Qual è il modo migliore per monitorare il traffico Internet per l'intero ufficio?

Al momento abbiamo una linea T3 per circa 28 persone e diventa mortalmente lenta durante il giorno, quindi ho bisogno di qualcosa per aiutare a rintracciare il perché. Suppongo che qualcuno stia scaricando qualcosa di cui potrebbero non essere a conoscenza.

Consiglierei di non utilizzare WireShark per monitorare il traffico. Riceverai troppi dati, ma avrai difficoltà ad analizzare i dati. Se devi esaminare / risolvere i problemi relativi all'interazione tra un paio di macchine, WireShark è eccezionale. Come strumento di monitoraggio, IMHO, WireShark non è proprio lo strumento di cui hai bisogno.

1. Profili il traffico di rete. Prova alcuni strumenti di monitoraggio reali: http://sectools.org/traffic-monitors.html . Stai cercando il miglior tipo di traffico (probabilmente HTTP, ma chissà), i migliori oratori (dovrebbero essere i tuoi server, ma chissà) e il traffico potenzialmente malformato (grandi quantità di ritrasmissioni TCP, pacchetti non corretti, alti tassi di molto piccoli pacchetti. Probabilmente non vedrà, ma chi lo sa)

2. Allo stesso tempo, collaborare con la direzione per sviluppare una politica di utilizzo delle risorse di rete. In generale, termini commerciali, quali esigenze aziendali deve soddisfare la rete informatica e quali sono gli usi appropriati della risorsa. Questa cosa costa denaro, quindi ci deve essere una giustificazione commerciale per la sua stessa esistenza. La tua azienda ha delle politiche per gestire il "piccolo denaro" e scommetterei che la tua infrastruttura di rete costa molto di più. La cosa chiave su cui concentrarsi non è catturare le persone che fanno cose cattive, ma piuttosto guardare per potenziali attività dannose che stanno degradando la funzionalità di rete (ovvero la capacità dei dipendenti di svolgere il proprio lavoro). Southern Fried Security Podcast e PaulDotCom Security Weekly forniscono informazioni sulla creazione di adeguate politiche di sicurezza.

3. L'idea di @John_Rabotnik per un server proxy è stata fantastica. Implementare un server proxy per il traffico web. Rispetto ai firewall tradizionali, i server proxy offrono una visibilità molto migliore su ciò che sta accadendo e un controllo più granulare su quale traffico consentire (ad esempio siti Web reali) e su quale traffico bloccare (URL composti da [20 caratteri casuali ] .com)

4. Fai sapere alle persone: la rete sta avendo un problema. Stai monitorando il traffico di rete. Fornisci loro un meccanismo per registrare i rallentamenti della rete e acquisire abbastanza metadati sul rapporto in modo che, in forma aggregata, potresti essere in grado di analizzare le prestazioni della rete. Comunica con i tuoi colleghi. Vogliono che tu faccia un buon lavoro in modo che possano fare un buon lavoro. Fai parte della stessa squadra.

5. Come regola generale, bloccare tutto e quindi consentire ciò che dovrebbe essere consentito. Il monitoraggio dal primo passaggio dovrebbe farti sapere che cosa deve essere consentito, filtrato attraverso i criteri di utilizzo / sicurezza della rete. La vostra politica dovrebbe anche includere un meccanismo attraverso il quale un manager può richiedere nuovi tipi di accesso.

In sintesi, nella prima fase, il monitoraggio del traffico (Nagios sembra essere uno strumento standard) ti aiuta a capire, in generale, cosa sta succedendo per fermare il dolore immediato. I passaggi 2 - 5 aiutano a prevenire il problema in futuro.

28 persone che saturano un T3? Non sembra probabile (tutti potrebbero usare lo streaming multimediale tutto il giorno e non si avvicinerebbe.) Potresti voler controllare i cicli di routing e altri tipi di configurazione errata della rete. Dovresti anche verificare la presenza di virus. Se hai una piccola botnet in esecuzione sulla tua rete locale, questo spiegherebbe facilmente il traffico.

Che tipo di commutazione / firewall usi? Potresti già disporre di alcune funzionalità per monitorare il traffico di pacchetti.

Modifica: Sono anche un grande fan di Wireshark (anche se sono vecchio, quindi continuo a pensare "Ethereal" nella mia testa). Se lo utilizzerai, il modo migliore è mettere una macchina in linea in modo che tutto il traffico debba attraversarla. Ciò ti consentirà di eseguire una registrazione esaustiva senza dover cambiare l'apparecchiatura in modalità promiscua.

E se si scopre che hai bisogno di un po 'di modellamento del traffico, sarai in una buona posizione per impostare un proxy Snort ... Non inizierei con l'intenzione di installarne uno, comunque. Dubito davvero che il tuo problema sia la larghezza di banda.

Se si dispone di una macchina di riserva, è possibile configurarlo come server proxy Internet . Invece delle macchine che accedono a Internet tramite il router, accedono ad esso tramite il server proxy (che accede a Internet utilizzando il router per loro). Ciò registrerà tutto il traffico Internet e la macchina da cui proviene. Puoi persino bloccare determinati siti Web o tipi di file e molte altre cose interessanti.

Il server proxy memorizzerà inoltre nella cache le pagine Web utilizzate di frequente in modo che gli utenti visitino gli stessi siti Web, le immagini, i download, ecc. Saranno già sul server proxy, quindi non dovranno essere nuovamente scaricati. Questo potrebbe risparmiare anche un po 'di larghezza di banda.

Questo potrebbe richiedere un po 'di installazione, ma se hai il tempo e la pazienza, vale sicuramente la pena andare. L'impostazione del server proxy è probabilmente al di là dell'ambito di questa domanda, ma ecco alcuni suggerimenti per iniziare:

1. Installa il sistema operativo Ubuntu su una macchina di riserva (scarica la versione del server se sei a tuo agio con Linux):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Installare il server proxy squid sul computer aprendo una finestra del terminale / console e digitando il comando seguente:

   sudo apt-get install squid

3. Configura calamari come preferisci, ecco una guida per configurarlo su Ubuntu. È inoltre possibile controllare il sito Web di calamari per ulteriori documentazione e guida alla configurazione .:

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. Configura i tuoi computer client per utilizzare il server Ubuntu come loro server proxy per accedere a Internet:

   http://support.microsoft.com/kb/135982

5. Potresti voler bloccare l'accesso a Internet sul router su tutte le macchine tranne il server proxy, per impedire agli utenti furbi di accedere a Internet dal router e bypassare il server proxy.

C'è un sacco di aiuto là fuori sull'impostazione del server proxy Squid su Ubuntu.

Ti auguro il meglio, spero che arriverai fino in fondo.

Wireshark creerà un'acquisizione di pacchetti e puoi analizzare il traffico di rete con esso http://www.wireshark.org/

Se è necessario visualizzare di più il traffico, è possibile utilizzare i filtri per mostrare solo il traffico specifico in base a dimensioni, tipo, ecc.

Vedi la risposta di Daisetsu per una soluzione software.

Per ovvie ragioni, la maggior parte delle leggi di alcuni paesi richiedono di informare i dipendenti che il traffico sarà monitorato, comunque. Ma suppongo che tu lo sappia già.

Una tecnica più a bassa tecnologia ma meno invasiva sarebbe quella di controllare visivamente gli interruttori fisici per le luci lampeggianti: quando la rete rallenta, qualcuno probabilmente sta usando molta larghezza di banda, quindi l'indicatore LED per il loro cavo lampeggerà furiosamente rispetto a tutti gli altri . Con 28 computer che eliminano quelli "innocenti" non dovrebbe richiedere molto tempo e l'utente in questione può essere informato che il suo computer si sta comportando male e verrà controllato da te a breve.

Se non ti interessa la privacy dei tuoi dipendenti (potrebbero aver abusato intenzionalmente della tua larghezza di banda dopo tutto) e hanno firmato un accordo o la giurisdizione locale te lo consente, puoi semplicemente ignorare quel passaggio e controllare cosa stanno facendo senza preavviso , ovviamente. Ma a meno che tu non pensi che qualcuno possa farmi del male attivamente alla compagnia (es. Violazione delle leggi, perdita di informazioni), ciò potrebbe comportare una situazione imbarazzante (la banda larga ultra alta è allettante e ci sono molte cose sul web che potresti scaricare in massa su un su base giornaliera, la maggior parte delle quali non dovresti lavorare ma potresti essere tentato di farlo).

http://www.clearfoundation.com/ o http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS rileva specificamente tale capacità sul loro sito: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Non posso credere che nessuno abbia menzionato Iptraf.

Raccontaci qualcosa in più sul tipo di traffico che normalmente ti aspetteresti sul circuito. Stai condividendo file? Accedere alle cassette postali attraverso di esso? Accedere ai file PST attraverso di esso? Database di accesso? Server locali o server remoti per gli utenti? Qualcos'altro che dobbiamo sapere?