Wir haben derzeit eine T3-Leitung für etwa 28 Personen und sie wird tagsüber tödlich langsam, daher brauche ich etwas, um herauszufinden, warum. Ich gehe davon aus, dass jemand etwas herunterlädt, von dem er möglicherweise nichts weiß.
Antwort1
Ich würde davon abraten, Wireshark zur Überwachung des Datenverkehrs zu verwenden. Sie erhalten einfach zu viele Daten, aber die Datenanalyse ist schwierig. Wenn Sie die Interaktion zwischen mehreren Maschinen überprüfen/Fehler beheben müssen, ist Wireshark großartig. Als Überwachungstool ist Wireshark meiner Meinung nach nicht ganz das Tool, das Sie benötigen.
Erstellen Sie ein Profil des Netzwerkverkehrs. Probieren Sie einige aktuelle Überwachungstools aus:http://sectools.org/traffic-monitors.html. Sie suchen nach dem Top-Datenverkehrstyp (wahrscheinlich HTTP, aber wer weiß), den Top-Talkern (sollten Ihre Server sein, aber wer weiß) und möglicherweise nach fehlerhaftem Datenverkehr (große Anzahl von TCP-Neuübertragungen, fehlerhafte Pakete, hohe Raten sehr kleiner Pakete. Wahrscheinlich werden Sie das nicht sehen, aber wer weiß).
Arbeiten Sie gleichzeitig mit Ihrem Management an einer Richtlinie zur Nutzung von Netzwerkressourcen. Im Allgemeinen, in geschäftlicher Hinsicht: Welche geschäftlichen Anforderungen soll das Computernetzwerk erfüllen und wie ist die Nutzung der Ressource angemessen? Dieses Ding kostet Geld, also muss es eine geschäftliche Rechtfertigung für seine Existenz geben. Ihr Unternehmen hat Richtlinien für den Umgang mit der „Portokasse“, und ich wette, Ihre Netzwerkinfrastruktur kostet viel mehr. Der Schlüssel zum Erfolg liegt nicht darin, Leute dabei zu erwischen, wie sie etwas Schlechtes tun, sondern vielmehr darauf zu achten, ob potenziell böswillige Aktivitäten die Netzwerkfunktionalität beeinträchtigen (d. h. die Fähigkeit der Mitarbeiter, ihre Arbeit zu erledigen).Southern Fried Security-PodcastUndPaulDotCom Security WeeklyUmfassende Informationen zum Erstellen geeigneter Sicherheitsrichtlinien.
@John_Rabotniks Idee mit dem Proxy-Server war großartig. Implementieren Sie einen Proxy-Server für den Web-Datenverkehr. Im Vergleich zu herkömmlichen Firewalls bieten Ihnen Proxy-Server eine viel bessere Übersicht über das, was vor sich geht, und eine genauere Kontrolle darüber, welcher Datenverkehr zugelassen (z. B. echte Websites) und welcher blockiert (URLs, die aus [20 zufälligen Zeichen].com bestehen) werden soll.
Informieren Sie die Leute – das Netzwerk hat ein Problem. Sie überwachen den Netzwerkverkehr. Geben Sie ihnen einen Mechanismus, um Netzwerkverlangsamungen zu registrieren, und erfassen Sie genügend Metadaten zum Bericht, damit Sie die Netzwerkleistung insgesamt analysieren können. Kommunizieren Sie mit Ihren Mitarbeitern. Sie möchten, dass Sie gute Arbeit leisten, damit sie gute Arbeit leisten können. Sie sind im selben Team.
Als allgemeine Regel gilt: Blockieren Sie alles und lassen Sie dann zu, was erlaubt sein soll. Ihre Überwachung von Schritt eins an sollte Ihnen mitteilen, was erlaubt sein muss, gefiltert durch Ihre Netzwerknutzungs-/Sicherheitsrichtlinie. Ihre Richtlinie sollte auch einen Mechanismus enthalten, mit dem ein Manager die Gewährung neuer Arten von Zugriff anfordern kann.
Zusammenfassend lässt sich sagen, dass Schritt eins, die Verkehrsüberwachung (Nagios scheint ein Standardtool zu sein), Ihnen hilft, allgemein herauszufinden, was los ist, um das unmittelbare Problem zu beheben. Die Schritte 2 bis 5 helfen, das Problem in Zukunft zu vermeiden.
Antwort2
28 Leute, die einen T3 überlasten? Das scheint unwahrscheinlich (jeder könnte den ganzen Tag lang Streaming-Medien nutzen, und es käme nicht einmal annähernd an die Grenze heran). Sie sollten vielleicht nach Routing-Schleifen und anderen Arten von Netzwerk-Fehlkonfigurationen suchen. Sie sollten auch nach Viren suchen. Wenn Sie ein kleines Botnetz in Ihrem lokalen Netzwerk laufen haben, würde das den Datenverkehr leicht erklären.
Welche Art von Switch/Firewall verwenden Sie? Möglicherweise verfügen Sie bereits über die Möglichkeit, den Paketverkehr zu überwachen.
Bearbeiten:Ich bin auch ein großer Fan von Wireshark (obwohl ich alt bin und deshalb in Gedanken immer noch an „Ethereal“ denke). Wenn Sie es verwenden möchten, ist es am besten, eine Maschine in Reihe zu schalten, sodass der gesamte Datenverkehr durch sie hindurchgehen muss. Auf diese Weise können Sie umfassende Protokollierungen durchführen, ohne Ihre Geräte in den Promiscuous-Modus schalten zu müssen.
Und wenn Sie eine gewisse Verkehrssteuerung benötigen, sind Sie in einer guten Position, um einen Snort-Proxy einzurichten. Ich würde allerdings nicht gleich mit der Absicht beginnen, einen zu installieren. Ich bezweifle wirklich, dass Ihr Problem die Bandbreite ist.
Antwort3
Wenn Sie eine Ersatzmaschine haben, können Sie diese alsInternet-Proxyserver. Anstatt dass die Maschinen über den Router auf das Internet zugreifen, greifen sie über den Proxyserver darauf zu (der für sie über den Router auf das Internet zugreift). Dadurch wird der gesamte Internetverkehr protokolliert und angegeben, von welchem Computer er stammt. Sie können sogar bestimmte Websites oder Dateitypen und viele andere coole Dinge blockieren.
Der Proxyserver speichert außerdem häufig verwendete Webseiten im Cache, sodass die Benutzer dieselben Webseiten besuchen. Die Bilder, Downloads usw. befinden sich bereits auf dem Proxyserver und müssen nicht erneut heruntergeladen werden. Dadurch können Sie möglicherweise auch Bandbreite sparen.
Dies könnte einige Zeit in Anspruch nehmen, aber wenn Sie Zeit und Geduld haben, lohnt es sich auf jeden Fall. Die Einrichtung des Proxyservers geht wahrscheinlich über den Rahmen dieser Frage hinaus, aber hier sind ein paar Hinweise für den Anfang:
Installieren Sie das Ubuntu-Betriebssystem auf einem Ersatzcomputer (holen Sie sich die Serverversion, wenn Sie mit Linux vertraut sind):
Installieren Sie den Squid-Proxyserver auf dem Computer, indem Sie ein Terminal-/Konsolenfenster öffnen und den folgenden Befehl eingeben:
sudo apt-get installiere Squid
Konfigurieren Sie Squid nach Ihren Wünschen. Hier finden Sie eine Anleitung zur Einrichtung unter Ubuntu. Sie können auch dieSquid-Websitefür weitere Dokumentation und Hilfe zur Einrichtung:
Konfigurieren Sie Ihre Client-Rechner so, dass sie den Ubuntu-Server als Proxy-Server für den Zugriff auf das Internet verwenden:
Möglicherweise möchten Sie den Internetzugriff auf dem Router für alle Computer außer dem Proxyserver blockieren, um zu verhindern, dass listige Benutzer vom Router aus auf das Internet zugreifen und den Proxyserver umgehen.
Es gibt jede Menge Hilfe zum Einrichten des Squid-Proxyservers unter Ubuntu.
Alles Gute, ich hoffe, Sie kommen der Sache auf den Grund.
Antwort4
Eine Softwarelösung finden Sie in der Antwort von Daisetsu.
Aus offensichtlichen Gründen verlangen die Gesetze der meisten/mancher Länder, dass Sie die Mitarbeiter darüber informieren, dass der Verkehr überwacht wird. Aber ich gehe davon aus, dass Sie das bereits wissen.
Ein mehrLow-Tech, aber weniger invasivEine gute Technik wäre, die physischen Schalter visuell auf blinkende Lichter zu überprüfen: Wenn das Netzwerk langsamer wird, nutzt jemand wahrscheinlich eine große Bandbreite, sodass die LED-Anzeige für sein Kabel im Vergleich zu allen anderen Kabeln wild blinkt. Bei 28 Computern sollte das Aussortieren der „unschuldigen“ Computer nicht lange dauern, und der betreffende Benutzer kann darüber informiert werden, dass sein Computer nicht richtig funktioniert und in Kürze von Ihnen überprüft wird.
Wenn Ihnen die Privatsphäre Ihrer Mitarbeiter egal ist (sie könnten Ihre Bandbreite schließlich absichtlich missbrauchen) und sie entweder eine Vereinbarung unterzeichnet haben oder die örtliche Gerichtsbarkeit es Ihnen erlaubt, können Sie diesen Schritt einfach ignorieren und natürlich ohne Vorankündigung überprüfen, was sie tun. Aber es sei denn, Sie glauben, dass jemand dem Unternehmen aktiv schaden könnte (z. B. Gesetze verletzen, Informationen weitergeben), könnte dies zu einer unangenehmen Situation führen (Ultra-Breitband ist verlockend und es gibt viele Dinge im Internet, die Sie herunterladen könntenin Massentäglich, die meisten davonsollte nichtbei der Arbeit, aber die Versuchung ist groß).