Какой лучший способ контролировать интернет-трафик для всего офиса?

13

В настоящее время у нас есть линия T3 для приблизительно 28 человек, и она становится невероятно медленной в течение дня, поэтому мне нужно кое-что помочь выяснить, почему. Я предполагаю, что кто-то загружает что-то, что они могут не знать.

Райан Детцель
источник
2
Голосование, чтобы переместить этот вопрос к Сбою Сервера, где это дублирует Мониторинг сетевого трафика и Как я могу контролировать использование Интернета в моей локальной сети .
Арджан
1
Зная, что это дубликат, не было бы больше смысла просто закрывать его как не по теме?
Джон Гарденье
@John - я думаю, всегда полезно добавить другое название и описание для поисковых систем.
Gnoupi
Объявите, что вы заберете доступ в Интернет для пользователей приложения P2P.
duffbeer703

Ответы:

7

Я бы рекомендовал не использовать wireshark для мониторинга трафика. Вы просто получите слишком много данных, но вам будет сложно анализировать данные. Если вам нужно посмотреть на / устранить неполадки взаимодействия между двумя компьютерами, wireshark отлично подойдет. ИМХО, как инструмент мониторинга, wireshark - не совсем то, что вам нужно.

  1. Профиль сетевого трафика. Попробуйте некоторые из реальных инструментов мониторинга: http://sectools.org/traffic-monitors.html . Вы ищете Top Type трафика (вероятно, HTTP, но кто знает), Top Talkers (должны быть вашими серверами, но кто знает), и потенциально искаженный трафик (большое количество повторных передач TCP, искаженные пакеты, высокие показатели очень малы пакеты. Наверное, не увидят, но кто знает)

  2. В то же время, вместе с вашим руководством разработайте политику использования сетевых ресурсов. В общем, бизнес-термины, какие бизнес-потребности нужны компьютерным сетям и каковы подходящие варианты использования ресурса. Эта вещь стоит денег, поэтому для ее существования должно быть оправдание бизнеса. В вашей компании есть правила обращения со списком мелких денег, и я бы поспорил, что ваша сетевая инфраструктура стоит намного дороже. Главное, на чем нужно сосредоточиться, - это не ловить людей, которые совершают плохие поступки, а скорее следить за потенциальной злонамеренной деятельностью, которая ухудшает сетевую функциональность (то есть способность сотрудников выполнять свою работу). Подкаст Southern Fried Security и PaulDotCom Security Weekly содержат информацию о создании соответствующих политик безопасности.

  3. Идея @John_Rabotnik для прокси-сервера была великолепной. Внедрить прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами прокси-серверы дают вам гораздо более четкое представление о происходящем, а также более детальный контроль над тем, какой трафик разрешать (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов) ] .com)

  4. Пусть люди знают - в сети возникла проблема. Вы отслеживаете сетевой трафик. Предоставьте им механизм регистрации замедлений работы сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли анализировать производительность сети. Общайтесь со своими коллегами. Они хотят, чтобы вы сделали хорошую работу, чтобы они могли делать хорошую работу. Вы в одной команде.

  5. Как правило, блокируйте все, а затем разрешите то, что должно быть разрешено. Мониторинг, начиная с первого шага, должен дать вам знать, что нужно разрешить, как это отфильтровано в вашей политике использования / безопасности сети. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать новые виды доступа.

Таким образом, первый шаг - мониторинг трафика (кажется, что Nagios - стандартный инструмент) помогает вам в целом понять, что происходит, чтобы остановить немедленную боль. Шаги 2 - 5 помогают предотвратить проблему в будущем.

pcapademic
источник
+1; все отличные советы. Надлежащий мониторинг является обязательным.
Максимус Минимус
4

28 человек насыщают Т3? Кажется маловероятным (каждый может использовать потоковое мультимедиа в течение всего дня, и это близко не подойдет.) Возможно, вы захотите проверить петли маршрутизации и другие типы неправильной конфигурации сети. Вы также должны проверить на вирусы. Если в вашей локальной сети работает небольшой ботнет, это легко объяснит трафик.

Какой тип коммутации / брандмауэр вы используете? Возможно, у вас уже есть возможность отслеживать пакетный трафик.

Редактировать: я также большой поклонник Wireshark (хотя я стар, поэтому я все еще думаю, "Ethereal" в моей голове). Если вы собираетесь использовать его, лучше всего подключить машину, чтобы весь трафик проходил через нее. Это позволит вам вести исчерпывающую регистрацию без необходимости переключать оборудование в беспорядочный режим.

И если окажется, что вам нужно какое-то ограничение трафика, у вас будет хорошая возможность настроить прокси-сервер Snort ... Однако я бы не стал устанавливать его с намерением. Я действительно сомневаюсь, что ваша проблема заключается в пропускной способности.

Satanicpuppy
источник
Должен согласиться с этим. Мы можем говорить об использовании различных инструментов мониторинга программного обеспечения в течение всего дня, но 28 пользователей, убивающих T3 с помощью любого типа «нормального, но чрезмерного» использования, звучат просто неправильно для меня ... Это больше, чем несколько активных пользователей и "кто-то скачивает" что-то, о чем они могут не знать ».
Роб Мойр
3

Если у вас есть запасной компьютер, вы можете настроить его как прокси-сервер в Интернете . Вместо того, чтобы машины, имеющие доступ к Интернету через маршрутизатор, они получают к нему доступ через прокси-сервер (который обращается к Интернету, используя для них маршрутизатор). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете заблокировать определенные веб-сайты или типы файлов и множество других интересных вещей.

Прокси-сервер также будет кешировать часто используемые веб-страницы, поэтому пользователи посещают одни и те же веб-сайты, изображения, загружаемые файлы и т. Д. Уже будут на прокси-сервере, поэтому их не придется повторно загружать. Это также может сэкономить вам пропускную способность.

Это может занять некоторое время, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов для начала:

  1. Установите операционную систему Ubuntu на запасной компьютер (получите версию сервера, если вы знакомы с Linux):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. Установите прокси-сервер squid на машине, открыв окно терминала / консоли и введя следующую команду:

    sudo apt-get установить squid

  3. Настройте Squid так, как вам нравится, вот руководство по настройке его в Ubuntu. Вы также можете проверить веб-сайт squid для получения дополнительной документации и помощи по настройке.

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. Сконфигурируйте ваши клиентские машины для использования сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:

    http://support.microsoft.com/kb/135982

  5. Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе ко всем машинам, кроме прокси-сервера, чтобы запретить хитрым пользователям доступ к Интернету с маршрутизатора и обход прокси-сервера.

Существует множество способов настройки прокси-сервера Squid в Ubuntu.

Всего наилучшего, я надеюсь, вы дошли до сути.

Джон Работник
источник
Это только для "веб" данных? Вы серьезно, что вы хотите настроить прокси для всех видов протоколов и данных?
d -_- б
2

Wireshark создаст захват пакета, и вы сможете анализировать сетевой трафик с ним http://www.wireshark.org/

Если вам нужно больше визуализировать трафик, вы можете использовать фильтры, чтобы показать вам только определенный трафик в зависимости от размера, типа и т. Д.

Daisetsu
источник
1

Смотрите ответ Daisetsu для программного решения.

По понятным причинам законы большинства / некоторых стран требуют, чтобы вы сообщали сотрудникам, что трафик будет контролироваться. Но я полагаю, вы уже это знаете.

Более низкотехнологичным, но менее инвазивным методом было бы визуально проверять физические переключатели на наличие мигающих огней: когда сеть замедляется, кто-то, вероятно, использует большую полосу пропускания, поэтому светодиодный индикатор для его кабеля будет неистово мигать по сравнению со всеми остальными. , С 28 компьютерами, отсеивающими «невинных» компьютеров, не должно занять много времени, и соответствующий пользователь может быть проинформирован о том, что его компьютер плохо себя ведет, и он скоро будет проверен вами.

Если вас не волнует конфиденциальность ваших сотрудников (в конце концов они могут злоупотреблять вашей пропускной способностью), и они либо подписали соглашение, либо местная юрисдикция позволяет вам, вы можете просто проигнорировать этот шаг и проверить, что они делают, без предварительного уведомления , конечно. Но если вы не думаете, что кто-то может нанести мне активный вред компании (например, нарушить законы, дать утечку информации), это может привести к неловкой ситуации (сверхвысокая широкополосная связь заманчива, и есть много вещей в Интернете, которые вы можете скачать в массовом порядке на ежедневно, большинство из которых вы не должны на работе, но могут испытывать соблазн).

Алан слива
источник
Не для анализа сети, если это для поддержания сети, то им не нужно информировать сотрудников.
Им, вероятно, не нужно сообщать им, если они просто проверяют поверхность, но если они на самом деле смотрят на точную природу данных (например, перехват пакетов), которые могут содержать пароли или личные данные (какими бы неуместными они ни были) использования сети компании может быть), было бы по крайней мере хорошей кармой (если не юридическим требованием), чтобы сообщить им об этом заранее.
1

Я не могу поверить, что никто не упомянул iptraf.

d -_- б
источник
0

Расскажите нам еще о типе трафика, который вы обычно ожидаете по трассе. Вы разделяете файлы? Доступ к почтовым ящикам через него? Доступ к файлам PST через него? Какие-нибудь базы данных Access? Локальные серверы или удаленные серверы для пользователей? Что-нибудь еще нам нужно знать?

Максимус Минимус
источник