Какой лучший способ контролировать интернет-трафик для всего офиса?

В настоящее время у нас есть линия T3 для приблизительно 28 человек, и она становится невероятно медленной в течение дня, поэтому мне нужно кое-что помочь выяснить, почему. Я предполагаю, что кто-то загружает что-то, что они могут не знать.

Я бы рекомендовал не использовать wireshark для мониторинга трафика. Вы просто получите слишком много данных, но вам будет сложно анализировать данные. Если вам нужно посмотреть на / устранить неполадки взаимодействия между двумя компьютерами, wireshark отлично подойдет. ИМХО, как инструмент мониторинга, wireshark - не совсем то, что вам нужно.

1. Профиль сетевого трафика. Попробуйте некоторые из реальных инструментов мониторинга: http://sectools.org/traffic-monitors.html . Вы ищете Top Type трафика (вероятно, HTTP, но кто знает), Top Talkers (должны быть вашими серверами, но кто знает), и потенциально искаженный трафик (большое количество повторных передач TCP, искаженные пакеты, высокие показатели очень малы пакеты. Наверное, не увидят, но кто знает)

2. В то же время, вместе с вашим руководством разработайте политику использования сетевых ресурсов. В общем, бизнес-термины, какие бизнес-потребности нужны компьютерным сетям и каковы подходящие варианты использования ресурса. Эта вещь стоит денег, поэтому для ее существования должно быть оправдание бизнеса. В вашей компании есть правила обращения со списком мелких денег, и я бы поспорил, что ваша сетевая инфраструктура стоит намного дороже. Главное, на чем нужно сосредоточиться, - это не ловить людей, которые совершают плохие поступки, а скорее следить за потенциальной злонамеренной деятельностью, которая ухудшает сетевую функциональность (то есть способность сотрудников выполнять свою работу). Подкаст Southern Fried Security и PaulDotCom Security Weekly содержат информацию о создании соответствующих политик безопасности.

3. Идея @John_Rabotnik для прокси-сервера была великолепной. Внедрить прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами прокси-серверы дают вам гораздо более четкое представление о происходящем, а также более детальный контроль над тем, какой трафик разрешать (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов) ] .com)

4. Пусть люди знают - в сети возникла проблема. Вы отслеживаете сетевой трафик. Предоставьте им механизм регистрации замедлений работы сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли анализировать производительность сети. Общайтесь со своими коллегами. Они хотят, чтобы вы сделали хорошую работу, чтобы они могли делать хорошую работу. Вы в одной команде.

5. Как правило, блокируйте все, а затем разрешите то, что должно быть разрешено. Мониторинг, начиная с первого шага, должен дать вам знать, что нужно разрешить, как это отфильтровано в вашей политике использования / безопасности сети. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать новые виды доступа.

Таким образом, первый шаг - мониторинг трафика (кажется, что Nagios - стандартный инструмент) помогает вам в целом понять, что происходит, чтобы остановить немедленную боль. Шаги 2 - 5 помогают предотвратить проблему в будущем.

28 человек насыщают Т3? Кажется маловероятным (каждый может использовать потоковое мультимедиа в течение всего дня, и это близко не подойдет.) Возможно, вы захотите проверить петли маршрутизации и другие типы неправильной конфигурации сети. Вы также должны проверить на вирусы. Если в вашей локальной сети работает небольшой ботнет, это легко объяснит трафик.

Какой тип коммутации / брандмауэр вы используете? Возможно, у вас уже есть возможность отслеживать пакетный трафик.

Редактировать: я также большой поклонник Wireshark (хотя я стар, поэтому я все еще думаю, "Ethereal" в моей голове). Если вы собираетесь использовать его, лучше всего подключить машину, чтобы весь трафик проходил через нее. Это позволит вам вести исчерпывающую регистрацию без необходимости переключать оборудование в беспорядочный режим.

