Qual é a melhor maneira de monitorar o tráfego da Internet para todo o escritório?

13

Atualmente, temos uma linha T3 para cerca de 28 pessoas e ela fica muito lenta durante o dia, por isso precisamos de algo para ajudar a descobrir o motivo. Eu estou supondo que alguém está baixando algo que eles podem não estar cientes.

    
por Ryan Detzel 02.06.2010 / 20:07

8 respostas

7

Eu recomendaria não usar o wireshark para monitorar o tráfego. Você só terá muitos dados, mas não conseguirá analisar os dados. Se você precisa analisar / solucionar problemas na interação entre algumas máquinas, o wireshark é ótimo. Como uma ferramenta de monitoramento, IMHO, wireshark não é exatamente a ferramenta que você precisa.

  1. Faça o perfil do tráfego da rede. Experimente algumas ferramentas de monitoramento reais: link . Você está procurando por tipo de tráfego superior (provável HTTP, mas quem sabe), Top Talkers (devem ser seus servidores, mas quem sabe) e tráfego possivelmente malformado (grande quantidade de retransmissões TCP, pacotes mal formados, altas taxas de muito pequenas provavelmente não verá, mas quem sabe)

  2. Ao mesmo tempo, trabalhe com seu gerenciamento para desenvolver uma política de uso de recursos de rede. Em termos gerais, termos de negócios, quais necessidades de negócios a rede de computadores existe para atender e quais são os usos apropriados do recurso. Essa coisa está custando dinheiro, então tem que haver uma justificativa comercial para sua própria existência. Sua empresa tem políticas para lidar com a gaveta de “caixa pequena”, e eu apostaria que sua infra-estrutura de rede custa muito mais do que isso. O principal a ser focado não é pegar as pessoas fazendo coisas ruins, mas sim observar possíveis atividades maliciosas que estejam degradando a funcionalidade da rede (ou seja, a capacidade dos funcionários de realizar seu trabalho). Podcast de Segurança do Sul da Fried e Informações de cobertura do PaulDotCom Security Weekly sobre como criar políticas de segurança apropriadas.

  3. A ideia do @John_Rabotnik para um servidor proxy foi ótima. Implemente um servidor proxy para o tráfego da web. Em comparação com os firewalls tradicionais, os servidores proxy oferecem uma visibilidade muito melhor do que está acontecendo, bem como um controle mais granular sobre o tráfego permitido (por exemplo, sites reais) e o tráfego a bloquear (URLs com [20 caracteres aleatórios] ] .com)

  4. Informe as pessoas - a rede está com problemas. Você está monitorando o tráfego da rede. Dê a eles um mecanismo para registrar lentidão na rede e capture metadados suficientes sobre o relatório para que, em conjunto, você possa analisar o desempenho da rede. Comunique-se com seus colegas de trabalho. Eles querem que você faça um bom trabalho para que eles possam fazer um bom trabalho. Você está no mesmo time.

  5. Como regra geral, bloqueie tudo e depois permita o que deve ser permitido. Seu monitoramento da etapa um deve informar o que precisa ser permitido, conforme filtrado por sua política de uso / segurança da rede. Sua política também deve incluir um mecanismo pelo qual um gerente pode solicitar que novos tipos de acesso sejam concedidos.

Em resumo, o primeiro passo, o monitoramento de tráfego (Nagios parece ser uma ferramenta padrão) ajuda você a descobrir, em geral, o que está acontecendo para parar a dor imediata. As etapas 2 a 5 ajudam a evitar o problema no futuro.

    
por 02.06.2010 / 21:25
4

28 pessoas saturando um T3? Não parece provável (todos poderiam usar a mídia de fluxo contínuo durante todo o dia, e não chegaria perto.) Você pode querer verificar os loops de roteamento e outros tipos de configuração incorreta da rede. Você também deve verificar se há vírus. Se você tiver uma pequena botnet em execução na sua rede local, isso explicaria facilmente o tráfego.

Que tipo de comutação / firewall você usa? Você já pode ter alguma capacidade de monitorar o tráfego de pacotes.

Edit: Eu também sou um grande fã do Wireshark (embora eu seja velho, então eu ainda penso "Ethereal" na minha cabeça). Se você for usá-lo, a melhor maneira é colocar uma máquina em linha para que todo o tráfego passe por ela. Isso permitirá que você execute logging exaustivo sem ter que mudar seu equipamento para o modo promíscuo.

E se você precisar de alguma modelagem de tráfego, você estará em uma boa posição para configurar um proxy do Snort ... Eu não começaria com a intenção de instalar um, no entanto. Eu realmente duvido que seu problema seja a largura de banda.

    
por 02.06.2010 / 20:26
3

Se você tem uma máquina de reposição, pode configurá-la para ser um servidor proxy da Internet . Em vez de as máquinas acessarem a internet através do roteador, elas o acessam através do servidor proxy (que acessa a internet usando o roteador para elas). Isso registrará todo o tráfego da Internet e de qual máquina ele veio. Você pode até bloquear certos sites ou tipos de arquivos e muitas outras coisas legais.

O servidor proxy também armazenará em cache as páginas da Web usadas com frequência para que os usuários visitem os mesmos sites, as imagens, os downloads, etc., que já estarão no servidor proxy, para que não precisem ser baixados novamente. Isso também pode economizar alguma largura de banda.

Isso pode levar algum tempo, mas se você tiver tempo e paciência, vale a pena. Configurar o servidor proxy provavelmente está além do escopo desta questão, mas aqui estão algumas dicas para você começar:

  1. Instale o sistema operacional Ubuntu em uma máquina de reposição (obtenha a versão do servidor se estiver familiarizado com o Linux):

    link

  2. Instale o servidor proxy do squid na máquina abrindo uma janela do terminal / console e digitando o seguinte comando:

    sudo apt-get instala o squid

  3. Configure o squid da maneira que você quiser, aqui está um guia para configurá-lo no Ubuntu. Você também pode verificar o site do squid para obter mais ajuda sobre documentação e configuração.

    link

  4. Configure as máquinas clientes para usar o servidor Ubuntu como servidor proxy para acessar a internet:

    link

  5. Você pode bloquear o acesso à Internet no roteador a todas as máquinas, exceto o servidor proxy, para impedir que os usuários espertos acessem a Internet a partir do roteador e ignorem o servidor proxy.

Há muita ajuda por aí para configurar o servidor proxy do Squid no Ubuntu.

Tudo de bom, espero que você chegue ao fim.

    
por 02.06.2010 / 20:49
2

O Wireshark criará uma captura de pacotes e você poderá analisar o tráfego de rede com o link

Se necessitar de visualizar mais tráfego, pode utilizar filtros para mostrar apenas tráfego específico com base no tamanho, tipo, etc.

    
por 02.06.2010 / 20:17
1

Veja a resposta de Daisetsu para uma solução de software.

Por razões óbvias, a maioria das leis de alguns países exige que você informe aos funcionários que o tráfego será monitorado. Mas eu suponho que você já saiba disso.

Uma técnica mais baixa tecnologia mas menos invasiva seria verificar visualmente os comutadores físicos para luzes piscando: quando a rede fica mais lenta, provavelmente alguém está usando muita largura de banda, então o indicador LED para o cabo deles piscará furiosamente em comparação ao de todos os outros. Com 28 computadores eliminando os "inocentes", não demorará muito e o usuário em questão pode ser informado de que o computador está se comportando mal e será verificado por você em breve.

Se você não se importa com a privacidade de seus funcionários (eles podem estar abusando de sua largura de banda intencionalmente) e eles assinaram um acordo ou jurisdição local permite, você pode simplesmente ignorar essa etapa e verificar o que eles estão fazendo sem aviso prévio, é claro. Mas, a menos que você pense que alguém pode estar prejudicando ativamente a empresa (por exemplo, violar leis, vazar informações), isso pode resultar em uma situação embaraçosa (a banda larga ultra alta é tentadora e há muitas coisas na web que você pode baixar) masse em uma base diária, a maioria dos quais você não deve no trabalho, mas pode ser tentado a fazê-lo).

    
por 02.06.2010 / 20:28
1

link ou link

O Clear OS especificamente observa essa capacidade em seu site: link

    
por 02.06.2010 / 20:30
1

Não acredito que ninguém tenha mencionado o iptraf.

    
por 03.06.2010 / 02:44
0

Fale-nos mais sobre o tipo de tráfego que você normalmente esperaria no circuito. Você está compartilhando arquivos através dele? Acessando caixas de correio através dele? Acessando arquivos PST através dele? Qualquer banco de dados do Access? Servidores locais ou servidores remotos para os usuários? Mais alguma coisa que precisamos saber?

    
por 02.06.2010 / 23:04