monitorare il traffico internet

[.:chrome:.]

[FonderiaDigitale]

[Flonaldo]

Ok, hai ragione! che devo dirti...buona giornata
_________________
Odio un po' di meno gli uomini coi capelli rossi
La mia musica http://www.last.fm/user/Flonaldo/

[klaudyo]

Secondo me FonderiaDigitale ha ragione. Ethereal e' un buon programma per fare sniffing dei pacchetti sulla rete, ma monitorare una rete e' un qualcosa che va oltre.

Secondo me SNMP (anche se va configurato, saputo usare, etc...) puo' essere una buona soluzione.

Comunque, stiamo tranquilli, no?

[Flonaldo]

ehehehe, tranquillissimi...fonderia invece mi sa che ha bisogno di una scutuliata( i partenopei mi capiranno)

Cmq ho provato SNMP, effettivamente è migliore di etherial per MONITORARE il traffico! Rimane pero il concetto di base, ovvero, entrambi porca miseria si basano sul protocollo UDP o mi sbaglio??? non credo ci sia poi una sostanziale differenze a livello di operato!
_________________
Odio un po' di meno gli uomini coi capelli rossi
La mia musica http://www.last.fm/user/Flonaldo/

[klaudyo]

Si SNMP è su UDP, perchè non va bene?

Cmq c'è un enorme differenza tra Ethereal e SNMP:

1) SNMP è un protocollo per la gestione di rete, Ethereal un programma
2) SNMP ti consente di collezionare dati in merito alla tua rete, Ethereal ti fa vedere cosa passa in quel momento "sul filo"
3) SNMP lo trovi implementato su dispositivi HW (tipo quelli della CISCO), oppure te lo installi, lo configuri e gira come demone

Insomma sono due cose proprio diverse! Su Internet trovi ina valanga di cose in merito.

Poi, intendi, non è che ti sto parlando da esperto. Ho seguito un corso all'uni. che parlava di SNMP, ma poi in definitiva non l'ho mai usato.

PS se vuoi info in merito ti do il link dei noiosissimi lucidi del prof. (spero che non frequenti il forum!!!)

Ciao!

[RedNeckCracker]

Approfitto del thread per chiedere come posso implementare la stessa cosa dell'howto di kazhad-dum su snmp e mrtg ma applicato agli host della rete.
Mi spiego meglio: l'howto di kazhad porta a mostrare il traffico complessivo della scheda ethernet del router.
A me piacerebbe poter utilizzare mrtg in modo che mi facesse i grafici, tramite snmp, della banda usata dagli host della rete.
Si, mrtg sta sul router/firewall.
_________________
Rage powered

http://www.stud.ntnu.no/~shane/stasj/pics/humor/div/faster_bigger.jpg

[FonderiaDigitale]

[Flonaldo]

Mi arrendo! Evidentemente ero molto radicato in un concetto di SNMP-ETHEREAL che in realta' era sbagliato!
Sorry
_________________
Odio un po' di meno gli uomini coi capelli rossi
La mia musica http://www.last.fm/user/Flonaldo/

[makoomba]

[FonderiaDigitale]

sigh. non andiamo OT per favore.
non era diretto a nessuno in particolare. era semplicemente una puntualizzazione alla luce dei punti del mio post precedente.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[makoomba]

[gutter]

Per favore evitiamo di scatenare polemiche o mi sento costretto a chiudere il thread.
_________________
Registered as User #281564 and Machines #163761

[Josuke]

is..si c'è stato un po' un degenero..era anche un topic interessante , comunque colui che l'ha aperto non ho capito bene..ha provato snmp e mrtg? non gli va bene? non funziona? insomma ha risolto o no?
_________________
fletto i muscoli...e sono nel vuoto

[.:chrome:.]

[gutter]

[lopio]

[.:chrome:.]

[makoomba]

ritorno a suggerire cacti.

[lopio]

[.:chrome:.]

esiste anche un tal RRDTool, che sto provando in questi giorni.
mi sembra più flessibile di MRTG, e forse anche un po' più semplice da configurare

[makoomba]

[Dr.Dran]

[cagnaluia]

riesumo questa discussione.

Ho un problema nella rete e con gli strumenti che ho non riesco ad analizzare e a monitorare per fare le giuste scelte.


Ci sono due reti aziendali qui da noi. Semplificando:

192.168.1.x dove risiedono i server e il router per la connettività DSL.

192.168.2.x dove risiedono decine di utenti con i loro PC che usufruiscono della rete, dei suoi servizi etc.

Tutti gli utenti hanno un telefono.

