¿Cuál es la mejor manera de monitorear el tráfico de Internet para toda la oficina?
13
Actualmente tenemos una línea T3 para unas 28 personas y se vuelve muy lenta durante el día, así que necesito algo para ayudar a localizar por qué. Supongo que alguien está descargando algo de lo que puede no estar al tanto.
Sabiendo que era un duplicado, ¿no habría tenido más sentido simplemente cerrarlo como fuera de tema?
John Gardeniers
@John: creo que siempre es bueno agregar un título y una descripción diferentes para que los motores de búsqueda los encuentren.
Gnoupi
Anuncie que eliminará el acceso a Internet para los usuarios de la aplicación P2P.
duffbeer703
Respuestas:
7
Recomendaría no usar wireshark para monitorear el tráfico. Simplemente obtendrá demasiados datos, pero le resulta difícil analizarlos. Si necesita observar / solucionar problemas de la interacción entre un par de máquinas, Wirehark es excelente. Como herramienta de monitoreo, en mi humilde opinión, wireshark no es exactamente la herramienta que necesita.
Perfil del tráfico de red. Pruebe algunas herramientas de monitoreo reales: http://sectools.org/traffic-monitors.html . Está buscando el tipo de tráfico principal (probablemente HTTP, pero quién sabe), los que hablan mejor (deberían ser sus servidores, pero quién sabe) y el tráfico potencialmente con formato incorrecto (gran cantidad de retransmisiones TCP, paquetes con formato incorrecto, altas tasas de muy pequeñas paquetes. Probablemente no verá, pero quién sabe)
Al mismo tiempo, trabaje con su gerencia para desarrollar una política de uso de recursos de red. En general, en términos comerciales, qué necesidades comerciales debe cumplir la red de computadoras y cuáles son los usos apropiados del recurso. Esto está costando dinero, por lo que tiene que haber una justificación comercial para su propia existencia. Su compañía tiene políticas para manejar el cajón de "efectivo menor", y apostaría a que su infraestructura de red cuesta mucho más que eso. La clave en la que debe centrarse es no atrapar a las personas que hacen cosas malas, sino observar posibles actividades maliciosas que degradan la funcionalidad de la red (es decir, la capacidad de los empleados para realizar su trabajo). Southern Fried Security Podcast y PaulDotCom Security Weekly cubren información sobre la creación de políticas de seguridad apropiadas.
La idea de @John_Rabotnik para un servidor proxy fue genial. Implemente un servidor proxy para el tráfico web. En comparación con los firewalls tradicionales, los servidores proxy le brindan una visibilidad mucho mejor de lo que está sucediendo, así como un control más granular sobre qué tráfico permitir (por ejemplo, sitios web reales) y qué tráfico bloquear (URL compuestas de [20 caracteres aleatorios ] .com)
Avísele a la gente: la red está teniendo un problema. Estás monitoreando el tráfico de la red. Bríndeles un mecanismo para registrar las ralentizaciones de la red y capture suficientes metadatos sobre el informe para que, en conjunto, pueda analizar el rendimiento de la red. Comunícate con tus compañeros de trabajo. Quieren que hagas un buen trabajo para que puedan hacer un buen trabajo. Estás en el mismo equipo.
Como regla general, bloquee todo y luego permita lo que debería permitirse. Su monitoreo desde el primer paso debe permitirle saber qué debe permitirse, según se filtró a través de su política de uso / seguridad de red. Su política también debe incluir un mecanismo por el cual un administrador puede solicitar que se otorguen nuevos tipos de acceso.
En resumen, el primer paso, la supervisión del tráfico (Nagios parece ser una herramienta estándar) le ayuda a descubrir, en general, qué está pasando para detener el dolor inmediato. Los pasos 2 a 5 ayudan a prevenir el problema en el futuro.
+1; Todos buenos consejos. El monitoreo adecuado es imprescindible.
Maximus Minimus
4
28 personas saturando un T3? No parece probable (todo el mundo podría usar medios de transmisión durante todo el día, y no se acercaría). Es posible que desee verificar los bucles de enrutamiento y otros tipos de configuración incorrecta de la red. También debe verificar si hay virus. Si tiene una pequeña botnet ejecutándose en su red local, eso explicaría fácilmente el tráfico.
¿Qué tipo de conmutación / firewall utiliza? Es posible que ya tenga alguna capacidad para monitorear el tráfico de paquetes.
Editar: También soy un gran admirador de Wireshark (aunque soy viejo, así que todavía pienso en "Etéreo" en mi cabeza). Si lo va a usar, la mejor manera es poner una máquina en línea para que todo el tráfico tenga que pasar por ella. Eso le permitirá ejecutar un registro exhaustivo sin tener que cambiar su equipo al modo promiscuo.
Y si resulta que necesita un poco de modelado del tráfico, estará en una buena posición para configurar un proxy Snort ... Sin embargo, no comenzaría con la intención de instalar uno. Realmente dudo que tu problema sea el ancho de banda.
Tengo que estar de acuerdo con esto. Podemos hablar sobre el uso de varias herramientas de monitoreo de software todo el día, pero 28 usuarios matan un T3 a través de cualquier tipo de uso "normal, pero excesivo", simplemente me parece incorrecto ... Esto es más que unos pocos usuarios pesados y "alguien está descargando algo de lo que pueden no estar al tanto ".
Rob Moir
3
Si tiene una máquina de repuesto, puede configurarla para que sea un servidor proxy de Internet . En lugar de que las máquinas accedan a Internet a través del enrutador, lo hacen a través del servidor proxy (que accede a Internet utilizando el enrutador). Esto registrará todo el tráfico de Internet y de qué máquina proviene. Incluso puede bloquear ciertos sitios web o tipos de archivos y muchas otras cosas interesantes.
El servidor proxy también almacenará en caché las páginas web de uso frecuente para que los usuarios visiten los mismos sitios web, las imágenes, descargas, etc., ya estarán en el servidor proxy, por lo que no será necesario volver a descargarlas. Esto también podría ahorrarle algo de ancho de banda.
Esto podría requerir algo de configuración, pero si tienes el tiempo y la paciencia, definitivamente vale la pena hacerlo. La configuración del servidor proxy probablemente esté fuera del alcance de esta pregunta, pero aquí hay algunos consejos para comenzar:
Instale el sistema operativo Ubuntu en una máquina de repuesto (obtenga la versión del servidor si se siente cómodo con Linux):
Instale el servidor proxy squid en la máquina abriendo una ventana de terminal / consola y escribiendo el siguiente comando:
sudo apt-get install squid
Configure el calamar de la manera que desee, aquí hay una guía para configurarlo en Ubuntu. También puede consultar el sitio web de calamar para obtener más documentación y ayuda de configuración .:
Es posible que desee bloquear el acceso a Internet en el enrutador a todas las máquinas, excepto el servidor proxy, para evitar que los usuarios astutos accedan a Internet desde el enrutador y omitan el servidor proxy.
Hay mucha ayuda para configurar el servidor proxy Squid en Ubuntu.
Vea la respuesta de Daisetsu para una solución de software.
Sin embargo, por razones obvias, la mayoría de las leyes de algunos países requieren que informe a los empleados que el tráfico será monitoreado. Pero supongo que ya lo sabes.
Una técnica más poco tecnológica pero menos invasiva sería verificar visualmente los interruptores físicos para detectar luces parpadeantes: cuando la red se desacelera, es probable que alguien esté usando mucho ancho de banda, por lo que el indicador LED de su cable parpadeará furiosamente en comparación con los demás. . Con 28 computadoras eliminando a las "inocentes", no debería tomar mucho tiempo y el usuario en cuestión puede ser informado de que su computadora se está portando mal y será revisada por usted en breve.
Si no le importa la privacidad de sus empleados (después de todo, podrían estar abusando deliberadamente de su ancho de banda) y firmaron un acuerdo o la jurisdicción local se lo permite, puede ignorar ese paso y verificar lo que están haciendo sin previo aviso , por supuesto. Pero a menos que piense que alguien podría perjudicar activamente a la empresa (por ejemplo, violar las leyes, filtrar información), esto podría resultar en una situación incómoda (la banda ancha ultraalta es tentadora y hay muchas cosas en la web que puede descargar en masa en un diariamente, la mayoría de los cuales no deberías en el trabajo pero podrías estar tentado a hacerlo).
No es para el análisis de la red, si es para mantener la red, entonces no necesitan informar a los empleados.
Probablemente no necesiten informarles si solo están revisando la superficie, pero si en realidad están observando la naturaleza exacta de los datos (es decir, rastreo de paquetes), que podrían contener contraseñas o datos personales (por inapropiados que sean de uso de la red de la compañía), sería al menos un buen karma (si no un requisito legal) informarles de antemano.
