tnase
Goto Top

Netzwerkauslastung minimieren - unntige Ports schlie

Hallo zusammen.

Hier wird ein Netzwerk betrieben, welches aus Domain und Arbeitsgruppen besteht. seit geraumer Zeit sind die Auslastung und die Antwortzeiten sehr hoch.
Frage: Bestehen unnötige Dienste im Netz, welche unnötiges Traffic verursachen? Was braucht man eigentlich im oben beschriebenen Netz? Gibt es hier eine Übersicht, um dies alles einzugrenzen?
Kurzum: Welche Dienste und besonders - welche Porst?
Kurze Aufgliederung:
Server: DNS, DHCP, FS: windows 2003
Internetgate: Linux 9.0 (2xLan incl. Firewall)
WS: jeweils windows XP sp2 (Die WS stellen teilweise Ordner und Drucker zur Verfügung)


Danke für Unterstützung und geduld.

Thomas

Content-Key: 39962

Url: https://administrator.de/contentid/39962

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: bitfix
bitfix 13.09.2006 um 09:31:11 Uhr
Goto Top
Hi,

Wenn Auslastung und Antwortzeiten hoch sind, ist nach meiner erfahrung irgendeine spy/virus/oder sonsige ware im Einsatz.

Also nr. 1 - Viren und spywarescanner auf den win pc's laufen lassen.
Nr 2 - auf Deiner Firewall nachschauen, was denn so alles ins internet geht. Beliebt sind z.B eMule, oder ähnliches.

Zu deiner Portsfrage. Das ist ja besonders auf der LinuxFW interessant.

- Rein -> gar nix , oder was Du halt freigeben willst (z.B. Port 25 für eMails)
- Raus -> je nach dem. z.B port 110 für pop3 abfrage Deiner mails.
Beim Surfen wirds schon schwieriger. Port 80 und 443 für normales surfen.
Besser wärs Du hättest eine Proxy, dann brauchst Du nix mehr aufmachen, nur die Proxy muß dann noch ins internet rausgehen. Gibts kostenlos, z.B. Squid. Damit kannst Du dann relativ genau regeln was ins Internet raus soll (bzw auch rein). In den Logfiles siehst Du dann auch schneller wer für den Traffic verantwortlich ist.


Dienste auf den XP bzw 2003 zu schließen ist sicher möchglich.
Für XP SP2 gibts die einfache möglichkeit der eingebauten Firewall. Die macht eigentlich alle nicht benötigten ports zu und ist einfach über GPO's zu installieren. (Aufpassen bei Druckerfreigabe und Dateisharing).
Bei'm Server trau ich mich nicht per Ferndiagnose eine Antwort zu geben... Das hängt zu sehr ab.

hoffe Das hilft

Karl
Mitglied: tnase
tnase 14.09.2006 um 19:34:15 Uhr
Goto Top
Hallo.,

Wenn Auslastung und Antwortzeiten hoch sind,
ist nach meiner erfahrung irgendeine
spy/virus/oder sonsige ware im Einsatz.

Habe eine gute Virenlösung im Netz. Alle Systeme sind (soweit) abgesichert ?!

Nr 2 - auf Deiner Firewall nachschauen, was
denn so alles ins internet geht. Beliebt sind
z.B eMule, oder ähnliches.

Von außen ist nur der 22ger offen. sonst nichts.


Zu deiner Portsfrage. Das ist ja besonders
auf der LinuxFW interessant.

- Rein -> gar nix , oder was Du halt
freigeben willst (z.B. Port 25 für
eMails)
- Raus -> je nach dem. z.B port 110
für pop3 abfrage Deiner mails.
Beim Surfen wirds schon
schwieriger. Port 80 und 443 für
normales surfen.
Besser wärs Du
hättest eine Proxy, dann brauchst Du nix
mehr aufmachen, nur die Proxy muß dann
noch ins internet rausgehen. Gibts kostenlos,
z.B. Squid. Damit kannst Du dann relativ

läuft auch hier. Alle systeme gehen über den Proxy face-smile

genau regeln was ins Internet raus soll (bzw
auch rein). In den Logfiles siehst Du dann
auch schneller wer für den Traffic
verantwortlich ist.

