Forum Datorer och system Server Tråd Inlägg

IPS för blockering av torrents

1
Skriv svar
Permalänk
Medlem

IPS för blockering av torrents

Hej! Jag utför praktik på ett företag där mitt första uppdrag är att förhindra nedladdning av torrents på företaget, då deras nätverk belastas grovt av detta och folk inte slutar med nedladdningar.

Att blockera portarna är inget alternativ då det är enkelt att byta portar i klienterna, så min tanke är att kanske implementera en IPS, typ Snort.

Hur går man till väga för att implementera en sådan och vad är det bästa och mest kostnadseffektiva förslaget?

Redigera
Citera flera Citera
Permalänk
Medlem

Vet inte vad ni har för brandvägg, men i våran Clavister kan vi begränsa ner- samt uppladdnings hastigheten i diverse program, t.ex. µtorrent. 1kb/s upp och ner, då bytar inte µtorrent port.

Visa signatur

"De som fattar, fattar."

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pejabratz:

Hej! Jag utför praktik på ett företag där mitt första uppdrag är att förhindra nedladdning av torrents på företaget, då deras nätverk belastas grovt av detta och folk inte slutar med nedladdningar.

Att blockera portarna är inget alternativ då det är enkelt att byta portar i klienterna, så min tanke är att kanske implementera en IPS, typ Snort.

Hur går man till väga för att implementera en sådan och vad är det bästa och mest kostnadseffektiva förslaget?

Gå till inlägget

I en windows-server miljö brukar denna blockering oftast göras via GPO, där man förbjuder processen att köras via hashen (så ingen anställd bara döper om .exe-filen). Detta innebär dock att man måste veta hashen för alla olika torrentklienter, vilket kan vara ett jäkla jobb i sig.

Problemet med NIPS (t.ex. Snort) är att den endast analyserar nätverkstrafiken, och dess protokoll.
Förutom att ge en väldigt stor overhead och ökad latens, inte träffar det inte alltid rätt på alla sorters torrenttrafik heller, då många klienter i dagsläget maskerar trafiken som vanlig HTTP-trafik på port 80.

Redigera
Citera flera Citera
Permalänk
Medlem

En enkel lösning för dig kan vara att ta och blockera alla populära trackers. Normalanvändarna lär inte gå in på privata trackers utan dessa lär använda publika trackers.

Visa signatur

Facebookdatorn:: Define R6 TG, Aourus Master Z390, 8700K 5.0GHz, 32GB RAM 2666MHz, 2x RTX2080, Samsung C32HG70, 250GB 970 SSD, 500GB 860 SSD + 2TB WD Green, 2TB WD Red
Bild: Nikon D300s m. grepp, Nikon D700 m. grepp, Nikon D3000 IR-konverterad, SX60HS, FZ200, FZ300, EOS M, SB910, 24-70 f/2.8, 50mm f/1.8 mm. Hero 3 Black, Hero 4 Black, Hero 4 Silver Övrigt: Laptop U500VZ-CM083H m. 12GB RAM. HTPC: Äldre i5 1080TI, 32GB Ram

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pejabratz:

Hej! Jag utför praktik på ett företag där mitt första uppdrag är att förhindra nedladdning av torrents på företaget, då deras nätverk belastas grovt av detta och folk inte slutar med nedladdningar.

Att blockera portarna är inget alternativ då det är enkelt att byta portar i klienterna, så min tanke är att kanske implementera en IPS, typ Snort.

Hur går man till väga för att implementera en sådan och vad är det bästa och mest kostnadseffektiva förslaget?

Gå till inlägget

Vad har ni för utrustning och hur många anställda rör det sig om?
Hur vet ni att det är torrenttrafik som belastar nätverket?
Börja kanske med att blockera trackers och sidor som tillhandahåller torrents för att se om det ger någon effekt.

Visa signatur

ηλί, ηλί, λαμά σαβαχθανί!?

