Helpmij.nl
Helpmij.nl
Helpmij.nl
Steun Helpmij.nl! Klik hier     Computerprobleem? Klik hier!

Quote

Weergeven resultaten 1 tot 15 van 15

Onderwerp: Internet via (domain) server

  1. #1
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    Vraag is niet opgelost

    Internet via (domain) server

    Hallo allemaal,

    Wij hebben hier een Windows2008 domaincontroller(server).
    Alle werkstations internetten direct via een switch die weer verbonden is met een router
    De server zit op diezelfde switch aangesloten.

    Nu wil ik alle internetverkeer via de NIC van de server laten lopen.

    Kan iemand uitleggen aan mij welke stappen ik moet ondernemen ?

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  2. #2
    Mega Senior WDHBGS's avatar
    Geregistreerd
    18 december 2010
    Locatie
    's-Gravenzande ,Het Westland, Nederland
    Hoeveel netwerkkaarten heeft de server?
    (ik was) Eén van de jongste Helpmij-gebruikers.

    Sinds 30-1-2013 17:04 geen Senior Member meer!
    Maar een Mega Senior!

  3. #3
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    Hij heeft er 2 waarvan er 1 ongebruikt is op het moment.

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  4. #4
    Senior Member
    Geregistreerd
    26 september 2011
    waarom zou je je DC willen belasten met doorgaand internetverkeer?

  5. #5
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    @contrazoom:
    Zo af en toe komen we op een blacklist te staan waardoor we nagenoeg geen mail meer de deur uit krijgen.
    We hebben een Exchange server met een vast IP adres.
    Dat we op die blacklist komen komt doordat er ergens een pc bij ons een virus heeft gekregen.
    Om te achterhalen welke pc het is kun je het internetverkeer monitoren om zodoende te achterhalen welke PC met een bepaald IP adres verbinding maakt.
    Dit kan met het programma Wireshark.
    Dit werkt dus alleen als ik het internetverkeer monitor wat via de NIC van de server loopt.

    Of weet je hoe we het handiger aan kunnen pakken ?
    Nu loop ik met een tooltje (TDSkiller.exe) alle PC's af net zolang tot ik de dader te pakken heb maar dat kost erg veel tijd.

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  6. #6
    Senior Member
    Geregistreerd
    26 september 2011
    Hoeveel werkposten telt je netwerk?
    is het mogelijk om op de switch een span of mirror port aan te maken?
    Indien ja zou je wireshark dan ook op een werkstation kunnen installeren en dit aansluiten op de mirror port zonder de DC in het verhaal te betrekken. Als dit geen mogelijkheid is kan ik je redenering wel volgen. Ik weet niet of dit jouw eigen bedrijf betreft maar heb je misschien de aanschaf van een commercieel pakket overwogen om bv je mailserver te beschermen want nu verlies je ook veel tijd met alle pc's af te gaan (of eventueel de DC te corrumperen wat toch een kritische component is). Het feit dat je op blacklists terechtkomt is ook een kost.
    Ken je dit http://www.trendmicro.nl/kleine-onde...-bedreigingen/

  7. #7
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    25 werkplekken hebben we.
    Over het algemeen voldoet onze virusscanner (McAfee) uitstekend en de gebruikers zijn over het algemeen geen gebruikers die klakkeloos alles aanklikke.
    Het is een commerciële versie.
    Helaas glipt er af en toe wel eens iets door de scanner heen.

    Of er mirror of span ondersteund wordt op onze switch(es) weet ik niet, ik zal het gelijk controleren morgen.

    Is het erg ingrijpend dan om alle verkeer via de (2e) NIC van de server te laten lopen ?
    Het is maar tijdelijk, alleen om te achterhalen welke pc de boosdoener is.
    Daarna wordt de oude situatie weer hersteld.

