Spørgsmål:
Hvordan blokerer jeg effektivt torrents på mit netværk?
Adi
2013-09-10 17:08:10 UTC
view on stackexchange narkive permalink

I henhold til netværkspolitikken skal vi blokere al torrentrafik fra netværket. For at gøre dette plejede jeg at blokere alle porte over 1024 på mine firewall / proxy-enheder. Men på grund af dette er mange andre applikationer, der bruger ikke-standardporte, ikke i stand til at fungere, især mobile applikationer, og brugerne klager på grund af dette.

Er der en effektiv måde at blokere torrents på mit netværk på?
Et minimum antal porte eller få specifikke porte eller filtrering af applikationsniveau?

Vi har Cisco Iron Port Security og Cisco ASA 5500 Firewall -enheder.

Bare [bloker alle porte] (http://static.fjcdn.com/pictures/SHUT_b76733_1693530.jpg).
Dette er primært et lag 8-spørgsmål.
Otte svar:
Rory Alsop
2013-09-10 17:17:11 UTC
view on stackexchange narkive permalink

Du har en række måder at begrænse torrents på:

  • Blokerende porte: dette virker ikke, fordi p2p-trafik kan bruge stort set enhver port (selv dem under 1024)
  • Dyb inspektion: at se på trafik og blokering baseret på type kan hjælpe dig meget, men krypteret trafik ser alle ud
  • Destinationsfiltrering: dette kan også hjælpe lidt, men du bliver nødt til opretholde en stor sortliste
  • Volumen: hvis en bruger downloader / uploader store mængder trafik, så undersøge

  • Styring af de applikationer, der er installeret på computere på dit netværk gennem gruppepolitik eller en rigtig verdenspolitik. Tillad alle p2p-applikationer, og hvis nogen overtræder politikken, lad dem ikke bruge netværket / affyr dem / bød dem / hvad som helst

Sporing af volumen efter bruger + en baseballbat er normalt din bedste chance ... Jeg har også set destinationsfiltrering med en hvidliste med undtagelser for bestemte brugere være ret effektiv.Kontrol af applikationer kan være vanskelig at håndhæve (brugere kan bare starte fra usb linux og enten give sig selv rod eller køre torrenten fra bootbar linux)
Polynomial
2013-09-10 17:14:43 UTC
view on stackexchange narkive permalink

BitTorrent kan køre på en hvilken som helst port og kan pakkes ind i SSL, så blokering af porte eller trafikdata kommer ikke til at bringe dig nogen steder.

Mit forslag ville være at blokere HTTP-trafik på enhver port, der matcher tracker annonceringsprotokollen, i henhold til specifikationen. Dette fungerer ikke, hvis trackeren kører på HTTPS, men de fleste gør det ikke. Det forhindrer heller ikke DHT i at arbejde, men det betyder næppe noget for meget.

Derudover kan du overvåge trafik for at se, om store mængder data overføres til en enkelt bruger og tage handlingsbaseret efter det.

Min opfattelse er, at dette ikke er et teknisk problem - det er et politisk spørgsmål. Få alle dine brugere til at underskrive en brugspolitik, der eksplicit forbyder brugen af ​​fildelingsnetværk og -systemer, herunder BitTorrent, og sørg for, at passende straffe kan håndhæves, hvis folk overtræder denne politik.

Torrenting med kun DHT er let muligt, og trackere er ikke begrænset til en bestemt port.
Jeg er enig i, at torrent kan køre på enhver port, men jeg antager, at det kun gælder for udgående porte, ikke indgående porte. Så kan vi gøre noget i betragtning af det?
Nej - enhver port @Adi
Husk også, at nogle mennesker bruger bittorrent til * legitime forretningsformål * som at downloade Linux-distroer og andre store klodser af software.
Ángel
2020-07-09 05:11:42 UTC
view on stackexchange narkive permalink

Dette er hovedsageligt et politisk spørgsmål. Et højere væsen har besluttet "Du skal ikke have torrents på dette netværk". Når du ikke ser nogen måde at effektivt kun blokere for torrents, blokerer du alle porte.

