Apa cara terbaik untuk memonitor lalu lintas Internet untuk seluruh kantor?

Saat ini kami memiliki saluran T3 untuk sekitar 28 orang dan itu menjadi sangat lambat di siang hari jadi saya perlu sesuatu untuk membantu melacak mengapa. Saya berasumsi seseorang sedang mengunduh sesuatu yang mungkin tidak mereka sadari.

Saya akan merekomendasikan untuk tidak menggunakan wireshark untuk memonitor lalu lintas. Anda hanya akan mendapatkan terlalu banyak data, tetapi Anda kesulitan menganalisis data. Jika Anda perlu melihat / memecahkan masalah interaksi antara beberapa mesin, wireshark sangat bagus. Sebagai alat pemantauan, IMHO, wireshark bukan alat yang Anda butuhkan.

1. Profil lalu lintas jaringan. Cobalah beberapa alat pemantauan aktual: http://sectools.org/traffic-monitors.html . Anda sedang mencari Top Type traffic (kemungkinan HTTP, tetapi siapa yang tahu), Top Talkers (seharusnya server Anda, tetapi siapa yang tahu), dan berpotensi Traffic Lalu Lintas (sejumlah besar transmisi ulang TCP, paket cacat, paket tinggi sangat kecil) paket. Mungkin tidak akan melihat, tetapi siapa yang tahu)

2. Pada saat yang sama, bekerja dengan manajemen Anda untuk mengembangkan kebijakan penggunaan sumber daya jaringan. Secara umum, istilah bisnis, kebutuhan bisnis apa yang harus dipenuhi oleh jaringan komputer, dan penggunaan sumber daya yang sesuai. Hal ini membutuhkan biaya, jadi harus ada pembenaran bisnis untuk keberadaannya. Perusahaan Anda memiliki kebijakan untuk menangani laci "kas kecil", dan saya berani bertaruh infrastruktur jaringan Anda jauh lebih mahal. Hal utama yang menjadi fokus adalah tidak membuat orang melakukan hal-hal buruk, tetapi mengawasi kemungkinan aktivitas jahat yang menurunkan fungsi jaringan (yaitu, kemampuan karyawan untuk menyelesaikan pekerjaannya). Podcast Southern Fried Security dan PaulDotCom Security Weekly mencakup informasi tentang pembuatan kebijakan keamanan yang tepat.

3. @John_Rabotnik ide untuk server proxy sangat bagus. Terapkan server proxy untuk lalu lintas web. Dibandingkan dengan firewall tradisional, server proksi memberi Anda visibilitas yang jauh lebih baik ke dalam apa yang sedang terjadi serta kontrol yang lebih terperinci atas lalu lintas apa yang diizinkan (misalnya, situs web nyata) dan lalu lintas apa yang harus diblokir (URL terdiri dari [20 karakter acak] ] .com)

4. Biarkan orang tahu - jaringan mengalami masalah. Anda sedang memonitor lalu lintas jaringan. Beri mereka mekanisme untuk mendaftarkan perlambatan jaringan, dan tangkap meta-data yang cukup tentang laporan sehingga secara keseluruhan, Anda mungkin dapat menganalisis kinerja jaringan. Berkomunikasi dengan rekan kerja Anda. Mereka ingin Anda melakukan pekerjaan dengan baik sehingga mereka dapat melakukan pekerjaan dengan baik. Anda berada di tim yang sama.

5. Sebagai aturan umum, blokir semuanya, lalu izinkan apa yang seharusnya diizinkan. Pemantauan Anda dari langkah pertama harus memberi tahu Anda apa yang perlu diizinkan, seperti difilter melalui kebijakan penggunaan / keamanan jaringan Anda. Kebijakan Anda juga harus mencakup mekanisme di mana manajer dapat meminta jenis akses baru diberikan.

Singkatnya, langkah pertama, pemantauan lalu lintas (Nagios tampaknya menjadi alat standar) membantu Anda mencari tahu, secara umum, apa yang terjadi untuk menghentikan rasa sakit yang segera muncul. Langkah 2 - 5 membantu mencegah masalah di masa depan.

28 orang menjenuhkan T3? Tampaknya tidak mungkin (Semua orang bisa menggunakan media streaming sepanjang hari, dan itu tidak akan mendekati.) Anda mungkin ingin memeriksa perutean loop dan jenis lain dari kesalahan konfigurasi jaringan. Anda juga harus memeriksa virus. Jika Anda menjalankan botnet kecil di jaringan lokal Anda, itu akan dengan mudah menjelaskan lalu lintas.

Jenis peralihan / firewall apa yang Anda gunakan? Anda mungkin sudah memiliki beberapa kemampuan untuk memonitor lalu lintas paket.

Sunting: Saya juga penggemar berat Wireshark (meskipun saya sudah tua, jadi saya masih berpikir "Ethereal" di kepala saya). Jika Anda akan menggunakannya, cara terbaik adalah memasang mesin secara in-line sehingga semua lalu lintas harus melewatinya. Itu akan memungkinkan Anda untuk menjalankan logging lengkap tanpa harus mengubah peralatan Anda ke mode promiscuous.

Dan jika ternyata Anda membutuhkan pembentukan lalu lintas, Anda akan berada dalam posisi yang baik untuk mengatur proxy Snort ... Namun, saya tidak akan memulai dengan niat untuk menginstalnya. Saya sangat meragukan masalah Anda adalah bandwidth.

Jika Anda memiliki mesin cadangan, Anda dapat mengaturnya untuk menjadi server proxy internet . Alih-alih mesin mengakses internet melalui router, mereka mengaksesnya melalui server proxy (yang mengakses internet menggunakan router untuk mereka). Ini akan mencatat semua lalu lintas internet dan dari mana mesin itu berasal. Anda bahkan dapat memblokir situs web atau tipe file tertentu dan banyak hal keren lainnya.

Server proxy juga akan melakukan cache halaman web yang sering digunakan sehingga pengguna mengunjungi situs web yang sama, gambar, unduhan, dll. Sudah ada di server proxy sehingga mereka tidak perlu diunduh lagi. Ini mungkin menghemat beberapa bandwidth juga.

Ini mungkin memerlukan beberapa pengaturan tetapi jika Anda memiliki waktu dan kesabaran maka itu pasti layak untuk dilakukan. Menyiapkan server proxy mungkin di luar cakupan pertanyaan ini, tetapi berikut adalah beberapa petunjuk untuk Anda mulai:

1. Instal sistem operasi Ubuntu pada mesin cadangan (dapatkan versi server jika Anda merasa nyaman dengan Linux):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Instal server proxy squid pada mesin dengan membuka terminal / jendela konsol dan mengetik perintah berikut:

   sudo apt-get install squid

3. Konfigurasikan squid sesuka Anda, inilah panduan untuk menyiapkannya di Ubuntu. Anda juga dapat memeriksa situs web squid untuk dokumentasi lebih lanjut dan bantuan pengaturan .:

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. Konfigurasikan mesin klien Anda untuk menggunakan server Ubuntu sebagai server proxy mereka untuk mengakses internet:

   http://support.microsoft.com/kb/135982

5. Anda mungkin ingin memblokir akses internet pada router ke semua mesin kecuali server proxy, untuk menghentikan pengguna licik mengakses internet dari router dan melewati server proxy.

Ada banyak bantuan di luar sana pada pengaturan server proxy Squid di Ubuntu.

Semua yang terbaik, saya harap Anda sampai ke dasarnya.

Wireshark akan membuat paket capture dan Anda dapat menganalisis lalu lintas jaringan dengan itu http://www.wireshark.org/

Jika Anda perlu lebih memvisualisasikan lalu lintas, Anda dapat menggunakan filter untuk menunjukkan hanya lalu lintas spesifik berdasarkan ukuran, jenis, dll.

Lihat jawaban Daisetsu untuk solusi perangkat lunak.

Untuk alasan yang jelas, sebagian besar / beberapa negara undang-undang mengharuskan Anda untuk memberi tahu karyawan bahwa lalu lintas akan dipantau. Tapi saya anggap Anda sudah tahu itu.

Teknik yang lebih berteknologi rendah tetapi kurang invasif adalah memeriksa secara visual sakelar fisik untuk lampu yang berkedip: ketika jaringan melambat, seseorang mungkin menggunakan banyak bandwidth, sehingga indikator LED untuk kabel mereka akan berkedip sangat marah dibandingkan dengan yang lainnya. . Dengan 28 komputer menyingkirkan yang "tidak bersalah" seharusnya tidak memakan waktu lama dan pengguna yang bersangkutan dapat diberi tahu bahwa komputer mereka mengalami gangguan dan akan segera diperiksa oleh Anda.

Jika Anda tidak peduli dengan privasi karyawan Anda (mereka mungkin menyalahgunakan bandwidth Anda dengan sengaja setelah semua) dan mereka baik menandatangani perjanjian atau yurisdiksi lokal memungkinkan Anda untuk, Anda bisa mengabaikan langkah itu dan memeriksa apa yang mereka lakukan tanpa pemberitahuan terlebih dahulu , tentu saja. Tetapi kecuali Anda berpikir seseorang mungkin secara aktif merugikan perusahaan (misalnya melanggar undang-undang, membocorkan informasi), ini dapat mengakibatkan situasi yang canggung (broadband sangat tinggi menggoda dan ada banyak hal di web yang dapat Anda unduh secara massal di sebuah setiap hari, sebagian besar di antaranya Anda tidak boleh bekerja tetapi mungkin tergoda untuk).

http://www.clearfoundation.com/ atau http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS secara khusus mencatat kemampuan itu di situs mereka: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Saya tidak percaya tidak ada yang menyebut iptraf.

Beri tahu kami lebih banyak tentang jenis lalu lintas yang biasanya Anda harapkan di sirkuit. Apakah Anda berbagi file di atasnya? Mengakses kotak surat di atasnya? Mengakses file PST di atasnya? Apa saja database Access? Server lokal atau server jarak jauh untuk pengguna? Ada lagi yang perlu kita ketahui?