Monitoramento de rede

[Dedao]

Ola a todos. Estou aos poucos querendo monitorar a rede da empresa em que eu trabalho. Eu gostaria da dica de vocês, de um software que monitore minha rede, e me mostre de maneira fácil os seguintes quesitos:

Gasto de Banda da Rede
Computadores que estão gastando mais banda (por ip ou mac)
Tipo de serviço / protocolo que está gastando mais banda
Horário de pico


Se possível, também gostaria de dicas para um software que "indica-se" possíveis problemas na rede, (como loops, broadcasts...).

Outra dica que eu gostaria, seria uma maneira de monitorar se meu servidor está sendo álvo de tentativas de invasão.

Minha rede tem cerca de 30 máquinas, com um link Turbo 400. Existem 2 servidores: Servidor de Rede (banco de dados, samba, dhcp etc) e Servidor de Internet (qmail, firewall, squid, dns, etc). Atualmente estou utilizando o iptraf e o iftop para ter uma idéia do que esta + - acontecendo na rede, porém, acho os logs um pouco genéricos de mais e algumas vezes, um pouco complicado de entende-los. Me sugeriram instalar o mrtg para ficar mais fácil de monitorar a rede. O que vocês acham ? é facil de instalar, é fácil de entender o funcionamento ?....

Desde já agradeço pela atenção.

Abraços

Renato

[xstefanox]

O Nagios é um software muito bom para monitorar servidores. Saiu na LinuxMagazine esses tempos um artigo mostrando como se implementava um. Recomendo o NTOP para ter uma listagem dos protocolos e mais informações sobre seus usos dentro da rede. Recomendo o CACTI para medir horários de pico e praticamente qualquer coisa dentro da sua rede.

[irado]

vc trata de várias questões em um único post, então vamos lá:

o Xstefanox já deu boas dicas, que eu corroboro:

- Nagios para monitorar servidores
- NTOP apresenta informações bem interessantes sobre (por exemplo) quem está tendo demanda mais alta, o que está sendo usado. Como as informações são "voláteis", é melhor capturar por tcpdump e "ler" com o NTOP (está tudo no manual).
- Wireshark - para análise mais apurada, também pode usar o arquivo do tcpdump, assim como gerar um
- CACTI - melhor do que o MRTG e (dizem) mais fácil de configurar - vc teria todas as informações de tráfego de sua rede (dependendo da interface que vc vai "olhar" - rs)

Agora, para as tentativas de invasão, vc tem que usar IDS:

- Nessus o mais conhecido
- OSSEC HIDS - foi mencionado aqui nos foruns, conforme o link
https://under-linux.org/forums/segur...-no-linux.html

home: OSSEC HIDS - Open Source Security

êste último eu achei beeeem interessante por ser um HIDS que pode ser usado como IDS, ou seja, é bem flexivel

enfim.. divirta-se

[Dedao]

Pessoal, muito obrigado mesmo . Estou começando com o ntop no servidor de rede (samba, dhcp, firebird, qmail...) Não imaginava que era tão aprofundado assim o ntop. Estou gostando muito . Bom, analisei algumas coisas, e dei uma rápida lida na ajuda dele e fiquei com algumas dúvidas.

1 - Eu olhei Summary - Hostos, e achei algo estranho. No ip do Servidor de Rede, ele mostra no Bandwith, a Barra Verde (de bandwith sent) completa, enquanto que a barra azul (bandwith received) com 1/4 do comprimento da barra verde. Isso é normal ?

2 - Em All Protocols - Activity, a primeira coluna fica preenchida da cor vermelha. Isso não parece ser muito bom, ou estou errado ?

3 - Qual opção vocês acham mais importante de ser monitorada pra ter uma resposta rápida de como está a rede ?

4 - Dei uma olhada em Summary - Hosts, e tinha uma bandeira amarela do lado do ip do servidor. Já sei que essa bandeira amarela não é algo muito bom. Cliquei no link do servidor de rede, e do lado da bandeira amarela, tinha a mensagem: Suspicious activities: too many host contacts. O que isso quer dizer ?..que tem muitos hosts tentando se conectar no server ?...nao entendi...

Hoje a noite, vou dar uma lida com mais calma no manual para entender um pouco melhor todos esses gráficos... Novamente agradeço a ajuda de voces...

[]s...Renato