Nu blokerer visse applikationer ikke længere. De skulle anmode om, at det blev ændret, og du skulle videresende den anmodning til det højere væsen: Applikation X, som jdoe har brug for til sit arbejde, kræver adgang til port Y, som var blokeret (som med tusinder af andre) for at sikre det kunne ikke bruges til torrents. Skal vi tillade selvom det betyder, at det ville være muligt at torrent ved hjælp af den port?

Hvis det højere væsen tillader ændringen, implementerer du den. Hvis han ikke gør det, henviser du jdoe til det højere at afvise denne anmodning.

Skyl og gentag for hver bruger og applikation.

Jeg tror, ​​at en mere slap politik, baseret mere på brugere, der accepterer dine regler, vil sandsynligvis fungere bedre for alle. Faktisk formoder jeg, at de højere væseners indre ønsker faktisk ikke er at "blokere torrents", men at "blokere ulovlige torrents", hvilket er helt anderledes. Men hvem skal jeg sætte spørgsmålstegn ved hans vilje?

Fis
2019-09-13 23:57:38 UTC
view on stackexchange narkive permalink

Fra mit perspektiv fungerer kun dyb pakkeinspektion inklusive SSL / TLS-trafik.

Almindelig praksis er at have en proxyserver i det interne netværk (med SSL-inspektion) for at give brugerne adgang til internettet (og bloker alle uønskede websteder / tjenester), og bloker derefter al trafik, der udgår fra sådanne brugere direkte til internettet. Hvis du har brug for at tillade brugere at få adgang til bestemte servere på ikke-standardporte, skal du eksplicit tillade dem (IP, protokol, port / service).

Hvilken type ikke-standardtjenester har brugere adgang til fra din netværk?

kallinsba
2014-05-10 20:07:45 UTC
view on stackexchange narkive permalink

Den bedste løsning kan være at bruge Kerio Control / firewall. Det har en mulighed for at blokere torrents, kaldet P2P Eliminator . Bemærk, at du har brug for en server med 2 NIC'er.

Nedenfor et ledningsdiagram:

  Internetlink .... NiC 01 [Server med Kerio Control] Nic 02 .... Ethernet-kabel til kontakten  
AdnanG
2013-09-10 17:50:45 UTC
view on stackexchange narkive permalink

Den mest effektive måde er at installere en samlet trusseladministrationsboks eller en næste generations firewall. Disse kasser er i stand til at udføre en lag 7-inspektion og kan identificere applikationer og brugere. For at få en smagsprøve på, hvad det er, kan du prøve at spille med den gratis Sophos UTM, der er tilgængelig her.

En kommentar vil være nyttigt fra vælgere ned.
Wali Assas
2015-06-14 20:27:43 UTC
view on stackexchange narkive permalink

Jeg vil anbefale u blokere alle UDP-porte 1-65535, også alle TCP-porte undtagen en, der bringer dig videre til din blæksprutte-proxy, der kører med filtre og ACL'er for at foretage flere filtreringsmuligheder. uTorrent har ikke en chance for at oprette forbindelse!

Jeg er ikke sikker på, at dette tilføjer mere end de andre svar, der blev leveret for 2 år siden.
n00b
2018-08-19 06:47:45 UTC
view on stackexchange narkive permalink

Som nævnt i andre svar på dette indlæg er torrent næsten umuligt at blokere effektivt. Effektive politikker for dets anvendelse kan hjælpe. Du behøver muligvis ikke at blokere det - bare tildel en meget, meget minimal båndbredde til torrents, så en download, der normalt tager en time, downloades om et år til ∞

Torrent kan bruge alle porte, hvordan kan du definere en filterregel, hvilken datapakke er en torrent, og hvilken ikke?
@peterh hvad med protokolinspektion?Du har ikke brug for porte til det.
@schroeder Jeg er ikke sikker på detaljerne, men så vidt jeg ved er torrent også krypteret, hvilket typisk hærder protokolinspektion.
@peterh var enig, men jeg kan huske, at perimeterfiltre kunne bruge inspektion til at bestemme torrentrafik.


Denne spørgsmål og svar blev automatisk oversat fra det engelske sprog.Det originale indhold er tilgængeligt på stackexchange, som vi takker for den cc by-sa 3.0-licens, den distribueres under.
Loading...