현재 약 28명을 수용할 수 있는 T3 회선이 있는데 낮에는 속도가 매우 느려지므로 이유를 추적하는 데 도움이 되는 것이 필요합니다. 누군가가 자신도 모르는 사이에 무언가를 다운로드하고 있다고 가정합니다.
답변1
트래픽을 모니터링하기 위해 Wireshark를 사용하지 않는 것이 좋습니다. 너무 많은 데이터를 얻게 되지만 데이터를 분석하는 데 어려움을 겪게 됩니다. 두 컴퓨터 간의 상호 작용을 확인하거나 문제를 해결해야 한다면 Wireshark가 좋습니다. 모니터링 도구인 IMHO, Wireshark는 필요한 도구가 아닙니다.
네트워크 트래픽을 프로파일링합니다. 실제 모니터링 도구를 사용해 보십시오.http://sectools.org/traffic-monitors.html. 당신은 상위 유형의 트래픽(HTTP와 같으나 누가 아는지), 상위 발화자(귀하의 서버여야 하지만 누가 아는지) 및 잠재적으로 잘못된 트래픽(대량의 TCP 재전송, 잘못된 형식의 패킷, 높은 속도의 매우 작은 트래픽)을 찾고 있습니다. 패킷을 볼 수는 없지만 누가 알겠습니까?
동시에 경영진과 협력하여 네트워크 리소스 사용 정책을 개발하십시오. 일반적으로 비즈니스 용어, 컴퓨터 네트워크가 충족하기 위해 존재하는 비즈니스 요구 사항 및 리소스의 적절한 용도는 무엇입니까? 이것은 비용이 많이 들기 때문에 그 존재 자체에 대한 사업적 정당성이 있어야 합니다. 귀하의 회사에는 "소액 현금" 서랍을 처리하기 위한 정책이 있으며 귀하의 네트워크 인프라 비용은 훨씬 더 높을 것입니다. 집중해야 할 핵심 사항은 나쁜 일을 하는 사람들을 잡는 것이 아니라 네트워크 기능(즉, 직원의 업무 완수 능력)을 저하시키는 잠재적인 악의적인 활동을 감시하는 것입니다.남부 튀김 보안 팟캐스트그리고PaulDotCom 보안 주간적절한 보안 정책을 만드는 방법에 대한 정보를 다룹니다.
프록시 서버에 대한 @John_Rabotnik 아이디어는 훌륭했습니다. 웹 트래픽용 프록시 서버를 구현합니다. 기존 방화벽과 비교하여 프록시 서버는 진행 상황에 대한 더 나은 가시성을 제공할 뿐만 아니라 허용할 트래픽(예: 실제 웹 사이트)과 차단할 트래픽([20개의 무작위 문자로 구성된 URL)에 대한 보다 세부적인 제어 기능을 제공합니다. ].com)
사람들에게 알리십시오 - 네트워크에 문제가 있습니다. 네트워크 트래픽을 모니터링하고 있습니다. 네트워크 속도 저하를 등록하는 메커니즘을 제공하고 보고서에 대한 충분한 메타데이터를 캡처하여 전체적으로 네트워크 성능을 분석할 수 있도록 합니다. 동료와 소통하세요. 그들은 당신이 좋은 일을 해서 그들이 좋은 일을 할 수 있기를 바랍니다. 당신은 같은 팀에 있습니다.
일반적으로 모든 것을 차단한 다음 허용해야 할 항목을 허용합니다. 1단계의 모니터링을 통해 네트워크 사용/보안 정책을 통해 필터링된 대로 허용해야 할 사항을 알 수 있습니다. 또한 정책에는 관리자가 새로운 종류의 액세스 권한을 요청할 수 있는 메커니즘이 포함되어야 합니다.
요약하자면, 첫 번째 단계인 트래픽 모니터링(Nagios는 표준 도구인 것 같습니다)은 일반적으로 즉각적인 고통을 멈추기 위해 무슨 일이 일어나고 있는지 파악하는 데 도움이 됩니다. 2~5단계는 향후 문제를 예방하는 데 도움이 됩니다.
답변2
28명이 T3를 포화시키고 있나요? 그럴 것 같지는 않습니다. 모든 사람이 하루 종일 스트리밍 미디어를 사용할 수 있으며 근접하지는 않습니다. 라우팅 루프 및 기타 유형의 네트워크 구성 오류를 확인하는 것이 좋습니다. 바이러스도 검사해야 합니다. 로컬 네트워크에서 작은 봇넷이 실행되고 있다면 트래픽을 쉽게 설명할 수 있습니다.
어떤 종류의 스위칭/방화벽을 사용합니까? 이미 패킷 트래픽을 모니터링하는 기능이 있을 수 있습니다.
편집하다:나는 또한 Wireshark의 열렬한 팬입니다(비록 나이가 들었기 때문에 여전히 내 머릿속에는 "Ethereal"이 있다고 생각합니다). 이를 사용하려는 경우 가장 좋은 방법은 모든 트래픽이 기계를 통과하도록 기계를 인라인으로 배치하는 것입니다. 그러면 장비를 무차별 모드로 전환하지 않고도 철저한 로깅을 실행할 수 있습니다.
그리고 트래픽 조절이 필요한 것으로 밝혀지면 Snort 프록시를 설정하기에 좋은 위치에 있게 됩니다. 하지만 처음부터 Snort 프록시를 설치할 생각은 없습니다. 나는 정말로 당신의 문제가 대역폭인지 의심합니다.
답변3
여분의 기계가 있다면 그것을 하나의 기계로 설정할 수 있습니다.인터넷 프록시 서버. 머신이 라우터를 통해 인터넷에 액세스하는 대신 프록시 서버(라우터를 사용하여 인터넷에 액세스)를 통해 액세스합니다. 그러면 모든 인터넷 트래픽과 해당 트래픽이 발생한 컴퓨터가 기록됩니다. 특정 웹사이트나 파일 형식, 기타 다양한 기능을 차단할 수도 있습니다.
또한 프록시 서버는 자주 사용하는 웹페이지를 캐시하므로 사용자가 동일한 웹사이트를 방문하고, 이미지, 다운로드 등이 이미 프록시 서버에 있으므로 다시 다운로드할 필요가 없습니다. 이렇게 하면 대역폭도 절약될 수 있습니다.
약간의 설정이 필요할 수 있지만 시간과 인내심이 있다면 확실히 시도해 볼 가치가 있습니다. 프록시 서버 설정은 아마도 이 질문의 범위를 벗어나지만 시작하는 데 도움이 되는 몇 가지 지침은 다음과 같습니다.
예비 컴퓨터에 Ubuntu 운영 체제를 설치합니다(Linux에 익숙한 경우 서버 버전을 구입하세요).
터미널/콘솔 창을 열고 다음 명령을 입력하여 머신에 오징어 프록시 서버를 설치합니다.
sudo apt-get 설치 오징어
원하는 방식으로 오징어를 구성하십시오. Ubuntu에서 오징어를 설정하는 방법에 대한 가이드는 다음과 같습니다. 당신은 또한 확인할 수 있습니다오징어 웹사이트더 많은 문서와 설정 도움말을 보려면:
Ubuntu 서버를 프록시 서버로 사용하여 인터넷에 액세스하도록 클라이언트 시스템을 구성합니다.
교활한 사용자가 라우터에서 인터넷에 액세스하고 프록시 서버를 우회하는 것을 막기 위해 프록시 서버를 제외한 모든 시스템에 대한 라우터의 인터넷 액세스를 차단할 수 있습니다.
Ubuntu에서 Squid 프록시 서버를 설정하는 데 도움이 많이 있습니다.
최선을 다해 문제를 해결하시기 바랍니다.
답변4
소프트웨어 솔루션에 대해서는 Daisetsu의 답변을 참조하세요.
당연한 이유로 대부분/일부 국가의 법률에서는 트래픽이 모니터링될 것임을 직원에게 알릴 것을 요구합니다. 하지만 나는 당신이 이미 그것을 알고 있다고 가정합니다.
더낮은 기술이지만 덜 침해적입니다.기술은 깜박이는 표시등이 있는지 물리적 스위치를 시각적으로 확인하는 것입니다. 네트워크 속도가 느려지면 누군가가 많은 대역폭을 사용하고 있을 가능성이 높으므로 케이블의 LED 표시기가 다른 모든 사람의 케이블에 비해 맹렬하게 깜박일 것입니다. 28대의 컴퓨터에서 "순진한" 컴퓨터를 제거하는 데는 오랜 시간이 걸리지 않으며 문제의 사용자는 자신의 컴퓨터가 오작동하고 있다는 사실을 알 수 있으며 곧 귀하가 점검할 것입니다.
직원의 개인 정보 보호에 관심이 없고(결국 대역폭을 고의로 남용할 수 있음) 직원이 계약에 서명했거나 현지 관할권에서 허용하는 경우 해당 단계를 무시하고 사전 통지 없이 직원이 무엇을 하고 있는지 확인할 수 있습니다. , 물론. 그러나 누군가가 회사에 적극적으로 해를 끼칠 수 있다고 생각하지 않는 한(예: 법률 위반, 정보 유출) 어색한 상황이 발생할 수 있습니다(초고속 광대역이 유혹적이며 웹에서 다운로드할 수 있는 것들이 많이 있습니다).한꺼번에매일, 그 중 대부분은 당신이해서는 안 된다직장에서는 유혹을 받을 수도 있음).