Eu recomendaria não usar o wireshark para monitorar o tráfego. Você só terá muitos dados, mas não conseguirá analisar os dados. Se você precisa analisar / solucionar problemas na interação entre algumas máquinas, o wireshark é ótimo. Como uma ferramenta de monitoramento, IMHO, wireshark não é exatamente a ferramenta que você precisa.
-
Faça o perfil do tráfego da rede. Experimente algumas ferramentas de monitoramento reais: link . Você está procurando por tipo de tráfego superior (provável HTTP, mas quem sabe), Top Talkers (devem ser seus servidores, mas quem sabe) e tráfego possivelmente malformado (grande quantidade de retransmissões TCP, pacotes mal formados, altas taxas de muito pequenas provavelmente não verá, mas quem sabe)
-
Ao mesmo tempo, trabalhe com seu gerenciamento para desenvolver uma política de uso de recursos de rede. Em termos gerais, termos de negócios, quais necessidades de negócios a rede de computadores existe para atender e quais são os usos apropriados do recurso. Essa coisa está custando dinheiro, então tem que haver uma justificativa comercial para sua própria existência. Sua empresa tem políticas para lidar com a gaveta de “caixa pequena”, e eu apostaria que sua infra-estrutura de rede custa muito mais do que isso. O principal a ser focado não é pegar as pessoas fazendo coisas ruins, mas sim observar possíveis atividades maliciosas que estejam degradando a funcionalidade da rede (ou seja, a capacidade dos funcionários de realizar seu trabalho). Podcast de Segurança do Sul da Fried e Informações de cobertura do PaulDotCom Security Weekly sobre como criar políticas de segurança apropriadas.
-
A ideia do @John_Rabotnik para um servidor proxy foi ótima. Implemente um servidor proxy para o tráfego da web. Em comparação com os firewalls tradicionais, os servidores proxy oferecem uma visibilidade muito melhor do que está acontecendo, bem como um controle mais granular sobre o tráfego permitido (por exemplo, sites reais) e o tráfego a bloquear (URLs com [20 caracteres aleatórios] ] .com)
-
Informe as pessoas - a rede está com problemas. Você está monitorando o tráfego da rede. Dê a eles um mecanismo para registrar lentidão na rede e capture metadados suficientes sobre o relatório para que, em conjunto, você possa analisar o desempenho da rede. Comunique-se com seus colegas de trabalho. Eles querem que você faça um bom trabalho para que eles possam fazer um bom trabalho. Você está no mesmo time.
-
Como regra geral, bloqueie tudo e depois permita o que deve ser permitido. Seu monitoramento da etapa um deve informar o que precisa ser permitido, conforme filtrado por sua política de uso / segurança da rede. Sua política também deve incluir um mecanismo pelo qual um gerente pode solicitar que novos tipos de acesso sejam concedidos.
Em resumo, o primeiro passo, o monitoramento de tráfego (Nagios parece ser uma ferramenta padrão) ajuda você a descobrir, em geral, o que está acontecendo para parar a dor imediata. As etapas 2 a 5 ajudam a evitar o problema no futuro.