Redigera
Citera flera Citera
Permalänk
Medlem

Utannonsera på måndagsmötet att nerladdning av torrents ÄR STRÄNGT EMOT FÖRETAGETS REGLER.
Vänta en vecka eller två och ta sen reda på en person som laddar ner för att sen sparka den personen.
Sen kan du lita på att ingen kommer ladda ner något mer.

Redigera
Citera flera Citera
Permalänk
Medlem

Hur fungerar detta om exe-filerna byter namn?

Skrivet av running_wild:

Vet inte vad ni har för brandvägg, men i våran Clavister kan vi begränsa ner- samt uppladdnings hastigheten i diverse program, t.ex. µtorrent. 1kb/s upp och ner, då bytar inte µtorrent port.

Gå till inlägget

Hur fungerar detta om "de anställda" exempelvis väljer att byta namn på .exe-filen. När man blockerar vissa program i brandväggen antar jag att man då blockerar att just .exe-filen körs?

Vi kör Cisco, och man kan tänka sig att Cisco bör ha klientblockering i sin utrustning, men frågan är om detta räcker?

Det rör sig om ett hundratal personer som använder nätverket, och då folk inte kan hålla fingrarna i styr så belastas nätverket mycket under vissa delar. Anledningen till att vetskapen om att det är mestadels torrentfiler är genom övervakning av nätverket med övervakning över trafiken.

Som jag förstår så är skillnaden mellan en IPS och en IDS att en IDS endast övervakar, medan en IPS övervakar samt kan stänga ute oönskad trafik. Men hur man själv sätter upp en sådan server verkar svårare, och budgeten för att anställa detta som befintlig tjänst genom ex. Snort eller Sentor kan sticka iväg då deras paket är komplexa med dygnet runt support och uppföljning, vilket inte är i fokus då vi egentligen enbart vill förhindra torrenttrafik i nätet.

Redigera
Citera flera Citera
Permalänk
Medlem

Bör ju gå att hantera med företags policy och lite hot och detektivarbete, förbjud användandet av torrents och torrents klienter, kan inte vara svårt att spåra vilka datorer som genererar nätverkstrafiken, och vem som använder datorn, sen är det bara en fråga om tillräckliga hot och eventuella åtgärder mot de skyldiga.

Allvarligt talat så är det inte okej att använda företagets datorer för privata ändamål och antagligen på arbetstid, frågan är om det inte kan klassas som stöld och medföra grund för avsked.

Vet att det kanske inte fungerar i alla lägen men lås ner datorerna så att det inte går att köra torrent på dem utan en massa tjafsande, i alla fall inte utan att vara inloggad som en registrerad användare, och då vet man vem som gör det och kan hantera det genom andra sätt än tjafsa med nätverket.

Visa signatur

"Jag har inte gått 5 år på Chalmers, men till och med jag vet att det är en dum idé att blanda vatten och elektronik"
Min Fru

Redigera
Citera flera Citera
Permalänk
SpelClockers

Vad är det för företag som låter en praktikant ändra i IT-infrastrukturen?
Nåja.

Vad använder dom för utrustning? Servrar, routrar.
Har ni någon leverantör av IT?

Använder ni AD kan du stänga ner mycket bara där, och sedan börja stänga tjänster och protokoll i nätverket.

Inte för att vara otrevlig, men innan man ens tänker på att börja ändra kanske man borde läsa några kurser och få lite förståelse.
Hur använder dom IT i arbetet, spelar det någon roll om det ligger nera en dag eller är det inte kritiskt för produktionen?
Det kan bli billigare för er om ni låter en konsult komma in och göra det ordentligt från början.

Senast redigerat
Visa signatur

Admin på Geeks Gaming

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pejabratz:

Hur fungerar detta om "de anställda" exempelvis väljer att byta namn på .exe-filen. När man blockerar vissa program i brandväggen antar jag att man då blockerar att just .exe-filen körs?

