사무실 전체의 인터넷 트래픽을 모니터링하는 가장 좋은 방법은 무엇입니까?

13

우리는 현재 약 28 명의 사람들을위한 T3 라인을 가지고 있으며 낮에 치명적으로 느려져 이유를 추적하는 데 도움이 될만한 것이 필요합니다. 누군가가 알지 못하는 것을 다운로드한다고 가정합니다.

internet traffic

— 라이언 데첼
소스

2

이 질문을 Server Fault로 옮기기로 한 투표. 여기서 네트워크 트래픽 모니터링 과 LAN 내 인터넷 사용을 모니터링하는 방법 과 중복 됩니다.

— Arjan

1

복제본이라는 것을 알면 주제를 벗어난 것으로 간단하게 닫는 것이 더 합리적이지 않습니까?

— John Gardeniers 2016 년

@ 존-항상 검색 엔진에서 찾을 수있는 다른 제목과 설명을 추가하는 것이 좋습니다.

— Gnoupi

P2P 앱 사용자의 인터넷 액세스를 중단한다고 발표합니다.

— duffbeer703

7

wireshark를 사용하여 트래픽을 모니터링하지 않는 것이 좋습니다. 너무 많은 데이터를 얻을 수 있지만 데이터를 분석하는 데 어려움이 있습니다. 커플 머신 간의 상호 작용을 보거나 문제를 해결해야하는 경우 wireshark가 좋습니다. 모니터링 도구, IMHO, wireshark는 필요한 도구가 아닙니다.

네트워크 트래픽을 프로파일 링하십시오. 실제 모니터링 도구 ( http://sectools.org/traffic-monitors.html)를 사용해보십시오 . 상위 유형의 트래픽 (HTTP와 같지만 알고있는 사람), 상위 발화자 (서버와 같지만 알고있는 사람)와 잠재적으로 잘못된 트래픽 (대량의 TCP 재전송, 잘못된 패킷, 매우 작은 비율)을 찾고 있습니다. 아마도 보이지는 않지만 누가 아는가)
동시에 관리자와 협력하여 네트워크 리소스 사용 정책을 개발하십시오. 일반적으로 비즈니스 용어, 컴퓨터 네트워크가 충족해야하는 비즈니스 요구 사항 및 리소스의 적절한 용도는 무엇입니까? 이것은 비용이 많이 들기 때문에 그 존재에 대한 비즈니스 타당성이 있어야합니다. 귀하의 회사는 "소액 현금"서랍을 처리하기위한 정책을 가지고 있으며, 귀하의 네트워크 인프라 비용은 훨씬 더 비쌉니다. 집중해야 할 핵심은 나쁜 일을하는 사람들을 잡는 것이 아니라 네트워크 기능을 저하시키는 잠재적 인 악의적 활동 (예 : 직원의 업무 수행 능력)을 찾는 것입니다. Southern Fried Security Podcast 및 PaulDotCom Security Weekly 는 적절한 보안 정책 작성에 대한 정보를 제공합니다.
프록시 서버에 대한 @John_Rabotnik 아이디어는 훌륭했습니다. 웹 트래픽을위한 프록시 서버를 구현하십시오. 프록시 서버는 기존의 방화벽과 비교하여 현재 상황에 대한 가시성을 높이고 허용 할 트래픽 (예 : 실제 웹 사이트) 및 차단할 트래픽 (임의의 20 개 문자로 구성된 URL)을보다 세밀하게 제어 할 수 있습니다. ] .com)
사람들에게 알려주십시오-네트워크에 문제가 있습니다. 네트워크 트래픽을 모니터링하고 있습니다. 네트워크 속도 저하를 등록하고 보고서에 대한 충분한 메타 데이터를 캡처하여 네트워크 성능을 분석 할 수있는 메커니즘을 제공하십시오. 동료들과 의사 소통하십시오. 그들은 당신이 좋은 일을 할 수 있도록 좋은 일을하기를 원합니다. 당신은 같은 팀에 있습니다.
일반적으로 모든 것을 차단 한 다음 허용해야 할 것을 허용하십시오. 1 단계의 모니터링은 네트워크 사용 / 보안 정책을 통해 필터링 된 것으로 허용해야 할 사항을 알려야합니다. 또한 정책에는 관리자가 새로운 종류의 액세스 권한을 부여 할 수있는 메커니즘이 포함되어야합니다.

요약하자면, 1 단계, 교통 모니터링 (Nagios는 표준 도구 인 것 같습니다)은 일반적으로 즉각적인 고통을 막기 위해 무슨 일이 일어나고 있는지 파악하는 데 도움이됩니다. 2-5 단계는 향후 문제를 예방하는 데 도움이됩니다.

— pcapademic
소스

+1; 모든 훌륭한 팁. 적절한 모니터링이 필수적입니다.

— Maximus Minimus 2016 년

4

28 명이 T3을 포화 시나요? 가능성이없는 것 같습니다 (모두가 하루 종일 스트리밍 미디어를 사용할 수 있고 가까이 가지 않을 것입니다.) 라우팅 루프 및 기타 유형의 네트워크 구성 오류를 확인하려고 할 수 있습니다. 바이러스도 확인해야합니다. 로컬 네트워크에서 작은 봇넷을 실행하고 있다면 트래픽을 쉽게 설명 할 수 있습니다.

어떤 종류의 스위칭 / 방화벽을 사용하십니까? 패킷 트래픽을 모니터링하는 기능이 이미있을 수 있습니다.

편집 : 나는 Wireshark의 열렬한 팬이기도합니다. 사용하려는 경우 가장 좋은 방법은 머신을 인라인으로 배치하여 모든 트래픽이 통과하도록하는 것입니다. 이를 통해 장비를 무차별 모드로 전환하지 않고도 철저한 로깅을 실행할 수 있습니다.

그리고 트래픽 조정이 필요한 것으로 밝혀지면 Snort 프록시를 설정할 수있는 좋은 위치에 있습니다 ...하지만 먼저 설치하려는 의도는 아닙니다. 나는 당신의 문제가 대역폭이라는 것을 정말로 의심합니다.

— 사탄의 강아지
소스

이것에 동의해야합니다. 우리는 하루 종일 다양한 소프트웨어 모니터링 도구를 사용하는 것에 대해 이야기 할 수 있지만 28 명의 사용자가 "정상적이지만 과도한"모든 유형의 "사실"소리를 통해 T3를 죽이는 것은 나에게 평범하지 않은 소리입니다. "알지 못할 수도 있습니다."

— Rob Moir

3

예비 시스템이 있으면 인터넷 프록시 서버 로 설정할 수 있습니다 . 라우터를 통해 인터넷에 액세스하는 머신 대신 프록시 서버 (라우터를 사용하여 인터넷에 액세스)를 통해 머신에 액세스합니다. 그러면 모든 인터넷 트래픽과 해당 컴퓨터의 로그가 기록됩니다. 특정 웹 사이트 나 파일 형식 및 기타 멋진 것들을 차단할 수도 있습니다.

프록시 서버는 자주 사용하는 웹 페이지를 캐시하므로 사용자는 동일한 웹 사이트를 방문하고 이미지, 다운로드 등은 이미 프록시 서버에 있으므로 다시 다운로드 할 필요가 없습니다. 대역폭도 절약 할 수 있습니다.

이것은 약간의 설정이 필요할 수 있지만 시간과 인내심이 있다면 분명히 가치가 있습니다. 프록시 서버 설정은 아마도이 질문의 범위를 벗어나는 것이지만 시작하기위한 몇 가지 지침이 있습니다.

예비 머신에 Ubuntu 운영 체제를 설치하십시오 (Linux에 익숙한 경우 서버 버전을 확보하십시오).

http://www.ubuntu.com/desktop/get-ubuntu/download
터미널 / 콘솔 창을 열고 다음 명령을 입력하여 기계에 오징어 프록시 서버를 설치하십시오.

sudo apt-get 설치 오징어
오징어를 원하는 방식으로 구성하십시오. 우분투에서 설정하는 방법은 다음과 같습니다. 추가 문서 및 설정 도움말에 대해서는 오징어 웹 사이트 를 확인할 수도 있습니다 .

https://help.ubuntu.com/9.04/serverguide/C/squid.html
인터넷에 액세스하기 위해 Ubuntu 서버를 프록시 서버로 사용하도록 클라이언트 컴퓨터를 구성하십시오.

http://support.microsoft.com/kb/135982
교활한 사용자가 라우터에서 인터넷에 액세스하고 프록시 서버를 우회하는 것을 막기 위해 프록시 서버를 제외한 모든 시스템에 대한 라우터의 인터넷 액세스를 차단할 수 있습니다.

