Atualmente temos uma linha T3 para cerca de 28 pessoas e fica mortalmente lenta durante o dia, então preciso de algo para ajudar a descobrir o porquê. Presumo que alguém esteja baixando algo do qual talvez não esteja ciente.
Responder1
Eu recomendaria não usar o wireshark para monitorar o tráfego. Você obterá muitos dados, mas terá dificuldade em analisá-los. Se você precisar analisar/solucionar problemas de interação entre algumas máquinas, o wireshark é ótimo. Como ferramenta de monitoramento, IMHO, o wireshark não é exatamente a ferramenta que você precisa.
Crie um perfil do tráfego de rede. Experimente algumas ferramentas reais de monitoramento:http://sectools.org/traffic-monitors.html. Você está procurando o principal tipo de tráfego (provavelmente HTTP, mas quem sabe), os principais interlocutores (devem ser seus servidores, mas quem sabe) e o tráfego potencialmente malformado (grande quantidade de retransmissões TCP, pacotes malformados, altas taxas de tráfego muito pequeno pacotes. Provavelmente não verá, mas quem sabe)
Ao mesmo tempo, trabalhe com a sua gestão para desenvolver uma política de utilização de recursos de rede. Em geral, em termos de negócios, quais são as necessidades comerciais que a rede de computadores existe para atender e quais são os usos apropriados do recurso. Essa coisa está custando dinheiro, então deve haver uma justificativa comercial para sua existência. Sua empresa tem políticas para lidar com a gaveta de “caixa” e aposto que sua infraestrutura de rede custa muito mais que isso. O principal foco não é pegar pessoas fazendo coisas ruins, mas sim observar possíveis atividades maliciosas que estão degradando a funcionalidade da rede (ou seja, a capacidade dos funcionários de realizar seu trabalho).Podcast de segurança do sul fritoePaulDotCom Segurança Semanalcobrem informações sobre a criação de políticas de segurança apropriadas.
A ideia do @John_Rabotnik para um servidor proxy foi ótima. Implemente um servidor proxy para tráfego da web. Em comparação com firewalls tradicionais, os servidores proxy oferecem uma visibilidade muito melhor sobre o que está acontecendo, bem como um controle mais granular sobre qual tráfego permitir (por exemplo, sites reais) e qual tráfego bloquear (URLs compostos de [20 caracteres aleatórios .com)
Deixe as pessoas saberem que a rede está com problemas. Você está monitorando o tráfego da rede. Forneça a eles um mecanismo para registrar lentidão da rede e capture metadados suficientes sobre o relatório para que, de forma agregada, você possa analisar o desempenho da rede. Comunique-se com seus colegas de trabalho. Eles querem que você faça um bom trabalho para que eles possam fazer um bom trabalho. Você está no mesmo time.
Como regra geral, bloqueie tudo e depois permita o que deveria ser permitido. Seu monitoramento desde a primeira etapa deve informar o que precisa ser permitido, conforme filtrado pela política de uso/segurança da rede. Sua política também deve incluir um mecanismo pelo qual um gerente possa solicitar a concessão de novos tipos de acesso.
Em resumo, primeiro passo, o monitoramento de tráfego (o Nagios parece ser uma ferramenta padrão) ajuda você a descobrir, em geral, o que está acontecendo para interromper a dor imediata. As etapas 2 a 5 ajudam a prevenir o problema no futuro.
Responder2
28 pessoas saturando um T3? Não parece provável (todos poderiam usar streaming de mídia o dia todo e isso não chegaria perto). Você pode querer verificar se há loops de roteamento e outros tipos de configuração incorreta de rede. Você também deve verificar se há vírus. Se você tiver um pequeno botnet em execução na sua rede local, isso explicaria facilmente o tráfego.
Que tipo de switch/firewall você usa? Talvez você já tenha alguma capacidade para monitorar o tráfego de pacotes.
Editar:Também sou um grande fã do Wireshark (embora seja velho, ainda penso em "Etéreo" na minha cabeça). Se for utilizá-lo, a melhor forma é colocar uma máquina em linha para que todo o tráfego passe por ela. Isso permitirá que você execute registros exaustivos sem precisar colocar seu equipamento no modo promíscuo.
E se acontecer que você precisa de alguma modelagem de tráfego, você estará em uma boa posição para configurar um proxy Snort...Eu não começaria com a intenção de instalar um, entretanto. Eu realmente duvido que seu problema seja largura de banda.
Responder3
Se você tiver uma máquina sobressalente, poderá configurá-la para ser umaservidor proxy de internet. Em vez das máquinas acessarem a internet através do roteador, elas acessam através do servidor proxy (que acessa a internet usando o roteador para elas). Isso registrará todo o tráfego da Internet e de qual máquina ele veio. Você pode até bloquear determinados sites ou tipos de arquivos e muitas outras coisas interessantes.
O servidor proxy também armazenará em cache as páginas da web usadas com frequência para que os usuários visitem os mesmos sites, as imagens, downloads, etc. já estarão no servidor proxy para que não precisem ser baixados novamente. Isso também pode economizar largura de banda.
Isso pode exigir alguma configuração, mas se você tiver tempo e paciência, definitivamente vale a pena tentar. A configuração do servidor proxy provavelmente está além do escopo desta questão, mas aqui estão algumas dicas para você começar:
Instale o sistema operacional Ubuntu em uma máquina sobressalente (obtenha a versão do servidor se estiver confortável com Linux):
Instale o servidor proxy squid na máquina abrindo uma janela de terminal/console e digitando o seguinte comando:
sudo apt-get install squid
Configure o squid do jeito que você quiser, aqui está um guia para configurá-lo no Ubuntu. Você também pode verificar osite de lulapara obter mais documentação e ajuda de configuração.:
Configure suas máquinas clientes para usar o servidor Ubuntu como servidor proxy para acessar a Internet:
Você pode querer bloquear o acesso à Internet no roteador para todas as máquinas, exceto o servidor proxy, para impedir que usuários astutos acessem a Internet a partir do roteador e ignorem o servidor proxy.
Há muita ajuda disponível para configurar o servidor proxy Squid no Ubuntu.
Tudo de bom, espero que você chegue ao fundo disso.
Responder4
Veja a resposta de Daisetsu para uma solução de software.
Por razões óbvias, as leis da maioria/de alguns países exigem que você informe aos funcionários que o tráfego será monitorado. Mas presumo que você já saiba disso.
Um maisde baixa tecnologia, mas menos invasivoA técnica seria verificar visualmente se há luzes piscando nos interruptores físicos: quando a rede fica lenta, alguém provavelmente está usando muita largura de banda, então o indicador LED do cabo piscará furiosamente em comparação com o de todos os outros. Com 28 computadores, eliminar os "inocentes" não deverá demorar muito e o usuário em questão poderá ser informado de que seu computador está se comportando mal e será verificado por você em breve.
Se você não se importa com a privacidade de seus funcionários (afinal, eles podem estar abusando de sua largura de banda intencionalmente) e eles assinaram um acordo ou a jurisdição local permite, você pode simplesmente ignorar essa etapa e verificar o que eles estão fazendo sem aviso prévio. , claro. Mas, a menos que você ache que alguém possa estar prejudicando ativamente a empresa (por exemplo, violando leis, vazando informações), isso pode resultar em uma situação embaraçosa (a banda larga ultra-alta é tentadora e há muitas coisas na web que você pode baixarem massadiariamente, a maioria dos quais vocênão deveriano trabalho, mas pode ficar tentado a fazê-lo).