    Ik weet ook niet hoe ik dit moet voorkomen, geen enkele bescherming is 100%

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  8. #8
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    Op onze (hoofd)switch zit idd portmirrorring zag ik.
    Op poort 1 zit onze (domain)server.
    Op poort 6 zit een Wireless AP
    Op Poort 5 en 7 zitten 2 NASsen
    Op de poorten 2, 3 en 4 zitten een 3-tal oudere switchen aangesloten waarop alle werkstations weer zijn aangesloten.

    Poortje 8 is nog vrij in ieder geval dus ik neem aan dat ik de poorten 2, 3 en 4 moet mirrorren naar poort8 en dan op poort8 een laptop ofzo aansluiten met Wireshark daarop, klopt dat ?


    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  9. #9
    Senior Member
    Geregistreerd
    26 september 2011
    hallo Marcel
    Ik zou ook de mirroring van poort 6 opzetten. Verder klopt je redenering. Zijn het gig-poorten op die Procurve switch?
    Op je vraag of het ingrijpend zou zijn om de sniffer via de 2de nic vd server te laten lopen, kan ik geen antwoord geven omdat ik daar eerlijk gezegd geen ervaring mee heb.

  10. #10
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    De poorten zijn idd gig poorten.

    Je hebt gelijk wat betreft het mirrorren van poort 6, die zal ik er ook bij zetten.

    Ik heb het al deels werkend, echter van de 3 achterliggende switchen zijn er 2 die 2 extra poortjes hebben waarmee deze met de hoofdswitch zijn verbonden.
    Het verkeer wat over die 2 switchen loopt kan ik via poort 8 van de hoofdswitch bekijken.


    Echter de 3e achterliggende switch heeft niet die extra poortjes maar zit gewoon met de hoofdswitch verbonden.
    Het verkeer wat over deze switch loopt kan ik niet bekijken, dat pikt ie niet op.


    Heb je enig idee hoe dat komt ?

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  11. #11
    Senior Member
    Geregistreerd
    26 september 2011
    hallo Marcel
    Niet direct een idee wat er met die 3de switch aan de hand is. Welk type van 3Com is het precies? Ik kan het uit de foto niet afleiden.

  12. #12
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    De plaatjes waren slechts om aan te geven wat ik bedoelde met de 2 extra poortjes.
    Dit zijn de exacte types die wij gebruiken:
    3COM 3C16472 (2 keer)
    3COM 3C16471 (1 keer)
    Deze zitten alle 3 aangesloten op de eerder genoemde switch.

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  13. #13
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    De 3COM 3C16471 is de probleemgever.

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  14. #14
    Senior Member
    Geregistreerd
    26 september 2011
    Hallo Marcel
    ff los vd probleemswitcht (ik heb geen idee waarom je die traffiek niet kan zien) - heb je de potentiële boosdoener al kunnen vinden dmv de mirroring setup?

  15. #15
    Giga Senior hoogteijling's avatar
    Geregistreerd
    12 augustus 2005
    Locatie
    Rotterdam
    Afstand tot server
    ±151 km
    Ik heb alle potentiële boosdoeners gescand met een tooltje (TDSkiller) wat het bewuste virus/mallware zou moeten detecteren maar alle uitslagen waren negatief.
    We zijn inmiddels verwijderd van de Blacklist en we zijn er niet meer op gekomen.
    Misschien was het een valse indicatie waardoor we op de blacklist terecht kwamen.

    In ieder geval bedankt voor het meedenken en dankzij jouw tip over het mirroren heb ik weer wat bij geleerd

    Groeten Marcel
    Wie niet vraagt blijft dom!! (Of is al heel slim)

  16. Dit topic is automatisch gesloten omdat er sinds vier maanden niet meer op gereageerd is.

    Indien gewenst kan de topicstarter een verzoek tot heropening indienen.

Berichtenregels

  • U mag geen nieuwe vragen starten.
  • U mag niet reageren op berichten.
  • U mag geen bijlagen versturen.
  • U mag uw berichten niet bewerken.
  •  
Helpmij.nl
Helpmij.nl

Helpmij.nl en business

Partners
Sponsoren