Actualmente tenemos una línea T3 para unas 28 personas y se vuelve muy lenta durante el día, así que necesito algo que me ayude a descubrir el motivo. Supongo que alguien está descargando algo de lo que quizás no esté al tanto.
Respuesta1
Recomendaría no utilizar Wireshark para monitorear el tráfico. Obtendrá demasiados datos, pero le resultará difícil analizarlos. Si necesita observar o solucionar problemas de interacción entre un par de máquinas, Wireshark es excelente. Como herramienta de monitoreo, en mi humilde opinión, Wireshark no es la herramienta que necesita.
Perfilar el tráfico de la red. Pruebe algunas herramientas de monitoreo reales:http://sectools.org/traffic-monitors.html. Está buscando el tipo de tráfico principal (probablemente HTTP, pero quién sabe), los que hablan con más frecuencia (deberían ser sus servidores, pero quién sabe) y el tráfico potencialmente mal formado (gran cantidad de retransmisiones TCP, paquetes mal formados, altas tasas de tráfico muy pequeño). paquetes Probablemente no lo vea, pero quién sabe)
Al mismo tiempo, trabaje con su administración para desarrollar una política de uso de recursos de red. En términos generales, en términos comerciales, ¿para qué necesidades comerciales existe la red informática y cuáles son los usos apropiados del recurso? Esto cuesta dinero, por lo que tiene que haber una justificación empresarial para su existencia. Su empresa tiene políticas para manejar el cajón de "caja chica" y apuesto a que su infraestructura de red cuesta mucho más. La clave en la que debemos centrarnos es no detectar a las personas haciendo cosas malas, sino más bien estar atentos a posibles actividades maliciosas que estén degradando la funcionalidad de la red (es decir, la capacidad de los empleados para realizar su trabajo).Podcast de seguridad de Southern FriedySemanal de seguridad PaulDotComCubre información sobre la creación de políticas de seguridad adecuadas.
La idea de @John_Rabotnik para un servidor proxy fue genial. Implementar un servidor proxy para el tráfico web. En comparación con los firewalls tradicionales, los servidores proxy le brindan una visibilidad mucho mejor de lo que sucede, así como un control más granular sobre qué tráfico permitir (por ejemplo, sitios web reales) y qué tráfico bloquear (URL compuestas por [20 caracteres aleatorios] ].com)
Informe a la gente: la red está teniendo un problema. Estás monitoreando el tráfico de la red. Bríndeles un mecanismo para registrar desaceleraciones de la red y capture suficientes metadatos sobre el informe para que, en conjunto, pueda analizar el rendimiento de la red. Comunícate con tus compañeros de trabajo. Quieren que usted haga un buen trabajo para que ellos puedan hacerlo. Estás en el mismo equipo.
Como regla general, bloquee todo y luego permita lo que debería permitirse. Su monitoreo desde el paso uno debería permitirle saber qué se debe permitir, según lo filtrado a través de su política de seguridad/uso de red. Su política también debe incluir un mecanismo mediante el cual un administrador pueda solicitar que se le otorguen nuevos tipos de acceso.
En resumen, el primer paso, el monitoreo del tráfico (Nagios parece ser una herramienta estándar) te ayuda a descubrir, en general, qué está sucediendo para detener el dolor inmediato. Los pasos 2 a 5 ayudan a prevenir el problema en el futuro.
Respuesta2
¿28 personas saturando una T3? No parece probable (todos podrían usar medios de transmisión por secuencias durante todo el día y no estaría ni cerca). Es posible que desee verificar si hay bucles de enrutamiento y otros tipos de mala configuración de la red. También debes comprobar si hay virus. Si tiene una pequeña botnet ejecutándose en su red local, eso explicaría fácilmente el tráfico.
¿Qué tipo de conmutación/firewall utilizas? Es posible que ya tenga alguna capacidad para monitorear el tráfico de paquetes.
Editar:También soy un gran admirador de Wireshark (aunque soy mayor, así que todavía pienso en "Ethereal" en mi cabeza). Si va a utilizarlo, la mejor manera es colocar una máquina en línea para que todo el tráfico pase por ella. Eso le permitirá ejecutar un registro exhaustivo sin tener que cambiar su equipo al modo promiscuo.
Y si resulta que necesitas algo de configuración del tráfico, estarás en una buena posición para configurar un proxy Snort... Sin embargo, no comenzaría con la intención de instalar uno. Realmente dudo que tu problema sea el ancho de banda.
Respuesta3
Si tiene una máquina de repuesto, puede configurarla para que sea unaservidor proxy de internet. En lugar de que las máquinas accedan a Internet a través del enrutador, acceden a través del servidor proxy (que accede a Internet utilizando el enrutador). Esto registrará todo el tráfico de Internet y de qué máquina proviene. Incluso puedes bloquear ciertos sitios web o tipos de archivos y muchas otras cosas interesantes.
El servidor proxy también almacenará en caché las páginas web utilizadas con frecuencia para que los usuarios visiten los mismos sitios web, las imágenes, descargas, etc. ya estarán en el servidor proxy, por lo que no será necesario volver a descargarlas. Esto también podría ahorrarle algo de ancho de banda.
Esto podría requerir algo de configuración, pero si tienes el tiempo y la paciencia, definitivamente vale la pena hacerlo. La configuración del servidor proxy probablemente esté fuera del alcance de esta pregunta, pero aquí hay algunos consejos para comenzar:
Instale el sistema operativo Ubuntu en una máquina de repuesto (obtenga la versión del servidor si se siente cómodo con Linux):
Instale el servidor proxy squid en la máquina abriendo una ventana de terminal/consola y escribiendo el siguiente comando:
sudo apt-get instalar calamar
Configura Squid como quieras, aquí tienes una guía para configurarlo en Ubuntu. También puedes consultar elsitio web de calamarpara obtener más documentación y ayuda con la configuración:
Configure sus máquinas cliente para usar el servidor Ubuntu como servidor proxy para acceder a Internet:
Es posible que desee bloquear el acceso a Internet en el enrutador para todas las máquinas excepto el servidor proxy, para evitar que usuarios astutos accedan a Internet desde el enrutador y omitan el servidor proxy.
Hay mucha ayuda disponible para configurar el servidor proxy Squid en Ubuntu.
Todo lo mejor, espero que llegues al fondo del asunto.
Respuesta4
Consulte la respuesta de Daisetsu para obtener una solución de software.
Sin embargo, por razones obvias, la mayoría de las leyes de algunos países requieren que usted informe a los empleados que el tráfico será monitoreado. Pero supongo que ya lo sabes.
un masBaja tecnología pero menos invasiva.La técnica sería comprobar visualmente los interruptores físicos en busca de luces parpadeantes: cuando la red se ralentiza, es probable que alguien esté usando mucho ancho de banda, por lo que el indicador LED de su cable parpadeará furiosamente en comparación con el de todos los demás. Con 28 computadoras, eliminar las "inocentes" no debería llevar mucho tiempo y se puede informar al usuario en cuestión que su computadora se está comportando mal y que usted la revisará en breve.
Si no le importa la privacidad de sus empleados (después de todo, es posible que estén abusando de su ancho de banda intencionalmente) y ellos firmaron un acuerdo o la jurisdicción local se lo permite, puede simplemente ignorar ese paso y verificar lo que están haciendo sin previo aviso. , por supuesto. Pero a menos que piense que alguien podría estar perjudicando activamente a la empresa (por ejemplo, violando leyes, filtrando información), esto podría resultar en una situación incómoda (la banda ancha ultraalta es tentadora y hay muchas cosas en la web que puede descargar).en masaa diario, la mayoría de los cuales ustedno deberíaen el trabajo pero podría verse tentado a hacerlo).