Forum
Sistemimizde FortiGate110C ve FortiAnalyzer 100C
bulunmaktadır.
Ağ bloğumuz 192.168.1.X/255.255.255.0 olup, raporda
görülen trafik logundaki 192.168.1.255 ve 255.255.255.255 trafik olaylarına bir anlam
veremedim.
Normalde internet veya ağ ile ilgili herhangi bir
problemimiz bulunmamakta fakat sadece bu olayların trafiğk logları çok fazla olmaktadır. Raporda görüldüğü
gibi sadece bu olaylar için 1 saatte 64 sayfalık kayıt yaptığı görünmektedir.
Sistemimizdeki tüm bilgisayarlar Kaspersky Security Center ile Kaspersky Entpoint Security ile
koruma altındadır.
Localden ping 192.168.1.255 yaptığımda bazen network yazıcı
bazende Access Point cevap vermektedir.
Bu konu hakkında bilginiz varsa paylaşırsanız sevinirim.
Kolay gelsin
192.168.1.255 ipsi yayınlama için kullanılır. Doğrudan ip olarak atanamaz.
syslog ayarını düzeltin. sorun kalmaz.
Sistemimizde syslog sunucu bulunmamaktadır. Fortigate log tutup analyzera yollamaktadır.
Benim amacım logdan kurtulmaktan ziyade böyle bir sorun neden olmaktadır.
Localdeki bir pc ile ping 1.255 yaptığımda hergangi bir 1.x den yanıt gelebiliyor. Yanıt gelen cihazı kapatıyoruz bu sefer farklı bir cihazdan yanıt geliyor. Cevaplar genelde PC olmayan Access Point veya Network yazıcılar oluyor.
port numarasına dikkat etmemiştim ama netbios portu bu bu ipsi olan makinalar netbios isimlerini ağdaki makinalara duyuruyor.
x.x.x.255 portu yayınlama için kullanılır yani bir anlamda her makinaya ulaşır (multicast)
56,32,72 ip nolu makianya baktım mesela cihaz her dk yayın yapıyor.
siz bu makinaların ağ servislerindeki durumu inceleyin. sürekli yayın yapmaması lazım.
netbios, ağ bağlantıları, ağ listesi ve sunucu servislerini inceleyin.
Netbiosu devre dışı bıraktığımda bu olay o bilgisayar için olmuyor fakat bu sefer paylaşım gidiyor.
sizin makinalardaki windows orijinal cdlerden yüklenmiş mi ?
kullanıclar çeşitli programlarla ayarları değiştiriyormu vs. bilmek lazım.
netbios gidince paylaşımlar gitmez normalde ama çözümleme yapamayacağı için listeleme gidiyor olabilir.
ip ile gidebilirsiniz ama bu çözüm değil.
Siz netbios ayarlarına bakın ve her dk güncellemesini değiştirin.
bilgisyarda "tune" programları varsa bunlar ayarları değiştirebilir. bunları inceleyin vs. veya belki virüs vardır.
* Localdeki tüm bilgisayarlarımız işletim sistemi olarak lisanslıdır. (hepside kendi seriali ve mediası ile yüklendi)
* Active Direktory yapısı mevcut olup 80 kullanıcının 15 tanesi localde de Admin yetkisine sahip. Fakat bu log hemen hemen tüm bilgisayarlarda görülmektedir.
* Dediğiniz doğru paylaşım gitmiyor fakat ağa girildiğinde PC01 olarak görünmüyor. Kulanıcı paylaşım için \\pc01 yapınca geliyor ki bu bazı durumlarda kullanışsız oluyor.
* Netbios ayarları derken Hizmetlerde mi? Kullanıcıda mı? DNS, DHCP veya Active Direktory de mi?
* Sorun kesinlikle Netbios ama ne tür bir yazılım veya sistem tüm bilgisayarlara 1.255 gönderebiliyor bunu anlamadım.
YOKSA sistemde bir cihaz takılı ve IP almaya çalışmak için sürekli bu broadcast IP mi yolluyor. IP alamadığı içnde bu görevi sürekli mi yapıyor?.
Netbios o bilgisayarın ADININ ağda görüğnmesini sağlayan hizmettir. ip olmadan zaten çalışmaz.
NEtbios ayarları nerede kayıotlıysa AD de varsa orayı inceleyin. localde ise orayı.
tcip ip ayarları içerinden bulabilirisn netbios ayarlarını
ekte snatdart ayarlar mevcut.
tüm bilgisayar iplerini logda görüyormusunuz? ben resimden gördüğüm bir kaç bilgisayr bunu yapıyor sanırım.
gerçi bu işlem için loglamayıda kapatmayı düşünebilirsiniz.
ek bilgi
* Sayfaya bu kadar sığdığı için tüm bilgisayarlar görünmüyor. Hemen hemen o anda IP almış tüm bilgisayarlar (ki cihazlar bu olayı yapmıyor) bu tarz bir log tutulmasına yol açıyor.
* Netbios ayarları eklediğiniz resimdeki gibi.
Son çare haftasonu tüm sistemi kapatıp teker teker deneyeceğim. Bakalım firewall, analyzer, network cihazlar, yönetilebilir switchler, kaspersky admin kit, bilgisayarlar, dhcp, dns, active direktory bileşenlerinden hangisinden kaynaklanıyor 🙂
İlginiz için teşekkür ederim. Eğer bir sonuç alırsam bilgi olarak ekleyeceğim.
dhcp dağıtımını hang icihaz yapıyor ?
DHCP Server görevini Active Direktory ve DNS Server olarak görev yapan sunucumuz yapıyor. Bazı cihaz ve bilgisayarlar hariç tüm IP ler otomatik dağıtılıyor.
Hocam birşey sormak istiyorum merkezde 110c var ve analyzer ve şubede 60c var ama analyzer yok , merkezdeki analyzera bağlayabilirmiyim 60c yi
Teorik olarak bağlanır ama pratik olmaz. Yani kisi farklı lokasyonlarda ve VPN de olsa sonuçta haberleşmek için bir internet hattını kullanacak. Şubedeki sürekli log göndereceği için internetinizin trafiğinin büyük bir kısmını analyzer kullanmış olacaktır. Eğer sırf log için bir hat veya yüksek bant genişliği varsa belirli bir bangt genişliği rezerve edilirse olabilir.
Ayrıca trafik dışında iki farklı lokasyonun logunu tutacağı için analyzer hdd yetmez ve belli bir periyotta localde bir yere kayıt edilmesi gerekir.
Hocam bu durumda şubeyede yeni bir analyzer alıyorum