Vi kör Cisco, och man kan tänka sig att Cisco bör ha klientblockering i sin utrustning, men frågan är om detta räcker?

Det rör sig om ett hundratal personer som använder nätverket, och då folk inte kan hålla fingrarna i styr så belastas nätverket mycket under vissa delar. Anledningen till att vetskapen om att det är mestadels torrentfiler är genom övervakning av nätverket med övervakning över trafiken.

Som jag förstår så är skillnaden mellan en IPS och en IDS att en IDS endast övervakar, medan en IPS övervakar samt kan stänga ute oönskad trafik. Men hur man själv sätter upp en sådan server verkar svårare, och budgeten för att anställa detta som befintlig tjänst genom ex. Snort eller Sentor kan sticka iväg då deras paket är komplexa med dygnet runt support och uppföljning, vilket inte är i fokus då vi egentligen enbart vill förhindra torrenttrafik i nätet.

Gå till inlägget

Vi använder oss utav Clavister Application Control.
"This centrally managed service-based solution recognizes over 1,000 applications and network protocols, and more importantly, over 5,000 meta data tags associated with applications and network protocols."
Application Control

Har dock inte så mycket erfarenhet när det gäller Cisco, men det är ju ett ledande märke och borde även erbjuda liknande applikation.

Visa signatur

"De som fattar, fattar."

Redigera
Citera flera Citera
Permalänk
Medlem

Blocka bara protokollet, finns till och med i vissa routerdister typ IPcop, pfSense mfl.

Fungerar även i windows miljö.
http://support.microsoft.com/kb/813878

Visa signatur

"Computer games don't affect kids; I mean if Pac-Man affected us as kids, we'd all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music."
-Kristian Wilson, Nintendo Inc, 1989

Redigera
Citera flera Citera
Permalänk
Medlem

Jobbar virtuellt

Skrivet av daniie:

Vad är det för företag som låter en praktikant ändra i IT-infrastrukturen?
Nåja.

Vad använder dom för utrustning? Servrar, routrar.
Har ni någon leverantör av IT?

Använder ni AD kan du stänga ner mycket bara där, och sedan börja stänga tjänster och protokoll i nätverket.

Inte för att vara otrevlig, men innan man ens tänker på att börja ändra kanske man borde läsa några kurser och få lite förståelse.
Hur använder dom IT i arbetet, spelar det någon roll om det ligger nera en dag eller är det inte kritiskt för produktionen?
Det kan bli billigare för er om ni låter en konsult komma in och göra det ordentligt från början.

Gå till inlägget

Först och främst så arbetar jag i en virtuell miljö, så ingenting kommer implementeras reellt innan vi säkerställt att allting fungerar korrekt. Utrustningen är Cisco genomgående på brandvägg och switchar. Det finns ingen direkt IT leverantör, utan de har väldigt dålig säkerhet över lag och det stora problemet är att företaget har flera företag som hyr in sig i samma byggnad och alla använder samma nät.

Jag kommer även få arbeta fram en ny IT policy längre fram då deras är nästintill obefintlig. Men kanske är det bäst som många säger att begränsa portar och klienter i den mån man kan och se hur mycket det går att påverka den vägen. Sedan analysera trafiken och se vart de stora problemen ligger.

Och då de arbetar aktivt med konferenser, sköter allt jobb via internet (deras egentliga arbetsuppgifter är marknadsföring över nätet) så att nätet skulle ligga nere en dag får inte förekomma, om man inte planerar in det på en helg exempelvis. Men det är också en anledning till att vi kör virtuellt för att ingenting olyckligt skall hända.

Kommer troligtvis framöver också ta fram ett vLan för att styra trafiken lättare, då alla i byggnaden i dagsläget kör på samma, öppna WiFi.

Redigera
Citera flera Citera
Permalänk
SpelClockers
Skrivet av pejabratz:

Kommer troligtvis framöver också ta fram ett vLan för att styra trafiken lättare, då alla i byggnaden i dagsläget kör på samma, öppna WiFi.