Cuéntanos más sobre el tipo de tráfico que normalmente esperarías en el circuito. ¿Estás compartiendo archivos? ¿Acceder a buzones a través de él? ¿Acceso a archivos PST a través de él? ¿Alguna base de datos de Access? ¿Servidores locales o servidores remotos para los usuarios? ¿Algo más que necesitemos saber?
Respuestas:
Recomendaría no usar wireshark para monitorear el tráfico. Simplemente obtendrá demasiados datos, pero le resulta difícil analizarlos. Si necesita observar / solucionar problemas de la interacción entre un par de máquinas, Wirehark es excelente. Como herramienta de monitoreo, en mi humilde opinión, wireshark no es exactamente la herramienta que necesita.
Perfil del tráfico de red. Pruebe algunas herramientas de monitoreo reales: http://sectools.org/traffic-monitors.html . Está buscando el tipo de tráfico principal (probablemente HTTP, pero quién sabe), los que hablan mejor (deberían ser sus servidores, pero quién sabe) y el tráfico potencialmente con formato incorrecto (gran cantidad de retransmisiones TCP, paquetes con formato incorrecto, altas tasas de muy pequeñas paquetes. Probablemente no verá, pero quién sabe)
Al mismo tiempo, trabaje con su gerencia para desarrollar una política de uso de recursos de red. En general, en términos comerciales, qué necesidades comerciales debe cumplir la red de computadoras y cuáles son los usos apropiados del recurso. Esto está costando dinero, por lo que tiene que haber una justificación comercial para su propia existencia. Su compañía tiene políticas para manejar el cajón de "efectivo menor", y apostaría a que su infraestructura de red cuesta mucho más que eso. La clave en la que debe centrarse es no atrapar a las personas que hacen cosas malas, sino observar posibles actividades maliciosas que degradan la funcionalidad de la red (es decir, la capacidad de los empleados para realizar su trabajo). Southern Fried Security Podcast y PaulDotCom Security Weekly cubren información sobre la creación de políticas de seguridad apropiadas.
La idea de @John_Rabotnik para un servidor proxy fue genial. Implemente un servidor proxy para el tráfico web. En comparación con los firewalls tradicionales, los servidores proxy le brindan una visibilidad mucho mejor de lo que está sucediendo, así como un control más granular sobre qué tráfico permitir (por ejemplo, sitios web reales) y qué tráfico bloquear (URL compuestas de [20 caracteres aleatorios ] .com)
Avísele a la gente: la red está teniendo un problema. Estás monitoreando el tráfico de la red. Bríndeles un mecanismo para registrar las ralentizaciones de la red y capture suficientes metadatos sobre el informe para que, en conjunto, pueda analizar el rendimiento de la red. Comunícate con tus compañeros de trabajo. Quieren que hagas un buen trabajo para que puedan hacer un buen trabajo. Estás en el mismo equipo.
Como regla general, bloquee todo y luego permita lo que debería permitirse. Su monitoreo desde el primer paso debe permitirle saber qué debe permitirse, según se filtró a través de su política de uso / seguridad de red. Su política también debe incluir un mecanismo por el cual un administrador puede solicitar que se otorguen nuevos tipos de acceso.
En resumen, el primer paso, la supervisión del tráfico (Nagios parece ser una herramienta estándar) le ayuda a descubrir, en general, qué está pasando para detener el dolor inmediato. Los pasos 2 a 5 ayudan a prevenir el problema en el futuro.
fuente
28 personas saturando un T3? No parece probable (todo el mundo podría usar medios de transmisión durante todo el día, y no se acercaría). Es posible que desee verificar los bucles de enrutamiento y otros tipos de configuración incorrecta de la red. También debe verificar si hay virus. Si tiene una pequeña botnet ejecutándose en su red local, eso explicaría fácilmente el tráfico.
¿Qué tipo de conmutación / firewall utiliza? Es posible que ya tenga alguna capacidad para monitorear el tráfico de paquetes.
Editar: También soy un gran admirador de Wireshark (aunque soy viejo, así que todavía pienso en "Etéreo" en mi cabeza). Si lo va a usar, la mejor manera es poner una máquina en línea para que todo el tráfico tenga que pasar por ella. Eso le permitirá ejecutar un registro exhaustivo sin tener que cambiar su equipo al modo promiscuo.
Y si resulta que necesita un poco de modelado del tráfico, estará en una buena posición para configurar un proxy Snort ... Sin embargo, no comenzaría con la intención de instalar uno. Realmente dudo que tu problema sea el ancho de banda.
fuente
Si tiene una máquina de repuesto, puede configurarla para que sea un servidor proxy de Internet . En lugar de que las máquinas accedan a Internet a través del enrutador, lo hacen a través del servidor proxy (que accede a Internet utilizando el enrutador). Esto registrará todo el tráfico de Internet y de qué máquina proviene. Incluso puede bloquear ciertos sitios web o tipos de archivos y muchas otras cosas interesantes.
El servidor proxy también almacenará en caché las páginas web de uso frecuente para que los usuarios visiten los mismos sitios web, las imágenes, descargas, etc., ya estarán en el servidor proxy, por lo que no será necesario volver a descargarlas. Esto también podría ahorrarle algo de ancho de banda.
Esto podría requerir algo de configuración, pero si tienes el tiempo y la paciencia, definitivamente vale la pena hacerlo. La configuración del servidor proxy probablemente esté fuera del alcance de esta pregunta, pero aquí hay algunos consejos para comenzar:
Instale el sistema operativo Ubuntu en una máquina de repuesto (obtenga la versión del servidor si se siente cómodo con Linux):
http://www.ubuntu.com/desktop/get-ubuntu/download
Instale el servidor proxy squid en la máquina abriendo una ventana de terminal / consola y escribiendo el siguiente comando:
sudo apt-get install squid
Configure el calamar de la manera que desee, aquí hay una guía para configurarlo en Ubuntu. También puede consultar el sitio web de calamar para obtener más documentación y ayuda de configuración .:
https://help.ubuntu.com/9.04/serverguide/C/squid.html
Configure sus máquinas cliente para usar el servidor Ubuntu como su servidor proxy para acceder a Internet:
http://support.microsoft.com/kb/135982
Es posible que desee bloquear el acceso a Internet en el enrutador a todas las máquinas, excepto el servidor proxy, para evitar que los usuarios astutos accedan a Internet desde el enrutador y omitan el servidor proxy.
Hay mucha ayuda para configurar el servidor proxy Squid en Ubuntu.
Todo lo mejor, espero que llegues al fondo.
fuente
Wireshark creará una captura de paquetes y puede analizar el tráfico de red con ella http://www.wireshark.org/
Si necesita visualizar más el tráfico, puede usar filtros para mostrarle solo tráfico específico según el tamaño, el tipo, etc.
fuente
Vea la respuesta de Daisetsu para una solución de software.
Sin embargo, por razones obvias, la mayoría de las leyes de algunos países requieren que informe a los empleados que el tráfico será monitoreado. Pero supongo que ya lo sabes.
Una técnica más poco tecnológica pero menos invasiva sería verificar visualmente los interruptores físicos para detectar luces parpadeantes: cuando la red se desacelera, es probable que alguien esté usando mucho ancho de banda, por lo que el indicador LED de su cable parpadeará furiosamente en comparación con los demás. . Con 28 computadoras eliminando a las "inocentes", no debería tomar mucho tiempo y el usuario en cuestión puede ser informado de que su computadora se está portando mal y será revisada por usted en breve.
Si no le importa la privacidad de sus empleados (después de todo, podrían estar abusando deliberadamente de su ancho de banda) y firmaron un acuerdo o la jurisdicción local se lo permite, puede ignorar ese paso y verificar lo que están haciendo sin previo aviso , por supuesto. Pero a menos que piense que alguien podría perjudicar activamente a la empresa (por ejemplo, violar las leyes, filtrar información), esto podría resultar en una situación incómoda (la banda ancha ultraalta es tentadora y hay muchas cosas en la web que puede descargar en masa en un diariamente, la mayoría de los cuales no deberías en el trabajo pero podrías estar tentado a hacerlo).
fuente
http://www.clearfoundation.com/ o http://sourceforge.net/apps/trac/ipcop/wiki
Clear OS señala específicamente esa capacidad en su sitio: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop
fuente
No puedo creer que nadie haya mencionado iptraf.
fuente
Cuéntanos más sobre el tipo de tráfico que normalmente esperarías en el circuito. ¿Estás compartiendo archivos? ¿Acceder a buzones a través de él? ¿Acceso a archivos PST a través de él? ¿Alguna base de datos de Access? ¿Servidores locales o servidores remotos para los usuarios? ¿Algo más que necesitemos saber?
fuente