Quelle est la meilleure façon de surveiller le trafic Internet pour l'ensemble du bureau?

Nous avons actuellement une ligne T3 pour environ 28 personnes et elle devient mortellement lente pendant la journée, j'ai donc besoin de quelque chose pour aider à comprendre pourquoi. Je suppose que quelqu'un télécharge quelque chose dont il n'est peut-être pas au courant.

Je déconseille d'utiliser WireShark pour surveiller le trafic. Vous obtiendrez simplement trop de données, mais vous aurez du mal à analyser les données. Si vous avez besoin de regarder / dépanner l'interaction entre quelques machines, wireShark est génial. En tant qu'outil de surveillance, à mon humble avis, Wireshark n'est pas tout à fait l'outil dont vous avez besoin.

1. Profil du trafic réseau. Essayez quelques outils de surveillance réels: http://sectools.org/traffic-monitors.html . Vous recherchez le Top Type de trafic (probablement HTTP, mais qui sait), Top Talkers (devrait être vos serveurs, mais qui sait), et potentiellement du trafic mal formé (grande quantité de retransmissions TCP, paquets mal formés, taux élevés de très petits ne verra probablement pas, mais qui sait)

2. Dans le même temps, travaillez avec votre direction pour développer une stratégie d'utilisation des ressources réseau. En général, en termes commerciaux, quels sont les besoins commerciaux auxquels le réseau informatique doit répondre et quelles sont les utilisations appropriées de la ressource. Cette chose coûte de l'argent, il doit donc y avoir une justification commerciale pour son existence même. Votre entreprise a des politiques pour gérer le tiroir "petite caisse", et je parierais que votre infrastructure réseau coûte beaucoup plus que cela. L'essentiel sur lequel se concentrer n'est pas d'attraper des gens qui font de mauvaises choses, mais plutôt de surveiller les activités malveillantes potentielles qui dégradent la fonctionnalité du réseau (c'est-à-dire la capacité des employés à faire leur travail). Southern Fried Security Podcast et PaulDotCom Security Weekly couvrent des informations sur la création de politiques de sécurité appropriées.

3. L'idée de @John_Rabotnik pour un serveur proxy était super. Implémentez un serveur proxy pour le trafic Web. Par rapport aux pare-feu traditionnels, les serveurs proxy vous offrent une bien meilleure visibilité sur ce qui se passe ainsi qu'un contrôle plus granulaire sur le trafic à autoriser (par exemple, les sites Web réels) et le trafic à bloquer (URL composées de [20 caractères aléatoires ] .com)

4. Faites savoir aux gens - le réseau a un problème. Vous surveillez le trafic réseau. Donnez-leur un mécanisme pour enregistrer les ralentissements du réseau et capturer suffisamment de métadonnées sur le rapport afin que, globalement, vous puissiez analyser les performances du réseau. Communiquez avec vos collègues. Ils veulent que vous fassiez du bon travail afin qu'ils puissent faire du bon travail. Vous faites partie de la même équipe.

5. En règle générale, bloquez tout, puis autorisez ce qui doit être autorisé. Votre surveillance de la première étape devrait vous permettre de savoir ce qui doit être autorisé, tel que filtré par le biais de votre politique d'utilisation / de sécurité du réseau. Votre politique doit également inclure un mécanisme par lequel un gestionnaire peut demander que de nouveaux types d'accès soient accordés.

En résumé, première étape, la surveillance du trafic (Nagios semble être un outil standard) vous aide à comprendre, en général, ce qui se passe pour arrêter la douleur immédiate. Les étapes 2 à 5 permettent d'éviter le problème à l'avenir.

28 personnes saturent un T3? Cela ne semble pas probable (tout le monde pourrait utiliser des médias en streaming toute la journée, et cela ne se rapprocherait pas.) Vous voudrez peut-être vérifier les boucles de routage et d'autres types de mauvaise configuration du réseau. Vous devez également rechercher les virus. Si vous avez un petit botnet en cours d'exécution sur votre réseau local, cela expliquerait facilement le trafic.

Quel type de commutation / pare-feu utilisez-vous? Vous pouvez déjà avoir une certaine capacité de surveiller le trafic de paquets.

Éditer: je suis aussi un grand fan de Wireshark (bien que je sois vieux, donc je pense toujours "Ethereal" dans ma tête). Si vous comptez l'utiliser, le meilleur moyen est de mettre une machine en ligne afin que tout le trafic y passe. Cela vous permettra d'exécuter une journalisation exhaustive sans avoir à passer votre équipement en mode promiscuous.

Et s'il s'avère que vous avez besoin d'une certaine forme de trafic, vous serez en bonne position pour configurer un proxy Snort ... Je ne commencerais cependant pas avec l'intention d'en installer un. Je doute vraiment que votre problème soit la bande passante.

Si vous avez une machine de rechange, vous pouvez la configurer comme serveur proxy Internet . Au lieu que les machines accèdent à Internet via le routeur, elles y accèdent via le serveur proxy (qui accède à Internet en utilisant le routeur pour elles). Cela enregistrera tout le trafic Internet et la machine dont il provient. Vous pouvez même bloquer certains sites Web ou types de fichiers et bien d'autres choses intéressantes.

Le serveur proxy mettra également en cache les pages Web fréquemment utilisées afin que les utilisateurs visitent les mêmes sites Web, les images, les téléchargements, etc. seront déjà sur le serveur proxy afin qu'ils n'aient pas besoin d'être retéléchargés à nouveau. Cela pourrait également vous faire économiser de la bande passante.

Cela pourrait prendre un peu de configuration, mais si vous avez le temps et la patience, cela vaut vraiment la peine. La configuration du serveur proxy dépasse probablement le cadre de cette question, mais voici quelques conseils pour vous aider à démarrer:

1. Installez le système d'exploitation Ubuntu sur une machine de rechange (obtenez la version du serveur si vous êtes à l'aise avec Linux):

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. Installez le serveur proxy squid sur la machine en ouvrant une fenêtre de terminal / console et en tapant la commande suivante:

   sudo apt-get install squid

3. Configurez Squid comme vous le souhaitez, voici un guide pour le configurer sur Ubuntu. Vous pouvez également consulter le site Web de Squid pour plus de documentation et d'aide à la configuration:

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. Configurez vos machines clientes pour utiliser le serveur Ubuntu comme serveur proxy pour accéder à Internet:

   http://support.microsoft.com/kb/135982

5. Vous voudrez peut-être bloquer l'accès Internet sur le routeur à toutes les machines à l'exception du serveur proxy, pour empêcher les utilisateurs rusés d'accéder à Internet depuis le routeur et de contourner le serveur proxy.

Il y a beaucoup d'aide pour configurer le serveur proxy Squid sur Ubuntu.

J'espère que vous allez au fond des choses.

Wireshark va créer une capture de paquets et vous pouvez analyser le trafic réseau avec elle http://www.wireshark.org/

Si vous avez besoin de visualiser davantage le trafic, vous pouvez utiliser des filtres pour n'afficher que le trafic spécifique en fonction de la taille, du type, etc.

Voir la réponse de Daisetsu pour une solution logicielle.

Pour des raisons évidentes, la plupart des lois / certains pays exigent que vous informiez les employés que le trafic sera surveillé. Mais je suppose que vous le savez déjà.

Une technique plus low-tech mais moins invasive serait de vérifier visuellement les commutateurs physiques pour les lumières clignotantes: lorsque le réseau ralentit, quelqu'un utilise probablement beaucoup de bande passante, donc l'indicateur LED de leur câble clignotera furieusement par rapport à tout le monde. . Avec 28 ordinateurs éliminant les "innocents", ceux-ci ne devraient pas tarder et l'utilisateur en question peut être informé que son ordinateur se comporte mal et sera vérifié par vous sous peu.

Si vous ne vous souciez pas de la confidentialité de vos employés (ils pourraient abuser de votre bande passante délibérément après tout) et qu'ils ont signé un accord ou que la juridiction locale vous le permet, vous pouvez simplement ignorer cette étape et vérifier ce qu'ils font sans préavis. , bien sûr. Mais à moins que vous ne pensiez que quelqu'un pourrait me nuire activement à l'entreprise (par exemple, violer les lois, divulguer des informations), cela pourrait entraîner une situation délicate (le haut débit ultra-tentant est tentant et il y a beaucoup de choses sur le Web que vous pouvez télécharger en masse sur un tous les jours, dont la plupart ne devraient pas être au travail mais pourraient être tentés de le faire).

http://www.clearfoundation.com/ ou http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS note spécifiquement cette capacité sur leur site: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

Je ne peux pas croire que personne n'ait mentionné iptraf.

Dites-nous en plus sur le type de trafic que vous attendez normalement sur le circuit. Partagez-vous des fichiers à travers elle? Accéder aux boîtes aux lettres à travers elle? Accéder aux fichiers PST à travers elle? Des bases de données Access? Serveurs locaux ou serveurs distants pour les utilisateurs? Autre chose que nous devons savoir?