Cách tốt nhất để giám sát lưu lượng truy cập Internet cho toàn bộ văn phòng là gì?

13

Chúng tôi hiện có một dòng T3 cho khoảng 28 người và nó bị chậm chết người trong ngày vì vậy tôi cần một cái gì đó để giúp theo dõi lý do tại sao. Tôi cho rằng ai đó đang tải xuống một cái gì đó mà họ có thể không biết.

internet  traffic 
Ryan Detzel
nguồn
2
Bỏ phiếu để chuyển câu hỏi này sang Server Fault, trong đó đây là bản sao của Giám sát lưu lượng mạngLàm cách nào tôi có thể giám sát việc sử dụng internet trong phạm vi của mình .
Arjan
1
Biết nó là một bản sao, nó sẽ không có ý nghĩa hơn khi chỉ đơn giản là đóng nó như là chủ đề?
John Gardeniers
@ John - Luôn luôn tốt để thêm một tiêu đề và mô tả khác được tìm thấy bởi các công cụ tìm kiếm, tôi nghĩ vậy.
Gnoupi
Thông báo rằng bạn sẽ lấy đi quyền truy cập internet cho người dùng ứng dụng P2P.
duffbeer703

Câu trả lời:

7

Tôi khuyên bạn không nên sử dụng wireshark để giám sát lưu lượng. Bạn sẽ nhận được quá nhiều dữ liệu, nhưng bạn có một thời gian khó khăn để phân tích dữ liệu. Nếu bạn cần xem xét / khắc phục sự cố tương tác giữa một vài máy, wireshark là tuyệt vời. Là một công cụ giám sát, IMHO, wireshark không hoàn toàn là công cụ bạn cần.

  1. Hồ sơ lưu lượng mạng. Hãy thử một số công cụ giám sát thực tế: http://sectools.org/traffic-monitor.html . Bạn đang tìm kiếm Loại lưu lượng truy cập hàng đầu (có thể là HTTP, nhưng ai biết), Người nói chuyện hàng đầu (nên là máy chủ của bạn, nhưng ai biết) và Lưu lượng truy cập không đúng định dạng (số lượng lớn truyền lại TCP, gói không đúng định dạng, tốc độ cao rất nhỏ Có lẽ sẽ không thấy, nhưng ai biết được)

  2. Đồng thời, làm việc với quản lý của bạn để phát triển chính sách sử dụng tài nguyên mạng. Nói chung, về các điều khoản kinh doanh, mạng máy tính cần gì để đáp ứng nhu cầu kinh doanh và sử dụng tài nguyên phù hợp là gì. Điều này là tốn kém tiền, vì vậy phải có một sự biện minh kinh doanh cho chính sự tồn tại của nó. Công ty của bạn có các chính sách để xử lý ngăn kéo "tiền mặt nhỏ" và tôi cá là cơ sở hạ tầng mạng của bạn sẽ tốn kém hơn rất nhiều. Điều quan trọng cần tập trung vào là không bắt người ta làm điều xấu mà là theo dõi các hoạt động độc hại tiềm ẩn đang làm suy giảm chức năng mạng (nghĩa là khả năng của nhân viên để hoàn thành công việc của họ). Southern Fried Security PodcastPaulDotCom Security Weekly bao gồm thông tin về việc tạo các chính sách bảo mật phù hợp.

  3. @John_Rabotnik ý tưởng cho một máy chủ proxy là tuyệt vời. Triển khai một máy chủ proxy cho lưu lượng truy cập web. So với tường lửa truyền thống, máy chủ proxy cung cấp cho bạn khả năng hiển thị tốt hơn nhiều về những gì đang diễn ra cũng như kiểm soát chi tiết hơn đối với lưu lượng truy cập cho phép (ví dụ: các trang web thực) và lưu lượng truy cập nào (URL được tạo thành từ [20 ký tự ngẫu nhiên ]

  4. Cho mọi người biết - mạng đang gặp sự cố. Bạn đang theo dõi lưu lượng mạng. Cung cấp cho họ cơ chế đăng ký làm chậm mạng và thu thập đủ dữ liệu meta về báo cáo để tổng hợp, bạn có thể phân tích hiệu suất mạng. Giao tiếp với đồng nghiệp của bạn. Họ muốn bạn làm một công việc tốt để họ có thể làm tốt công việc. Bạn ở cùng một đội.

