Tüm ofis için İnternet trafiğini izlemenin en iyi yolu nedir?

Şu anda yaklaşık 28 kişi için bir T3 hattımız var ve gün boyunca ölümcül yavaşlıyor, bu yüzden nedenini izlemeye yardımcı olacak bir şeye ihtiyacım var. Birisinin farkında olmayabileceği bir şey indirdiğini varsayıyorum.

Trafiği izlemek için wireshark kullanmaya karşı tavsiye ederim. Sadece çok fazla veri alacaksınız, ancak verileri analiz etmekte zorlanıyorsunuz. Birkaç makine arasındaki etkileşime bakmanız / sorun gidermeniz gerekiyorsa, wireshark harika. Bir izleme aracı olan IMHO, wireshark ihtiyacınız olan araç değildir.

1. Ağ trafiğinin profilini oluşturun. Bazı gerçek izleme araçlarını deneyin: http://sectools.org/traffic-monitors.html . En İyi Trafik türünü (büyük olasılıkla HTTP, ancak kim bilir), En Çok Konuşanlar (sunucularınız olmalı, ancak kim bilir) ve potansiyel olarak Hatalı Trafik (büyük miktarda TCP yeniden iletimi, hatalı biçimlendirilmiş paketler, çok küçük oranlar) Muhtemelen görmez, ama kim bilir)

2. Aynı zamanda, bir ağ kaynağı kullanım politikası geliştirmek için yönetiminizle birlikte çalışın. Genel olarak, iş terimleri, bilgisayar ağının hangi ihtiyaçları karşıladığı var ve kaynağın uygun kullanımları nelerdir. Bu şey paraya mal oluyor, bu yüzden varlığı için bir iş gerekçesi olmalı. Şirketinizin "küçük nakit" çekmecesi ile ilgili politikaları vardır ve ben ağ altyapısı maliyetleri çok daha fazla bahis. Odaklanacak en önemli şey, insanların kötü şeyler yapmasını değil, ağ işlevselliğini (yani çalışanların işlerini yapma becerilerini) zayıflatan potansiyel kötü amaçlı etkinlikleri izlemek. Southern Fried Security Podcast ve PaulDotCom Security Weekly, uygun güvenlik politikaları oluşturma hakkındaki bilgileri kapsar.

3. @John_Rabotnik bir proxy sunucusu fikri harikaydı. Web trafiği için bir proxy sunucusu uygulayın. Geleneksel güvenlik duvarlarıyla karşılaştırıldığında, proxy sunucuları neler olup bittiğine ilişkin daha iyi görünürlük ve ayrıca hangi trafiğe izin verileceği (örneğin gerçek web siteleri) ve hangi trafiğin engelleneceği (20 rastgele karakterden oluşan URL'ler) üzerinde daha ayrıntılı kontrol sağlar ] .com)

4. İnsanlara bildirin - ağda bir sorun var. Ağ trafiğini izliyorsunuz. Onlara ağ yavaşlamalarını kaydetmeleri için bir mekanizma verin ve toplu olarak ağ performansını analiz edebilmeniz için rapor hakkında yeterli meta veri yakalayın. İş arkadaşlarınızla iletişim kurun. İyi bir iş yapmanı istiyorlar, böylece iyi bir iş yapabiliyorlar. Aynı takımdasın.

5. Genel bir kural olarak, her şeyi engelleyin ve daha sonra neye izin verileceğine izin verin. Birinci adımdaki izlemeniz, ağ kullanımınız / güvenlik politikanız aracılığıyla filtrelendiği gibi, nelere izin verilmesi gerektiğini size bildirmelidir. Politikanız ayrıca bir yöneticinin yeni erişim izni verebileceği bir mekanizma içermelidir.

Özetle, birinci adım, trafik izleme (Nagios standart bir araç gibi görünüyor), genel olarak, acil acıyı durdurmak için neler olduğunu anlamanıza yardımcı olur. Adım 2 - 5, gelecekte sorunun önlenmesine yardımcı olur.

28 kişi T3'ü doyuruyor mu? Muhtemelen görünmüyor (Herkes akışlı medyayı gün boyu kullanabilir ve yaklaşamazdı.) Yönlendirme döngülerini ve diğer ağ yanlış yapılandırması türlerini kontrol etmek isteyebilirsiniz. Ayrıca virüs olup olmadığını da kontrol etmelisiniz. Yerel ağınızda çalışan küçük bir botnetiniz varsa, bu trafiği kolayca açıklar.

Ne tür bir anahtarlama / güvenlik duvarı kullanıyorsunuz? Paket trafiğini izleme yeteneğiniz zaten olabilir.

Düzenleme: Ben de Wireshark büyük bir hayranıyım (yaşlıyım, bu yüzden hala kafamda "Ethereal" düşünüyorum). Kullanacaksanız, en iyi yol bir makineyi sıraya yerleştirmektir, böylece tüm trafik içinden geçmelidir. Bu, ekipmanınızı karışık moda geçirmek zorunda kalmadan kapsamlı günlük kaydı çalıştırmanıza olanak tanır.

Ve bazı trafik şekillendirmeye ihtiyacınız olduğu ortaya çıkarsa, bir Snort proxy'si kurmak için iyi bir konumda olacaksınız ... Bununla birlikte, bir tane kurmak niyetiyle başlamam. Sorununuzun bant genişliği olduğundan gerçekten şüpheliyim.

Yedek bir makineniz varsa, bunu internet proxy sunucusu olarak ayarlayabilirsiniz . İnternete yönlendirici üzerinden erişen makineler yerine, proxy sunucusu üzerinden (onlar için yönlendiriciyi kullanarak internete erişen) erişir. Bu, tüm internet trafiğini ve hangi makineden geldiğini kaydedecektir. Hatta belirli web sitelerini veya dosya türlerini ve diğer birçok harika şeyi bile engelleyebilirsiniz.

Proxy sunucusu ayrıca sık kullanılan web sayfalarını önbelleğe alır, böylece kullanıcılar aynı web sitelerini ziyaret eder, resimler, indirmeler vb. Zaten proxy sunucuda olur, böylece tekrar indirilmeleri gerekmez. Bu da size bazı bant genişlikleri kazandırabilir.

Bu biraz ayar gerektirebilir, ancak zamanınız ve sabrınız varsa kesinlikle gitmeye değer. Proxy sunucuyu kurmak muhtemelen bu sorunun kapsamı dışındadır, ancak başlamanız için birkaç ipucu:

1. Ubuntu işletim sistemini yedek bir makineye yükleyin (Linux'tan memnunsanız sunucu sürümünü edinin):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Bir terminal / konsol penceresi açıp aşağıdaki komutu yazarak squid proxy sunucusunu makineye kurun:

   sudo uygun-almak yüklemek kalamar

3. Kalamarı istediğiniz gibi yapılandırın, işte Ubuntu üzerine kurmak için bir rehber. Daha fazla dokümantasyon ve kurulum yardımı için kalamar web sitesine de bakabilirsiniz . :

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. İstemci makinelerinizi, internete erişmek için Ubuntu sunucusunu proxy sunucusu olarak kullanacak şekilde yapılandırın:

   http://support.microsoft.com/kb/135982

5. Kurnaz kullanıcıların yönlendiriciden internete erişmesini ve proxy sunucusunu atlamasını önlemek için, proxy sunucusu dışındaki tüm makinelere yönlendiricideki internet erişimini engellemek isteyebilirsiniz.

Orada Ubuntu Squid proxy sunucusu kurma konusunda yardım bol.

En iyi dileklerimle, umarım sonuna kadar inersiniz.

Wireshark bir paket yakalama oluşturur ve ağ trafiğini bununla analiz edebilirsiniz http://www.wireshark.org/

Trafiği daha fazla görselleştirmeniz gerekiyorsa, size yalnızca boyut, tür vb. Temelli belirli trafiği göstermek için filtreleri kullanabilirsiniz.

Bir yazılım çözümü için Daisetsu'nun cevabına bakınız.

Belli nedenlerden dolayı, çoğu / bazı ülkelerin yasaları, çalışanlara trafiğin izleneceğini bildirmenizi gerektirir. Ama sanırım bunu zaten biliyorsun.

Daha düşük teknolojiye sahip ancak daha az invaziv bir teknik, yanıp sönen ışıklar için fiziksel anahtarları görsel olarak kontrol etmek olacaktır: ağ yavaşladığında, biri muhtemelen çok fazla bant genişliği kullanır, bu nedenle kablolarının LED göstergesi diğerleriyle karşılaştırıldığında öfkeyle yanıp söner. . "Masum" olanları ayıklayan 28 bilgisayarla uzun sürmez ve söz konusu kullanıcı bilgisayarlarının hatalı davrantığı ve kısa süre içinde sizin tarafınızdan kontrol edileceği konusunda bilgilendirilebilir.

Çalışanlarınızın gizliliğini önemsemiyorsanız (sonuçta bant genişliğinizi isteyerek kötüye kullanıyor olabilirler) ve bir sözleşme imzaladılar veya yerel yargı yetkisi size izin veriyorsa, bu adımı göz ardı edebilir ve önceden haber vermeden ne yaptıklarını kontrol edebilirsiniz. , elbette. Ancak birisinin şirkete aktif olarak zarar verebileceğini düşünmüyorsanız (örneğin, yasaları ihlal etmek, bilgi sızıntısı), bu garip bir duruma neden olabilir (ultra yüksek geniş bant caziptir ve web'de toplu olarak indirebileceğiniz birçok şey vardır. günlük olarak, çoğu iş yerinde olmamalı , ancak cazip gelebilir).

http://www.clearfoundation.com/ veya http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS özellikle kendi sitelerinde bu yeteneğe dikkat çeker: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Kimsenin iptraftan bahsetmediğine inanamıyorum.

Normalde devre üzerinden bekleyebileceğiniz trafik türü hakkında biraz daha bilgi verin. Dosya paylaşıyor musunuz? Posta kutularına erişiyor musunuz? Üzerinden PST dosyalarına mı erişiyorsunuz? Access veritabanları var mı? Kullanıcılar için yerel sunucular mı yoksa uzak sunucular mı? Bilmemiz gereken başka bir şey var mı?