Tutti i telefoni sono misto analogici e digitali che si allacciano a due centralini (uno per rete).

Questi centralini hanno un indirizzo IP e lavorano (quando le chiamate sono interne) in VoIP.

Bene.


Fin qua tutto bene.. una rete 10/100/1000 (che abbiamo) con un centinaio di utenti nn farebbe una piega a smistare le telefonate e compagnia bella su IP.

Però.

Per problemi "fisici" una rete è collegata all altra da un ponte radio wireless... che non assicura certamente una banca come quella della fibra ottica o del cavo di rame.. ma qualcosa di molto piu stretto.. 3/4Mbit ... in/out.

Succede:

succede che .... se qualcuno, o piu di qualcuno scarica materiale dal www.. o semplicemente scarica la posta.. o usa copiare file da una sede all altra.. il povero ponte radio... si piega sotto tanta richiesta. Impedendo il corretto funzionamento dei due centralini telefonici.
Le chiamate si sentiranno a salti.. molto disturbate.. per niente udibili...

Così:

siamo costretti a girare il traffico NON piu su VoIP ma direttamente travasandolo sulla rete Telecom.. con tutti i guai del caso: bolletta telefonica molto piu salata.

Quindi:

la mia idea ... visto che non ci sono strumenti per capire cosa succeda.. perfettamente.. MA SOLO vedere sui due router a valle del ponte radio, l'impegno dello stesso... in/out.
Sistemare un PC dotato di due schede di rete... tra il ponte radio e il router che lo gestisce sulla sede 192.168.1.x (non imoporta.. una vale l'altra.. solo per averlo vicino).
Abilitare su questo PC gentoo-based... un forwarding "generico" e "trasparente" come se non ci fosse.. Perchè devo mantere intatto il collegamento.. e tutto il traffico che si muove. Da una parte verso l'altra e viceversa.

Di conseguenza:

sistemato il PC.. dovrei installare qualcosa... ma ignoro cosa... uff.. leggendo qua.. ho fatto solo una montagna di confusione.. per capire cosa si sposta nella rete.. chi fa le richieste, per cosa, da chi e verso chi.. se è un download su internet.. se è una richiesta di dati da un server SQL della rete.. se è posta elettronica... se è VoIP..

In questo modo:

applicare delle regole ... per mantenere una certa banda e una certa priorità minima abbastanza ampia per il VoIP e rallentare di conseguenza tutto il resto.
Inoltre avere la situazione sommaria e dettagliata dell uso della rete.. per futuri aggiornamenti e scelte di natura informatica.
Quindi con una reportistica leggibile e a scelta.. dettagliata.

[GabrieleB]

Attenzione: un sacco di software p2p o instant messaging o spyware o chissacosa oramai lavorano sulla porta 80 facendo finta di essere un normale browser. Bisogna quindi estendere l'indagine al layer applicativo.

E' necessario agire su piu' fronti utilizzando il tool giusto su ogni fronte:

- Ntop: ntop ti permette di avere delle statistiche del tipo: il 70% della banda e' occupato da protocolli p2p, il 15% da navigazione http, il 10% dalla posta e il restante da altri protocolli. Inoltre c'e' un picco di traffico dalle 10 del mattino a mezzogiorno. L'ip 1.2.3.4 (che io so appartenere a Gigi) e' l'utente che fa piu' traffico p2p in assoluto. Prendo i tronchesi e taglio le falangi a Gigi, cosi' non si installa piu' software p2p

- proxy + analizzatore di log: L'ip 1.2.3.4 (che io so appartenere a Gigi) ha visitato donnenude.com e tantimp3.com, sui quali e' utente abituale e ci passa 4 ore al giorno come minimo. Installo sul proxy delle liste categorizzate 9ammesso che ne trovi di esaustive) e faccio dei filtraggi url category-based (tipo bloccare i siti porno e che spacciano materiale protetto da copyright). Comunque prendo i tronchesi e taglio qualcos'altro a Gigi.

- firewall con intelligenza layer7 + url filtering + analizzatore di log: un oggetto del genere permette di fare piu' o meno il lavoro dei precedenti due. Ha un certo costo (non sperate di trovare cose decenti sotto GPL in questo ambiente) ma perlomeno risparmi in ore/uomo per stare dietro a tutto il resto.

Scordatevi di fare tutto con iptables, che e' un firewall a livello 4, dalle cui "grinfie" scappa un sacco di roba. Men che meno con ethereal/wireshark che e' un ottimo sniffer, ma solo uno sniffer e e Snort che e' un IDS (e nemmeno il migliore).
_________________
Keyboard error. Press F1 to continue.