Apa cara terbaik untuk memonitor lalu lintas Internet untuk seluruh kantor?


13

Saat ini kami memiliki saluran T3 untuk sekitar 28 orang dan itu menjadi sangat lambat di siang hari jadi saya perlu sesuatu untuk membantu melacak mengapa. Saya berasumsi seseorang sedang mengunduh sesuatu yang mungkin tidak mereka sadari.


2
Voting untuk memindahkan pertanyaan ini ke Server Fault, di mana ini merupakan duplikat dari Pemantauan Lalu Lintas Jaringan dan Bagaimana Saya bisa memonitor penggunaan internet dalam LAN saya .
Arjan

1
Mengetahui itu adalah duplikat bukankah lebih masuk akal untuk menutupnya sebagai topik biasa saja?
John Gardeniers

@ John - selalu bagus untuk menambahkan judul dan deskripsi yang berbeda untuk ditemukan oleh mesin pencari, saya pikir.
Gnoupi

Umumkan bahwa Anda akan mengambil akses internet untuk pengguna aplikasi P2P.
duffbeer703

Jawaban:


7

Saya akan merekomendasikan untuk tidak menggunakan wireshark untuk memonitor lalu lintas. Anda hanya akan mendapatkan terlalu banyak data, tetapi Anda kesulitan menganalisis data. Jika Anda perlu melihat / memecahkan masalah interaksi antara beberapa mesin, wireshark sangat bagus. Sebagai alat pemantauan, IMHO, wireshark bukan alat yang Anda butuhkan.

  1. Profil lalu lintas jaringan. Cobalah beberapa alat pemantauan aktual: http://sectools.org/traffic-monitors.html . Anda sedang mencari Top Type traffic (kemungkinan HTTP, tetapi siapa yang tahu), Top Talkers (seharusnya server Anda, tetapi siapa yang tahu), dan berpotensi Traffic Lalu Lintas (sejumlah besar transmisi ulang TCP, paket cacat, paket tinggi sangat kecil) paket. Mungkin tidak akan melihat, tetapi siapa yang tahu)

  2. Pada saat yang sama, bekerja dengan manajemen Anda untuk mengembangkan kebijakan penggunaan sumber daya jaringan. Secara umum, istilah bisnis, kebutuhan bisnis apa yang harus dipenuhi oleh jaringan komputer, dan penggunaan sumber daya yang sesuai. Hal ini membutuhkan biaya, jadi harus ada pembenaran bisnis untuk keberadaannya. Perusahaan Anda memiliki kebijakan untuk menangani laci "kas kecil", dan saya berani bertaruh infrastruktur jaringan Anda jauh lebih mahal. Hal utama yang menjadi fokus adalah tidak membuat orang melakukan hal-hal buruk, tetapi mengawasi kemungkinan aktivitas jahat yang menurunkan fungsi jaringan (yaitu, kemampuan karyawan untuk menyelesaikan pekerjaannya). Podcast Southern Fried Security dan PaulDotCom Security Weekly mencakup informasi tentang pembuatan kebijakan keamanan yang tepat.

  3. @John_Rabotnik ide untuk server proxy sangat bagus. Terapkan server proxy untuk lalu lintas web. Dibandingkan dengan firewall tradisional, server proksi memberi Anda visibilitas yang jauh lebih baik ke dalam apa yang sedang terjadi serta kontrol yang lebih terperinci atas lalu lintas apa yang diizinkan (misalnya, situs web nyata) dan lalu lintas apa yang harus diblokir (URL terdiri dari [20 karakter acak] ] .com)

  4. Biarkan orang tahu - jaringan mengalami masalah. Anda sedang memonitor lalu lintas jaringan. Beri mereka mekanisme untuk mendaftarkan perlambatan jaringan, dan tangkap meta-data yang cukup tentang laporan sehingga secara keseluruhan, Anda mungkin dapat menganalisis kinerja jaringan. Berkomunikasi dengan rekan kerja Anda. Mereka ingin Anda melakukan pekerjaan dengan baik sehingga mereka dapat melakukan pekerjaan dengan baik. Anda berada di tim yang sama.

  5. Sebagai aturan umum, blokir semuanya, lalu izinkan apa yang seharusnya diizinkan. Pemantauan Anda dari langkah pertama harus memberi tahu Anda apa yang perlu diizinkan, seperti difilter melalui kebijakan penggunaan / keamanan jaringan Anda. Kebijakan Anda juga harus mencakup mekanisme di mana manajer dapat meminta jenis akses baru diberikan.

Singkatnya, langkah pertama, pemantauan lalu lintas (Nagios tampaknya menjadi alat standar) membantu Anda mencari tahu, secara umum, apa yang terjadi untuk menghentikan rasa sakit yang segera muncul. Langkah 2 - 5 membantu mencegah masalah di masa depan.


+1; semua tips bagus. Pemantauan yang tepat adalah suatu keharusan.
Maximus Minimus

4

28 orang menjenuhkan T3? Tampaknya tidak mungkin (Semua orang bisa menggunakan media streaming sepanjang hari, dan itu tidak akan mendekati.) Anda mungkin ingin memeriksa perutean loop dan jenis lain dari kesalahan konfigurasi jaringan. Anda juga harus memeriksa virus. Jika Anda menjalankan botnet kecil di jaringan lokal Anda, itu akan dengan mudah menjelaskan lalu lintas.

Jenis peralihan / firewall apa yang Anda gunakan? Anda mungkin sudah memiliki beberapa kemampuan untuk memonitor lalu lintas paket.

Sunting: Saya juga penggemar berat Wireshark (meskipun saya sudah tua, jadi saya masih berpikir "Ethereal" di kepala saya). Jika Anda akan menggunakannya, cara terbaik adalah memasang mesin secara in-line sehingga semua lalu lintas harus melewatinya. Itu akan memungkinkan Anda untuk menjalankan logging lengkap tanpa harus mengubah peralatan Anda ke mode promiscuous.

Dan jika ternyata Anda membutuhkan pembentukan lalu lintas, Anda akan berada dalam posisi yang baik untuk mengatur proxy Snort ... Namun, saya tidak akan memulai dengan niat untuk menginstalnya. Saya sangat meragukan masalah Anda adalah bandwidth.


Harus setuju dengan ini. Kita dapat berbicara tentang menggunakan berbagai alat pemantauan perangkat lunak sepanjang hari tetapi 28 pengguna membunuh T3 melalui semua jenis penggunaan "normal, tetapi berlebihan" terdengar sangat salah bagi saya ... Ini lebih dari beberapa pengguna berat dan "seseorang mengunduh sesuatu yang mungkin tidak mereka sadari ".
Rob Moir

3

Jika Anda memiliki mesin cadangan, Anda dapat mengaturnya untuk menjadi server proxy internet . Alih-alih mesin mengakses internet melalui router, mereka mengaksesnya melalui server proxy (yang mengakses internet menggunakan router untuk mereka). Ini akan mencatat semua lalu lintas internet dan dari mana mesin itu berasal. Anda bahkan dapat memblokir situs web atau tipe file tertentu dan banyak hal keren lainnya.

Server proxy juga akan melakukan cache halaman web yang sering digunakan sehingga pengguna mengunjungi situs web yang sama, gambar, unduhan, dll. Sudah ada di server proxy sehingga mereka tidak perlu diunduh lagi. Ini mungkin menghemat beberapa bandwidth juga.

Ini mungkin memerlukan beberapa pengaturan tetapi jika Anda memiliki waktu dan kesabaran maka itu pasti layak untuk dilakukan. Menyiapkan server proxy mungkin di luar cakupan pertanyaan ini, tetapi berikut adalah beberapa petunjuk untuk Anda mulai:

  1. Instal sistem operasi Ubuntu pada mesin cadangan (dapatkan versi server jika Anda merasa nyaman dengan Linux):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. Instal server proxy squid pada mesin dengan membuka terminal / jendela konsol dan mengetik perintah berikut:

    sudo apt-get install squid

  3. Konfigurasikan squid sesuka Anda, inilah panduan untuk menyiapkannya di Ubuntu. Anda juga dapat memeriksa situs web squid untuk dokumentasi lebih lanjut dan bantuan pengaturan .:

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. Konfigurasikan mesin klien Anda untuk menggunakan server Ubuntu sebagai server proxy mereka untuk mengakses internet:

    http://support.microsoft.com/kb/135982

  5. Anda mungkin ingin memblokir akses internet pada router ke semua mesin kecuali server proxy, untuk menghentikan pengguna licik mengakses internet dari router dan melewati server proxy.

Ada banyak bantuan di luar sana pada pengaturan server proxy Squid di Ubuntu.

Semua yang terbaik, saya harap Anda sampai ke dasarnya.


Apakah itu hanya untuk data "web"? Apakah Anda serius ingin mengatur proxy untuk semua jenis protokol dan data?
d -_- b

2

Wireshark akan membuat paket capture dan Anda dapat menganalisis lalu lintas jaringan dengan itu http://www.wireshark.org/

Jika Anda perlu lebih memvisualisasikan lalu lintas, Anda dapat menggunakan filter untuk menunjukkan hanya lalu lintas spesifik berdasarkan ukuran, jenis, dll.


1

Lihat jawaban Daisetsu untuk solusi perangkat lunak.

Untuk alasan yang jelas, sebagian besar / beberapa negara undang-undang mengharuskan Anda untuk memberi tahu karyawan bahwa lalu lintas akan dipantau. Tapi saya anggap Anda sudah tahu itu.

Teknik yang lebih berteknologi rendah tetapi kurang invasif adalah memeriksa secara visual sakelar fisik untuk lampu yang berkedip: ketika jaringan melambat, seseorang mungkin menggunakan banyak bandwidth, sehingga indikator LED untuk kabel mereka akan berkedip sangat marah dibandingkan dengan yang lainnya. . Dengan 28 komputer menyingkirkan yang "tidak bersalah" seharusnya tidak memakan waktu lama dan pengguna yang bersangkutan dapat diberi tahu bahwa komputer mereka mengalami gangguan dan akan segera diperiksa oleh Anda.

Jika Anda tidak peduli dengan privasi karyawan Anda (mereka mungkin menyalahgunakan bandwidth Anda dengan sengaja setelah semua) dan mereka baik menandatangani perjanjian atau yurisdiksi lokal memungkinkan Anda untuk, Anda bisa mengabaikan langkah itu dan memeriksa apa yang mereka lakukan tanpa pemberitahuan terlebih dahulu , tentu saja. Tetapi kecuali Anda berpikir seseorang mungkin secara aktif merugikan perusahaan (misalnya melanggar undang-undang, membocorkan informasi), ini dapat mengakibatkan situasi yang canggung (broadband sangat tinggi menggoda dan ada banyak hal di web yang dapat Anda unduh secara massal di sebuah setiap hari, sebagian besar di antaranya Anda tidak boleh bekerja tetapi mungkin tergoda untuk).


Bukan untuk analisis jaringan, jika itu untuk menjaga jaringan maka mereka tidak perlu memberi tahu karyawan.

Mereka mungkin tidak perlu memberi tahu mereka jika mereka hanya memeriksa permukaan, tetapi jika mereka benar-benar melihat sifat tepat dari data (yaitu paket sniffing), yang dapat berisi kata sandi atau data pribadi (betapapun tidak pantasnya jenis itu penggunaan jaringan perusahaan mungkin), itu akan menjadi setidaknya karma yang baik (jika bukan persyaratan hukum) untuk memberi tahu mereka tentang hal itu terlebih dahulu.



0

Beri tahu kami lebih banyak tentang jenis lalu lintas yang biasanya Anda harapkan di sirkuit. Apakah Anda berbagi file di atasnya? Mengakses kotak surat di atasnya? Mengakses file PST di atasnya? Apa saja database Access? Server lokal atau server jarak jauh untuk pengguna? Ada lagi yang perlu kita ketahui?

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.