Question Quel est le meilleur moyen de surveiller le trafic Internet pour l’ensemble du bureau?


Nous avons actuellement une ligne T3 pour environ 28 personnes et elle devient extrêmement lente au cours de la journée. J'ai donc besoin de quelque chose pour mieux comprendre pourquoi. Je suppose que quelqu'un télécharge quelque chose dont ils ne sont peut-être pas au courant.


13
2018-06-02 18:07


origine


Vote pour déplacer cette question vers Server Fault, où il s'agit d'une copie de Surveillance du trafic réseau et Comment puis-je surveiller l'utilisation d'Internet dans mon réseau local. - Arjan
Sachant qu'il s'agissait d'un doublon, n'aurait-il pas été plus logique de le fermer simplement en dehors du sujet? - John Gardeniers
@ John - toujours utile d'ajouter un titre et une description différents à trouver par les moteurs de recherche, je pense. - Gnoupi
Annoncez que vous supprimerez l'accès Internet pour les utilisateurs d'applications P2P. - duffbeer703


Réponses:


Je recommanderais contre l'utilisation de Wireshark pour surveiller le trafic. Vous obtiendrez trop de données, mais vous aurez du mal à les analyser. Si vous avez besoin d'examiner / de résoudre les problèmes d'interaction entre plusieurs machines, Wirehark est excellent. En tant qu'outil de surveillance, IMHO, Wirehark n'est pas tout à fait l'outil dont vous avez besoin.

  1. Profil du trafic réseau. Essayez des outils de surveillance réels: http://sectools.org/traffic-monitors.html. Vous recherchez le type de trafic le plus important (probablement HTTP, mais qui sait), les principaux interlocuteurs (vos serveurs, mais qui sait), et un trafic potentiellement malformé (grandes quantités de retransmissions TCP, paquets malformés, taux élevé de très faible paquets, probablement pas voir, mais qui sait)

  2. En même temps, travaillez avec votre direction pour développer une politique d'utilisation des ressources réseau. En général, en termes commerciaux, quels sont les besoins du réseau informatique à satisfaire et quelles sont les utilisations appropriées de la ressource. Cette chose coûte de l'argent, il doit donc y avoir une justification commerciale pour son existence même. Votre société a des politiques pour gérer le tiroir "petite caisse" et je parierais que votre infrastructure de réseau coûte beaucoup plus que cela. L’essentiel est de ne pas attraper les mauvaises actions, mais plutôt de surveiller les activités malveillantes susceptibles de dégrader les fonctionnalités du réseau (c’est-à-dire la capacité des employés à effectuer leur travail). Podcast sur la sécurité dans Southern Fried et PaulDotCom Security Weekly couvrir des informations sur la création de stratégies de sécurité appropriées.

  3. @John_Rabotnik l'idée d'un serveur proxy était géniale. Implémentez un serveur proxy pour le trafic Web. Comparés aux pare-feu traditionnels, les serveurs proxy vous donnent une bien meilleure visibilité de ce qui se passe ainsi qu’un contrôle plus granulaire sur le trafic à autoriser (par exemple, les sites Web réels) et sur le trafic à bloquer (URL composées de [20 caractères aléatoires]). ] .com)

  4. Faites savoir aux gens - le réseau a un problème. Vous surveillez le trafic réseau. Donnez-leur un mécanisme pour enregistrer les ralentissements du réseau et capturer suffisamment de métadonnées sur le rapport afin que, globalement, vous puissiez analyser les performances du réseau. Communiquez avec vos collègues. Ils veulent que vous fassiez du bon travail pour qu'ils puissent le faire. Vous êtes dans la même équipe.

  5. En règle générale, bloquez tout, puis autorisez ce qui devrait être autorisé. Votre surveillance de la première étape doit vous indiquer ce qui doit être autorisé, tel que filtré par votre politique d'utilisation / de sécurité du réseau. Votre politique devrait également inclure un mécanisme par lequel un responsable peut demander que de nouveaux types d'accès soient accordés.

En résumé, la première étape, la surveillance du trafic (Nagios semble être un outil standard) vous aide à comprendre, en général, ce qui se passe pour mettre fin à la douleur immédiate. Les étapes 2 à 5 aident à prévenir le problème à l’avenir.


6
2018-06-02 19:25



+1; tous les bons conseils. Une surveillance adéquate est indispensable. - Maximus Minimus


28 personnes saturant un T3? Cela ne semble pas probable (tout le monde peut utiliser le streaming multimédia toute la journée, sans que cela se rapproche.) Vous voudrez peut-être vérifier les boucles de routage et autres types de mauvaise configuration du réseau. Vous devriez également vérifier les virus. Si vous avez un petit botnet sur votre réseau local, cela expliquerait facilement le trafic.

Quel type de commutation / pare-feu utilisez-vous? Vous avez peut-être déjà une capacité de surveillance du trafic de paquets.

Modifier: Je suis aussi un grand fan de Wireshark (bien que je sois vieux, je pense donc toujours "Ethereal" dans ma tête). Si vous voulez l'utiliser, le meilleur moyen est de mettre une machine en ligne afin que tout le trafic passe par elle. Cela vous permettra d'exécuter une journalisation exhaustive sans avoir à basculer votre équipement en mode promiscuous.

Et s'il s'avère que vous avez besoin d'une certaine formation du trafic, vous serez en mesure de configurer un proxy Snort ... Je ne commencerais toutefois pas par l'intention d'en installer un. Je doute vraiment que votre problème est la bande passante.