  5. Theo nguyên tắc chung, chặn mọi thứ, và sau đó cho phép những gì nên được cho phép. Việc theo dõi của bạn từ bước một sẽ cho bạn biết những gì cần được cho phép, như được lọc qua chính sách bảo mật / sử dụng mạng của bạn. Chính sách của bạn cũng nên bao gồm một cơ chế theo đó người quản lý có thể yêu cầu các loại quyền truy cập mới được cấp.

Tóm lại, bước một, giám sát giao thông (Nagios dường như là một công cụ tiêu chuẩn) giúp bạn tìm ra, nói chung, những gì đang diễn ra để ngăn chặn cơn đau ngay lập tức. Bước 2 - 5 giúp ngăn ngừa vấn đề trong tương lai.

pcapademia
nguồn
+1; tất cả những lời khuyên tuyệt vời Giám sát đúng cách là phải.
Maximus Minimus
4

28 người bão hòa một T3? Có vẻ như không có khả năng (Mọi người đều có thể sử dụng phương tiện truyền phát trực tuyến cả ngày và nó sẽ không đến gần.) Bạn có thể muốn kiểm tra các vòng định tuyến và các loại cấu hình mạng khác. Bạn cũng nên kiểm tra virus. Nếu bạn có một botnet nhỏ chạy trên mạng cục bộ của mình, điều đó sẽ dễ dàng giải thích lưu lượng truy cập.

Bạn sử dụng loại chuyển mạch / tường lửa nào? Bạn có thể đã có một số khả năng để theo dõi lưu lượng gói.

Chỉnh sửa: Tôi cũng là một fan hâm mộ lớn của Wireshark (mặc dù tôi đã già, vì vậy tôi vẫn nghĩ "Ethereal" trong đầu). Nếu bạn sẽ sử dụng nó, cách tốt nhất là đặt máy thẳng hàng để tất cả lưu lượng truy cập phải đi qua nó. Điều đó sẽ cho phép bạn chạy ghi nhật ký toàn diện mà không phải chuyển thiết bị của mình sang chế độ lăng nhăng.

Và nếu hóa ra bạn đang cần một số định hình lưu lượng truy cập, bạn sẽ ở vị trí tốt để thiết lập proxy Snort ... Tuy nhiên, tôi sẽ không bắt đầu với ý định cài đặt một giao thông. Tôi thực sự nghi ngờ vấn đề của bạn là băng thông.

Satanicpuppy
nguồn
Phải đồng ý với điều này. Chúng ta có thể nói về việc sử dụng các công cụ giám sát phần mềm khác nhau cả ngày nhưng 28 người dùng giết T3 thông qua bất kỳ loại sử dụng "bình thường, nhưng quá mức" nào chỉ đơn giản là sai đối với tôi ... Đây là nhiều hơn một vài người dùng nặng và "ai đó đang tải xuống một cái gì đó họ có thể không nhận thức được ".
Rob Moir
3

Nếu bạn có một máy dự phòng, bạn có thể thiết lập nó thành một máy chủ proxy internet . Thay vì các máy truy cập internet thông qua bộ định tuyến, họ truy cập nó thông qua máy chủ proxy (truy cập internet bằng bộ định tuyến cho chúng). Điều này sẽ ghi lại tất cả lưu lượng truy cập internet và nó đến từ máy nào. Bạn thậm chí có thể chặn một số trang web hoặc filetypes và nhiều thứ hay ho khác.

Máy chủ proxy cũng sẽ lưu trữ các trang web được sử dụng thường xuyên để người dùng truy cập vào cùng một trang web, hình ảnh, tải xuống, v.v. sẽ có trên máy chủ proxy để họ không cần phải tải xuống lại. Điều này có thể giúp bạn tiết kiệm một số băng thông.

Điều này có thể mất một số thiết lập nhưng nếu bạn có thời gian và kiên nhẫn thì chắc chắn nó đáng để đi. Thiết lập máy chủ proxy có thể nằm ngoài phạm vi của câu hỏi này, nhưng đây là một vài gợi ý để bạn bắt đầu:

  1. Cài đặt hệ điều hành Ubuntu trên máy dự phòng (lấy phiên bản máy chủ nếu bạn thấy thoải mái với Linux):

    http://www.ubfox.com/desktop/get-ubfox/d Download

  2. Cài đặt máy chủ proxy mực trên máy bằng cách mở cửa sổ terminal / console và gõ lệnh sau:

    sudo apt-get cài đặt mực

  3. Định cấu hình mực theo cách bạn thích, đây là hướng dẫn để thiết lập nó trên Ubuntu. Bạn cũng có thể kiểm tra trang web mực để biết thêm tài liệu và trợ giúp thiết lập.:

    https://help.ubfox.com/9.04/serverguide/C/squid.html

  4. Định cấu hình máy khách của bạn để sử dụng máy chủ Ubuntu làm máy chủ proxy của họ để truy cập internet:

    http://support.microsoft.com/kb/135982

  5. Bạn có thể muốn chặn truy cập internet trên bộ định tuyến tới tất cả các máy trừ máy chủ proxy, để ngăn người dùng xảo quyệt truy cập internet từ bộ định tuyến và bỏ qua máy chủ proxy.

Có rất nhiều trợ giúp về việc thiết lập máy chủ proxy Squid trên Ubuntu.

Tất cả là tốt nhất, tôi hy vọng bạn đi đến tận cùng của nó.

John Rabotnik
nguồn
Có phải chỉ dành cho dữ liệu "web"? Bạn có nghiêm túc rằng bạn muốn thiết lập một proxy cho tất cả các loại giao thức và dữ liệu?
d -_- b
2

Wireshark sẽ tạo ra một gói chụp và bạn có thể phân tích lưu lượng mạng với nó http://www.wireshark.org/

Nếu bạn cần trực quan hóa lưu lượng truy cập nhiều hơn, bạn có thể sử dụng các bộ lọc để chỉ hiển thị cho bạn lưu lượng truy cập cụ thể dựa trên kích thước, loại, v.v.

Daisetsu
nguồn
1

Xem câu trả lời của Daisetsu cho một giải pháp phần mềm.

Vì những lý do rõ ràng, hầu hết / một số quốc gia yêu cầu bạn phải thông báo cho nhân viên rằng lưu lượng sẽ được theo dõi. Nhưng tôi cho rằng bạn đã biết điều đó.

Một kỹ thuật công nghệ thấp hơn nhưng ít xâm lấn hơn sẽ là kiểm tra trực quan các công tắc vật lý cho đèn nhấp nháy: khi mạng chậm, có lẽ ai đó đang sử dụng rất nhiều băng thông, do đó, đèn LED cho cáp của họ sẽ nhấp nháy dữ dội so với mọi người khác . Với 28 máy tính loại bỏ những máy tính "vô tội" không nên mất nhiều thời gian và người dùng đang nghi vấn có thể được thông báo rằng máy tính của họ đang hoạt động sai và sẽ sớm được bạn kiểm tra.

Nếu bạn không quan tâm đến quyền riêng tư của nhân viên (họ có thể cố tình lạm dụng băng thông của bạn) và họ đã ký một thỏa thuận hoặc quyền tài phán địa phương cho phép bạn, bạn có thể bỏ qua bước đó và kiểm tra xem họ đang làm gì mà không cần thông báo trước , tất nhiên. Nhưng trừ khi bạn nghĩ rằng ai đó có thể cho tôi chủ động làm tổn hại đến công ty (ví dụ như vi phạm pháp luật, bị rò rỉ thông tin), điều này có thể dẫn đến một tình huống khó xử (băng thông rộng siêu cao là hấp dẫn và có rất nhiều thứ trên web bạn có thể tải về hàng loạt trên cơ sở hàng ngày, hầu hết trong số đó bạn không nên làm việc nhưng có thể bị cám dỗ).

Mận Alan
nguồn
Không phải để phân tích mạng, nếu đó là để duy trì mạng thì họ không cần thông báo cho nhân viên.
Có lẽ họ không cần thông báo cho họ nếu họ chỉ kiểm tra bề mặt, nhưng nếu họ thực sự nhìn vào bản chất chính xác của dữ liệu (tức là đánh hơi gói tin), có thể chứa mật khẩu hoặc dữ liệu cá nhân (tuy nhiên không phù hợp với loại đó việc sử dụng mạng công ty có thể là), ít nhất đó là nghiệp tốt (nếu không phải là một yêu cầu pháp lý) để nói với họ về điều đó trước.
1

Tôi không thể tin rằng không ai nhắc đến iptraf.

d -_- b
nguồn
0

Hãy cho chúng tôi biết thêm về loại lưu lượng mà bạn thường mong đợi qua mạch. Bạn đang chia sẻ trên nó? Truy cập hộp thư qua nó? Truy cập các tập tin PST trên nó? Bất kỳ cơ sở dữ liệu truy cập? Máy chủ cục bộ hay máy chủ từ xa cho người dùng? Bất cứ điều gì khác chúng ta cần biết?

Maximus Minimus
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.