Windows Server

DHCP Server Uzerinde Mac Adres Tabanlı Filitreleme – DHCP Server MAC Address based filtering

Daha önceki bölümlerde hem Server 2003 hem de güvenlik tarafında bir çok makale yazmıştım.Bu bölümde ise Server 2003 ve güvenlik başlıklarını birleştirip ortaya yeni bir makale çıkaracağız.Server 2003 üzerine kurduğumuz DHCP Server rolünün sadece bizim belirlediğimiz MAC adreslerine IP adresi vermesini sağlıyacağız.Bu şekilde şirketimize gelen misafirlerin kafasına göre Ip adresini almasını engelliyeceğiz.

 

Hepimizin bildiği ve dikkat etmiş olduğu gibi güvenlik hayatımızın en önemli parçasıdır.Özellikle şirket networklerimizin güvenliğinden sorumlu olan kişiler olarak bizler,mutlaka ihtiyaçlarımızı belirlememiz gerekmektedir.Ayrıca bu kullanılacak olan ihtiyaçlarında ne şekilde güvenliğini sağlayacağımızın prosedürlerini de hazırlamalıyız.Bu bölümde her şirketin sıkıntı çektiği konulardan biri olan DHCP’nin otomatik olarak her network kablosunu takan bilgisayara IP adresi vermesini engelliyeceğiz.Tabi ki sizlerin kullanmış olduğu diğer çözümler hakkında da yorumlar yapacağım.Bildiğimiz gibi DHCP Server rolü free olarak 2003 ve 2008 Server işletim sistemlerine kurup kullandığımız ve otomatik Ip adresi yapılandırmasının dağıtılmasını sağlayan roldür.Büyük veya küçük bir çok firma tarafından tercih edilmektedir.Gerçekten bir çok avantajı mevcut olan bu rol sayesinde merkezi bir yerden Ip,DNS,WINS gibi yapılandırmaları yapabilmekteyiz.Ayrıca DHCP,IP çakışmasını önler,zaman kazandırır ve Hatalı konfigürasyonu yapılmasını da engellemektedir.

 

DHCP Server rolünün bir handikap’ını hepimiz biliyoruz.DHCP Ip adresi dağıtırken client makinasının Domain’de olup olmadığına bakmaz.Bundan dolayı boşta yer alan her network kablosunu takan DHCP’den Ip adresi alabilmektedir.Mutlaka hepimizin şirketlerine denetim,ziyaret,vss için bir çok insan gelmektedir.Ve bu tür kullanıcılar mobil çalışırlar.Peki bilginiz dahilinde olanlar neyse ya başka birisi DHCP’nin dağıtmış olduğu bütün konfigürasyonu herhangi bir Authantication olmadan alıcak olursa?İşte sıkıntı burada başlıyor.Laptop’a kabloyu taktı ve Ip,DNS,WINS,Gateway gibi bilgileri DHCP verdi.Eğer birde DNS’de Secure Dynamic Update kullanmıyorsanız Local DNS üzerindede bu şahıs host(A) kaydıda oluşturulmuş demektir…:)Benim ve bir çoğumuzun bildiği çok güzel programcıklar aracılığıyla artık networkünüzdeki kaynaklara erişim sağlanabilir.

 

Bir çoğumuzun bu tür durumlara karşı mutlaka belli başlı çözümleri mevcuttur. Örneğin,dışarıdan gelecek olan misafirler için ayrı Ip subnet’i oluşturmak.Veya ayrı bir WLAN tanımlamak.Veya bir Wireless çözümü ile bu tür şahısların fiziksel networkden uzak tutulması sağlanabilir.Ancak bu tür maliyetlere gerek yok.Sağolsun DHCP MCP takımı böyle bir sıkıntıyı görüp bizim için çok güzel DLL ve Scriptler hazırlamış.Bizzat uygulayan biri olarak çatır çatır çalışıyor.Peki o zaman lafı daha fazla uzatmadan yapacağımız işlemi biraz açıklayalım.Default olarak Server 2003 ve 2008 DHCP MAC filtering’i desteklememektedir.Yani siz MAC ID’si şu olan şahıs Ip adresi alabilsin diyemiyorsunuz. Kullanacağımız bir kaç dosya aracılığıyla DHCP’de MAC Filtering özelliğini aktifleştirip sadece bizim izin verdiğimiz MAC ID’lerin Ip adresi alabilmesini veya alamamasını sağlıyacağız.İlk olarak bir hazırlık aşamamız mevcut.Daha sonrasında beraber konfigürasyonu yapacağız.Yapacağımız işlemler genel başlık altında aşağıdaki gibidir.

 

DLL Kurulumu(CalloutMacFilter)

 

Gerekli olan Register Keylerinin oluşturulması(CalloutMacFilterReg)

 

İzin vereceğimiz veya Yasaklıyacağımız MAC Adreslerini belirlenmesi

 

Son olarak DHCP Server’ı bir kereliğine Restart ediceğiz.

 

Server 2003 DHCP MAC Filtering Uygulaması

 

1)Arkadaşlar ilk olarak yapımızı tanıtmamız gerekirse denemeleri yapmış olduğum Server 2003 makinesinde AD-DNS-DHCP rolleri yüklüdür.Bende denemeleri Server 2003 üzerinde yapıyorum.Aynı şekilde Server 2008 tarafında da çalışmaktadır.DHCP Serverımız 192.168.1.15-25 arasındaki blogları dağıtmaktadır.Yani kullandığım IP bloğu 192.168.1.x24’dir.