4
2018-06-02 18:26



Je suis d'accord avec ça. Nous pouvons parler d’utilisation de divers outils de surveillance logicielle toute la journée, mais 28 utilisateurs détruisant un T3 par tout type d’utilisation «normale, mais excessive» semblent tout simplement faux pour moi… C’est plus que quelques utilisateurs lourds et «quelqu'un télécharge quelque chose dont ils ne sont peut-être pas conscients ". - Rob Moir


Si vous avez une machine de rechange, vous pouvez la configurer pour serveur proxy internet. Au lieu que les machines accèdent à Internet via le routeur, elles y accèdent via le serveur proxy (qui accède à Internet en utilisant le routeur pour eux). Cela enregistrera tout le trafic Internet et de quelle machine il provient. Vous pouvez même bloquer certains sites Web ou types de fichiers et bien d’autres choses intéressantes.

Le serveur proxy mettra également en cache les pages Web fréquemment utilisées afin que les utilisateurs visitent les mêmes sites Web. Les images, les téléchargements, etc. se trouveront déjà sur le serveur proxy, de sorte qu'ils n'auront pas besoin d'être re-téléchargés. Cela pourrait aussi vous faire économiser de la bande passante.

Cela pourrait prendre un peu de temps, mais si vous avez le temps et la patience, alors ça vaut vraiment le coup. La configuration du serveur proxy dépasse probablement le cadre de cette question, mais voici quelques indications pour vous aider à démarrer:

  1. Installez le système d'exploitation Ubuntu sur une machine de secours (obtenez la version du serveur si vous maîtrisez Linux):

    http://www.ubuntu.com/desktop/get-ubuntu/download

  2. Installez le serveur proxy squid sur la machine en ouvrant une fenêtre de terminal / console et en tapant la commande suivante:

    sudo apt-get install squid

  3. Configurez calmar comme bon vous semble, voici un guide pour l’installer sur Ubuntu. Vous pouvez également vérifier le site web de calmar pour plus d'aide sur la documentation et la configuration:

    https://help.ubuntu.com/9.04/serverguide/C/squid.html

  4. Configurez vos machines client pour utiliser le serveur Ubuntu en tant que serveur proxy pour accéder à Internet:

    http://support.microsoft.com/kb/135982

  5. Vous souhaiterez peut-être bloquer l'accès Internet sur le routeur à toutes les machines, à l'exception du serveur proxy, afin d'empêcher les utilisateurs rus d'accéder à Internet à partir du routeur et de contourner le serveur proxy.

Il y a beaucoup d'aide disponible pour configurer le serveur proxy Squid sur Ubuntu.

Tout le meilleur, j'espère que vous allez au fond des choses.


3
2018-06-02 18:49



Est-ce seulement pour les données "web"? Voulez-vous sérieusement configurer un proxy pour toutes sortes de protocoles et de données? - d-_-b


Wireshark créera une capture de paquet et vous pourrez analyser le trafic réseau avec celle-ci. http://www.wireshark.org/

Si vous avez besoin de visualiser davantage le trafic, vous pouvez utiliser des filtres pour vous montrer uniquement un trafic spécifique en fonction de la taille, du type, etc.


2
2018-06-02 18:17





Voir la réponse de Daisetsu pour une solution logicielle.

Pour des raisons évidentes, la législation de la plupart / de certains pays vous oblige à informer les employés que le trafic sera surveillé. Mais je suppose que vous le savez déjà.

Un plus low-tech mais moins invasif La technique consiste à vérifier visuellement les commutateurs physiques à la recherche de voyants clignotants: lorsque le réseau ralentit, une large bande passante est probablement utilisée, de sorte que le voyant DEL de leur câble clignote furieusement comparé à celui de tout le monde. Avec 28 ordinateurs, éliminer les "innocents" ne devrait pas prendre longtemps et l'utilisateur en question peut être informé que son ordinateur fonctionne mal et qu'il sera vérifié par vous sous peu.

Si vous ne vous souciez pas de la vie privée de vos employés (ils risquent d'abuser de votre bande passante après tout) et s'ils ont signé un accord ou si la juridiction locale le permet, vous pouvez simplement ignorer cette étape et vérifier ce qu'ils font sans préavis. , bien sûr. Mais à moins que vous ne pensiez que quelqu'un pourrait me faire du mal à la société (enfreindre les lois, divulguer des informations, par exemple), cela pourrait créer une situation délicate (le très haut débit est tentant et vous pouvez télécharger beaucoup de choses sur le Web). en masse sur une base quotidienne, dont la plupart ne devrait pas au travail, mais pourrait être tenté de).


1
2018-06-02 18:28



Pas pour l'analyse de réseau, si c'est pour maintenir le réseau, ils n'ont pas besoin d'informer les employés.
Ils n'ont probablement pas besoin de les informer s'ils vérifient simplement la surface, mais s'ils examinent en fait la nature exacte des données (par exemple, le reniflement de paquets), qui pourraient contenir des mots de passe ou des données personnelles (aussi inappropriées que ce soit). d’utilisation du réseau de l’entreprise peut être), ce serait au moins un bon karma (si ce n’est une obligation légale) de le leur dire à l’avance.


http://www.clearfoundation.com/ ou http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS note spécifiquement cette capacité sur leur site: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop


1
2018-06-02 18:30





Je ne peux pas croire que personne n'a mentionné iptraf.


1
2018-06-03 00:44





Dites-nous en plus sur le type de trafic auquel vous vous attendez normalement sur le circuit. Partagez-vous des fichiers à travers? Accéder aux boîtes aux lettres à travers? Accéder aux fichiers PST? Des bases de données Access? Serveurs locaux ou serveurs distants pour les utilisateurs? Quelque chose d'autre que nous devons savoir?


0
2018-06-02 21:04