Det där är ju det första du måste ändra på.

Okej, du hade rätt bra kontroll på läget, när jag läste första inlägget lät det som företaget låtit en 13 årig praktikant börja ändra i IT infrastrukturen, ber om ursäkt för det

Visa signatur

Admin på Geeks Gaming

Redigera
Citera flera Citera
Permalänk
Medlem

Jobbar virtuellt

Skrivet av daniie:

Det där är ju det första du måste ändra på.

Okej, du hade rätt bra kontroll på läget, när jag läste första inlägget lät det som företaget låtit en 13 årig praktikant börja ändra i IT infrastrukturen, ber om ursäkt för det

Gå till inlägget

Hehe, ja det kanske inte hade varit så välgenomtänkt

Grejen är den att min handledare har bra kontroll på vad som behövs göras, men han har andra arbetsuppgifter och kan därför inte arbeta med detta själv då tiden ej finns. Hans önskemål är en liknande IPS som kan implementeras i nätverket som styr trafiken, men då kommer det som sagt till en budgetfråga igen. Och genom att begränsa trafiken i den mån man kan med kända trackers, vanliga portar, klienter osv. borde man eliminera de flesta användarna. OCH han vill att detta görs först.

Där har vi ju problemet med WiFi också. I och med att datorerna kör WiFi i huvudsak, och inte genom kablat nätverk, så blir det svårt att spåra användarna då de har olika IP-adresser. Därför skulle jag önska att jag kunde sätta upp fasta ip-adresser kopplade till MAC-adresserna. Men där har vi ett problem då folk tar med mobila enheter och kopplar in i nätverket, och då kommer vi åter igen tillbaka till problemet med ett öppet WiFi.

Hans önskemål med ett vLan är att kunna ha ett vLan för arbetsstationerna, och ett WiFi för mobila enheter, men även där skulle en IPS vara lämplig att ha för att strypa "fel" trafik över det trådlösa nätet. Men då skulle nätet över vLanet inte påverkas annat än bandbredden, men då kan man dedikera bandbredd.

Hur är det med dedikering av bandbredden. Det borde man kunna styra i Ciscoutrustningen, eller måste ISP'n ha någonting att säga till om i detta?

Redigera
Citera flera Citera
Permalänk
Medlem

Ni har inte funderat på QoS likt NBAR?

länkar
http://www.cisco.com/en/US/docs/ios/qos/configuration/guide/c...
http://slaptijack.com/networking/controlling-peer-to-peer-p2p...

hjälper ju visserligen inte om trafiken är krypterad men kan vara något att tänka på iaf

Visa signatur

Define R3, GA-Z97X, i5 4690k, 8GB Corsair, GTX780

Redigera
Citera flera Citera
Permalänk
SpelClockers
Skrivet av pejabratz:

Hur är det med dedikering av bandbredden. Det borde man kunna styra i Ciscoutrustningen, eller måste ISP'n ha någonting att säga till om i detta?

Det ska du kunna göra själv.
Om jag inte har helt fel så borde det kunna göras genom QoS.

Visa signatur

Admin på Geeks Gaming

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för hjälpen

Tack för hjälpen! Ska överlägga lite med min handläggare och se om vi kan börja med att arrangera om nätverket först vilket borde vara det mest effektiva sättet.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pejabratz:

Tack för hjälpen! Ska överlägga lite med min handläggare och se om vi kan börja med att arrangera om nätverket först vilket borde vara det mest effektiva sättet.

Gå till inlägget

Du får jättegärna skriva vad du gör/testar/funderar/kommer fram till här i tråden.

Redigera
Citera flera Citera
Permalänk
Medlem

Utöka kapaciteten?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av furuliden:

Utöka kapaciteten?

Gå till inlägget

Den utökade kapaciteten *kommer* att ätas upp av fildelningen.

Redigera
Citera flera Citera
Permalänk
Medlem

Börja i Policy ändan.
Blockar du torrent så byter de till news, ftp, HTTPs eller någon anann form av nedlanddning istället.

Ser du däremot till at tha en it-policy som säger att det är ett tjänstefel att tanka från jobbet så kan man sen ta itu med det på ett effektivt sätt via personalavdelningen.
Dock är det ett ordentligt jobb att ta fram en policy och den måste sen förankras riktigt högt upp. Helst VD nivå.

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av iXam:

Den utökade kapaciteten *kommer* att ätas upp av fildelningen.

Gå till inlägget

Nja, min skola klarar ialf av att leverera snabbt internet trotts att torrent är tillåtet och används flitigt. Så varför kan inte detta företag lyckas med samma sak? Det är ju inte direkt så att alla människor börjar tanka 1000 GB/skräp per dag bara för att man kan, utan man laddar ju ner en sak då och då, när man behöver.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av furuliden:

Nja, min skola klarar ialf av att leverera snabbt internet trotts att torrent är tillåtet och används flitigt. Så varför kan inte detta företag lyckas med samma sak? Det är ju inte direkt så att alla människor börjar tanka 1000 GB/skräp per dag bara för att man kan, utan man laddar ju ner en sak då och då, när man behöver.

Gå till inlägget

För att man ska jobba (Konstigt va?) på jobbet, och inte torrenta. Varför ska företaget lägga mer pengar än vad som behövs på nätverket för att några muppar inte fattar vad ett jobb är

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pejabratz:

Där har vi ju problemet med WiFi också. I och med att datorerna kör WiFi i huvudsak, och inte genom kablat nätverk, så blir det svårt att spåra användarna då de har olika IP-adresser. Därför skulle jag önska att jag kunde sätta upp fasta ip-adresser kopplade till MAC-adresserna. Men där har vi ett problem då folk tar med mobila enheter och kopplar in i nätverket, och då kommer vi åter igen tillbaka till problemet med ett öppet WiFi.

Hur är det med dedikering av bandbredden. Det borde man kunna styra i Ciscoutrustningen, eller måste ISP'n ha någonting att säga till om i detta?

Gå till inlägget

Kan ju börja säga att jag verkligen inte är kompetent på området, men det hindrar mig inte från att ge förslag.

Först och främst känns det som att ni behöver en policy på företaget. VD:n eller en hög chef får säga åt de anställda att de inte får använda företagets utrustning och jobbtid åt personliga och framförallt inte olagliga aktiviteter. Utan det stödet kan det bli mycket gnäll om ni går in och börjar strypa internetuppkopplingar och gör omstruktureringar i nätverksstrukturen.

Går det inte sätta upp ett skyddat Wifi nätverk där ip:n är låst till mac-adressen i datorn för företagets datorer och sedan ha ett öppet Wifi nät för de portabla "byod" (för att slänga sig med inne uttryck och visa hur med jag är...) enheterna, och strypa hastigheten på det portabla. Om de nu vill kolla facebook när de sitter på toa så behövs ju inte mer än 5 mbit för att alla ska vara glada? Om det är flera företag i samma byggnad så kan man kanske sätta ett Wifi för varje företag och dedikera bandbredd till varje (om ni har mest problem att det är någon av de andra som som använder torrents, eller för att kunna garantera de andra en stabil uppkoppling). Hur ni kan göra beror ju på utrustningen ni har, investeringspotential, kunskap (både hos er på it-avdelningen samt de övriga anställda), avtal med de som använder nätet etc.

Kanske innebär mer jobb att konfigurera alla ip adresser men när det väl är gjort en gång så borde det inte vara så mycket fortlöpande jobb, om ni inte har väldigt hög personalomsättning, eller om personalen är ute hos kunder/leverantörer och måste koppla in sig på andra nätverk ofta så de måste ha dynamisk ip (kanske kan lära dem ändra det själv, eller kanske till och med finns stöd i Windows, eller vilket os som nu används, för detta).

