ポートミラーリングなしの監視

問題の概要

最近、帯域幅の使用に関するいくつかの問題が発生しています。これは、オフィスでのインターネットの誤用（故意かどうかに関係なく）が原因と思われます。ネットワークトラフィックを監視して、特定の内部IPアドレスに障害があるかどうかを確認したい。私たちの帯域幅は十分以上でなければなりません。

私たちのセットアップ

Cisco PIX 501ファイアウォールに接続された3Com Superstack 3スイッチがあり、それがISP提供のルーターに接続されています。

私が試したこと

スイッチもファイアウォールもポートミラーリング機能が利用できないようです。そのため、永続的なトレースを維持できません。PIXは自身のメモリバッファへの一時的なトレースを提供しますが、これを使用する自信があまりありません。

私は（Windows 2000）DNSサーバーにWiresharkをインストールしようとしましたが、ここのパケットデータは役に立ちませんでした。

次のステップ

トラフィックの監視方法に関する皆さんからの提案は素晴らしいでしょう。ただし、既存のハードウェアを交換する立場にはまだありません。スイッチとファイアウォール（またはファイアウォールとルーター）の間に配置できるネットワークタップのコストを調べ、そこにパケットを監視するマシンをセットアップしました。私はこれまでこのアプローチを採用したことがないので、それが本当に実行可能かどうか疑問に思いました。

2つの可能な選択肢... パケットキャプチャタップ（これは非常に実行可能です）またはASAでのパケットキャプチャ。

タップを購入してインラインで挿入することに興味がない場合は、Cisco PIXでキャプチャすることを恐れないでください。PIXでトラフィックをキャプチャするには、最初にACLを定義します... 10.10.10.1のファイアウォールの内側にあるホストからのトラフィックをキャプチャしようとしていると想定します。

access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1

次に、このホストが正当な問題であるかどうかを見つけるのに十分な大きさのバッファを使用して、ACLに一致するトラフィックのキャプチャを開始します...

capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500

オプションで、tftpを使用してキャプチャをダウンロードできます...

copy /pcap capture:inside_capture tftp: 

このシスコのドキュメントには、PIX / Cisco ASAでのトラフィックのキャプチャに関する多くの優れた情報があります。DOC17345 PIXトラフィックのキャプチャ

簡単に独自のイーサネットタップを作成できます。おそらくギガビットインターフェースでは機能しませんが、10または100メガビットでは機能します。事前に作られたものが出荷されるのを待ちたくなかったとき、私は以前にそれを作りました。

http://hackaday.com/2008/09/14/passive-networking-tap/はそれらについて少し書いています。基本的に必要なのは、4つのcat5ジャックと少しのケーブルだけです。

2つのジャックは、スイッチとファイアウォール、またはファイアウォールとISPルーター間の既存の接続の間にあります。

2つのタップジャックには、それぞれ1つの信号方向が接続されています。1つをラップトップ（または2つのNICを備えたシステムの場合は両方）に接続します。ネットワークカードの送信ピンがまったく接続されていないため、ラップトップが誤ってデータを送信することはありません。

過剰な使用がどこから来ているのかを知るには、おそらく1つの方向だけをキャプチャするだけで十分です。

私は、オフィスのインターネット接続を外す前に、それほど重要でない接続のタップをテストします。動作がわかったら、問題を解決する必要がある限り、接続してラップトップでwiresharkを実行したままにすることができます。