Qual é a melhor maneira de monitorar o tráfego da Internet em todo o escritório?

13

Atualmente, temos uma linha T3 para cerca de 28 pessoas e ela fica muito lenta durante o dia, por isso preciso de algo para ajudar a rastrear o porquê. Suponho que alguém esteja baixando algo que talvez não saiba.

Ryan Detzel
fonte
2
Votação para passar esta pergunta para a falha do servidor, onde é uma duplicata do Monitoramento de tráfego de rede e como posso monitorar o uso da Internet na minha LAN .
Arjan
1
Sabendo que era uma duplicata, não faria mais sentido simplesmente fechá-la como fora de tópico?
John Gardeniers
@ John - sempre bom adicionar um título e descrição diferentes para serem encontrados pelos mecanismos de busca, eu acho.
Gnoupi
Anuncie que você estará retirando o acesso à Internet para usuários de aplicativos P2P.
precisa saber é o seguinte

Respostas:

7

Eu recomendaria não usar o wireshark para monitorar o tráfego. Você obterá muitos dados, mas é difícil analisá-los. Se você precisar examinar / solucionar problemas de interação entre duas máquinas, o wireshark é ótimo. Como uma ferramenta de monitoramento, IMHO, o wireshark não é exatamente a ferramenta que você precisa.

  1. Perfile o tráfego de rede. Experimente algumas ferramentas de monitoramento reais: http://sectools.org/traffic-monitors.html . Você está procurando o Top Type de tráfego (provavelmente HTTP, mas quem sabe), os Top Talkers (devem ser seus servidores, mas quem sabe) e o tráfego potencialmente malformado (grande quantidade de retransmissões TCP, pacotes malformados, altas taxas de taxas muito pequenas provavelmente não vai ver, mas quem sabe)

  2. Ao mesmo tempo, trabalhe com seu gerenciamento para desenvolver uma política de uso de recursos de rede. Em geral, em termos comerciais, quais são as necessidades comerciais existentes na rede de computadores e quais são os usos apropriados do recurso. Isso está custando dinheiro, então deve haver uma justificativa comercial para sua própria existência. Sua empresa possui políticas para lidar com a gaveta do "caixa pequeno", e aposto que sua infraestrutura de rede custa muito mais que isso. O ponto principal a ser focado não é capturar pessoas fazendo coisas ruins, mas observar possíveis atividades maliciosas que estão degradando a funcionalidade da rede (ou seja, a capacidade dos funcionários de realizar seu trabalho). O Southern Fried Security Podcast e o PaulDotCom Security Weekly cobrem informações sobre a criação de políticas de segurança apropriadas.

  3. A idéia do @John_Rabotnik para um servidor proxy foi ótima. Implemente um servidor proxy para tráfego na web. Comparados aos firewalls tradicionais, os servidores proxy oferecem uma visibilidade muito melhor do que está acontecendo, além de um controle mais granular sobre o tráfego permitido (por exemplo, sites reais) e o tráfego a ser bloqueado (URLs compostas por [20 caracteres aleatórios ] .com)

  4. Informe as pessoas - a rede está tendo um problema. Você está monitorando o tráfego da rede. Dê a eles um mecanismo para registrar lentidão na rede e capturar metadados suficientes sobre o relatório para que, em conjunto, você possa analisar o desempenho da rede. Comunique-se com seus colegas de trabalho. Eles querem que você faça um bom trabalho para que eles possam fazer um bom trabalho. Você está no mesmo time.

  5. Como regra geral, bloqueie tudo e permita o que deve ser permitido. Seu monitoramento da etapa um deve informar o que precisa ser permitido, conforme filtrado pela política de uso / segurança da rede. Sua política também deve incluir um mecanismo pelo qual um gerente pode solicitar que novos tipos de acesso sejam concedidos.

Em resumo, na primeira etapa, o monitoramento do tráfego (o Nagios parece ser uma ferramenta padrão) ajuda a descobrir, em geral, o que está acontecendo para impedir a dor imediata. As etapas 2 a 5 ajudam a evitar o problema no futuro.

pcapademic
fonte
+1; todas ótimas dicas. O monitoramento adequado é essencial.
Maximus Minimus
4

28 pessoas saturando um T3? Não parece provável (todos poderiam usar mídia de streaming o dia inteiro e não chegaria perto.) Convém verificar loops de roteamento e outros tipos de configuração incorreta da rede. Você também deve verificar se há vírus. Se você tem um pequeno botnet em execução na sua rede local, isso explicaria facilmente o tráfego.

Que tipo de comutação / firewall você usa? Você já pode ter algum recurso para monitorar o tráfego de pacotes.

Edit: Eu também sou um grande fã do Wireshark (embora eu seja velho, então ainda acho "etéreo" na minha cabeça). Se você for usá-lo, a melhor maneira é colocar uma máquina em linha para que todo o tráfego passe por ela. Isso permitirá que você execute registros exaustivos sem precisar mudar seu equipamento para o modo promíscuo.

E se você precisar de algum tipo de modelagem de tráfego, estará em uma boa posição para configurar um proxy Snort ... Porém, eu não começaria com a intenção de instalar um proxy. Eu realmente duvido que seu problema seja a largura de banda.

Satanicpuppy
fonte
Tem que concordar com isso. Podemos falar sobre o uso de várias ferramentas de monitoramento de software o dia todo, mas 28 usuários matando um T3 por meio de qualquer tipo de uso "normal, mas excessivo" parece errado para mim ... Isso é mais do que alguns usuários pesados ​​e "alguém está baixando" algo que eles podem não estar cientes ".
precisa
3

Se você tiver uma máquina sobressalente, poderá configurá-la para ser um servidor proxy da Internet . Em vez de as máquinas acessarem a Internet através do roteador, elas acessam-no através do servidor proxy (que acessa a Internet usando o roteador para elas). Isso registrará todo o tráfego da Internet e de qual máquina ele veio. Você pode até bloquear determinados sites ou tipos de arquivos e muitas outras coisas interessantes.

O servidor proxy também armazenará em cache as páginas da web usadas com frequência, para que os usuários visitem os mesmos sites, as imagens, os downloads etc. já estarão no servidor proxy, para que não precisem ser baixados novamente. Isso também pode economizar largura de banda.

Isso pode levar algum tempo, mas se você tiver tempo e paciência, definitivamente vale a pena. A configuração do servidor proxy provavelmente está além do escopo desta pergunta, mas aqui estão algumas dicas para você começar:

  1. Instale o sistema operacional Ubuntu em uma máquina sobressalente (obtenha a versão do servidor se estiver familiarizado com o Linux):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. Instale o servidor proxy squid na máquina abrindo uma janela de terminal / console e digitando o seguinte comando:

    sudo apt-get install squid

  3. Configure o squid da maneira que quiser, aqui está um guia para configurá-lo no Ubuntu. Você também pode verificar o site do squid para obter mais documentação e ajuda de configuração:

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. Configure as máquinas clientes para usar o servidor Ubuntu como servidor proxy para acessar a Internet:

    http://support.microsoft.com/kb/135982

  5. Você pode bloquear o acesso à Internet no roteador para todas as máquinas, exceto o servidor proxy, para impedir que usuários astutos acessem a Internet pelo roteador e ignorem o servidor proxy.

Existe muita ajuda para configurar o servidor proxy Squid no Ubuntu.

Tudo de bom, espero que você chegue ao fundo disso.

John Rabotnik
fonte
Isso é apenas para os dados da "web"? Você está falando sério que deseja configurar um proxy para todos os tipos de protocolos e dados?
d -_- b
2

O Wireshark criará uma captura de pacote e você poderá analisar o tráfego de rede com ele http://www.wireshark.org/

Se você precisar visualizar mais o tráfego, poderá usar filtros para mostrar apenas o tráfego específico com base no tamanho, tipo etc.

Daisetsu
fonte
1

Veja a resposta da Daisetsu para uma solução de software.

Por razões óbvias, a maioria das leis de alguns países exige que você informe aos funcionários que o tráfego será monitorado. Mas suponho que você já saiba disso.

Uma técnica mais menos tecnológica, mas menos invasiva , seria verificar visualmente os comutadores físicos quanto a luzes piscando: quando a rede diminui, alguém provavelmente está usando muita largura de banda; portanto, o indicador LED do cabo pisca furiosamente em comparação com o de todos os outros . Com 28 computadores eliminando os "inocentes" não deve demorar muito e o usuário em questão pode ser informado de que o computador está se comportando mal e será verificado por você em breve.

Se você não se importa com a privacidade de seus funcionários (afinal, eles podem estar abusando da sua largura de banda intencionalmente) e eles assinaram um contrato ou a jurisdição local permite, basta ignorar essa etapa e verificar o que estão fazendo sem aviso prévio. , claro. Mas, a menos que você pense que alguém possa me prejudicar ativamente a empresa (por exemplo, violando leis, vazando informações), isso pode resultar em uma situação embaraçosa (a banda larga ultra alta é tentadora e há muitas coisas na Web que você pode baixar em massa em um diariamente, a maioria dos quais você não deveria trabalhar, mas pode ser tentado a).

Alan Plum
fonte
Não para análise de rede, se é para manter a rede, eles não precisam informar os funcionários.
Eles provavelmente não precisam informá-los se estão apenas verificando a superfície, mas se estão realmente olhando a natureza exata dos dados (por exemplo, cheirar pacotes), que podem conter senhas ou dados pessoais (por mais inapropriado que seja) do uso da rede da empresa), seria pelo menos um bom karma (se não um requisito legal) contar a eles sobre isso com antecedência.
1

Não acredito que ninguém mencionou o iptraf.

d -_- b
fonte
0

Conte-nos um pouco mais sobre o tipo de tráfego que você normalmente esperaria no circuito. Você está compartilhando arquivos com ele? Acessando caixas de correio através dele? Acessando arquivos PST nele? Algum banco de dados do Access? Servidores locais ou servidores remotos para os usuários? Mais alguma coisa que precisamos saber?

Maximus Minimus
fonte