Internet via (domain) server

Status
Niet open voor verdere reacties.
hoogteijling

hoogteijling

Terugkerende gebruiker
Lid geworden
12 aug 2005
Berichten
4.261
Hallo allemaal,

Wij hebben hier een Windows2008 domaincontroller(server).
Alle werkstations internetten direct via een switch die weer verbonden is met een router
De server zit op diezelfde switch aangesloten.

Nu wil ik alle internetverkeer via de NIC van de server laten lopen.

Kan iemand uitleggen aan mij welke stappen ik moet ondernemen ?

Groeten Marcel
 
Hoeveel netwerkkaarten heeft de server?
 
Hij heeft er 2 waarvan er 1 ongebruikt is op het moment.

Groeten Marcel
 
@contrazoom:
Zo af en toe komen we op een blacklist te staan waardoor we nagenoeg geen mail meer de deur uit krijgen.
We hebben een Exchange server met een vast IP adres.
Dat we op die blacklist komen komt doordat er ergens een pc bij ons een virus heeft gekregen.
Om te achterhalen welke pc het is kun je het internetverkeer monitoren om zodoende te achterhalen welke PC met een bepaald IP adres verbinding maakt.
Dit kan met het programma Wireshark.
Dit werkt dus alleen als ik het internetverkeer monitor wat via de NIC van de server loopt.

Of weet je hoe we het handiger aan kunnen pakken ?
Nu loop ik met een tooltje (TDSkiller.exe) alle PC's af net zolang tot ik de dader te pakken heb maar dat kost erg veel tijd.

Groeten Marcel
 
Hoeveel werkposten telt je netwerk?
is het mogelijk om op de switch een span of mirror port aan te maken?
Indien ja zou je wireshark dan ook op een werkstation kunnen installeren en dit aansluiten op de mirror port zonder de DC in het verhaal te betrekken. Als dit geen mogelijkheid is kan ik je redenering wel volgen. Ik weet niet of dit jouw eigen bedrijf betreft maar heb je misschien de aanschaf van een commercieel pakket overwogen om bv je mailserver te beschermen want nu verlies je ook veel tijd met alle pc's af te gaan (of eventueel de DC te corrumperen wat toch een kritische component is). Het feit dat je op blacklists terechtkomt is ook een kost.
Ken je dit http://www.trendmicro.nl/kleine-ondernemingen/bescherming-tegen-virussen-en-bedreigingen/
 
25 werkplekken hebben we.
Over het algemeen voldoet onze virusscanner (McAfee) uitstekend en de gebruikers zijn over het algemeen geen gebruikers die klakkeloos alles aanklikke.
Het is een commerciële versie.
Helaas glipt er af en toe wel eens iets door de scanner heen.

Of er mirror of span ondersteund wordt op onze switch(es) weet ik niet, ik zal het gelijk controleren morgen.

Is het erg ingrijpend dan om alle verkeer via de (2e) NIC van de server te laten lopen ?
Het is maar tijdelijk, alleen om te achterhalen welke pc de boosdoener is.
Daarna wordt de oude situatie weer hersteld.

Ik weet ook niet hoe ik dit moet voorkomen, geen enkele bescherming is 100%

Groeten Marcel
 
Op onze (hoofd)switch zit idd portmirrorring zag ik.
Op poort 1 zit onze (domain)server.
Op poort 6 zit een Wireless AP
Op Poort 5 en 7 zitten 2 NASsen
Op de poorten 2, 3 en 4 zitten een 3-tal oudere switchen aangesloten waarop alle werkstations weer zijn aangesloten.

Poortje 8 is nog vrij in ieder geval dus ik neem aan dat ik de poorten 2, 3 en 4 moet mirrorren naar poort8 en dan op poort8 een laptop ofzo aansluiten met Wireshark daarop, klopt dat ?
procurve1800switch.png


Groeten Marcel
 
hallo Marcel
Ik zou ook de mirroring van poort 6 opzetten. Verder klopt je redenering. Zijn het gig-poorten op die Procurve switch?
Op je vraag of het ingrijpend zou zijn om de sniffer via de 2de nic vd server te laten lopen, kan ik geen antwoord geven omdat ik daar eerlijk gezegd geen ervaring mee heb.
 
De poorten zijn idd gig poorten.

Je hebt gelijk wat betreft het mirrorren van poort 6, die zal ik er ook bij zetten.

Ik heb het al deels werkend, echter van de 3 achterliggende switchen zijn er 2 die 2 extra poortjes hebben waarmee deze met de hoofdswitch zijn verbonden.
Het verkeer wat over die 2 switchen loopt kan ik via poort 8 van de hoofdswitch bekijken.
switch12.jpg


Echter de 3e achterliggende switch heeft niet die extra poortjes maar zit gewoon met de hoofdswitch verbonden.
Het verkeer wat over deze switch loopt kan ik niet bekijken, dat pikt ie niet op.
switch3d.jpg


Heb je enig idee hoe dat komt ?

Groeten Marcel
 
hallo Marcel
Niet direct een idee wat er met die 3de switch aan de hand is. Welk type van 3Com is het precies? Ik kan het uit de foto niet afleiden.
 
De plaatjes waren slechts om aan te geven wat ik bedoelde met de 2 extra poortjes.
Dit zijn de exacte types die wij gebruiken:
3COM 3C16472 (2 keer)
3COM 3C16471 (1 keer)
Deze zitten alle 3 aangesloten op de eerder genoemde switch.

Groeten Marcel
 
Hallo Marcel
ff los vd probleemswitcht (ik heb geen idee waarom je die traffiek niet kan zien) - heb je de potentiële boosdoener al kunnen vinden dmv de mirroring setup?
 
Ik heb alle potentiële boosdoeners gescand met een tooltje (TDSkiller) wat het bewuste virus/mallware zou moeten detecteren maar alle uitslagen waren negatief.
We zijn inmiddels verwijderd van de Blacklist en we zijn er niet meer op gekomen.
Misschien was het een valse indicatie waardoor we op de blacklist terecht kwamen.

In ieder geval bedankt voor het meedenken en dankzij jouw tip over het mirroren heb ik weer wat bij geleerd :)

Groeten Marcel
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan