DHCP Misafirlere IP dağıtmasın. Ama nasıl ?

mac filter yapamicagina gore,RADIUS kullanabilir,yada IP reserve edebilrsin.yada DHCP class kullanabilirsin.Sanirim bu post'dan sonra sorunun daha da şekillenicek.

Bu olayın çözümü 802.1x dir bunun içinde swicthlerin destegi varsa yapabilirsin.

Merhaba.

Alternatif ve düşük maliyetli bir çözüm olarak, DHCP üzerinde Mac Filtering yapabileceğimiz CallOut DLL yöntemini önerebilirim.

merhaba mac filtre ok. CallOut DLL nedir? konu benimde merak ettiğim bir konuda takipteyim anlıcağınız 🙂

Özel olarak bir DLL hazırlıyoruz. Bu dll MAC bilgilerini tutuyor. Windows Server üzerinde çalışan DHCP, kendisine IP isteği gönderen mac adreslerini (yani cihazları) bu dll'e göre kontrol ediyor. Uygun ise IP veriyor değil ise vermiyor.

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

http://blogs.msdn.com/anto_rocks/archive/2005/02/25/380510.aspx

İkinci makalede nasıl uygulanacağı ayrıntılı bir şekilde anlatılıyor.

BU arada bu dll dosyasını windows server 2003 üzerinde çalışan DHCP için bizim oluşturmamız gerek. Windows Server 2008 de ise bu özellik yerleşik olarak geliyor.

İlerleyen günlerde, Windows Server 2008 üzerinde MAC filtering konusunda türkçe makalelerimiz olacak. Takipte olun.

tamam ok bunuda anladım ancak mac filtre ve dhcp kuararken yapılandırma
sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip
dağıtmayı zaten engelleyebiliyoruz. ben sorumu sorayım en iyisi kısadan
::) misafir gelsin ağa girsin ancak benim ip min uzantısını almasın
mesela modemin başka rute ettiği ve dhcpnin dağıttığı bir ağ geçidi ve
ip alsın. mesela program için kullandığımız ip 192.168.1.x olsun
misafirin bağlandığında alacağı ip de 10.0.0.x olsun modemin başka bir
ip si olamazmı bu şekilde bir yöntem 🙂 yani benim şirketime ait bilgisayraları  veya kalsörleri göremesin böylece sadece internete girsin

dhcp kuararken yapılandırma sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip dağıtmayı zaten engelleyebiliyoruz.

Burayı anlamadım?

Şimdi bak. Bırak tüm istemciler aynı DHCP den IP alsın. Senin yapında domian ortamı varsa, authentication vardır. Authentication varsa güvenlik vardır.

Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez. Ama izinler dahilinde internete çıkabilir. 

Bunu domain ortamı ile çözmelisin.

Merhaba

Anladığım kadarıyla Local LAN a girmeden gelen kişileri internete çıkartmak istiyorsunuz sanırım.Firmanızda iki farklı IP blogu kullanmak için ya VLAN yapmalısınız yada DMZ kullanmalısınız.

 En kolay yöntem  farklı bir IP için  DHCP ile DMZ portu kullanarak Wireless AP ile interneti dağıtmak olacaktır.

ÖR.: Zywall 70 UTM cihazını inceleyebilirsin.

Serhat Hocam Ben Burda Bir şey Sormak İstiyorum. Benim Sisteminde 2003 r2 , DC , Dhcp Dns Ve İsa Server 2006 var misafir kullanıcılar dhcp den ip aldı diyelim bunu ben isa server de Authentication özelliğini açarak internete çıkmasını engelleyebiliyorum fakat söylediğiniz şu cümleyi "Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez" anlayamadım. Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez özelliği dhcp yada dc kurulduğunda  otomatik olarak aktif oluyor mu yoksa bizim herhangi bir ayar yapmamıza gerek varmı

Merhabalar,

Ortamınızda domain yapısı varsa domaine üye olmayan(başka bir ifadeyle dc ile authantication kuramayan) makinalar domaine dahil olan makinlara erişemezler. Kullanıcı adı ve şifre yazarak o  şekilde erişebilirsiniz. Default olarak böyledir. 

Bunu sağlayan active directory domain ortamıdır.

Active directory domain ortamında gelişmiş bir authentication mekanizması vardır. Domain ortamında çalışan bilgisayarlar dc üzerinde authentication (kimlik doğrulama) yaparlar ve ağ kaynaklarına erişim için gerekli yetkileri alır.