И если окажется, что вам нужно какое-то ограничение трафика, у вас будет хорошая возможность настроить прокси-сервер Snort ... Однако я бы не стал устанавливать его с намерением. Я действительно сомневаюсь, что ваша проблема заключается в пропускной способности.

Если у вас есть запасной компьютер, вы можете настроить его как прокси-сервер в Интернете . Вместо того, чтобы машины, имеющие доступ к Интернету через маршрутизатор, они получают к нему доступ через прокси-сервер (который обращается к Интернету, используя для них маршрутизатор). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете заблокировать определенные веб-сайты или типы файлов и множество других интересных вещей.

Прокси-сервер также будет кешировать часто используемые веб-страницы, поэтому пользователи посещают одни и те же веб-сайты, изображения, загружаемые файлы и т. Д. Уже будут на прокси-сервере, поэтому их не придется повторно загружать. Это также может сэкономить вам пропускную способность.

Это может занять некоторое время, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов для начала:

1. Установите операционную систему Ubuntu на запасной компьютер (получите версию сервера, если вы знакомы с Linux):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Установите прокси-сервер squid на машине, открыв окно терминала / консоли и введя следующую команду:

   sudo apt-get установить squid

3. Настройте Squid так, как вам нравится, вот руководство по настройке его в Ubuntu. Вы также можете проверить веб-сайт squid для получения дополнительной документации и помощи по настройке.

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. Сконфигурируйте ваши клиентские машины для использования сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:

   http://support.microsoft.com/kb/135982

5. Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе ко всем машинам, кроме прокси-сервера, чтобы запретить хитрым пользователям доступ к Интернету с маршрутизатора и обход прокси-сервера.

Существует множество способов настройки прокси-сервера Squid в Ubuntu.

Всего наилучшего, я надеюсь, вы дошли до сути.

Wireshark создаст захват пакета, и вы сможете анализировать сетевой трафик с ним http://www.wireshark.org/

Если вам нужно больше визуализировать трафик, вы можете использовать фильтры, чтобы показать вам только определенный трафик в зависимости от размера, типа и т. Д.

Смотрите ответ Daisetsu для программного решения.

По понятным причинам законы большинства / некоторых стран требуют, чтобы вы сообщали сотрудникам, что трафик будет контролироваться. Но я полагаю, вы уже это знаете.

Более низкотехнологичным, но менее инвазивным методом было бы визуально проверять физические переключатели на наличие мигающих огней: когда сеть замедляется, кто-то, вероятно, использует большую полосу пропускания, поэтому светодиодный индикатор для его кабеля будет неистово мигать по сравнению со всеми остальными. , С 28 компьютерами, отсеивающими «невинных» компьютеров, не должно занять много времени, и соответствующий пользователь может быть проинформирован о том, что его компьютер плохо себя ведет, и он скоро будет проверен вами.

Если вас не волнует конфиденциальность ваших сотрудников (в конце концов они могут злоупотреблять вашей пропускной способностью), и они либо подписали соглашение, либо местная юрисдикция позволяет вам, вы можете просто проигнорировать этот шаг и проверить, что они делают, без предварительного уведомления , конечно. Но если вы не думаете, что кто-то может нанести мне активный вред компании (например, нарушить законы, дать утечку информации), это может привести к неловкой ситуации (сверхвысокая широкополосная связь заманчива, и есть много вещей в Интернете, которые вы можете скачать в массовом порядке на ежедневно, большинство из которых вы не должны на работе, но могут испытывать соблазн).

http://www.clearfoundation.com/ или http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS специально отмечает эту возможность на своем сайте: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Я не могу поверить, что никто не упомянул iptraf.

Расскажите нам еще о типе трафика, который вы обычно ожидаете по трассе. Вы разделяете файлы? Доступ к почтовым ящикам через него? Доступ к файлам PST через него? Какие-нибудь базы данных Access? Локальные серверы или удаленные серверы для пользователей? Что-нибудь еще нам нужно знать?