オフィス全体のインターネットトラフィックを監視する最良の方法は何ですか?
現在、約28人用のT3回線があり、日中は非常に遅くなるので、理由を追跡するのに役立つものが必要です。誰かが気づかないかもしれない何かをダウンロードしていると思います。
トラフィックを監視するためにWiresharkを使用しないことをお勧めします。取得するデータは多すぎますが、データの分析は困難です。 2台のマシン間の相互作用を確認/トラブルシューティングする必要がある場合は、wiresharkが最適です。監視ツールであるIMHOとして、wiresharkは必要なツールではありません。
ネットワークトラフィックのプロファイルを作成します。実際の監視ツールをいくつか試してください: http://sectools.org/traffic-monitors.html 。トップタイプのトラフィック(HTTPのようですが、誰が知っているか)、トップトーカー(サーバーである必要がありますが、誰が知っているか)、および潜在的に不正な形式のトラフィック(大量のTCP再送信)を探しています、不正な形式のパケット、非常に小さなパケットの割合が高い。おそらく表示されないが、だれが知っているか)
同時に、経営陣と協力して、ネットワークリソースの使用ポリシーを作成します。一般に、ビジネス用語、コンピュータネットワークが満たすためにビジネスに必要なもの、およびリソースの適切な用途は何ですか。これにはお金がかかるので、その存在自体をビジネス上正当化する必要があります。あなたの会社には「少額の現金」ドロワーの取り扱いに関するポリシーがありますが、私はあなたのネットワークインフラストラクチャのコストがそれよりもはるかに高いと思います。注意すべき重要なことは、悪いことをしている人々を捕まえることではなく、ネットワーク機能を低下させる潜在的な悪意のあるアクティビティ(つまり、従業員が仕事を遂行する能力)を監視することです。 Southern Fried Security Podcast および PaulDotCom Security Weekly は、適切なセキュリティポリシーの作成に関する情報を扱います。
プロキシサーバーに対する@John_Rabotnikのアイデアは素晴らしかったです。 Webトラフィック用のプロキシサーバーを実装します。プロキシサーバーを使用すると、従来のファイアウォールと比較して、何が起こっているかを詳細に把握できるだけでなく、許可するトラフィック(実際のWebサイトなど)やブロックするトラフィック(20個のランダムな文字で構成されるURL)をより詳細に制御できます。 ] .com)
人々に知らせてください-ネットワークに問題があります。ネットワークトラフィックを監視しています。ネットワークの速度低下を登録するメカニズムを提供し、レポートに関する十分なメタデータをキャプチャして、全体としてネットワークパフォーマンスを分析できるようにします。同僚と通信します。彼らはあなたが良い仕事をして欲しいので、彼らは良い仕事をすることができます。あなたは同じチームにいます。
原則として、すべてをブロックし、許可されるべきものを許可します。ステップ1からの監視では、ネットワークの使用/セキュリティポリシーでフィルター処理されているため、何を許可する必要があるかがわかります。ポリシーには、マネージャーが新しい種類のアクセスの許可を要求できるメカニズムも含める必要があります。
要約すると、ステップ1のトラフィックモニタリング(Nagiosは標準的なツールのようです)は、一般的に、即時の痛みを止めるために何が起こっているのかを理解するのに役立ちます。手順2〜5は、将来の問題の防止に役立ちます。
T3を飽和させている28人?ありそうにありません(誰もが1日中ストリーミングメディアを使用する可能性があり、近くに来ることはありません)。ルーティングループやその他の種類のネットワークの構成ミスをチェックしたい場合があります。ウイルスもチェックする必要があります。ローカルネットワークで小さなボットネットを実行している場合、それはトラフィックを簡単に説明します。
どのようなスイッチング/ファイアウォールを使用していますか?パケットトラフィックを監視する機能がすでにある場合があります。
編集:私はWiresharkの大ファンでもあります(私は年を取っているので、頭の中で「Ethereal」と思っています)。それを使用する場合、最善の方法は、マシンをインラインに配置して、すべてのトラフィックがそれを通過するようにすることです。これにより、機器をプロミスキャスモードに切り替えることなく、完全なロギングを実行できます。
