Program för övervakning av nätverk

Beror väl på vad du vill övervaka. Ska du övervaka trafiken i detalj är wireshark ett bra verktyg. Ska du övervaka så att maskiner och tjänster fungerar som dom skall i ett nätverk så är nog Nagios ett bättre alternativ.

Nagios - The Industry Standard in IT Infrastructure Monitoring

Beroende på vad du har för router så kan du kanske spara trafik som en .cap fil och sen öppna den i Wireshark. Alternativt spegla all trafik till en port i routern där du sen ansluter en dator med Wireshark.

Nej, tyvärr måste du ha en funktion/program inne i routern som genererar trafikinformation. Sitter du med en dator i nätverket ser du bara den trafik som passerar just din dator och den anslutningen på nätverket.

Sedan måste du ha ett sätt att uttrycka ditt "händer någonting onormalt i nätverket" vilket kan vara väl så komplext. Wireshark skulle jag klassa som en nätverksanalysator medans du är ute efter ett övervakningsverktyg. Visserligen analyserar den din trafik, men ovanpå det utför den också det viktigaste för dig - övervakning.

Med största sannolikhet så har routern stöd för SNMP, vilket du kan använda för att övervaka trafiken över routern mha t ex Nagios.

Men det är inte säkert att det är vad du är ute efter. Kan du ge exempel på "onormala" händelser?

Om vi börjar bena ut själva frågeställningen lite. Är det nätverkstrafik du vill analysera och övervaka eller vill du "bara" övervaka att servrar och tjänster är uppe och fungerar som dom skall? Eller är det kanske tom ett IDS (Intrusion detection system) som du är ute efter när du pratar om onormala händelser i nätverket?

Om man läser ditt inlägg en gång till så uppkommer kanske egentligen två (2) frågor: Vill du titta på trafiken som går mellan alla (100++) datorer:

• och Internet, mao genom routern?

• inom ditt nätverk, mao genom en eller flera switchar på insidan av routern?

Ja, verkar vara ett ids system Stig är ute efter.
Intrusion detection system - Wikipedia, the free encyclopedia

Snort är gratis och väl etablerad produkt.

Likaså finns det en funktion i ISS-6000 som ger dig som administratör möjlighet att sätta begränsningar för hur mycket bandbreddd varje användare får utnyttja.

Sidan 112 i handboken…;)

- Torkel

Du verkar sitta på ett företags nät?
Du borde kunna placera en pc på samma switch som routern, replikera all trafik som går via interfacet mot routern mot pc, på denna pc har du WireShark installerad. Logga all trafik, kan bli mycket

Denna log kan du skicka till ett företag som exempelvis, outpost24 eller defensor eller liknande för analys om du är riktigt orolig.

Men du verkar redan ha sett att du har en dator som står att skickar massor av mail ut? Borde du inte på samma ställe / i samma log se vilket ip denna trafik kommer ifrån?
Sedan kollar du ju enkelt i dhcp server vem som fått den adressen.

Se till att maskinerna har sista antivirus uppdateringarna, Kör virus scan på alla maskiner över natten.

Installera en proxy server med virusscanning och sidblockering

Tighta din brandvägg.

Scanna dina datorer med nmap eller liknande verktyg för att se vilka tjänster som är öppna på dessa och vilka portar ... kanske kan ge en indikation om någon dator aviker från de övriga

Stig,

Till vilken utrustning (Router/Switch) är respektive lägenhet ansluten?

Spontant låter det som att du bör titta på en VLAN-lösning…där anslutningarna till varje lägenhet separeras mjukvarumässigt i switchen/routern i separata VLAN.

Med rätt inställningar i switchen/routern förhindras trafik mellan lägenheterna!

Lycka till,

- Torkel

P.s.

Om VLAN på Svenska Wikipedia
Om VLAN på Engelska Wikipedia

En sån här alltså?

DÅ är kanske det bästa om styrelsen går ut och informerar om att det finns problem på ert nät och uppmana era medlemmar att uppdatera sin antivirus ? Kanske ni ska göra ett gemensamt inköp till föreningen av antivirus/brandvägg etc?

Kanske spärra port 25 likt många isp gör?

Jag som inte ens har en aning om vad jag pratar om ser att den bla har

User Authentication and Accounting
RADIUS Authentication and Accounting
Secondary RADIUS Server
Built-in Authentication/ Accounting
Static and Dynamic Accounting
Bandwidth Management
WISPr Smart Client

Sedan har den också

Management
Web-based Management Tool
TFTP/HTTP Firmware Upgrade
Transparent and Intelligent UI
Remote Authorized Management
Import or export configuration file
Reset Button to restore device default setting
Real-time Current User List/ DHCP Clients List/ Session List/
Account List
Remote CGI Configuration
LAN Device Management
LAN Device Status Monitor
Syslog/ Email Log
SNMP v1/v2 (MIB II with traps)

Det sista verkar väl mest användbart som jag förstår det.

http://www.iline.com.au/website/software/drivers_manuals/

Stig,

I manualen för din ISS-6000, på sidan 138, avhandlas enhetens s.k. "Billing Logg"…

Har du kollat om du kan få ut relevant information ur just denna "Billing Logg"??

- Torkel

100-150 loggrader/minut låter lite väl mycket för ett 100-tal datorer i en BRF. Har du möjligen slagit på lite väl mycket loggning? Om du inte misstänker att det för stunden finns något annat problem med någon annan boende, så kan du ju logga bara utgående mail-trafik. För det är ju en sak att post-processa *all* loggning eller att bara generera loggar för den felande funktionen. Är du med?

Mitt tips är att du använder dig av Nagios och sedan använder dig av check_snmp-pluggen (SNMP) i kombination med check_mrtgtraf (MRTG) och plockar fram underlag för att detektera bandbreddsförbrukning. Det står mycket bra i manualen till Nagios om hur man övervakar switchar och routrar.

Annars kan man ju läsa mer här och hitta en annat alternativ i form av Cricket.

Jag skulle i så fall helt stänga av genereringen av loggfiler och sikta in mig helt på SNMP.