Jaki jest najlepszy sposób monitorowania ruchu internetowego w całym biurze?

13

Obecnie mamy linię T3 dla około 28 osób i robi się śmiertelnie powolna w ciągu dnia, więc potrzebuję czegoś, aby pomóc w ustaleniu, dlaczego. Zakładam, że ktoś pobiera coś, czego może nie być świadomy.

Ryan Detzel
źródło
2
Głosuję, aby przenieść to pytanie na błąd serwera, gdzie jest to duplikat monitorowania ruchu sieciowego i jak mogę monitorować wykorzystanie Internetu w mojej sieci .
Arjan
1
Wiedząc, że to duplikat, czy nie byłoby sensowniej po prostu zamykać go jako nie na temat?
John Gardeniers
@John - myślę, że zawsze dobrze jest dodać inny tytuł i opis, który znajdą wyszukiwarki.
Gnoupi
Ogłoś, że odbierasz dostęp do Internetu użytkownikom aplikacji P2P.
duffbeer703

Odpowiedzi:

7

Odradzam używanie wireshark do monitorowania ruchu. Otrzymasz po prostu zbyt dużo danych, ale masz trudności z analizą danych. Jeśli chcesz przyjrzeć się / rozwiązać problemy z interakcją między kilkoma komputerami, Wireshark jest świetny. Jako narzędzie do monitorowania, IMHO, wireshark nie jest do końca potrzebnym narzędziem.

  1. Profiluj ruch sieciowy. Wypróbuj niektóre rzeczywiste narzędzia monitorowania: http://sectools.org/traffic-monitors.html . Szukasz ruchu na najwyższym poziomie (prawdopodobnie HTTP, ale kto wie), najlepszych rozmówców (powinny to być twoje serwery, ale kto wie) i potencjalnie zniekształconego ruchu (duża ilość retransmisji TCP, zniekształcone pakiety, wysokie stawki bardzo małych pakiety. Prawdopodobnie nie zobaczą, ale kto wie)

  2. Jednocześnie pracuj z kierownictwem, aby opracować politykę użytkowania zasobów sieciowych. Ogólnie rzecz biorąc, warunki biznesowe, jakie potrzeby biznesowe spełnia sieć komputerowa i jakie są odpowiednie zastosowania zasobów. Ta rzecz kosztuje pieniądze, więc jej istnienie musi być uzasadnione z biznesowego punktu widzenia. Twoja firma ma zasady postępowania z szufladą „drobna gotówka”, i założę się, że infrastruktura sieci kosztuje znacznie więcej. Kluczową rzeczą, na której należy się skupić, nie jest przyłapanie ludzi na robieniu złych rzeczy, ale raczej obserwowanie potencjalnych złośliwych działań, które obniżają funkcjonalność sieci (tj. Zdolność pracowników do wykonania pracy). Southern Fried Security Podcast i PaulDotCom Security Weekly zawierają informacje na temat tworzenia odpowiednich polityk bezpieczeństwa.

  3. @John_Rabotnik pomysł na serwer proxy był świetny. Zaimplementuj serwer proxy dla ruchu sieciowego. W porównaniu z tradycyjnymi zaporami ogniowymi serwery proxy zapewniają znacznie lepszy wgląd w to, co się dzieje, a także bardziej szczegółową kontrolę dozwolonego ruchu (na przykład prawdziwych stron internetowych) i ruchu do zablokowania (adresy URL złożone z [20 losowych znaków] ] .com)

  4. Poinformuj ludzi - w sieci występuje problem. Monitorujesz ruch sieciowy. Daj im mechanizm rejestrowania spowolnień sieci i przechwytywania wystarczającej ilości metadanych dotyczących raportu, aby w sumie można było analizować wydajność sieci. Komunikuj się ze swoimi współpracownikami. Chcą, abyś wykonał dobrą robotę, aby mogli wykonać dobrą robotę. Jesteś w tej samej drużynie.

  5. Zasadniczo blokuj wszystko, a następnie zezwalaj na to, co powinno być dozwolone. Monitorowanie od kroku pierwszego powinno dać ci znać, co powinno być dozwolone, zgodnie z filtrowaniem według twojej polityki użytkowania / bezpieczeństwa sieci. Twoja polityka powinna również zawierać mechanizm, za pomocą którego menedżer może wnioskować o przyznanie nowego rodzaju dostępu.

Podsumowując, krok pierwszy, monitorowanie ruchu (Nagios wydaje się być standardowym narzędziem) pomaga ogólnie ustalić, co się dzieje, aby zatrzymać natychmiastowy ból. Kroki 2–5 pomagają zapobiec problemowi w przyszłości.

pcapademic
źródło
+1; wszystkie świetne wskazówki. Prawidłowe monitorowanie jest koniecznością.
Maximus Minimus
4

28 osób nasyca T3? Nie wydaje się prawdopodobne (wszyscy mogliby korzystać z mediów strumieniowych przez cały dzień i nie zbliżyłoby się to). Możesz sprawdzić pętle routingu i inne rodzaje nieprawidłowej konfiguracji sieci. Powinieneś także sprawdzić, czy nie ma wirusów. Jeśli masz mały botnet działający w sieci lokalnej, to z łatwością wyjaśni ruch.

Jakiego rodzaju przełączania / zapory używasz? Być może masz już pewne możliwości monitorowania ruchu pakietów.

Edycja: Jestem także wielkim fanem Wireshark (chociaż jestem stary, więc nadal myślę „Ethereal” w mojej głowie). Jeśli zamierzasz go użyć, najlepszym sposobem jest ustawienie maszyny w linii, aby cały ruch musiał przez nią przejść. To pozwoli ci uruchomić wyczerpujące rejestrowanie bez konieczności przełączania sprzętu w tryb rozwiązły.

A jeśli okaże się, że potrzebujesz kształtowania ruchu, będziesz w stanie skonfigurować serwer proxy Snort ... Nie zacznę jednak z zamiarem zainstalowania takiego serwera. Naprawdę wątpię, że twoim problemem jest przepustowość.

Satanicpuppy
źródło
Muszę się z tym zgodzić. Możemy mówić o używaniu różnych narzędzi do monitorowania oprogramowania przez cały dzień, ale 28 użytkowników zabija T3 za pomocą dowolnego rodzaju „normalnego, ale nadmiernego” użycia, wydaje mi się po prostu źle ... To więcej niż kilku ciężkich użytkowników i „ktoś pobiera” coś, czego mogą nie być świadomi ”.
Rob Moir
3

Jeśli masz komputer zapasowy, możesz go skonfigurować jako internetowy serwer proxy . Zamiast maszyn uzyskujących dostęp do Internetu za pośrednictwem routera, uzyskują do niego dostęp za pośrednictwem serwera proxy (który uzyskuje dostęp do Internetu za pomocą routera). Spowoduje to zarejestrowanie całego ruchu internetowego i maszyny, z której pochodzi. Możesz nawet blokować określone witryny lub typy plików i wiele innych fajnych rzeczy.

Serwer proxy buforuje również często używane strony internetowe, aby użytkownicy odwiedzili te same strony internetowe, obrazy, pliki do pobrania itp. Będą już na serwerze proxy, więc nie będą musiały być ponownie pobierane. To może również zaoszczędzić trochę przepustowości.

Może to zająć trochę czasu, ale jeśli masz czas i cierpliwość, zdecydowanie warto. Konfigurowanie serwera proxy prawdopodobnie wykracza poza zakres tego pytania, ale oto kilka wskazówek na początek:

  1. Zainstaluj system operacyjny Ubuntu na komputerze zapasowym (pobierz wersję serwera, jeśli nie masz problemów z Linuksem):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. Zainstaluj serwer proxy squid na komputerze, otwierając okno terminala / konsoli i wpisując następujące polecenie:

    sudo apt-get install squid

  3. Skonfiguruj kałamarnicę tak, jak chcesz, oto przewodnik na temat konfigurowania jej na Ubuntu. Możesz także sprawdzić stronę internetową squid, aby uzyskać więcej dokumentacji i pomocy na temat konfiguracji:

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. Skonfiguruj komputery klienckie, aby używały serwera Ubuntu jako serwera proxy w celu uzyskania dostępu do Internetu:

    http://support.microsoft.com/kb/135982

  5. Możesz zablokować dostęp do Internetu na routerze do wszystkich komputerów z wyjątkiem serwera proxy, aby uniemożliwić przebiegłym użytkownikom dostęp do Internetu z routera i ominięcie serwera proxy.

Istnieje wiele pomocy w konfigurowaniu serwera proxy Squid na Ubuntu.

Wszystkiego najlepszego, mam nadzieję, że dojdziesz do sedna.

John Rabotnik
źródło
Czy to dotyczy tylko danych „internetowych”? Czy na poważnie chcesz skonfigurować serwer proxy dla wszystkich rodzajów protokołów i danych?
d -_- b
2

Wireshark utworzy przechwytywanie pakietów i dzięki temu możesz analizować ruch sieciowy http://www.wireshark.org/

Jeśli potrzebujesz bardziej wizualizować ruch, możesz użyć filtrów, aby pokazać tylko określony ruch na podstawie wielkości, typu itp.

Daisetsu
źródło
1

Zobacz odpowiedź Daisetsu na oprogramowanie.

Z oczywistych względów większość przepisów niektórych krajów wymaga jednak informowania pracowników, że ruch będzie monitorowany. Ale zakładam, że już to wiesz.

Bardziej zaawansowaną technologicznie, ale mniej inwazyjną techniką byłoby wizualne sprawdzenie, czy fizyczne przełączniki nie migają: gdy sieć zwalnia, ktoś prawdopodobnie używa dużej przepustowości, więc wskaźnik LED ich kabla będzie mrugał wściekle w porównaniu do wszystkich innych . Po wyeliminowaniu 28 komputerów „niewinni” nie powinni długo czekać, a użytkownik może zostać poinformowany, że jego komputer działa nieprawidłowo i wkrótce zostanie sprawdzony przez Ciebie.

Jeśli nie dbasz o prywatność swoich pracowników (mogą w końcu umyślnie nadużywać przepustowości) i albo podpisali umowę, albo pozwala na to lokalna jurysdykcja, możesz po prostu zignorować ten krok i sprawdzić, co robią bez wcześniejszego powiadomienia , oczywiście. Ale chyba, że ​​uważasz, że ktoś może mi aktywnie zaszkodzić firmie (np. Naruszanie prawa, wyciek informacji), może to doprowadzić do niezręcznej sytuacji (ultra-szerokopasmowy internet jest kuszący i jest wiele rzeczy w Internecie, które można pobrać masowo na codziennie, z których większość nie powinna być w pracy, ale może cię kusić).

Alan Plum
źródło
Nie do analizy sieci, jeśli chodzi o utrzymanie sieci, to nie muszą informować pracowników.
Prawdopodobnie nie muszą ich informować, jeśli tylko sprawdzają powierzchnię, ale jeśli faktycznie patrzą na dokładny charakter danych (tj. Wąchanie pakietów), które mogą zawierać hasła lub dane osobowe (jakkolwiek niewłaściwe tego rodzaju korzystania z sieci firmowej), przynajmniej dobrą karmą (jeśli nie jest to wymóg prawny) byłoby wcześniejsze poinformowanie ich o tym.
1

Nie mogę uwierzyć, że nikt nie wspomniał o iptraf.

d -_- b
źródło
0

Powiedz nam coś więcej o typie ruchu, którego normalnie oczekujesz w ciągu toru. Czy udostępniasz pliki? Uzyskujesz dostęp do skrzynek pocztowych? Uzyskujesz dostęp do plików PST? Jakieś bazy danych Access? Lokalne serwery czy zdalne serwery dla użytkowników? Coś jeszcze musimy wiedzieć?

Maximus Minimus
źródło