PAP400
15-10-2007, 17:03
Server in DMZ tramite Cisco PIX 515.
Il server in questione (Win2K3 Sp1) "quasi" ogni giorno (notare il
quasi: qualche volta NON accade) e "quasi" sempre alla stessa ora
(qualche volta accade anche in "altri" orari) alle 8:30 ca. diventa
irraggiungibile dalla LAN (utenti su porta 1352).
Il DoS dura da un minimo di 30 secondi fino a 5 minuti per poi sparire; "talvolta" (tutti questi "quasi" e "talvolta" mi faranno ammattire :mc: ) è sufficiente droppare le connessioni su protocollo notes (mai più di un centinaio) perchè il problema rientri.
In effetti scopro che il server in queste occasioni è irraggiungibile
mediante qualsivoglia protocollo (notes, telnet, SMB, http, etc.) ma risponde
correttamente ai ping (ICMP).
In alcune occasioni neanche da parte del server riesco ad aprire connessioni verso Outside.
Premesso che i possibili problemi lato applicativo li ho già esclusi
quasi tutti (antivirus, antispam, posta, web, tool di sincronizzazione
palmari, driver/firmware/cfg scheda di rete, performance monitor dei
vari sottosistemi, agenti/task schedulati, etc.), cosa mi consigliate per proseguire l'indagine?
Cioè cosa mi conviene cercare tra syslog del PIX (del quale purtroppo NON ho gestione autonoma, così come dello switch HP della DMZ) e/o tool lato LAN e/o DMZ?
Il problema è che a questo punto non so bene COSA cercare, stante anche la
saltuarietà del fatto.
Un grosso grazie a chi mi dà delle dritte, chè sono estenuato :mad:
PAP400
Il server in questione (Win2K3 Sp1) "quasi" ogni giorno (notare il
quasi: qualche volta NON accade) e "quasi" sempre alla stessa ora
(qualche volta accade anche in "altri" orari) alle 8:30 ca. diventa
irraggiungibile dalla LAN (utenti su porta 1352).
Il DoS dura da un minimo di 30 secondi fino a 5 minuti per poi sparire; "talvolta" (tutti questi "quasi" e "talvolta" mi faranno ammattire :mc: ) è sufficiente droppare le connessioni su protocollo notes (mai più di un centinaio) perchè il problema rientri.
In effetti scopro che il server in queste occasioni è irraggiungibile
mediante qualsivoglia protocollo (notes, telnet, SMB, http, etc.) ma risponde
correttamente ai ping (ICMP).
In alcune occasioni neanche da parte del server riesco ad aprire connessioni verso Outside.
Premesso che i possibili problemi lato applicativo li ho già esclusi
quasi tutti (antivirus, antispam, posta, web, tool di sincronizzazione
palmari, driver/firmware/cfg scheda di rete, performance monitor dei
vari sottosistemi, agenti/task schedulati, etc.), cosa mi consigliate per proseguire l'indagine?
Cioè cosa mi conviene cercare tra syslog del PIX (del quale purtroppo NON ho gestione autonoma, così come dello switch HP della DMZ) e/o tool lato LAN e/o DMZ?
Il problema è che a questo punto non so bene COSA cercare, stante anche la
saltuarietà del fatto.
Un grosso grazie a chi mi dà delle dritte, chè sono estenuato :mad:
PAP400