Sophos Gx125 Mac Fi...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Sophos Gx125 Mac Filter Oluşturma  

  RSS
Orhan CAN
(@orhancan)
Üye

Resimde görülen topolojide, Lokalde bulanan bir server'a gelen istemciyi sınırlamak istiyorum.

Ancak Puplic IP si dinamik olan bir yapıda, Porta gelen istemciyi IP ile sınırlayamayacağımdan, Mac adres ile sınırlamak istiyorum.

 

Sophos Gx125 üzerinde şu IP ve Porta gelen istemcileri denetle Mac adresi kayıtlı ise veriye ulaşsın diyebiliyormuyum? Mac filter özelliği kullanarak filtreleme yapılabiliyor mu bunu öğrenmem gerekiyor. Teşekkür ediyorum vereceğiniz cevaplar için.

VPN Mac filter Page2

 

Bu konu 1 ay önce Orhan CAN tarafından düzenlendi
Alıntı
Gönderildi : 05/06/2020 16:18
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Konuyu yanlış yere açmışsınız paylaşım ile ne alakası var. Sophos'un başlığı bile var forumda.

https://community.sophos.com/kb/en-us/123072
Ürünün documantasyonuna hiç bakmadınız sanırım arayınca ilk satırda bu çıktı. Bu kuralın tersini uygulayacaksınız. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/06/2020 18:21
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi
Gönderen: @orhancan

Resimde görülen topolojide, Lokalde bulanan bir server'a gelen istemciyi sınırlamak istiyorum.

Ancak Puplic IP si dinamik olan bir yapıda, Porta gelen istemciyi IP ile sınırlayamayacağımdan, Mac adres ile sınırlamak istiyorum.

 

Sophos Gx125 üzerinde şu IP ve Porta gelen istemcileri denetle Mac adresi kayıtlı ise veriye ulaşsın diyebiliyormuyum? Mac filter özelliği kullanarak filtreleme yapılabiliyor mu bunu öğrenmem gerekiyor. Teşekkür ediyorum vereceğiniz cevaplar için.

VPN Mac filter Page2

 

Selamlar @orhancan

 

Postunuzu  GÜVENLİK ana başlığının  altındaki  SOPHOS  bölümüne  taşıdım, bundan  sonra  oluşturacağınız  postları uygun  bölümlerde  oluşturmanız cevap alma hızınız postların düzeni  açısından önemli olduğu için daha  dikkatli olmanızı  rica  ediyoruz.

 

Sorunuzla  ilgili şu  kısmı  anlayamadım  sizin uygulamanıza  clientlar  internet  ağı üzerinden mi  erişiyor? şayet  internet  üzerinden  erişim  oluyor  ise  mac  adresleri ile bir  kısıtlama  sağlayamazsınız internet ağı L3 bir  ağ  olduğu için L2 ağlarda  kullanılan mac  adresleri değil tcp/ip protokolu ile  erişim  sağlanır.

Kullanıcılar  internet  üzerinden uygulamanıza  erişiyor  ise firewall  üzerinden vpn ile  sadece  istediğiniz  clientların  bağlanmasını  sağlayabilirsiniz.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 05/06/2020 18:32
Orhan CAN
(@orhancan)
Üye

@cumhuraltan Çok özür dilerim. Haftanın son günü olmasının da bir etkisi sanırım, bir dalgınlık olmuş konuyu farklı yerde açmışım. Buna dikkat edeceğim.

 

Konuya gelince Hocam;

 

Mevcut bir yapıda veri tabanına yönlendirilmiş IP ve Portumuz bulunmaktadır.
1- IP ve Port üzerinden bu sisteme gelen istemciler, Mac adresi ile filtrelenerek sisteme erişmesini istiyoruz. Hem Lan üzerinde Hem de Wan üzerinde bu işlem olmalı.
2- Yine aynı şekilde içerideki VPN üzerinden gelen kullanıcıları da Mac filter özelliğiyle kısıtlamak istiyoruz. Kullanmakta olduğumuz veri tabanında değişiklik yapılamadığı için bu yöntemle sistem kullanıcılarını kısıtlamayı hedefliyoruz.

 

Mac filter

 

@cumhuraltan

Sorunuzla ilgili şu kısmı anlayamadım sizin uygulamanıza clientlar internet ağı üzerinden mi erişiyor? EVET şayet internet üzerinden erişim oluyor ise mac adresleri ile bir kısıtlama sağlayamazsınız internet ağı L3 bir ağ olduğu için L2 ağlarda kullanılan mac adresleri değil tcp/ip protokolu ile erişim sağlanır. BURADAN ANLADIĞIM İNTERNET ÜZERİNDEN GELEN İSTEMCİLER MAC FİLTER İLE FİLTRELENEMİYOR! YANLIZCA IP FİLTER YAPILABLİYOR. SEBEP 3 KATMANLI AĞ YAPISI OLMASI DEĞİL Mİ? DOĞRU ANLADYDAM HOCAM KONU TARTIŞMAYA KAPALI!

Kullanıcılar internet üzerinden uygulamanıza erişiyor ise firewall üzerinden vpn ile sadece istediğiniz clientların bağlanmasını sağlayabilirsiniz. YAZINIZDAN ANLADIĞIM KADARIYLA VPN İLE BAĞLANACAK İSTEMCİLERİ MAC FİLTER YAPARAK WAN DAN LAN'A GELEN BİR İSTEMCİYE MAC TANIMLAYARAK İÇERİYE ALABİLİYORUM DOĞRU MU?

 

 

@ibrahimyildiz Hocam sizin bahsettiğiniz yöntem local ağ için geçerli sanırım. Ben Wan dan Lan'a gelen bir sistem için Mac filter yapmaya çalışıyorum. Yani sizin linkte gönderdiğiniz Bu kural , LAN  ana bilgisayarından gelen  ve WAN için hedeflenen  00: 16: 76: 49: 33: CE  ana bilgisayarı için IPv4 trafiğinin tamamını engeller. Ben bu işlemin tam tersini uygulamak istiyorum.

Mac test
CevapAlıntı
Gönderildi : 08/06/2020 10:28
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Ben onu bir gateway olan vpn erişimini tahmin ederek yazdım ama sanırım sizde öyle birşey yok. O durumda Cumhur hocanın yazdığı kural geçerli. Diag çizmişsiniz ama sorunuzla paralel de birşey anlaşılmıyor yazdıklarınızda yine muğlak noktalar var.
Erişimi kontrol etmek istediğiniz bir uygulama mı windows sunucu mu.
Routing'i yapan fw değilse mac filter zaten yapamazsınız.
Server OS bazında mac kontrolü yapabilmeniz için bir uygulama lazım SEP bunu yapabiliyordu diğerlerini pek hatırlayamadım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 08/06/2020 13:52
Orhan CAN
(@orhancan)
Üye

@ibrahimyildiz Hocam en açık haliyle yazayım size. Şirketimizde ERP uygulaması var. Bu uygulama da lokal ve web tabanlı çalışıyor. Webden herkesin girmesini istemediğimiz için güvenlik duvarında mac filtreleme yapalım istiyoruz. IP ve Port fw ettik şuan açık şekilde bağlandı var.

Bunun önüne de WAN da her hangibi bir IP den gelen LAN bağlantıyı mac adresini filtreleyip içeri alsın istiyorum.

 

İkinci konu da VPN Mac filter hocam; Aynı şekilde veri tabanına bağlanan sorumlu kişiler var. Bu kişiler de sadece benim tanımladığım bilgisayrları her yerde kullanabilsin. IP değişken fakat MAC sabit olacağından tehtidi en aza indirmiş olurum diye düşünüyorum.

Durum böyle hocam..

CevapAlıntı
Gönderildi : 08/06/2020 14:30
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

O şekilde olmaz fw'ın bir app controlü, sso olmadan o şekilde olmaz. 
Doğrusu bu tip ihtiyaçlarda engelli listesi yerine izinli listesi yapmanız lazım.
Şöyle birşey yapabilirsin. Herkes vpn kullanır. fw, dhcp üzerinde mac'lere ip reserve edersin. Akabinde vpn bacağında veya nat yapılan portal vs port'larına ip izin listesi yazarsın. Sunucuların win firewall'ına da ip bazlı kurallarla erişimi denetleyebilirsin.

Ayrıca bilgi: https://sozluk.cozumpark.com/mac-spoofing

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 08/06/2020 19:21
Orhan CAN
(@orhancan)
Üye

@ibrahimyildiz Evet hocam her kes VPN kullanmak durumunda kaldı şuan 🙂 işlemi internette video ile anlatılmıştı uyguladım şuan sıkıntı yok. Teşekkür ederim. İyi çaılşmalar.

CevapAlıntı
Gönderildi : 09/06/2020 09:18
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Tebrikler. İyi çalışmalar.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 09/06/2020 10:50
Paylaş: