Как лучше всего контролировать интернет-трафик для всего офиса?
В настоящее время у нас есть линия T3 для приблизительно 28 человек, и она становится невероятно медленной в течение дня, поэтому мне нужно кое-что помочь выяснить, почему. Я предполагаю, что кто-то загружает что-то, о чем они могут не знать.
8 ответов
Я бы рекомендовал не использовать wireshark для мониторинга трафика. Вы просто получите слишком много данных, но вам будет сложно анализировать данные. Если вам нужно посмотреть / устранить неполадки взаимодействия между двумя компьютерами, wireshark отлично подойдет. ИМХО, как инструмент мониторинга, Wireshark - не совсем то, что вам нужно.
Профиль сетевого трафика. Опробуйте некоторые актуальные инструменты мониторинга: http://sectools.org/traffic-monitors.html. Вы ищете Top Type трафика (вероятно, HTTP, но кто знает), Top Talkers (должны быть вашими серверами, но кто знает), и потенциально искаженный трафик (большое количество повторных передач TCP, искаженные пакеты, высокие показатели очень малы пакеты. Наверное, не увидят, но кто знает)
В то же время, вместе с вашим руководством разработайте политику использования сетевых ресурсов. В общем, бизнес-термины, какие бизнес-потребности нужны компьютерным сетям и каковы подходящие способы использования ресурса. Эта вещь стоит денег, поэтому для ее существования должно быть оправдание бизнеса. В вашей компании есть правила обращения со списком мелких денег, и я бы поспорил, что ваша сетевая инфраструктура стоит намного дороже. Главное, на чем нужно сосредоточиться, - это не ловить людей, которые совершают плохие поступки, а скорее следить за потенциальной злонамеренной деятельностью, которая ухудшает сетевую функциональность (то есть способность сотрудников выполнять свою работу). Подкаст Southern Fried Security и PaulDotCom Security Weekly содержат информацию о создании соответствующих политик безопасности.
Идея @John_Rabotnik для прокси-сервера была великолепной. Внедрить прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами прокси-серверы дают вам гораздо более четкое представление о происходящем, а также более детальный контроль над тем, какой трафик разрешать (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов) ].com)
Пусть люди знают - в сети возникла проблема. Вы отслеживаете сетевой трафик. Дайте им механизм для регистрации замедлений сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли анализировать производительность сети. Общайтесь со своими коллегами. Они хотят, чтобы вы сделали хорошую работу, чтобы они могли делать хорошую работу. Вы в одной команде.
Как правило, блокируйте все, а затем разрешите то, что должно быть разрешено. Мониторинг, начиная с первого шага, должен дать вам знать, что необходимо разрешить, как это отфильтровано в вашей политике использования / безопасности сети. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать новые виды доступа.
Итак, первый шаг - мониторинг трафика (кажется, что Nagios - это стандартный инструмент) помогает вам в целом понять, что происходит, чтобы остановить немедленную боль. Шаги 2 - 5 помогают предотвратить проблему в будущем.
28 человек насыщают Т3? Кажется маловероятным (каждый может использовать потоковое мультимедиа в течение всего дня, и это близко не подойдет.) Возможно, вы захотите проверить петли маршрутизации и другие типы неправильной конфигурации сети. Вы также должны проверить на вирусы. Если в вашей локальной сети запущен небольшой ботнет, это легко объяснит трафик.
Какой тип коммутации / брандмауэр вы используете? Возможно, у вас уже есть возможность отслеживать пакетный трафик.
Редактировать: я также большой поклонник Wireshark (хотя я стар, поэтому я все еще думаю, "Ethereal" в моей голове). Если вы собираетесь его использовать, лучше всего подключить машину, чтобы весь трафик проходил через нее. Это позволит вам вести исчерпывающую регистрацию без необходимости переключать оборудование в беспорядочный режим.
И если окажется, что вам нужно какое-то управление трафиком, вы сможете установить прокси-сервер Snort... Однако я бы не стал устанавливать его с намерением. Я действительно сомневаюсь, что ваша проблема заключается в пропускной способности.
Если у вас есть запасной компьютер, вы можете настроить его как прокси-сервер в Интернете. Вместо машин, получающих доступ к Интернету через маршрутизатор, они получают доступ к нему через прокси-сервер (который получает доступ к Интернету с помощью маршрутизатора для них). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете заблокировать определенные веб-сайты или типы файлов и множество других интересных вещей.
Прокси-сервер также будет кешировать часто используемые веб-страницы, поэтому пользователи посещают одни и те же веб-сайты, изображения, загружаемые файлы и т. Д. Уже будут на прокси-сервере, поэтому их не придется повторно загружать. Это также может сэкономить вам пропускную способность.
Это может занять некоторое время, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов для начала:
Установите операционную систему Ubuntu на запасной компьютер (получите версию сервера, если вы знакомы с Linux):
Установите прокси-сервер squid на машине, открыв окно терминала / консоли и введя следующую команду:
sudo apt-get установить squid
Сконфигурируйте squid так, как вам нравится, вот руководство по настройке его в Ubuntu. Вы также можете проверить веб-сайт squid для получения дополнительной документации и помощи по настройке.
Сконфигурируйте ваши клиентские машины для использования сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:
Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе ко всем машинам, кроме прокси-сервера, чтобы запретить хитрым пользователям доступ к Интернету через маршрутизатор и обход прокси-сервера.
Существует множество способов настройки прокси-сервера Squid в Ubuntu.
Всего наилучшего, я надеюсь, вы дошли до сути.
Wireshark создаст захват пакета, и вы сможете анализировать сетевой трафик с ним http://www.wireshark.org/
Если вам нужно больше визуализировать трафик, вы можете использовать фильтры, чтобы показать вам только определенный трафик в зависимости от размера, типа и т. Д.
http://www.clearfoundation.com/ или http://sourceforge.net/apps/trac/ipcop/wiki
Clear OS специально отмечает эту возможность на своем сайте: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop
Смотрите ответ Daisetsu для программного решения.
По очевидным причинам, законы большинства / некоторых стран требуют, чтобы вы сообщали сотрудникам, что трафик будет контролироваться. Но я полагаю, вы уже это знаете.
Более низкотехнологичным, но менее инвазивным методом было бы визуально проверять физические переключатели на наличие мигающих огней: когда сеть замедляется, кто-то, вероятно, использует большую полосу пропускания, поэтому светодиодный индикатор для его кабеля будет неистово мигать по сравнению со всеми остальными., С 28 компьютерами, отсеивающими "невинных" компьютеров, не должно занять много времени, и соответствующий пользователь может быть проинформирован о том, что его компьютер плохо себя ведет, и вы скоро проверите его.
Если вас не волнует конфиденциальность ваших сотрудников (в конце концов они могут злоупотреблять вашей пропускной способностью), и они либо подписали соглашение, либо местная юрисдикция позволяет вам, вы можете просто проигнорировать этот шаг и проверить, что они делают, без предварительного уведомления, конечно. Но если вы не думаете, что кто-то может нанести мне активный вред компании (например, нарушить законы, дать утечку информации), это может привести к неловкой ситуации (сверхвысокая скорость широкополосного доступа заманчива, и есть много вещей в Интернете, которые вы можете скачать в массовом порядке на ежедневно, большинство из которых вы не должны на работе, но могут испытывать соблазн).
Расскажите нам еще немного о типе трафика, который вы обычно ожидаете по трассе. Вы разделяете файлы? Доступ к почтовым ящикам через него? Доступ к файлам PST через него? Какие-нибудь базы данных Access? Локальные серверы или удаленные серверы для пользователей? Что-нибудь еще нам нужно знать?