 

image001

 

 

 

image002

 

 

2)Microsoft DHCP Team tarafından oluşturulan CalloutMacFilter.MSİ dosyasını kurarak gerekli DLL’lere sahip oluyoruz.Ancak dikkat edilmesi gereken bir nokta var.Bu MSI dosyasını dhcp server kurulu olan makinede System32 altına atıp orada kuruyoruz.

 

Aşağıdaki linki kullanarak gerekli dosyayı download edebilirsiniz.

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

 

image003

 

 

3)Hepimizin kurabileceği tarzda basit bir uygulama.Eminim herkes kurabilir…:)

 

 

image004

 

 

 

image005 

 

4)Evet kurulum bitti. Söylediğim gayet kısa. Bu işlemden sonra System32 altına 2 adet dosya gelmesi gerekiyor. Biri MacFilterCallout.dll,diğeri ise step by step doküman olan SetupDHCPMacFilter.rtf.Yaptığımız işlemlere bu dosyadan da ulaşabilirsiniz. 

 

image006 

 

5)Sıra geldi Register keylerini oluşturmaya. İster manuel elle oluşturabilir,isterseniz yine aşağıdaki linkden hazır Callout_DHCP.reg dosyasını indirerek sadece bir çift tıklamayla gerekli keylerin oluşmasını sağlayabilirsiniz.

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx 

 

image007 

 

6)Çift tıklayarak keyleri yüklüyoruz. 

 

image008 

 

image009

 

7)Toplamda oluşması gereken keyleri isterseniz hazırda gelen register dosyasını editleyere görebilirsiniz. Eğer keyleri Manuel oluşturacaksanız aşağıdaki tablo daha çok yardımcı olacaktır. 

 

 

Key Name

Key Type

Description

CalloutDlls

REG_MULTI_SZ

The location of the MacFilterCallout.dll

CalloutEnabled

DWORD

0 = Disable MacFilterCallout
1 = Enable MacFilterCallout

CalloutErrorLogFile

REG_MULTI_SZ

Log path. If this registry key is not specified, callout dll will output errors %WINDIR%System32Log.txt

CalloutInfoLogFile

REG_MULTI_SZ

Info log path. If this key is not present, no information messages will be logged.

CalloutMACAddressListFile

REG_MULTI_SZ

This is the name and location of the MAC filtering list you’re going to be creating next.

 

 

8)Keyleri kontrol edelim bakalım. 

 

image010

 

 

9)Evet keyleri gördükten sonra DHCP Server servisini bir stop-start yapıyoruz.

 

 

image011

 

 

 

image012

 

 

10)Gerekli DLL’lerin yüklendiğine dair loglarıda kontrol edebilirsiniz.(Event ID:1033) 

 

image013 

 

 

11)Register keyleride yüklendikten sonra System32’nin altında MacFilterCallout.dll, MacFilterCallout.log, MacFilterCalloutinfo.log dosyalarını görmemiz gerekmektedir.Ek olarak MACList.txt ismini vererek kendimiz bir tane Notepad dosyası oluşturuyoruz.İzin vereceğimiz veya bloklayacağımız MAC adreslerini bu dosyaya yazacağız. 

 

image014 

 

12)MACList.txt dosyasını açıp aynen aşağıdaki yazım formatında olduğu gibi DHCP’den Ip adresi almasına izin vereceğimiz bir MAC adresi(Client01) giriyoruz.Sizlerinde tahmin edebileceği gibi eğer ALLOW yerine DENY yazarsanız,girmiş olduğumuz MAC adreslerine Ip adresi verilmeyeceği anlamına gelir.Bu dosyaya her girdiğimiz MAC adresinden sonra DHCP Servisini restart etmemiz gerekmektedir.Son bir hatırlatma olarak mutlaka MAC adreslerini küçük harfle yazmanız gerekmektedir.Büyük harf kullanırsanız çalışmayacaktır. 

image015

 

13)Evet geldik test aşamasına arkadaşlar test ortamımızda client01 ve client02 isimlerine sahip 2 tane Xp makinesi bulunmaktadır. Her ikiside workgroup’da çalışıyor.Senaryomuz gereği Client01 makinesine MAC adresine izin verip DHCP’den Ip adresi almasını sağlayacağız.Client02 ise DHCP’den Ip adresi alamayacak.Bu 2 makinenin konfigürasyonu aynen aşağıdaki gibidir.Yukarıdaki Maclist.txt dosyasına ben Client01’in MAC adresini girdim.

 

image016 

 

image017 

 

14)Bütün işlemlerden sonra artık kontrol yapabiliriz. Aynen aşağıda görüldüğü üzere Client01 makinemiz Ip adresi almaktadır.

 

image018

 

15)Peki Client02 makinesi Ip adresi almaya çalıştığı zaman durum ne olacak derseniz. Aynen aşağıdaki gibi bir mesaj alacaktır.

 

image019

 

 

16)Ve tabii ki son olarak System32 altındaki MACFilterCalloutInfo.log dosyasına bakarak kimlerin,daha doğrusu hangi MAC’lerin Ip adresi alabildiği görebiliriz.Aynı zamanda hangi MAC’lerin bloklandığını görebilmek içinde bu log dosyasını kullanabiliriz.

 

image020

 

Evet arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde olmazsa olmazlarımızdan olan güvenlik için bir başka çözüme baktık.Özellikle DHCP kullanan şirketler için maliyetsiz ve bedava olarak kullanabilecek olan bu seçenek ile DHCP’nin kimlere Ip adresi verebileceğini belirleyebilmekteyiz.Bir başka makalede görüşmek üzere,

 

Hoşçakalın

 

 

Kaynak:

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

Vermiş olduğum kurumsal eğitimlerde öğrencilerimin %90’ından mutlaka bu sorun ile alakalı bir şeyler söylüyorlar. Bu makale hepimizin işini görecektir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu