Program för övervakning av nätverk

Tråden skapades och har fått 27 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Thailand
  • 2010-04-18 15:32

Ursäkta om jag startar en ny tråd om något som redan finns behandlat. Sökte på wireshark men hittade bara en urgammal inte relevant diskussion.

Jag söker egentligen ett program som jag (helst) kan installera i macen och som ger mig rapport om ifall det händer någonting onormalt i nätverket. Det finns ett hundratal datorer i nätverket och all trafik går genom en router. Men det går nog inte att installera någonting i den.

Kan jag ha wireshark i min mac och därifrån se vad som passerar routern?

Beror väl på vad du vill övervaka. Ska du övervaka trafiken i detalj är wireshark ett bra verktyg. Ska du övervaka så att maskiner och tjänster fungerar som dom skall i ett nätverk så är nog Nagios ett bättre alternativ.

Nagios - The Industry Standard in IT Infrastructure Monitoring

Beroende på vad du har för router så kan du kanske spara trafik som en .cap fil och sen öppna den i Wireshark. Alternativt spegla all trafik till en port i routern där du sen ansluter en dator med Wireshark.

  • Medlem
  • Sollentuna
  • 2010-04-18 17:01
Ursprungligen av Stig R:

Jag söker egentligen ett program som jag (helst) kan installera i macen och som ger mig rapport om ifall det händer någonting onormalt i nätverket. Det finns ett hundratal datorer i nätverket och all trafik går genom en router. Men det går nog inte att installera någonting i den.

Kan jag ha wireshark i min mac och därifrån se vad som passerar routern?

Nej, tyvärr måste du ha en funktion/program inne i routern som genererar trafikinformation. Sitter du med en dator i nätverket ser du bara den trafik som passerar just din dator och den anslutningen på nätverket.

Sedan måste du ha ett sätt att uttrycka ditt "händer någonting onormalt i nätverket" vilket kan vara väl så komplext. Wireshark skulle jag klassa som en nätverksanalysator medans du är ute efter ett övervakningsverktyg. Visserligen analyserar den din trafik, men ovanpå det utför den också det viktigaste för dig - övervakning.

  • Medlem
  • Thailand
  • 2010-04-19 03:53

Johan - Nagios, det tycks kunna övervaka en server från en klient, har jag uppfattat det rätt?
Innbär det att jag måste sätta in en burk till i serie med routern? Den heter 2300 och finns här:

Har knappast de system som krävs i sig.

Ursprungligen av Stig R:

Johan - Nagios, det tycks kunna övervaka en server från en klient, har jag uppfattat det rätt?
Innbär det att jag måste sätta in en burk till i serie med routern? Den heter 2300 och finns här:

Har knappast de system som krävs i sig.

Med största sannolikhet så har routern stöd för SNMP, vilket du kan använda för att övervaka trafiken över routern mha t ex Nagios.

Men det är inte säkert att det är vad du är ute efter. Kan du ge exempel på "onormala" händelser?

Om vi börjar bena ut själva frågeställningen lite. Är det nätverkstrafik du vill analysera och övervaka eller vill du "bara" övervaka att servrar och tjänster är uppe och fungerar som dom skall? Eller är det kanske tom ett IDS (Intrusion detection system) som du är ute efter när du pratar om onormala händelser i nätverket?

  • Medlem
  • Sollentuna
  • 2010-04-19 13:27
Ursprungligen av Stig R:

Jag söker egentligen ett program som jag (helst) kan installera i macen och som ger mig rapport om ifall det händer någonting onormalt i nätverket. Det finns ett hundratal datorer i nätverket och all trafik går genom en router. Men det går nog inte att installera någonting i den.

Om man läser ditt inlägg en gång till så uppkommer kanske egentligen två (2) frågor: Vill du titta på trafiken som går mellan alla (100++) datorer:

  • och Internet, mao genom routern?

  • inom ditt nätverk, mao genom en eller flera switchar på insidan av routern?

  • Medlem
  • Thailand
  • 2010-04-20 10:00
Ursprungligen av frazze:

Om man läser ditt inlägg en gång till så uppkommer kanske egentligen två (2) frågor: Vill du titta på trafiken som går mellan alla (100++) datorer:

  • och Internet, mao genom routern?

  • inom ditt nätverk, mao genom en eller flera switchar på insidan av routern?

Trafiken mellan datorerna är inte intressant, finns knappast någon. Men all trafik genom routern (= till internet) är intressant.

  • Medlem
  • International user
  • 2010-04-19 13:32

Ja, verkar vara ett ids system Stig är ute efter.
Intrusion detection system - Wikipedia, the free encyclopedia

Snort är gratis och väl etablerad produkt.

  • Medlem
  • Thailand
  • 2010-04-20 09:58

Stöd för SNMP finns.
Som onormal händelse rubricerar jag att en dator under några timmar en natt skickade 100 000 mail. Det finns en infekterad dator i nätverket, men jag hinner inte spåra den innan den tystnar. Vore bra att ha ett öga 24 tim per dygn som ser, och larmar, om det händer. Eller, åtminstone efteråt kan tala om för mig vem som tog upp hela bandbredden en viss tid. Typ en graf som visar trafikmängd per ip-nummer och tidsenhet.

  • Medlem
  • Stockholm
  • 2010-04-22 13:30
Ursprungligen av Stig R:

Eller, åtminstone efteråt kan tala om för mig vem som tog upp hela bandbredden en viss tid. Typ en graf som visar trafikmängd per ip-nummer och tidsenhet.

Likaså finns det en funktion i ISS-6000 som ger dig som administratör möjlighet att sätta begränsningar för hur mycket bandbreddd varje användare får utnyttja.

Sidan 112 i handboken…;)

- Torkel

  • Medlem
  • International user
  • 2010-04-20 10:22

Du verkar sitta på ett företags nät?
Du borde kunna placera en pc på samma switch som routern, replikera all trafik som går via interfacet mot routern mot pc, på denna pc har du WireShark installerad. Logga all trafik, kan bli mycket

Denna log kan du skicka till ett företag som exempelvis, outpost24 eller defensor eller liknande för analys om du är riktigt orolig.

Men du verkar redan ha sett att du har en dator som står att skickar massor av mail ut? Borde du inte på samma ställe / i samma log se vilket ip denna trafik kommer ifrån?
Sedan kollar du ju enkelt i dhcp server vem som fått den adressen.

Se till att maskinerna har sista antivirus uppdateringarna, Kör virus scan på alla maskiner över natten.

Installera en proxy server med virusscanning och sidblockering

Tighta din brandvägg.

  • Medlem
  • International user
  • 2010-04-20 10:24

Scanna dina datorer med nmap eller liknande verktyg för att se vilka tjänster som är öppna på dessa och vilka portar ... kanske kan ge en indikation om någon dator aviker från de övriga

  • Medlem
  • Thailand
  • 2010-04-20 11:25

Nja, inte riktigt företagsnät. Det är mera likt en svensk bostadsrättsförening men här äger alla sina lägenheter. Varje lägenhet äger sin (sina) dator och är naturligt orolig för att någon annan skall titta i den.

Loggen består av sådana mängder rader att jag hoppas det finns ett program som kan läsa, tolka och slå larm eller berätta vad som har hänt och varför. I annat fall kommer vi att behöva vara flera som läser loggar dygnet runt, typ. Någon frivillig?

  • Medlem
  • Stockholm
  • 2010-04-20 13:25
Ursprungligen av Stig R:

Nja, inte riktigt företagsnät. Det är mera likt en svensk bostadsrättsförening men här äger alla sina lägenheter. Varje lägenhet äger sin (sina) dator och är naturligt orolig för att någon annan skall titta i den. ?

Stig,

Till vilken utrustning (Router/Switch) är respektive lägenhet ansluten?

Spontant låter det som att du bör titta på en VLAN-lösning…där anslutningarna till varje lägenhet separeras mjukvarumässigt i switchen/routern i separata VLAN.

Med rätt inställningar i switchen/routern förhindras trafik mellan lägenheterna!

Lycka till,

- Torkel

P.s.

Om VLAN på Svenska Wikipedia
Om VLAN på Engelska Wikipedia

  • Medlem
  • Thailand
  • 2010-04-21 16:59
Ursprungligen av Torkel:

Stig,

Till vilken utrustning (Router/Switch) är respektive lägenhet ansluten?

Spontant låter det som att du bör titta på en VLAN-lösning…där anslutningarna till varje lägenhet separeras mjukvarumässigt i switchen/routern i separata VLAN.

Med rätt inställningar i switchen/routern förhindras trafik mellan lägenheterna!

Lycka till,

- Torkel

P.s.

Om VLAN på Svenska Wikipedia
Om VLAN på Engelska Wikipedia

Vi har en burk som heter ISS-6000 (egentligen avsedd för hotell) som loggar trafik och som förhindrar trafik mellan lägenheterna. Den är också DHCP-server. Så vi behöver nog inte VLAN, bara någon som kan hålla koll på det som sker och slå larm vid behov.

  • Medlem
  • Sollentuna
  • 2010-04-21 18:45
Ursprungligen av Stig R:

Vi har en burk som heter ISS-6000 (egentligen avsedd för hotell) som loggar trafik och som förhindrar trafik mellan lägenheterna. Den är också DHCP-server. Så vi behöver nog inte VLAN, bara någon som kan hålla koll på det som sker och slå larm vid behov.

En sån här alltså?

  • Medlem
  • Thailand
  • 2010-04-22 01:49
Ursprungligen av frazze:

En sån här alltså?

Exakt!

  • Medlem
  • Thailand
  • 2010-04-20 11:27

De flesta har en laptop som de startar, kollar sin G-mail och stänger av. Blir lite svårt att hålla koll manuellt då.

  • Medlem
  • International user
  • 2010-04-20 14:04

DÅ är kanske det bästa om styrelsen går ut och informerar om att det finns problem på ert nät och uppmana era medlemmar att uppdatera sin antivirus ? Kanske ni ska göra ett gemensamt inköp till föreningen av antivirus/brandvägg etc?

Kanske spärra port 25 likt många isp gör?

  • Medlem
  • Sollentuna
  • 2010-04-22 11:36

Jag som inte ens har en aning om vad jag pratar om ser att den bla har

User Authentication and Accounting
RADIUS Authentication and Accounting
Secondary RADIUS Server
Built-in Authentication/ Accounting
Static and Dynamic Accounting
Bandwidth Management
WISPr Smart Client

Sedan har den också

Management
Web-based Management Tool
TFTP/HTTP Firmware Upgrade
Transparent and Intelligent UI
Remote Authorized Management
Import or export configuration file
Reset Button to restore device default setting
Real-time Current User List/ DHCP Clients List/ Session List/
Account List
Remote CGI Configuration
LAN Device Management
LAN Device Status Monitor
Syslog/ Email Log
SNMP v1/v2 (MIB II with traps)

Det sista verkar väl mest användbart som jag förstår det.

http://www.iline.com.au/website/software/drivers_manuals/

Senast redigerat 2010-04-22 11:48
  • Medlem
  • Stockholm
  • 2010-04-22 13:26

Stig,

I manualen för din ISS-6000, på sidan 138, avhandlas enhetens s.k. "Billing Logg"…

Har du kollat om du kan få ut relevant information ur just denna "Billing Logg"??

- Torkel

  • Medlem
  • Thailand
  • 2010-04-22 17:33

Jovisst, ISS:en är jättebra, det finns mycket man kan göra med den. Loggarna är max 50 rader, sedan blir det en ny fil. Det kommer oftast 2-3 loggfiler i minuten, ibland flera. Så jag behöver program som läser och talar om ifall det är någonting speciellt som har hänt. All info finns egentligen, men som jag sagt tidigare, vi behöva vara flera som läser loggar dygnet runt om vi skall göra det manuellt.

Det MÅSTE finnas sådana program

  • Medlem
  • Sollentuna
  • 2010-04-22 17:52

100-150 loggrader/minut låter lite väl mycket för ett 100-tal datorer i en BRF. Har du möjligen slagit på lite väl mycket loggning? Om du inte misstänker att det för stunden finns något annat problem med någon annan boende, så kan du ju logga bara utgående mail-trafik. För det är ju en sak att post-processa *all* loggning eller att bara generera loggar för den felande funktionen. Är du med?

  • Medlem
  • Sollentuna
  • 2010-04-22 19:56

Mitt tips är att du använder dig av Nagios och sedan använder dig av check_snmp-pluggen (SNMP) i kombination med check_mrtgtraf (MRTG) och plockar fram underlag för att detektera bandbreddsförbrukning. Det står mycket bra i manualen till Nagios om hur man övervakar switchar och routrar.

Senast redigerat 2010-04-22 21:17
  • Medlem
  • Sollentuna
  • 2010-04-22 21:17

Annars kan man ju läsa mer här och hitta en annat alternativ i form av Cricket.

  • Medlem
  • Thailand
  • 2010-04-23 01:10

Jag skall titta närmare på Nagios.
ISS:en loggar absolut ALL trafik, det finns ingen inställning för att begränsa i session trace. Tack Frazze, det finns mycket att läsa nu.

Tack alla andra också, jag har också lärt i denna tråden om SNMP vilket verkar lovande.

  • Medlem
  • Sollentuna
  • 2010-04-23 09:04

Jag skulle i så fall helt stänga av genereringen av loggfiler och sikta in mig helt på SNMP.

1
Bevaka tråden