Redigera
Citera flera Citera
Permalänk
Medlem

1. Finns där en Windows-domän kan man som tidigare sagt blockera processer vid namn. Vilket hindrar de mindre teknikkunniga eller de som inte förstår varför programmet är blockat. Om inget annat kommer man märka att allt fungerar bra innan folk hittat vägen runt problemet. Helst hade jag kombinerat det med en IT-policy som meddelas i samma veva vilket kan ge en känsla att "kanske de övervakar mig".

2. Finns där en Windows domän? Kör en radius server där, annars kör en lös radius server. Så att alla får personliga konton och lite spårbarhet. Har alla samma nyckel finns risken att den sprids, vilket leder till att utomstående kan får access. Har man en personlig inloggning är man lite mer försiktig när man delar nyckeln. Om du även har en domän ser man till att inloggningen från de enheterna sker automatiskt. De mobila enheterna så som telefoner kan även de logga in med samma uppgifter.

3. Begränsa bandbredden som varje ip-adress på insidan kan använda. Det går att göra enkelt i pfsense/m0n0wall, men har inte sett hur man gör i Ciscos utrustning.

4. En riktig applikationsbrandvägg är troligen en dyr investering. Den kan identifiera protokoll och program bra, blockera och prioritera. Kanske kan man få användarna att förstå att nedladdningen är det som gör att det blir slött? Du säger att ni övervakat och fått svar på att det är torrent trafik. Men det kan inte vara så att ni är många som arbetar mot molntjänster och webben att linan helt enkelt inte räcker till?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

2. Finns där en Windows domän? Kör en radius server där, annars kör en lös radius server. Så att alla får personliga konton och lite spårbarhet. Har alla samma nyckel finns risken att den sprids, vilket leder till att utomstående kan får access. Har man en personlig inloggning är man lite mer försiktig när man delar nyckeln. Om du även har en domän ser man till att inloggningen från de enheterna sker automatiskt. De mobila enheterna så som telefoner kan även de logga in med samma uppgifter.

Gå till inlägget

Detta löser WiFi-problemet, skulle precis föreslå RADIUS för att lösa den biten men ovanstående hann före.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6 | tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 1060 6GB@2100/4500MHz + 1 TB NV2 & 512GB SN730

Redigera
Citera flera Citera
Permalänk
Medlem

1. Låsa möjligheten att installera program på alla användarkonton i bolaget.
2. Rensa alla anställdas datorer på program som inte tillhör arbete.
3. Luta dig tillbaka och drick en Jolt.

Visa signatur

System: i5 10600K, Asus Z490-F, Corsair Vengeance 16GB 3200MHz, SSD 256GB Samsung 830 & 1TB 860 EVO, ASUS TUF 3080, Noctua NH-U14S, Corsair RM850Xv2, Fractal Design Meshify C, LG 34GK950F.

Redigera
Citera flera Citera
Permalänk
Medlem

Hm enkel lösning kanske men skulle kanske funka ... blockera port alla portar förutom port 80 ut.

Ladda ner en torrent fil från piratebay för att få den publika tracker listan och lägg in ett filter för dom.

Blockera vart i från du nu fick torrent filen.

Detta löser dock inte magnet links och Trackerless torrenting (DHT). men det tar nog port allt utom port 8 spärren hand om.
Inte en fix it all men tar nog hand om det mesta av public torrents.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Wully:

För att man ska jobba (Konstigt va?) på jobbet, och inte torrenta. Varför ska företaget lägga mer pengar än vad som behövs på nätverket för att några muppar inte fattar vad ett jobb är

Gå till inlägget

Dom kanske behöver torrent för att kunna jobba? Man måste inte vara kriminell för att man använder torrent, just saying.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av furuliden:

Dom kanske behöver torrent för att kunna jobba? Man måste inte vara kriminell för att man använder torrent, just saying.

Gå till inlägget

Och TROTS detta vill nu företaget få bort fildelningen.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara