potrzebuję

Zauważ, że OpenDNS koncentruje się na rzeczach, które są „budzące zastrzeżenia” w tym czy innym kontekście. Wideo, muzyka, radio i peer-to-peer są objęte gwarancją. Nadal muszę opisać szereg całkowicie uzasadnionych rzeczy, które chcemy po prostu zablokować, ponieważ nie są potrzebne na spotkaniu. Większość z nich to narzędzia, które przesyłają lub pobierają legalne rzeczy w tle.

W szczególności chciałbym znać numery portów lub nazwy DNS do filtrowania w celu skutecznego wyłączenia następujących usług:

  • Automatyczne aktualizacje Microsoft
  • Automatyczne aktualizacje Apple
  • Automatyczne aktualizacje Adobe
  • Automatyczne aktualizacje Google
  • Inne ważne usługi aktualizacji oprogramowania
  • Najważniejsze aktualizacje sygnatur wirusów / złośliwego oprogramowania / zabezpieczeń
  • Główne usługi tworzenia kopii zapasowych w tle
  • Inne usługi, które działają w tle i mogą zużywać dużo przepustowości

Chciałbym również mieć wszelkie inne sugestie, które mogą mieć zastosowanie.

Przepraszam, że jestem tak gadatliwy, ale uważam, że to pomaga bardzo, bardzo jasne w tego rodzaju pytaniach, a ja już mam pół rozwiązania z OpenDNS.


+1 za bardzo dobrze opracowane i szczegółowe pytanie
Prix

OpenDNS wykona bardzo dobrą robotę, blokując strony z mediami, które zajmują pasmo; problemem może jednak być fakt, że każdy użytkownik końcowy może ręcznie edytować swoje ustawienia DNS. Oznacza to, że jeżeli nie masz router, który podpory polecenia iptables (dowolny router, który obsługuje DD-WRT) - w ten sposób można „siła” im korzystanie z ustawień DNS możesz określić.
emtunc

Odpowiedzi:


3

Na początek bardzo dokładnie określ rodzaj ruchu, na który chcesz zezwolić. Ustaw domyślną regułę odmowy, a następnie zezwól na porty takie jak 80, 443, 993, 587, 143, 110, 995, 465, 25 (ja osobiście wolałbym tego nie otwierać, ale prawdopodobnie dostaniesz mnóstwo skarg, jeśli tego nie zrobisz) . Zezwól także na połączenia UDP z portem 53 na serwerach OpenDNS.

To da ci dobry początek. Zabije większość protokołów ograniczania przepustowości. Będzie również blokować wiele połączeń VPN (choć nie VPN VPN), co powinno pomóc w zapobieganiu omijaniu twojego bezpieczeństwa.

Jeśli masz zaporę ogniową zdolną do blokowania typów plików, prawdopodobnie powinieneś także zablokować exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar i prawdopodobnie kilka innych Wychodzę.

Poza tym twoje obecne ograniczenia są prawdopodobnie wystarczająco przyzwoite. Możesz dodać aktualizacje do listy. Osobiście nie blokowałbym aktualizacji A / V. Jeśli naprawdę chcesz, możesz zablokować całe ich domeny (* .symantec.com, * .mcafee.com, * .trendmicro.com itp.). Adresy URL aktualizacji firmy Microsoft są dostępne pod adresem http://technet.microsoft.com/en-us/library/bb693717.aspx


2

Korzystanie z OpenDNS nie blokuje torrentów.

To tylko zablokuje ich zdolność do wyszukiwania nowych torrentów online i dodawania ich do kolejki.

Jeśli wejdą z 5 torrentami w połowie wykonanymi, a następnie połączą się z siecią LAN za pośrednictwem Wi-Fi, proszę, wszystkie torrenty zostaną wznowione i zajmą całą dostępną przepustowość. Wskazuje na to uważna lektura strony OpenDNS. A jeśli myślisz o tym, jak działa DNS, ma to sens.

Blokowanie istniejących torrentów jest trudne. Najmądrzejszym posunięciem jest ograniczenie maksymalnej liczby połączeń do 60-100 na użytkownika bezpośrednio w radiu. iTunes i Torrent otwierają tysiące.


1

Po pierwsze, każdy router Wi-Fi jest naprawdę dobry tylko dla około 60 połączeń, więc najgorszy przypadek „mniej niż 200 osób z mniej niż połową korzystania z Wi-Fi” (99 użytkowników) może nadal wymagać co najmniej jednego routera.

Po drugie, powinieneś przyjrzeć się kształtowaniu ruchu ... najlepiej, aby każdy adres IP w środku miał taką samą gwarantowaną minimalną przepustowość i pozwolił mu walczyć o dodatkowe ... w ten sposób nikt nie zostanie odcięty, ale każdy będzie mógł się w pełni wykorzystać Pojemność.


0

Sugeruję, aby sprawdzić, czy twoje routery mogą używać niestandardowego oprogramowania układowego, takiego jak DD-WRT . Dzięki niemu możesz użyć QOS, który byłby naprawdę tym, czego szukasz.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.