Da fängt es wohlö an. Die Log-Files sind nicht immer einfach zu verstehen. Ich habe Ethereal laufen. Dies bringt mir allerdings nur bedingt `was, da im netz 3 switches installiert sind. Ich kann demnach nur direkte Wege scannen.

Dienste auf den XP bzw 2003 zu
schließen ist sicher möchglich.
Für XP SP2 gibts die einfache
möglichkeit der eingebauten Firewall.
Die macht eigentlich alle nicht
benötigten ports zu und ist einfach

Von dieser Firewall hört man aber nichts gutes. Im Netz habe ich überhaupt keine aktiviert. Nur nach außen die Linux-firewall. Bringt das wirklich `was?

über GPO's zu installieren. (Aufpassen

GPO?

bei Druckerfreigabe und Dateisharing).
Bei'm Server trau ich mich nicht per
Ferndiagnose eine Antwort zu geben... Das
hängt zu sehr ab.


Danke für Info. Thomas.
Mitglied: bitfix
bitfix 14.09.2006 um 21:34:33 Uhr
Goto Top
Hallo.,

> Wenn Auslastung und Antwortzeiten hoch
sind,
> ist nach meiner erfahrung irgendeine
> spy/virus/oder sonsige ware im
Einsatz.

Habe eine gute Virenlösung im Netz.
Alle Systeme sind (soweit) abgesichert ?!

Eine gute Virenlösung ist auch das mindeste. Ich würd aber mal testweise mit einem AD-Ware Scanner drüberschauen. Leider erkennen, bzw wollen viele Virenscanner solche progs nicht erkennen.
> Nr 2 - auf Deiner Firewall nachschauen,
was
> denn so alles ins internet geht.
Beliebt sind
> z.B eMule, oder ähnliches.

Von außen ist nur der 22ger offen.
sonst nichts.

... Von Außen wirst Du ja hoffentlich keine Netzwerklast bekommen. Viel gefährlicher ist von innen. Also irgend ein prog auf irgend einem rechner das die ganze zeit mit dem Internet kommuniziert. Dazu braucht kein port von außen offen zu sein...

>
> Zu deiner Portsfrage. Das ist ja
besonders
> auf der LinuxFW interessant.
>
> - Rein -> gar nix , oder was Du
halt
> freigeben willst (z.B. Port 25
für
> eMails)
> - Raus -> je nach dem. z.B port 110
> für pop3 abfrage Deiner mails.
> Beim Surfen wirds schon
> schwieriger. Port 80 und 443 für
> normales surfen.
> Besser wärs Du
> hättest eine Proxy, dann brauchst
Du nix
> mehr aufmachen, nur die Proxy muß
dann
> noch ins internet rausgehen. Gibts
kostenlos,
> z.B. Squid. Damit kannst Du dann
relativ

läuft auch hier. Alle systeme gehen
über den Proxy face-smile

Perfekt. und die Firewall ist für alle anderen Rechner zu ?
> genau regeln was ins Internet raus soll
(bzw
> auch rein). In den Logfiles siehst Du
dann
> auch schneller wer für den
Traffic
> verantwortlich ist.

Da fängt es wohlö an. Die
Log-Files sind nicht immer einfach zu
verstehen. Ich habe Ethereal laufen. Dies
bringt mir allerdings nur bedingt `was, da im
netz 3 switches installiert sind. Ich kann
demnach nur direkte Wege scannen.

OK mit Etheral ist das so eine sache. zu viele Daten, schwer zu lesen. Mit switchen noch schwerer aufzusetzen. Effektiv kannst Du nur stichproben machen. Ein netter Versuch ist es allerdings Etheral irgendwo im Netz an einem Switch aufzusetzen. Eigentlich dürfte da außer ein paar Broadcasts nichts ankommen. Wenn doch packete auf die Netzwerkadresse kommen, dann solltest Du dir gedanken machen...
> schließen ist sicher
möchglich.
> Für XP SP2 gibts die einfache
> möglichkeit der eingebauten
Firewall.
> Die macht eigentlich alle nicht
> benötigten ports zu und ist
einfach

Von dieser Firewall hört man aber
nichts gutes. Im Netz habe ich überhaupt
keine aktiviert. Nur nach außen die
Linux-firewall. Bringt das wirklich `was?

Kommt drauf an. Wenn Du im Netz eine hohe auslastung hast, dann ist die Linux-FW erst mal außen vor. Entweder was falsch konfiguriert, oder schon nen virus drinn.. Von außen nach innen bringt sie meistes was, darauf achtet man ja im allgemeinen. Leider ist oft konfiguriert, von innen nach außen alles erlauben. Das ist natürlich dann mist, wenn auf irgend einem rechner ein keylogger oder ähnliches läuft. oder ein spam virus (da merkst du nichts davon - außer einer höheren Netzwerklast, er soll ja nur spams verschicken). - Zur WinFirewall - für einen Klient ist sie meiner meinung nach besser als die komischen Desktop firewalls die die ganze zeit mit komischen Meldungen nerven. Bin Security Spezialist und selbst ich hab schon mal auf den falschen Knopf gedrückt. Also beim einfachen bleiben, auch wenns theoretisch nicht perfekt ist, in der Praxis funktionierts ganz gut.
> über GPO's zu installieren.
(Aufpassen

GPO?
Group Policy Object - Du hast ja eine Domäne. Es gibt da schon schöne Templates von MS, die recht gut funktionieren..

> bei Druckerfreigabe und Dateisharing).
> Bei'm Server trau ich mich nicht per
> Ferndiagnose eine Antwort zu geben...
Das
> hängt zu sehr ab.


Danke für Info. Thomas.
Mitglied: meinereiner
meinereiner 14.09.2006 um 22:08:15 Uhr
Goto Top
Eine Firewall kann doch nicht der richtige Ansatz sein. Da unterdrückt man nur die Wirkung anstatt die Ursache abzustellen.

Die Ursache kann aber sehr unterschiedlich sein. Das können unnötige Protokolle, eine falsch konfigurierte Namensauflösung, die Dinge die genannt wurde und noch vieles mehr sein.

Um der Sache wirklich auf die Spur zu kommen, wirst du wohl um einen Sniffer nicht rum kommen. Wenn du mit dem nicht umgehen kannst, beauftrage eine externe Firma. Kein Admin kann alles und es ist nur sinnvoll sich bei speziellen Problemen Experten zu holen.
Mitglied: tnase
tnase 16.09.2006 um 12:44:19 Uhr
Goto Top
Die Ursache kann aber sehr unterschiedlich
sein. Das können unnötige
Protokolle, eine falsch konfigurierte
Namensauflösung, die Dinge die genannt
wurde und noch vieles mehr sein.

Ein feiner Ansatz. Unnötige Dienste und Protokolle - derzeit mein Thema. Hast du hierzu gute Links?
Auf jeden Fall setze ich z.Zt. dieses Pferd. Da das Traffic nicht immer hoch ist, habe ich mir netlimiter angesehen und, da Remote-steuerbar - installiert. Hier kann ich die situation einsehen. Interessant ist bei diesem Programm auch, dass man den Transfer für einzelne Prozesse auswerten kann - und demnach auch die Quelle (IP) sieht.

Vielleicht kommt man hier weiter.


Um der Sache wirklich auf die Spur zu
kommen, wirst du wohl um einen Sniffer nicht


Z.B. DNS-Verkehr. Dieses kann man sehr gut mit Filter darstellen.

rum kommen. Wenn du mit dem nicht umgehen
kannst, beauftrage eine externe Firma. Kein
Admin kann alles und es ist nur sinnvoll sich
bei speziellen Problemen Experten zu holen.

Derzeit noch kein Thema. Wenn man sich in ein Thema einarbeitet, kommt man - wohl auch mit Hilfe von anderen - schon recht weit. Kostenplflichte Hilfe sollte immer die letzte Lösung sein - Wenn die Situation und die Zeit es zulassen.

Thomas.