Anasayfa » Forum

DHCP IP almayı kısı...
 

DHCP IP almayı kısıtlama  

  RSS
Kadir Ayyıldız
(@KadirAyyildiz)
Üye

Merhabalar,

Domain ortamında dışarıdan getirilen cihazlara ethernet kablosu takıldığında IP almamalarını sağlayacak bir yapı oluşturmak istiyorum. Örnek vermek gerekirse ; evde kullandığım laptopumu iş yerine getirdim, boş bir ethernet kablosuna taktım ve dhcp üzerinden IP alarak domain ortamının IP bloğuna dahil oldum. Bunu engellemenin bir yolu var mıdır? Bilen yada uygulayan arkadaşların yardımını rica ederim. Teşekkürler

Alıntı
Gönderildi : 15/01/2017 2:03 am
ilhancicek
(@ilhancicek)
Üye
Kadir Ayyıldız
(@KadirAyyildiz)
Üye

[quote user="ilhancicek"]

Merhaba ;

Switchleriniz yönetilebilir ise NPS ile 802.1x yaparak domain de olmayan kişilerin ağa girmesini engeleyebilirsiniz. 

Yada aşağıdaki makaleler işinize yarayacaktır.

http://www.cozumpark.com/blogs/windows_server/archive/2008/04/07/dhcp-uzerinde-network-access-protection-bolum1-nap-ortam-ve-network-policy-server-yapilandirmasi.aspx

http://www.cozumpark.com/blogs/windows_server/archive/2008/04/07/dhcp-uzerinde-network-access-protection-bolum2-network-policy-server-uzerinde-nap-shvs-ve-dhcp-yapilandirmasi.aspx

[/quote]

 

Merhaba Ilhan Bey,

 

Bilgilendirme icin tesekkur ederim. Paylastiginiz makaleyi daha once incelemistim. NAP ile bazi kurallar tanimlayip, networke dahil olan kullanicilarin bazi guvenlik adimlarindan gecmesini saglayabiliyoruz. Guvenlik adimlarindan gecen kullanicilar dhcp uzerinden yine ip alacaklar. Anladigim kadariyla NAP domainde olan yada olmayan diye ayirt etmeden tum ag icin bir policy uyguluyor. 

Benim istemis oldugum, AD uzerinde kaydi olmayan yada workstation da olan clientlarin dhcp uzerinden IP alamamasi.

CevapAlıntı
Gönderildi : 15/01/2017 8:23 pm
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

merhaba,

en basit hali ile mac filtreleme kullanabilirsiniz.

veya mac base vlan makalesi portalda mevcut, inceleyebilirsiniz.

bir üst seviye nac çözümleri olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/01/2017 2:30 am
ilhancicek
(@ilhancicek)
Üye

Merhaba ;

802.1x yapabiliyor iseniz size çözüm olabilir.  Bunu yaptığınızda domain deki makineler otomatik olarak bağlanacaktır. Domain de olmayan makineler ise sadece gerekli ayarlar yapıldığında bağlanabilirler. 

CevapAlıntı
Gönderildi : 16/01/2017 12:17 pm
Kadir Ayyıldız
(@KadirAyyildiz)
Üye

[quote user="Turan COŞKUN"]

merhaba,

en basit hali ile mac filtreleme kullanabilirsiniz.

veya mac base vlan makalesi portalda mevcut, inceleyebilirsiniz.

bir üst seviye nac çözümleri olacaktır.

[/quote]

 

Merhaba Turan Bey,

Mac filtrelemeyi bende düşünmüştüm. Tek tek mac adresleri girmek çok külfetli olacaktı, ondan dolayı vazgeçtim.

Sunucuya import ettirme imkanım var mı mevcut olan tüm mac adreslerini? Bu konu da bilginiz var mı Turan Bey

CevapAlıntı
Gönderildi : 16/01/2017 10:52 pm
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

ortamda vlan yok ise, powershell ile mac listenizi aktarmanız mümkün görünüyor.

referans adres fikir verecektir.

https://blogs.technet.microsoft.com/teamdhcp/2012/11/10/dhcp-mac-address-filter-management-made-easy-with-dhcp-powershell/

vlan mevcut ise, mac base vlan kullanmanız başlangıçta yorucu olsada, yönetimi daha basit olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/01/2017 11:52 pm
Zafer SEN
(@ZaferSEN)
Üye

management switchleriniz varsa vlan olmasına gerek yok, port security yaparak mac sticky yapın, porta takılacak mac sayısını ve portun ne yapacağını belirtmeniz yeterli komutu da uygulaması da basit,

CevapAlıntı
Gönderildi : 17/01/2017 12:31 am
Rıza ŞAHAN
(@rizasahan)
Değerli Üye Forum Yöneticisi

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

CevapAlıntı
Gönderildi : 22/01/2017 3:23 am
Kadir Ayyıldız
(@KadirAyyildiz)
Üye

[quote user="Rıza ŞAHAN"]

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

[/quote]

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

CevapAlıntı
Gönderildi : 02/06/2017 6:41 pm
Ertan ERBEK
(@ertanerbek)
Tanınmış Üye

[quote user="Kadir Ayyıldız"]

[quote user="Rıza ŞAHAN"]

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

[/quote]

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

[/quote]

 

Merhaba, bu konunun uzmanı değilim ama neden istediğinizn olmayacağı konusunda iletişim kısmı ile alaklı olduğu için bir fikrim var. Öncelikli olarak bir cihazın domainde oturum açması için bir IP adresi edinmesi gerekiyor bu durumda IP alma işlemi domaine login olma işleminden önce oluyor yani domain ile kontrol edilmez. Domain üzerinden statik bir IP alması isteniyor ise bu domain dahil yada login olduktan sonra yapılması gereken bir atama işlem. Kullanıcı login oldukan sonra login olduğu IP adresi yerine farklı bir IP adresi push edilebiliyormu ona bakın. Bu durumda istediğinizin direk olarak olmasının imkanı bulunmuyor. MAC bazlı IP adres işlemi yapabilirsiniz.

CevapAlıntı
Gönderildi : 02/06/2017 7:20 pm
 Anonim

Selamlar ;

Network altyapınızda  kullanmış  olduğunuz ürünler  nelerdir  port security , 802.1x ve  dynamic  vlan microsoft radius  çözümleri ile istediğiniz  tarzda  bir  yapı  kurulabilir . Networke erişim sağlandığında  domainde  olan  kullanıcılar tanımlı olduğu  vlan a  member  edilip ,unauth  kullanıcılar  tanımlanan izole vlan a dahil  edilerek production networkunden  izole  edilmesi  mümkün.

[quote user="Kadir Ayyıldız"]

[quote user="Rıza ŞAHAN"]

Merhaba,
https://rizasahan.wordpress.com/2010/09/30/server-2008-dhcp-filter/  bu çözüm olacak gibi.

 

[/quote]

Merhabalar,

Paylaştığınız linkteki gibi Allow-Deny hakları üzerinden ilerliyorum. Fakat örnek veriyorum, domain ortamında olmayıp dışarıdan gelen bir kişi kendine Satik ip tanımladığında dhcp üzerinden erişim sağlayabiliyor. Bunu engellemenin bir yöntemi var mıdır? 

[/quote]

CevapAlıntı
Gönderildi : 03/06/2017 2:50 am
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol