Forum

DHCP Misafirlere IP...
 
Bildirimler
Hepsini Temizle

DHCP Misafirlere IP dağıtmasın. Ama nasıl ?

30 Yazılar
19 Üyeler
0 Likes
2,846 Görüntüleme
(@askinkaymaz)
Gönderiler: 152
Reputable Member
Konu başlatıcı
 

merhaba arkadaşlar,

w2003 server uzerinde DHCP servisi hizmet vermekte ve sorunsuz çalışmaktadır. Benim bir derdim var bu konu ile ilgili.

Şöyle ki ; Şirket personeli dışında gelen misafirler kimi zaman toplantı odasında laptop larını networke bağlıyorlar ve bizim DHCP hop hemen IP veriyor. E malum gelen misafir bizim networkede dalmış oluyor. Ben ise bunu önlemek istiyorum. Yani DHCP çalışsın ama bir kontrol yada onaylama olmadan IP alamasın. Ya da IP alsın ama sadece Interneti kullanabilsin.

Onerilerinizi bekliyorum.

simdiden tesekkurler
 

 
Gönderildi : 27/03/2008 02:53

(@birolaydugan)
Gönderiler: 867
Prominent Member
 

mac filter yapamicagina gore,RADIUS kullanabilir,yada IP reserve edebilrsin.yada DHCP class kullanabilirsin.Sanirim bu post'dan sonra sorunun daha da şekillenicek.

 
Gönderildi : 27/03/2008 03:15

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Bu olayın çözümü 802.1x dir bunun içinde swicthlerin destegi varsa yapabilirsin.

 
Gönderildi : 27/03/2008 03:30

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Merhaba.


Alternatif ve düşük maliyetli bir çözüm olarak, DHCP üzerinde Mac Filtering yapabileceğimiz CallOut DLL yöntemini önerebilirim.


 

 
Gönderildi : 27/03/2008 03:39

(@serkanuz)
Gönderiler: 47
Trusted Member
 

merhaba mac filtre ok. CallOut DLL nedir? konu benimde merak ettiğim bir konuda takipteyim anlıcağınız 🙂

 
Gönderildi : 27/03/2008 03:51

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Özel olarak bir DLL hazırlıyoruz. Bu dll MAC bilgilerini tutuyor. Windows Server üzerinde çalışan DHCP, kendisine IP isteği gönderen mac adreslerini (yani cihazları) bu dll'e göre kontrol ediyor. Uygun ise IP veriyor değil ise vermiyor.


http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx


http://blogs.msdn.com/anto_rocks/archive/2005/02/25/380510.aspx


İkinci makalede nasıl uygulanacağı ayrıntılı bir şekilde anlatılıyor.


 


BU arada bu dll dosyasını windows server 2003 üzerinde çalışan DHCP için bizim oluşturmamız gerek. Windows Server 2008 de ise bu özellik yerleşik olarak geliyor.


İlerleyen günlerde, Windows Server 2008 üzerinde MAC filtering konusunda türkçe makalelerimiz olacak. Takipte olun.

 
Gönderildi : 27/03/2008 04:00

(@serkanuz)
Gönderiler: 47
Trusted Member
 

tamam ok bunuda anladım ancak mac filtre ve dhcp kuararken yapılandırma
sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip
dağıtmayı zaten engelleyebiliyoruz. ben sorumu sorayım en iyisi kısadan
::) misafir gelsin ağa girsin ancak benim ip min uzantısını almasın
mesela modemin başka rute ettiği ve dhcpnin dağıttığı bir ağ geçidi ve
ip alsın. mesela program için kullandığımız ip 192.168.1.x olsun
misafirin bağlandığında alacağı ip de 10.0.0.x olsun modemin başka bir
ip si olamazmı bu şekilde bir yöntem 🙂 yani benim şirketime ait bilgisayraları  veya kalsörleri göremesin böylece sadece internete girsin

 
Gönderildi : 27/03/2008 04:13

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

dhcp kuararken yapılandırma sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip dağıtmayı zaten engelleyebiliyoruz.


Burayı anlamadım?


Şimdi bak. Bırak tüm istemciler aynı DHCP den IP alsın. Senin yapında domian ortamı varsa, authentication vardır. Authentication varsa güvenlik vardır.


Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez. Ama izinler dahilinde internete çıkabilir. 


Bunu domain ortamı ile çözmelisin.

 
Gönderildi : 27/03/2008 04:26

(@OmerKARADENIZ)
Gönderiler: 1560
Noble Member
 

Merhaba


Anladığım kadarıyla Local LAN a girmeden gelen kişileri internete çıkartmak istiyorsunuz sanırım.Firmanızda iki farklı IP blogu kullanmak için ya VLAN yapmalısınız yada DMZ kullanmalısınız.


 En kolay yöntem  farklı bir IP için  DHCP ile DMZ portu kullanarak Wireless AP ile interneti dağıtmak olacaktır.


ÖR.: Zywall 70 UTM cihazını inceleyebilirsin.


 

 
Gönderildi : 27/03/2008 11:13

(@oguzhanbitlisli)
Gönderiler: 180
Reputable Member
 

Serhat Hocam Ben Burda Bir şey Sormak İstiyorum. Benim Sisteminde 2003 r2 , DC , Dhcp Dns Ve İsa Server 2006 var misafir kullanıcılar dhcp den ip aldı diyelim bunu ben isa server de Authentication özelliğini açarak internete çıkmasını engelleyebiliyorum fakat söylediğiniz şu cümleyi "Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez" anlayamadım. Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez özelliği dhcp yada dc kurulduğunda  otomatik olarak aktif oluyor mu yoksa bizim herhangi bir ayar yapmamıza gerek varmı

 
Gönderildi : 28/03/2008 14:24

(@rahmidilli)
Gönderiler: 2458
Famed Member
 

Merhabalar,

Ortamınızda domain yapısı varsa domaine üye olmayan(başka bir ifadeyle dc ile authantication kuramayan) makinalar domaine dahil olan makinlara erişemezler. Kullanıcı adı ve şifre yazarak o  şekilde erişebilirsiniz. Default olarak böyledir. 

 
Gönderildi : 28/03/2008 14:29

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Bunu sağlayan active directory domain ortamıdır.


Active directory domain ortamında gelişmiş bir authentication mekanizması vardır. Domain ortamında çalışan bilgisayarlar dc üzerinde authentication (kimlik doğrulama) yaparlar ve ağ kaynaklarına erişim için gerekli yetkileri alır.


Domaindeki server/pc üzerinde paylaşımda olan bir klasörü (authenticated users yada ilgili gurup için izin tanımlanmış) ele alarak iki örnek verelim.


Domaine dahil olan bir kullanıcı bu klasöre rahatlıkla erişebilir. Çünkü domain ortamı bu kullanıcıyı tanıyordur ve güvenilir olduğunu bilir (authentication)


Ama domaine dahil olmayan bir kullanıcı, her nekadar DHCP den ağa erişmesi için gerekli IP adresini almış olsada, paylaşımdaki klasöre erişemeyecektir. Çünkü paylaşımı barındıran server, paylaşıma erişmek isteyen kullanıcının kimlik doğrulayıp doğrulamadığına bakacak. Kullanıcı domainde olmadığı için haliyle kimlik doğrulamamış olacak ve ondan username ve password isteyecek. Misafirler domainde tanımlı user ve password bilgilerini bilmediği için bu bilgiyi veremeyecek ve paylaşıma erişemeyecek.


Bu paylaşım için bir örnekti. Diğer kaynaklar içinde durum bu şekilde.

 
Gönderildi : 28/03/2008 14:56

(@serkanuz)
Gönderiler: 47
Trusted Member
 

ya hocam bendede var domain ayenen dediğiniz gibi ama psikolojikman rahatsızım 🙂 misafirler klasörleri görüyor dediğiniz gibi giremiyor ama görüyor buda beni acayip rahatsız ediyor bildiğiniz gibi değil htta şöyle yaptım en son wirelees için ayrı bir hat adsl olay bititi 🙂 güvenlik klasörlerimi kimse göremez artık hehe

 
Gönderildi : 30/03/2008 02:48

(@mesutsariyar)
Gönderiler: 2515
Co-Founder
 

Merhaba,


Windows2003 DHCP üzerinde mac bazlı ip dağıtma makalesi aslında gönderişmişti, Hakan hocam yakında yayınlar ve bence bu yöntemi kullanmalısınız.


Yukarıda denildiği gibi dhcp den ip alsalarda kimlik doğrulama yapamayacaklarından sadece paylaşıma açılan dosyalara erişim sağlayamazlar, ama ip almaları güvenlik açığıdır. IP aldıktan sonra sniffer ile pek çok bilgi hırsızlığı gerçekleştirebilirler.


Bence layer2 yönetilebilen bir switch sahibi iseniz switch üzerinde mac leri tek tek işleyin ve kablo taksalarda hiçbir şey ifade etmesin. Eğer bunu sağlayamıyorsanız dhcp mac filter makalesini uygulayın derim.


Ayrıca şirket yöneticileri gelen misaffierlerinin interneti kullanamamasından dolayıda homurdanabilirler, misafirer için ayrı bir adsl hattı almak ve bunu wireless olarak sağlamak sizi kurtarabilir.

 
Gönderildi : 31/03/2008 14:16

(@cozumpark)
Gönderiler: 16309
Illustrious Member Yönetici
 

Peki dhcp misafirlere ip dağıtmadı iyi güzel. Misafir manuel ip alabilicekmi mac filter yapıldığında?

 
Gönderildi : 25/08/2008 19:35

(@alperozdemir)
Gönderiler: 703
Prominent Member
 

Misafirlerinizin manual ip vermesini engelliyemezsiniz bu durumda klasör isimlerini görebilecekler fakat çok takıntı yapıyorum derseniz bu konuyu ortama bir firewall koyarsınız DMZ portuna bir switch veya tüm müşterileriniz wireless üzerinden geliyorsa bir access point koyarsınız misafirlerinize ip adresslerini farklı bir ip bloğu üzerinden AP yada Firewall dağıtır DMZ içinde bir access rule yazar DMZ portundan gelicek istekleri LAN a block'lar bu şekilde manuel'de verseler izole etmiş olursunuz yok derseniz bu sistem bana pahalı gelir virtual DMZ desteği olan modemlerde var piyasada bununla istediğinizi yapabilirsiniz kolay gelsin.

 
Gönderildi : 25/08/2008 19:46

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Arkadaşlar alternetif çözümleri söledi güzel yöntemlerde ama ilerde bu postu okuyacaklar için yazıyorum bu olayın asıl çözümü 802.1x dir.


Yani cidddi bir firmada çalışıyorsanız ki eger değişik yolları denememenizi öneririm.

 
Gönderildi : 26/08/2008 00:49

(@dermaz)
Gönderiler: 1
New Member
 

Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  


 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

 
Gönderildi : 02/02/2009 21:27

(@Anonim)
Gönderiler: 0
 

Merhaba ;


802.1x  i kısaca  soyle  ozetleyebılırız bır  kullanıcı network kablosunu pc sıne veya  notebook una  taktıgı  zaman sisteme  auth olması  gerekır auth olmayan pc  ler  networke erişim saglayamazlar.


http://www.google.com.tr/search?hl=tr&q=802.1.x+nedir&meta =


Teşekkürler.


 



Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  


 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

 
Gönderildi : 02/02/2009 22:01

Sayfa 1 / 2
Paylaş: