Küçük bir konferansa veya toplantıya çok sınırlı açık WiFi sağlarken neler filtrelenir?

Yönetici Özeti

Temel soru şudur: Yalnızca bir veya iki günlük küçük bir toplantı için İnternet sağlamak için çok sınırlı bir bant genişliği WiFi'niz varsa, bir veya iki kullanıcının mevcut tüm bant genişliğini tekelleştirmesini önlemek için filtreleri nasıl yönlendirirsiniz?

Aşağıda ayrıntıları okumak için zaman yok millet için, ben am DEĞİL bu cevapların hiçbirinde arıyor:

• Yönlendiriciyi güvenli hale getirin ve yalnızca birkaç güvenilir kişinin onu kullanmasına izin verin
• Herkese kullanılmayan hizmetleri ve genellikle polisin kendilerini kapatmasını söyleyin
• Bir sniffer ile trafiği izleyin ve gerekirse filtreler ekleyin

Tüm bunların farkındayım. Açıklığa kavuşacak nedenlerden hiçbiri uygun değildir.

AYRICA NOT: Burada büyük (> 500 katılımcı) konferanslarda yeterli WiFi sağlama konusunda zaten bir soru var . Bu soru, genellikle WiFi kullananların yarısından daha azı olan 200'den az kişiden oluşan KÜÇÜK toplantılarla ilgilidir. Tek bir ev veya küçük ofis yönlendirici ile ele alınabilecek bir şey.

Arka fon

Geçmişte küçük toplantılara biraz başarı ile WiFi sağlamak için bir 3G / 4G yönlendirici cihazı kullandım. Küçük olarak, bir barcamp veya Skepticamp veya kullanıcı grubu toplantısı sırasına göre tek kişilik konferanslar veya toplantılar kastediyorum . Bu toplantıların bazen teknik katılımcıları vardır, fakat sadece değildir. Genellikle katılımcıların yarısından üçte birinden azı gerçekten WiFi'yi kullanır. Bahsettiğim maksimum toplantı büyüklüğü 100 ila 200 kişidir.

Tipik olarak bir Cradlepoint MBR-1000 kullanıyorum, ancak özellikle Verizon, Sprint ve Clear gibi 3G ve / veya 4G satıcıları tarafından sağlanan hepsi bir arada birimler olmak üzere birçok başka cihaz var . Bu cihazlar 3G veya 4G internet bağlantısı alır ve WiFi kullanarak birden fazla kullanıcıya havalandırır.

Bu şekilde net erişim sağlamanın temel özelliklerinden biri 3G / 4G üzerinden sağlanan sınırlı bant genişliği. Birden fazla radyoyu dengeleyebilen Cradlepoint gibi bir şeyle bile, sadece birkaç megabit indirme hızı ve belki de bir megabit veya daha fazla yükleme hızı elde edeceksiniz. Bu en iyi senaryo. Genellikle oldukça yavaştır.

Bu toplantı durumlarının çoğunda amaç, insanların e-posta, web, sosyal medya, sohbet hizmetleri vb. Hizmetlere erişmesine izin vermektir. Bu nedenle, oturum devam ederken canlı blog yapabilir veya canlı tweet atabilir veya yalnızca çevrimiçi sohbet edebilir veya başka bir şekilde (hem katılımcılarla hem de katılımcı olmayanlarla) iletişim halinde kalabilirler. Yönlendirici tarafından sağlanan hizmetleri yalnızca bu ihtiyaçları karşılayan hizmetlerle sınırlandırmak istiyorum.

sorunlar

Özellikle, belirli kullanıcıların yönlendiricideki bant genişliğinin çoğunu herkesin zararına kötüye kullandıkları birkaç senaryo fark ettim. Bunlar iki alana kaynar:

• Kasıtlı kullanım . YouTube videolarına bakan, iPod'larına podcast indiren ve başka türlü konuşmacıya dikkat etmeniz ve / veya etkileşimde bulunmanız gereken bir toplantı odasında gerçekten uygun olmayan şeyler için bant genişliğini kullanan kişiler.
  
  UStream üzerinden canlı akış (ayrı, özel bir bağlantı üzerinden) yaptığımız bir toplantıda, toplantı sohbetiyle etkileşim kurabilmeleri için UStream sayfası olan odada birkaç kişi fark ettim - görünüşe göre bant genişliği akışını boşa harcadıklarından habersizler tam önlerinde yer alan bir şeyin videosu.

• İstem dışı kullanım . Arka planda bant genişliğini geniş çapta kullanacak, belki de farkında olmadan, dizüstü bilgisayarlarına ve akıllı telefonlarına sıklıkla yüklenen çeşitli yazılım yardımcı programları vardır.
  
  Örnekler:

• Arka planda çalışan Bittorrent gibi programları eşler arası indirme

• Otomatik yazılım güncelleme hizmetleri. Bunlar her büyük yazılım satıcısının kendine ait olduğu için lejyon, bu yüzden kolayca arka planda güncellemeleri indirmeye çalışan Microsoft, Apple, Mozilla, Adobe, Google ve diğerlerine sahip olabilirsiniz.

• Virüsten koruma, kötü amaçlı yazılımdan koruma vb. Gibi yeni imzalar indiren güvenlik yazılımı.

• Yedekleme yazılımı ve arka planda bulut hizmetlerine "eşitlenen" diğer yazılımlar.

Bu web dışı, e-posta olmayan tür hizmetler tarafından ne kadar ağ bant genişliğinin emildiğine ilişkin bazı rakamlar için, bu son Kablolu makalesine göz atın . Görünüşe göre web, e-posta ve sohbet hep birlikte İnternet trafiğinin dörtte birinden daha az. Bu makaledeki sayılar doğruysa, diğer tüm şeyleri filtreleyerek WiFi'nin kullanışlılığını dört kat artırabilmeliyim.

Şimdi, bazı durumlarda, yönlendiricideki güvenliği kullanarak erişimi çok küçük bir grup insanla (genellikle toplantının düzenleyicileri) sınırlamak için kontrol edebildim. Ancak bu her zaman uygun değildir. Yaklaşan bir toplantıda, WiFi'yi güvenlik olmadan çalıştırmak ve herkesin kullanmasına izin vermek istiyorum, çünkü buluşma yerimdeki şehrimdeki 4G kapsamı özellikle mükemmel. Yakın tarihli bir testte, toplantı yerinde 10 Megabit düştüm.

Yukarıda belirtilen "insanlara kendilerini polise söyle" çözümü (a) büyük ölçüde teknik olmayan bir kitle ve (b) yukarıda açıklanan kullanımın çoğunun kasıtsız doğası nedeniyle uygun değildir.

"Sniffer ve gerektiğinde filtre uygula" çözümü yararlı değildir, çünkü bu toplantılar genellikle yalnızca birkaç gün, genellikle sadece bir gün sürer ve çok küçük bir gönüllü kadroya sahiptir. Ağ izlemeye adanacak bir insanım yok ve kurallar tamamen değiştirilinceye kadar toplantı sona erecek.

Elimde Ne Var

İlk olarak , sitelerin tüm sınıflarını filtrelemek için OpenDNS'in etki alanı filtreleme kurallarını kullanacağımı düşündüm . Bunu kullanarak bir dizi video ve eşler arası site silinebilir. (Evet, DNS üzerinden filtrelemenin teknik olarak hizmetleri erişilebilir kıldığını biliyorum - unutmayın, bunlar 2 günlük bir toplantıya katılan teknik olmayan kullanıcılar. Yeterli). OpenDNS Kullanıcı Arayüzünde bu seçimlerle başlayacağımı düşündüm:

Muhtemelen DNS'in (port 53) yönlendiricinin kendisinden başka bir şeye engellemeyeceğimi düşünüyorum, böylece insanlar DNS yapılandırmamı atlayamazlar. Bilgili bir kullanıcı bunun üstesinden gelebilir, çünkü güvenlik duvarına çok fazla ayrıntılı filtre koymayacağım, ama çok fazla umursamıyorum. Bu toplantılar çok uzun sürmediği için, muhtemelen zahmete değmez.

Bu, Kablolu makale doğruysa web dışı trafiğin büyük bölümünü, yani eşler arası ve videoyu kapsamalıdır. OpenDNS yaklaşımında ciddi sınırlamalar olduğunu düşünüyorsanız lütfen tavsiye edin.

Neye ihtiyacım var

OpenDNS'nin bir bağlamda veya başka bağlamda "sakıncalı" olan şeylere odaklandığını unutmayın. Video, müzik, radyo ve peer-to-peer hepsi kapsanır. Yine de sadece engellemek istediğimiz mükemmel makul şeyleri kapsamam gerekiyor çünkü bir toplantıda gerekli değiller. Bunların çoğu arka planda yasal şeyleri yükleyen veya indiren yardımcı programlardır.

Özellikle, aşağıdaki hizmetleri etkin bir şekilde devre dışı bırakmak için filtrelenecek bağlantı noktası numaralarını veya DNS adlarını bilmek istiyorum:

• Microsoft otomatik güncellemeler
• Apple otomatik güncellemeleri
• Adobe otomatik güncellemeler
• Google otomatik güncellemeleri
• Diğer önemli yazılım güncelleme hizmetleri
• Büyük virüs / kötü amaçlı yazılım / güvenlik imzası güncellemeleri
• Başlıca arka plan yedekleme hizmetleri
• Arka planda çalışan ve çok fazla bant genişliği yiyebilen diğer hizmetler

Ayrıca geçerli olabilecek başka önerilerinizi de istiyorum.

Çok ayrıntılı olduğum için özür dilerim, ama bu türden sorularda çok, çok açık olmasına yardımcı olduğunu düşünüyorum ve OpenDNS olayıyla zaten yarım bir çözümüm var.

Yeni başlayanlar için, izin vermek istediğiniz trafik türü konusunda çok net olun. Varsayılan bir reddetme kuralına sahip olun, ardından 80, 443, 993, 587, 143, 110, 995, 465, 25 gibi bağlantı noktalarına izin verin (Şahsen bunu açmamayı tercih ederim, ancak muhtemelen bir ton şikayet alırsınız) . Ayrıca OpenDNS sunucularındaki 53 numaralı bağlantı noktasına UDP bağlantılarına izin verin.

Bu size harika bir başlangıç ​​sağlayacaktır. Bant genişliği atlama protokollerinin çoğunu öldürür. Ayrıca, insanların güvenliğinizi atlamasını önlemeye yardımcı olacak birçok VPN bağlantısını da (ssl vpns değil) engelleyecektir.

Dosya türlerini engelleyebilen bir güvenlik duvarınız varsa, muhtemelen exe, bin, com, yarasa, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, katran ve muhtemelen bir sürü başkalarını da engellemelisiniz Dışarı çıkıyorum.

Bunun dışında, mevcut kısıtlamalarınız muhtemelen yeterince iyi. Listeye güncellemeler ekleyebilirsiniz. Şahsen, A / V güncellemelerini engellemezdim. Gerçekten isterseniz, tüm alan adlarını engelleyebilirsiniz (* .symantec.com, * .mcafee.com, * .trendmicro.com, vb.). Microsoft güncelleme URL'lerini http://technet.microsoft.com/en-us/library/bb693717.aspx adresinde bulabilirsiniz.

OpenDNS kullanılması torrentleri engellemez.

Yalnızca çevrimiçi yeni torrentler bulma ve sıralarına ekleme yeteneklerini engeller.

Yarısı 5 torrent ile yürürlerse ve daha sonra WiFi, wham aracılığıyla LAN'a bağlanırlarsa, tüm torrentler devam edecek ve mevcut tüm bant genişliğini alacaktır. OpenDNS web sitesini dikkatlice okuduğunuzda buna dikkat çekilmektedir. DNS'in nasıl çalıştığını düşünürseniz, mantıklı.

Mevcut torrentleri engellemek zordur. En akıllı hareketiniz, maksimum bağlantı sayısını kullanıcı başına, doğrudan radyoda 60-100 ile sınırlamaktır. iTunes ve Torrent binlerce kişiyi açıyor.

Öncelikle, herhangi bir wifi yönlendirici gerçekten sadece yaklaşık 60 veya daha fazla bağlantı için iyidir, bu yüzden 'wifi kullanarak yarıdan az olan 200'den az kişi' (99 kullanıcı) en kötü durumda hala en az bir yönlendirici gerektirebilir.

İkincisi, trafik şekillendirmesine bakmalısınız ... ideal olarak, içerideki her IP'ye aynı garantili minimum bant genişliğini vermek ve ekstralar üzerinde savaşmalarına izin vermek istersiniz ... bu şekilde kimse kapanmaz, ancak herkes tam olarak patlayabilir kapasite.

Yönlendiricilerinizin DD-WRT gibi özel bir ürün yazılımı kullanıp kullanamayacağını görmenizi öneririm . Bununla birlikte, gerçekten aradığınız şey olan QOS'u kullanabilirsiniz .