そして、トラフィックシェーピングが必要であることが判明した場合は、Snortプロキシを設定するのに適した位置にいるでしょう...しかし、インストールするつもりはありません。私はあなたの問題が帯域幅であることを本当に疑います。
予備のマシンがある場合は、それを インターネットプロキシサーバー に設定できます。ルーターを介してインターネットにアクセスするマシンの代わりに、プロキシサーバー(ルーターを使用してインターネットにアクセスする)を介してマシンにアクセスします。これにより、すべてのインターネットトラフィックとそれがどのマシンからのものかが記録されます。特定のWebサイトやファイルの種類、その他多くのすばらしいものをブロックすることもできます。
プロキシサーバーは、頻繁に使用されるWebページもキャッシュするため、ユーザーは同じWebサイトにアクセスし、画像、ダウンロードなどは既にプロキシサーバー上にあるため、再度ダウンロードする必要はありません。これにより、帯域幅も節約できます。
これにはいくつかの設定が必要かもしれませんが、時間と忍耐があれば、間違いなく行く価値があります。プロキシサーバーの設定はおそらくこの質問の範囲を超えていますが、ここにあなたを始めるためのいくつかの指針があります:
予備のマシンにUbuntuオペレーティングシステムをインストールします(Linuxに慣れている場合はサーバーバージョンを取得します)。
ターミナル/コンソールウィンドウを開き、次のコマンドを入力して、Squidプロキシサーバーをマシンにインストールします。
Sudo apt-get install squid
イカを好きなように設定します。Ubuntuで設定するためのガイドを次に示します。 squidのWebサイト でドキュメントやセットアップのヘルプを確認することもできます。
インターネットにアクセスするプロキシサーバーとしてUbuntuサーバーを使用するようにクライアントマシンを構成します。
狡猾なユーザーがルーターからインターネットにアクセスしてプロキシサーバーをバイパスするのを防ぐために、プロキシサーバーを除くすべてのマシンへのルーター上のインターネットアクセスをブロックすることができます。
UbuntuでSquidプロキシサーバーを設定する方法については、たくさんの助けがあります。
よろしくお願いいたします。
Wiresharkはパケットキャプチャを作成し、それを使用してネットワークトラフィックを分析できます http://www.wireshark.org/
トラフィックをさらに視覚化する必要がある場合は、フィルターを使用して、サイズ、タイプなどに基づいて特定のトラフィックのみを表示できます。
ソフトウェアソリューションについては、大雪の回答を参照してください。
ただし、明らかな理由により、ほとんどの国または一部の国の法律では、トラフィックが監視されることを従業員に通知する必要があります。しかし、あなたはすでにそれを知っていると思います。
より多くのローテクだが侵襲性が低いテクニックは、点滅しているライトの物理スイッチを視覚的にチェックすることです。ネットワークが遅くなると、誰かがおそらく多くの帯域幅を使用しているため、ケーブルのLEDインジケーターが他の人と比較して猛烈に点滅します。 28台のコンピューターで「無害な」コンピューターを取り除いても、それほど時間はかかりません。問題のユーザーは、コンピューターが誤動作していることを知らされ、すぐに確認されます。
従業員のプライバシーを気にせず(結局のところ、帯域幅を故意に悪用している可能性があります)、契約に署名したか、地方自治体が許可している場合は、その手順を無視して、事前の通知なしに何をしているかを確認できます、 もちろん。しかし、誰かが私に会社に積極的に危害を加える可能性があると思わない限り(法律違反、情報漏えいなど)、これは厄介な状況になる可能性があります(超高ブロードバンドは魅力的であり、ダウンロードできるものはたくさんありますen masse日常的に、そのほとんどは職場ではすべきではありませんが、誘惑される)。
誰もiptrafについて言及していません。
回線上で通常予想されるトラフィックのタイプについてもう少し詳しく教えてください。あなたはそれをファイル共有していますか?そこからメールボックスにアクセスしていますか?そこからPSTファイルにアクセスしていますか? Accessデータベースはありますか?ユーザーのためのローカルサーバーまたはリモートサーバー?他に知っておくべきことはありますか?