Wie lässt sich der Internetverkehr im gesamten Büro am besten überwachen?

Wir haben derzeit eine T3-Leitung für ungefähr 28 Leute und sie wird tagsüber tödlich langsam, also brauche ich etwas, um herauszufinden, warum. Ich gehe davon aus, dass jemand etwas herunterlädt, von dem er möglicherweise nichts weiß.

Ich würde empfehlen, zur Überwachung des Datenverkehrs kein Wireshark zu verwenden. Sie werden einfach zu viele Daten erhalten, aber es fällt Ihnen schwer, die Daten zu analysieren. Wenn Sie die Interaktion zwischen ein paar Maschinen untersuchen und Fehler beheben müssen, ist wireshark großartig. IMHO, Wireshark ist nicht das richtige Überwachungswerkzeug.

1. Profilieren Sie den Netzwerkverkehr. Probieren Sie einige aktuelle Überwachungstools aus: http://sectools.org/traffic-monitors.html . Sie suchen nach Top-Art des Datenverkehrs (wahrscheinlich HTTP, aber wer weiß), Top-Talkern (sollten Ihre Server sein, aber wer weiß) und potenziell fehlerhaftem Datenverkehr (große Anzahl von TCP-Neuübertragungen, fehlerhafte Pakete, hohe Raten von sehr kleinen Pakete werden wahrscheinlich nicht gesehen, aber wer weiß)

2. Arbeiten Sie gleichzeitig mit Ihrem Management an der Entwicklung einer Richtlinie zur Verwendung von Netzwerkressourcen. Im Allgemeinen Geschäftsbedingungen, welche Geschäftsanforderungen das Computernetzwerk erfüllt und welche Verwendungszwecke für die Ressource angemessen sind. Dieses Ding kostet Geld, also muss es eine geschäftliche Rechtfertigung für seine Existenz geben. Ihr Unternehmen hat Richtlinien für den Umgang mit der "Kassenschublade", und ich wette, dass Ihre Netzwerkinfrastruktur viel mehr kostet. Das Wichtigste, worauf Sie sich konzentrieren sollten, ist, nicht Menschen zu ertappen, die schlechte Dinge tun, sondern nach potenziellen böswilligen Aktivitäten Ausschau zu halten, die die Netzwerkfunktionalität beeinträchtigen (dh die Fähigkeit der Mitarbeiter, ihre Arbeit zu erledigen). Southern Fried Security Podcast und PaulDotCom Security Weekly enthalten Informationen zum Erstellen geeigneter Sicherheitsrichtlinien.

3. @ John_Rabotnik Idee für einen Proxy-Server war großartig. Implementieren Sie einen Proxyserver für den Webdatenverkehr. Im Vergleich zu herkömmlichen Firewalls bieten Proxyserver eine wesentlich bessere Übersicht über die aktuellen Vorgänge sowie eine genauere Kontrolle darüber, welcher Datenverkehr zugelassen werden soll (z. B. echte Websites) und welcher Datenverkehr blockiert werden soll (URLs mit [20 zufälligen Zeichen) ] .com)

4. Lassen Sie die Leute wissen - das Netzwerk hat ein Problem. Sie überwachen den Netzwerkverkehr. Ermöglichen Sie ihnen, Netzwerkverlangsamungen zu registrieren und genügend Metadaten zu dem Bericht zu erfassen, sodass Sie möglicherweise die Netzwerkleistung insgesamt analysieren können. Kommunizieren Sie mit Ihren Mitarbeitern. Sie möchten, dass Sie einen guten Job machen, damit sie einen guten Job machen können. Sie sind im selben Team.

5. Blockieren Sie in der Regel alles und lassen Sie dann zu, was zulässig sein soll. Ihre Überwachung ab Schritt 1 sollte Sie darüber informieren, was gemäß Ihrer Netzwerkbenutzungs- / Sicherheitsrichtlinie zulässig sein muss. Ihre Richtlinie sollte auch einen Mechanismus enthalten, mit dem ein Manager die Gewährung neuer Zugriffsarten beantragen kann.

Zusammenfassend lässt sich sagen, dass die Verkehrsüberwachung (Nagios scheint ein Standardwerkzeug zu sein) Ihnen hilft, im Allgemeinen herauszufinden, was los ist, um die unmittelbaren Schmerzen zu stoppen. Die Schritte 2 bis 5 helfen, das Problem in Zukunft zu vermeiden.

28 Leute, die einen T3 sättigen? Scheint unwahrscheinlich (Jeder könnte den ganzen Tag über Streaming-Medien verwenden, und es würde nicht annähernd so weit kommen.) Möglicherweise möchten Sie nach Routing-Schleifen und anderen Arten von Netzwerkfehlkonfiguration suchen. Sie sollten auch nach Viren suchen. Wenn in Ihrem lokalen Netzwerk ein kleines Botnetz aktiv ist, kann dies den Datenverkehr leicht erklären.

Welche Art von Switching / Firewall verwenden Sie? Möglicherweise haben Sie bereits einige Funktionen zum Überwachen des Paketverkehrs.

Edit: Ich bin auch ein großer Fan von Wireshark (obwohl ich alt bin, denke ich immer noch "ätherisch" in meinem Kopf). Wenn Sie es verwenden möchten, ist es am besten, eine Maschine in die Warteschlange zu stellen, sodass der gesamte Datenverkehr durch sie geleitet werden muss. Auf diese Weise können Sie eine umfassende Protokollierung durchführen, ohne Ihre Geräte in den Promiscuous-Modus versetzen zu müssen.

Und wenn sich herausstellt, dass Sie etwas Traffic Shaping benötigen, sind Sie in einer guten Position, um einen Snort-Proxy einzurichten ... Ich würde jedoch nicht mit der Absicht beginnen, einen zu installieren. Ich bezweifle wirklich, dass Ihr Problem die Bandbreite ist.

Wenn Sie einen Ersatzcomputer haben, können Sie ihn als Internet-Proxy-Server einrichten . Anstatt dass die Computer über den Router auf das Internet zugreifen, greifen sie über den Proxyserver (der für sie über den Router auf das Internet zugreift) darauf zu. Dadurch wird der gesamte Internetverkehr protokolliert und von welchem ​​Computer er stammt. Sie können sogar bestimmte Websites oder Dateitypen und viele andere coole Dinge blockieren.

Der Proxyserver speichert auch häufig verwendete Webseiten im Cache, sodass die Benutzer dieselben Websites besuchen. Die Bilder, Downloads usw. befinden sich bereits auf dem Proxyserver, sodass sie nicht erneut heruntergeladen werden müssen. Dadurch sparen Sie möglicherweise auch Bandbreite.

Dies kann einige Zeit in Anspruch nehmen, aber wenn Sie Zeit und Geduld haben, lohnt es sich auf jeden Fall. Das Einrichten des Proxyservers würde wahrscheinlich den Rahmen dieser Frage sprengen, aber hier sind ein paar Hinweise, die Ihnen den Einstieg erleichtern:

1. Installieren Sie das Ubuntu-Betriebssystem auf einem Ersatzcomputer (ermitteln Sie die Serverversion, wenn Sie mit Linux vertraut sind):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Installieren Sie den Squid-Proxyserver auf dem Computer, indem Sie ein Terminal- / Konsolenfenster öffnen und den folgenden Befehl eingeben:

   sudo apt-get install squid

3. Konfigurieren Sie squid nach Ihren Wünschen. Hier finden Sie eine Anleitung zum Einrichten unter Ubuntu. Sie können auch auf der Squid-Website nachschlagen, um weitere Dokumentation und Hilfe zur Einrichtung zu erhalten:

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. Konfigurieren Sie Ihre Client-Computer so, dass sie den Ubuntu-Server als Proxy-Server für den Zugriff auf das Internet verwenden:

   http://support.microsoft.com/kb/135982

5. Möglicherweise möchten Sie den Internetzugriff auf dem Router für alle Computer außer dem Proxyserver blockieren, um zu verhindern, dass gerissene Benutzer vom Router aus auf das Internet zugreifen und den Proxyserver umgehen.

Es gibt eine Menge Hilfe beim Einrichten des Squid-Proxy-Servers unter Ubuntu.

Alles Gute, ich hoffe du kommst dem auf den Grund.

Wireshark erstellt eine Paketerfassung und Sie können den Netzwerkverkehr damit analysieren http://www.wireshark.org/

Wenn Sie den Datenverkehr besser visualisieren möchten, können Sie Filter verwenden, um nur bestimmten Datenverkehr basierend auf Größe, Typ usw. anzuzeigen.

Siehe Daisetsus Antwort für eine Softwarelösung.

Aus offensichtlichen Gründen ist es in den meisten / einigen Ländern gesetzlich vorgeschrieben, die Mitarbeiter darüber zu informieren, dass der Verkehr überwacht wird. Aber ich nehme an, Sie wissen das schon.

Eine einfachere, aber weniger invasive Technik wäre es, die physischen Schalter visuell auf blinkende Lichter zu überprüfen: Wenn das Netzwerk langsamer wird, verbraucht wahrscheinlich jemand viel Bandbreite, sodass die LED-Anzeige für das Kabel im Vergleich zu allen anderen wütend blinkt . Mit 28 Computern sollte es nicht lange dauern, die "unschuldigen" auszusortieren, und der betreffende Benutzer kann darüber informiert werden, dass sich sein Computer schlecht verhält, und wird in Kürze von Ihnen überprüft.

Wenn Sie sich nicht um die Privatsphäre Ihrer Mitarbeiter kümmern (sie missbrauchen möglicherweise doch vorsätzlich Ihre Bandbreite) und diese entweder eine Vereinbarung unterzeichnet haben oder die lokale Gerichtsbarkeit dies zulässt, können Sie diesen Schritt einfach ignorieren und ohne vorherige Ankündigung überprüfen, was sie tun , Na sicher. Aber wenn Sie denken , jemand könnte mich aktiv für die Gesellschaft zu schädigen (zB Gesetze zu verletzen, undichte Informationen), das in einer schwierigen Situation führen könnte (Ultra-High - Breitband ist verlockend , und es gibt viele Dinge im Web Sie herunterladen können en masse auf ein täglich, von denen Sie die meisten nicht bei der Arbeit sollten, aber versucht sein könnten,).

http://www.clearfoundation.com/ oder http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS weist ausdrücklich auf diese Fähigkeit auf seiner Website hin: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Ich kann nicht glauben, dass niemand iptraf erwähnt hat.

Erzählen Sie uns etwas mehr über die Art des Verkehrs, den Sie normalerweise über die Strecke erwarten würden. Filesharing Sie darüber? Zugriff auf Postfächer darüber? Zugriff auf PST-Dateien darüber? Irgendwelche Access-Datenbanken? Lokale Server oder Remote-Server für die Benutzer? Sonst noch etwas, was wir wissen müssen?