Ubuntu에서 Squid 프록시 서버를 설정하는 데 많은 도움이 있습니다.

최선을 다해, 나는 당신이 그것의 바닥에 도착하기를 바랍니다.

— 존 라 보트 닉
소스

"웹"데이터에만 해당됩니까? 모든 종류의 프로토콜과 데이터에 대한 프록시를 설정 하시겠습니까?

— d -_- b 2018 년

2

Wireshark는 패킷 캡처를 생성하고이를 통해 네트워크 트래픽을 분석 할 수 있습니다 http://www.wireshark.org/

더 많은 트래픽을 시각화해야하는 경우 필터를 사용하여 크기, 유형 등을 기준으로 특정 트래픽 만 표시 할 수 있습니다.

— 다이 세츠
소스

1

소프트웨어 솔루션에 대해서는 Daisetsu의 답변을 참조하십시오.

명백한 이유로 대부분 / 일부 국가의 법률에 따라 직원에게 트래픽을 모니터링 할 것을 알려야합니다. 그러나 나는 당신이 이미 그것을 알고 있다고 가정합니다.

더 낮은 기술이지만 덜 침습적 인 기술은 물리적 스위치의 깜박이는 불빛을 시각적으로 확인하는 것입니다. 네트워크가 느려지면 누군가가 많은 대역폭을 사용하고있을 수 있으므로 케이블의 LED 표시가 다른 사람의 LED 표시와 비교하여 격렬하게 깜박입니다. . "무고한"컴퓨터를 제거하는 28 대의 컴퓨터를 사용하면 시간이 오래 걸리지 않으며 문제의 사용자에게 컴퓨터가 잘못 작동하여 곧 확인 될 것임을 알릴 수 있습니다.

직원의 개인 정보 보호에 신경 쓰지 않고 (결국 대역폭을 고의로 남용 할 수 있음) 계약에 서명했거나 현지 관할권에서 허용 한 경우 해당 단계를 무시하고 사전 통지없이 수행중인 작업을 확인할 수 있습니다 , 물론이야. 누군가가 나를 적극적으로 회사 (예 : 정보를 유출, 법률 위반)를 해치는 것 같아요 않는 한,이 어색한 상황이 발생할 수 있습니다 (다운로드 할 수 초고속 광대역 유혹하고 웹 것들을 많이 있습니다 한꺼번에 A의 매일 직장에서 일 하지 말아야 할 유혹이 있지만)

— 앨런 플럼
소스

네트워크를 분석하기위한 것이 아니라 네트워크를 유지하기위한 것이라면 직원에게 알리지 않아도됩니다.

그들은 단지 표면을 확인하고 있다면 사실을 알 필요가 없지만 암호 나 개인 데이터를 포함 할 수있는 데이터의 정확한 특성 (예 : 패킷 스니핑)을 실제로보고 있다면 회사 네트워크를 사용하는 것은 가능할 수도 있습니다.) (법적 요구 사항이 아닌 경우) 사전에 정보를 제공하는 것이 좋은 업장 일 것입니다.

1

http://www.clearfoundation.com/ 또는 http://sourceforge.net/apps/trac/ipcop/wiki

클리어 OS는 구체적으로 자신의 사이트에서 그 능력을 다음과 같이 지적합니다 : http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

1

나는 iptraf를 언급 한 사람이 아무도 없다고 믿을 수 없다.

— d -_- b
소스

0

일반적으로 회로를 통해 예상되는 트래픽 유형에 대해 좀 더 알려주십시오. 파일을 공유하고 있습니까? 전체 사서함에 액세스하고 있습니까? PST 파일에 액세스하고 있습니까? 모든 Access 데이터베이스? 사용자를위한 로컬 서버 또는 원격 서버? 우리가 알아야 할 다른 것이 있습니까?

— 막시무스 미니 무스
소스