Dhcp Server mac filter

Merhaba

DHCP bunu yapamaz, bunun önüne geçmek için kurumsal bir yapı kurmanız gerekli.

1 - Şirket çalışanı ise zaten local admin olmamalı, eğer local admin değil ise zaten elle ip veremez

2 - Şirket çalışanı değil misafir geldi zaten 802.1x gibi bir network korumanız olmalı eğer bu yok ise zaten elini kolunu sallayan basit bir şekilde şunu yapar, sizin dc ip adresini öğrenir elle dc ip adresini laptop a verir sonra ağa kablosunu takar ve geçmiş olsun.

Özetle yapmak istediğiniz güzel ve güvenlik anlamında doğru bir şey ama bu işler için biraz yatırım ve zaman harcamanız gerekli.

Hocam Şirket çalışanları local admin değil ve IP değiştiremiyorlar ancak dediğiniz gibi switch lere bir kablo takıp IP vererek ağa girme imkanı sözkonusu. Cisco ve Hp aruba olmak üzere iki adet Backbone var. Bunlarla olabilir mi ? Ya da  bunu yapabilmenin maliyetsiz bir yöntemi ile alakalı bir makale vs. var mı ?

Teşekkürler

Maliyetsiz olması için Windows NPS bilmen lazım makalesi var bir dene ama SW tarafında da bir kaç komut koşturman lazım. Yada bir uzmanına danışmanlık ile yaptırabilirsin dene istersen.

http://www.cozumpark.com/blogs/windows_server/archive/2016/01/10/network-policy-and-access-services-npas-network-policy-server-nps-kavramlar.aspx

https://barisinceisci.wordpress.com/2014/07/19/network-policy-server-802-1x-kurulumu/

Merhaba 

Win 2012 dhcp server içinde sadece reserve yaptığım mac adreslerine IP vermesini sağladım. Ancak elle IP adresi verilenleri nasıl tespit edebilirim ?  

Cevaplarınız için teşekkür ederim. 

sorunun cevabi, kactane switch varsa ordaki ARP tablelerini export ediniz ile DHCP serverdaki IP leri export ediniz, Ortak payda ikisinde MAC address. Sonra excelde vlookup kullanip lookup value "mac address" yardimiyla  manual olarak girilmis ipleri tesbit edersiniz. Daha once powershellde boyle bir script yapmistim.

Hocam Şirket çalışanları local admin değil ve IP değiştiremiyorlar ancak dediğiniz gibi switch lere bir kablo takıp IP vererek ağa girme imkanı sözkonusu. Cisco ve Hp aruba olmak üzere iki adet Backbone var. Bunlarla olabilir mi ? Ya da  bunu yapabilmenin maliyetsiz bir yöntemi ile alakalı bir makale vs. var mı ?

Teşekkürler

Böyle bir durum zaten normal değil. Switch ortaya karışık kablo sokulabilecek durumda ise daha büyük zarar verilebilir. Bende kablo takıp ip almasından çok bu cihaza nasıl eirşim engellenir kilitli dolapta durur onun üzerine yürüyün.

Hocam Şirket çalışanları local admin değil ve IP değiştiremiyorlar ancak dediğiniz gibi switch lere bir kablo takıp IP vererek ağa girme imkanı sözkonusu. Cisco ve Hp aruba olmak üzere iki adet Backbone var. Bunlarla olabilir mi ? Ya da  bunu yapabilmenin maliyetsiz bir yöntemi ile alakalı bir makale vs. var mı ?

Teşekkürler

merhaba,

önerilere ek olarak, boşta olan switch portlarını off mod'a alın, böylelikle fiziksel kablo bağlantısı olsada, erişim sağlanamayacaktır.

maliyetsiz veya en düşük hali ile, kurumsal tarafta ip değiştirilemediğini ilettiniğinizden, mac base vlan yapısınada geçebilirsiniz.

yabancı bir host fiziksel erişim gerçekleştirdiğinde, direk tanımladığınız farklı bir vlan alınıp, kurumsal vlan tarafına erişim sağlanmayacaktır.

syslog, siem vb. çözüm yapınızda mevcut ise, burada dolaşan trafik için mac/ip alert oluşturup, ayrıca bilgi sahibi olmak mümkün.

Hakan hocamında belirtiği üzere dhcp server ın boyle bir özelliği oldugunu sanmıyorum ama switchlerinize port security uygulayabilirsiniz yada DAI destegi varsa açarsanız hiç birşeye dokunmadan DHCP serverdan ip almayan port direk bloklanır.

Selam ,

Kablolu Ağlar için Swich üzerinden Swich port Security yaparsın tanımlı mac adresi haricinde cihaz bağlandığından port kapatır kendini 

böylece DHCP Hangi Mac adrese rezerve ettiğini bilirsin 

Wifi İçin Pfsense ücretsiz şekilde Captiva portal yaparsın onuda Lldap üzerinden Authentication yaparsın ve DC üzerinde user olan adam bağlabilir 

Log kaydından adam ne yapmış nereye girmiş bilirsin