[Çözüldü] SSL VPNİ Mac adresi kontrol ederek bağlanması

Ürünü bilmem bu tip durumları mac filter olarak arayabilirsiniz. Support'unda vpn için özel olmasa da mac filter nasıl yapılacağı anlatılıyor. 2 yöntem görünüyor bacak bazında ve policy de. Aynı işlevi görürler ancak büyük yapıda yönetimi zor olabilir. Bunun yerine vpn için Two factor authentication kullanabilirsiniz daha doğru bir yöntem olur webde doc'u var.

Merhabalar,

İbrahim Bey'in ilettiği gibi, MAC Access kontrol yönetmek için zor olacaktır. Bir de düzeltme yapacak olursak, sadece interface bazlı uygulayabiliyorsunuz. Policy bazlı veya sadece SSL VPN için uygulayamıyorsunuz. 

Güvenlik sebebi ile bir önlem alınması gerekiyor ise, yine İbrahim Bey'in söylediği gibi çok faktörlü kimlik doğrulama daha doğru bir çözüm olacaktır. Burada dilerseniz WatchGuard AuthPoint çözümünü kullanabilirsiniz veya kullandığınız 3. Parti bir MFA çözümü var ise, Radius veya LDAP (Kullanacağımız MFA uygulamasına göre değişiklik gösterebilir) Kimlik Doğrulama yöntemi ile ona entegre edebilirsiniz. 

https://www.watchguard.com/help/docs/help-center/en-US/Content/Integration-Guides/AuthPoint/firebox-ssl-vpn-radius_authpoint.html?Highlight=AuthPoint%20SSL%20VPN

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/authentication/radius_server_auth_about_c.html

Bunun ile birlikte, eğer Total Security Suite lisansınız varsa Host Sensor Enforcement uygulayabilirsiniz. Bu durumda sadace  TDR Host sensor olan bilgisayarlardan ve belirleyeceğiniz işletim sistemlerinden VPN yapılması sağlanabilir.

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/services/tdr/tdr_host_sensor_enforcement.html?Highlight=host%20sensor%20enforcement

Kolay Gelsin.

@ibrahimyildiz cevabınız için teşekkürler hocam. VPN kurarken statik IP ile sadece izin verdiğimiz IP'ler üzerinden bağlantı yaptırıyoruz ama ekstra güvenlik her zaman iyidir mantığıyla sormuştum. Mac filter olarak arattığımda malesef doğru bir cevaba ulaşamadım belli uygulayan vardır diye sormuştum. 

@alperonarangil Cevabınız için teşekkür ederim hocam statik IP ile bağlantı yapıyoruz. Çok faktörlü kimlik doğrulamayı düşünebiliriz. Teşekkürler.

Bu konuda standart ne yazık ki MAC değil, çünkü MAC değiştirilebilir bir şey olduğu için ip veya 2FA daha doğru bir çözüm olacağı için bu tür çözümleri araştırmanızı öneririm.