2
User-Traffic messen bei einer ASA oder PIX Firewall
Hallo,
Wir haben folgendes Problem ein oder mehrere User im Haus verbrauchen sehr viel Internet-Bandbreite. Ich vermute er oder sie downloaden sehr viele Daten per ftp oder http.
Leider ist es mir nicht erlaubt die Ports für ftp, http, oder bittorrent zusperren.
Wir verwenden im Haus eine Pix 7.2.
Dazu meine Frage, gibt es eine Möglichkeit die verbrauchte Bandbreite pro User IP zumessen um die Daten nachher auszuwerten?
Leider habe ich noch nichts Brauchbares gefunden.
Danke für die Hilfe
Lg
wuze
Wir haben folgendes Problem ein oder mehrere User im Haus verbrauchen sehr viel Internet-Bandbreite. Ich vermute er oder sie downloaden sehr viele Daten per ftp oder http.
Leider ist es mir nicht erlaubt die Ports für ftp, http, oder bittorrent zusperren.
Wir verwenden im Haus eine Pix 7.2.
Dazu meine Frage, gibt es eine Möglichkeit die verbrauchte Bandbreite pro User IP zumessen um die Daten nachher auszuwerten?
Leider habe ich noch nichts Brauchbares gefunden.
Danke für die Hilfe
Lg
wuze
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98358
Url: https://administrator.de/contentid/98358
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Ja, eine Möglichkeit gibt es und die ist recht einfach umzusetzen: Du generierst auf dem Switch an dem die PIX hängt einen Mirrorport und spiegelst den Traffic der über die PX geht auf diesen Port.
Alternativ, solltest du dumme Switches haben, musst du einen kleinen Hub (keinen Switch !) zwischen PIX und Switchport einschleifen oder eine Lösung wie diese
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
verwenden.
An den Mirrorport oder den Hub schliesst du dann einen Wireshark Sniffer oder den MS-NetMonitor an !
Eine Alternative ist auch der Paessler Traffic Grapher in der Freeware Edition:
http://www.de.paessler.com/prtg6/download
Damit hast du nach Mitschneiden vom Traffic über einen etwas längeren Zeitraum sehr schnell die Übeltäter raus und kannst sie anhand der IP Adresse sicher identifizieren.
Wireshark und Paessler bieten einige Statistiken die dir dann auch sagen welche IP am meisten Traffic mit welchem Protokoll erzeugt.
Als Dauerlösung zum Monitoren kannst du ggf. Ciscos NetFlow oder auch SNMP verwenden und an Tools wie MRTG, oder CACTI senden, die dir dann eine permanente Online Überwachung des Traffic bieten !
Cacti ist sehr einfach aufzusetzen und generiert mit ein paar Mausklicks sofort aussagekräftige Bilder über ein Web Interface.
Alternativ, solltest du dumme Switches haben, musst du einen kleinen Hub (keinen Switch !) zwischen PIX und Switchport einschleifen oder eine Lösung wie diese
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
verwenden.
An den Mirrorport oder den Hub schliesst du dann einen Wireshark Sniffer oder den MS-NetMonitor an !
Eine Alternative ist auch der Paessler Traffic Grapher in der Freeware Edition:
http://www.de.paessler.com/prtg6/download
Damit hast du nach Mitschneiden vom Traffic über einen etwas längeren Zeitraum sehr schnell die Übeltäter raus und kannst sie anhand der IP Adresse sicher identifizieren.
Wireshark und Paessler bieten einige Statistiken die dir dann auch sagen welche IP am meisten Traffic mit welchem Protokoll erzeugt.
Als Dauerlösung zum Monitoren kannst du ggf. Ciscos NetFlow oder auch SNMP verwenden und an Tools wie MRTG, oder CACTI senden, die dir dann eine permanente Online Überwachung des Traffic bieten !
Cacti ist sehr einfach aufzusetzen und generiert mit ein paar Mausklicks sofort aussagekräftige Bilder über ein Web Interface.
Danke aqui für die schnelle Hilfe, werde das gleich morgen verwsuchen.
lg
Christian
lg
Christian