Domaindeki server/pc üzerinde paylaşımda olan bir klasörü (authenticated users yada ilgili gurup için izin tanımlanmış) ele alarak iki örnek verelim.

Domaine dahil olan bir kullanıcı bu klasöre rahatlıkla erişebilir. Çünkü domain ortamı bu kullanıcıyı tanıyordur ve güvenilir olduğunu bilir (authentication)

Ama domaine dahil olmayan bir kullanıcı, her nekadar DHCP den ağa erişmesi için gerekli IP adresini almış olsada, paylaşımdaki klasöre erişemeyecektir. Çünkü paylaşımı barındıran server, paylaşıma erişmek isteyen kullanıcının kimlik doğrulayıp doğrulamadığına bakacak. Kullanıcı domainde olmadığı için haliyle kimlik doğrulamamış olacak ve ondan username ve password isteyecek. Misafirler domainde tanımlı user ve password bilgilerini bilmediği için bu bilgiyi veremeyecek ve paylaşıma erişemeyecek.

Bu paylaşım için bir örnekti. Diğer kaynaklar içinde durum bu şekilde.

ya hocam bendede var domain ayenen dediğiniz gibi ama psikolojikman rahatsızım 🙂 misafirler klasörleri görüyor dediğiniz gibi giremiyor ama görüyor buda beni acayip rahatsız ediyor bildiğiniz gibi değil htta şöyle yaptım en son wirelees için ayrı bir hat adsl olay bititi 🙂 güvenlik klasörlerimi kimse göremez artık hehe

Merhaba,

Windows2003 DHCP üzerinde mac bazlı ip dağıtma makalesi aslında gönderişmişti, Hakan hocam yakında yayınlar ve bence bu yöntemi kullanmalısınız.

Yukarıda denildiği gibi dhcp den ip alsalarda kimlik doğrulama yapamayacaklarından sadece paylaşıma açılan dosyalara erişim sağlayamazlar, ama ip almaları güvenlik açığıdır. IP aldıktan sonra sniffer ile pek çok bilgi hırsızlığı gerçekleştirebilirler.

Bence layer2 yönetilebilen bir switch sahibi iseniz switch üzerinde mac leri tek tek işleyin ve kablo taksalarda hiçbir şey ifade etmesin. Eğer bunu sağlayamıyorsanız dhcp mac filter makalesini uygulayın derim.

Ayrıca şirket yöneticileri gelen misaffierlerinin interneti kullanamamasından dolayıda homurdanabilirler, misafirer için ayrı bir adsl hattı almak ve bunu wireless olarak sağlamak sizi kurtarabilir.

Peki dhcp misafirlere ip dağıtmadı iyi güzel. Misafir manuel ip alabilicekmi mac filter yapıldığında?

Misafirlerinizin manual ip vermesini engelliyemezsiniz bu durumda klasör isimlerini görebilecekler fakat çok takıntı yapıyorum derseniz bu konuyu ortama bir firewall koyarsınız DMZ portuna bir switch veya tüm müşterileriniz wireless üzerinden geliyorsa bir access point koyarsınız misafirlerinize ip adresslerini farklı bir ip bloğu üzerinden AP yada Firewall dağıtır DMZ içinde bir access rule yazar DMZ portundan gelicek istekleri LAN a block'lar bu şekilde manuel'de verseler izole etmiş olursunuz yok derseniz bu sistem bana pahalı gelir virtual DMZ desteği olan modemlerde var piyasada bununla istediğinizi yapabilirsiniz kolay gelsin.

Arkadaşlar alternetif çözümleri söledi güzel yöntemlerde ama ilerde bu postu okuyacaklar için yazıyorum bu olayın asıl çözümü 802.1x dir.

Yani cidddi bir firmada çalışıyorsanız ki eger değişik yolları denememenizi öneririm.

Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  

 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

Merhaba ;

802.1x  i kısaca  soyle  ozetleyebılırız bır  kullanıcı network kablosunu pc sıne veya  notebook una  taktıgı  zaman sisteme  auth olması  gerekır auth olmayan pc  ler  networke erişim saglayamazlar.

http://www.google.com.tr/search?hl=tr&q=802.1.x+nedir&meta =

Teşekkürler.

Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  

 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi