Forum

DHCP IP almayı kısı...
 
Bildirimler
Hepsini Temizle

[Çözüldü] DHCP IP almayı kısıtlama

12 Yazılar
7 Üyeler
0 Reactions
2,017 Görüntüleme
(@KadirAyyildiz)
Gönderiler: 122
Estimable Member
Konu başlatıcı
 

Merhabalar,

Domain ortamında dışarıdan getirilen cihazlara ethernet kablosu takıldığında IP almamalarını sağlayacak bir yapı oluşturmak istiyorum. Örnek vermek gerekirse ; evde kullandığım laptopumu iş yerine getirdim, boş bir ethernet kablosuna taktım ve dhcp üzerinden IP alarak domain ortamının IP bloğuna dahil oldum. Bunu engellemenin bir yolu var mıdır? Bilen yada uygulayan arkadaşların yardımını rica ederim. Teşekkürler

 
Gönderildi : 15/01/2017 02:03

(@ilhancicek)
Gönderiler: 180
Estimable Member

(@KadirAyyildiz)
Gönderiler: 122
Estimable Member
Konu başlatıcı
 

Merhaba ;

Switchleriniz yönetilebilir ise NPS ile 802.1x yaparak domain de olmayan kişilerin ağa girmesini engeleyebilirsiniz. 

Yada aşağıdaki makaleler işinize yarayacaktır.

http://www.cozumpark.com/blogs/windows_server/archive/2008/04/07/dhcp-uzerinde-network-access-protection-bolum1-nap-ortam-ve-network-policy-server-yapilandirmasi.aspx

http://www.cozumpark.com/blogs/windows_server/archive/2008/04/07/dhcp-uzerinde-network-access-protection-bolum2-network-policy-server-uzerinde-nap-shvs-ve-dhcp-yapilandirmasi.aspx

 

Merhaba Ilhan Bey,

 

Bilgilendirme icin tesekkur ederim. Paylastiginiz makaleyi daha once incelemistim. NAP ile bazi kurallar tanimlayip, networke dahil olan kullanicilarin bazi guvenlik adimlarindan gecmesini saglayabiliyoruz. Guvenlik adimlarindan gecen kullanicilar dhcp uzerinden yine ip alacaklar. Anladigim kadariyla NAP domainde olan yada olmayan diye ayirt etmeden tum ag icin bir policy uyguluyor. 

Benim istemis oldugum, AD uzerinde kaydi olmayan yada workstation da olan clientlarin dhcp uzerinden IP alamamasi.

 
Gönderildi : 15/01/2017 20:23

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

en basit hali ile mac filtreleme kullanabilirsiniz.

veya mac base vlan makalesi portalda mevcut, inceleyebilirsiniz.

bir üst seviye nac çözümleri olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/01/2017 02:30

(@ilhancicek)
Gönderiler: 180
Estimable Member
 

Merhaba ;

802.1x yapabiliyor iseniz size çözüm olabilir.  Bunu yaptığınızda domain deki makineler otomatik olarak bağlanacaktır. Domain de olmayan makineler ise sadece gerekli ayarlar yapıldığında bağlanabilirler. 

 
Gönderildi : 16/01/2017 12:17

(@KadirAyyildiz)
Gönderiler: 122
Estimable Member
Konu başlatıcı
 

merhaba,

en basit hali ile mac filtreleme kullanabilirsiniz.

veya mac base vlan makalesi portalda mevcut, inceleyebilirsiniz.

bir üst seviye nac çözümleri olacaktır.

 

Merhaba Turan Bey,

Mac filtrelemeyi bende düşünmüştüm. Tek tek mac adresleri girmek çok külfetli olacaktı, ondan dolayı vazgeçtim.

Sunucuya import ettirme imkanım var mı mevcut olan tüm mac adreslerini? Bu konu da bilginiz var mı Turan Bey

 
Gönderildi : 16/01/2017 22:52

(@turancoskun)
Gönderiler: 4100
Üye
 

ortamda vlan yok ise, powershell ile mac listenizi aktarmanız mümkün görünüyor.

referans adres fikir verecektir.

https://blogs.technet.microsoft.com/teamdhcp/2012/11/10/dhcp-mac-address-filter-management-made-easy-with-dhcp-powershell/

vlan mevcut ise, mac base vlan kullanmanız başlangıçta yorucu olsada, yönetimi daha basit olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/01/2017 23:52

(@ZaferSEN)
Gönderiler: 213
Estimable Member
 

management switchleriniz varsa vlan olmasına gerek yok, port security yaparak mac sticky yapın, porta takılacak mac sayısını ve portun ne yapacağını belirtmeniz yeterli komutu da uygulaması da basit,

 
Gönderildi : 17/01/2017 00:31

(@riza-sahan)
Gönderiler: 18032
_
 

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 22/01/2017 03:23

(@KadirAyyildiz)
Gönderiler: 122
Estimable Member
Konu başlatıcı
 

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

 
Gönderildi : 02/06/2017 18:41

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

 

Merhaba, bu konunun uzmanı değilim ama neden istediğinizn olmayacağı konusunda iletişim kısmı ile alaklı olduğu için bir fikrim var. Öncelikli olarak bir cihazın domainde oturum açması için bir IP adresi edinmesi gerekiyor bu durumda IP alma işlemi domaine login olma işleminden önce oluyor yani domain ile kontrol edilmez. Domain üzerinden statik bir IP alması isteniyor ise bu domain dahil yada login olduktan sonra yapılması gereken bir atama işlem. Kullanıcı login oldukan sonra login olduğu IP adresi yerine farklı bir IP adresi push edilebiliyormu ona bakın. Bu durumda istediğinizin direk olarak olmasının imkanı bulunmuyor. MAC bazlı IP adres işlemi yapabilirsiniz.

 
Gönderildi : 02/06/2017 19:20

(@Anonim)
Gönderiler: 0
 

Selamlar ;

Network altyapınızda  kullanmış  olduğunuz ürünler  nelerdir  port security , 802.1x ve  dynamic  vlan microsoft radius  çözümleri ile istediğiniz  tarzda  bir  yapı  kurulabilir . Networke erişim sağlandığında  domainde  olan  kullanıcılar tanımlı olduğu  vlan a  member  edilip ,unauth  kullanıcılar  tanımlanan izole vlan a dahil  edilerek production networkunden  izole  edilmesi  mümkün.

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

 
Gönderildi : 03/06/2017 02:50

Paylaş: