DHCP Misafirlere IP...
 
Bildirimler
Hepsini Temizle

DHCP Misafirlere IP dağıtmasın. Ama nasıl ?  

Sayfa 1 / 2
  RSS
askinkaymaz
(@askinkaymaz)
Üye

merhaba arkadaşlar,

w2003 server uzerinde DHCP servisi hizmet vermekte ve sorunsuz çalışmaktadır. Benim bir derdim var bu konu ile ilgili.

Şöyle ki ; Şirket personeli dışında gelen misafirler kimi zaman toplantı odasında laptop larını networke bağlıyorlar ve bizim DHCP hop hemen IP veriyor. E malum gelen misafir bizim networkede dalmış oluyor. Ben ise bunu önlemek istiyorum. Yani DHCP çalışsın ama bir kontrol yada onaylama olmadan IP alamasın. Ya da IP alsın ama sadece Interneti kullanabilsin.

Onerilerinizi bekliyorum.

simdiden tesekkurler
 

Alıntı
Gönderildi : 27/03/2008 01:53
Birol AYDOĞAN
(@birolaydugan)
Üye

mac filter yapamicagina gore,RADIUS kullanabilir,yada IP reserve edebilrsin.yada DHCP class kullanabilirsin.Sanirim bu post'dan sonra sorunun daha da şekillenicek.

CevapAlıntı
Gönderildi : 27/03/2008 02:15
Eser SOLMAZ
(@esersolmaz)
Kıdemli Üye Yönetici

Bu olayın çözümü 802.1x dir bunun içinde swicthlerin destegi varsa yapabilirsin.

CevapAlıntı
Gönderildi : 27/03/2008 02:30
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

Merhaba.


Alternatif ve düşük maliyetli bir çözüm olarak, DHCP üzerinde Mac Filtering yapabileceğimiz CallOut DLL yöntemini önerebilirim.


 

CevapAlıntı
Gönderildi : 27/03/2008 02:39
serkanuz
(@serkanuz)
Üye

merhaba mac filtre ok. CallOut DLL nedir? konu benimde merak ettiğim bir konuda takipteyim anlıcağınız 🙂

CevapAlıntı
Gönderildi : 27/03/2008 02:51
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

Özel olarak bir DLL hazırlıyoruz. Bu dll MAC bilgilerini tutuyor. Windows Server üzerinde çalışan DHCP, kendisine IP isteği gönderen mac adreslerini (yani cihazları) bu dll'e göre kontrol ediyor. Uygun ise IP veriyor değil ise vermiyor.


http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx


http://blogs.msdn.com/anto_rocks/archive/2005/02/25/380510.aspx


İkinci makalede nasıl uygulanacağı ayrıntılı bir şekilde anlatılıyor.


 


BU arada bu dll dosyasını windows server 2003 üzerinde çalışan DHCP için bizim oluşturmamız gerek. Windows Server 2008 de ise bu özellik yerleşik olarak geliyor.


İlerleyen günlerde, Windows Server 2008 üzerinde MAC filtering konusunda türkçe makalelerimiz olacak. Takipte olun.

CevapAlıntı
Gönderildi : 27/03/2008 03:00
serkanuz
(@serkanuz)
Üye

tamam ok bunuda anladım ancak mac filtre ve dhcp kuararken yapılandırma
sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip
dağıtmayı zaten engelleyebiliyoruz. ben sorumu sorayım en iyisi kısadan
::) misafir gelsin ağa girsin ancak benim ip min uzantısını almasın
mesela modemin başka rute ettiği ve dhcpnin dağıttığı bir ağ geçidi ve
ip alsın. mesela program için kullandığımız ip 192.168.1.x olsun
misafirin bağlandığında alacağı ip de 10.0.0.x olsun modemin başka bir
ip si olamazmı bu şekilde bir yöntem 🙂 yani benim şirketime ait bilgisayraları  veya kalsörleri göremesin böylece sadece internete girsin

CevapAlıntı
Gönderildi : 27/03/2008 03:13
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

[quote user="serkanuz"]dhcp kuararken yapılandırma sırasında yapılan işlemlerle ip aralığı dışında kalan istemcilere ip dağıtmayı zaten engelleyebiliyoruz. [/quote]


Burayı anlamadım?


Şimdi bak. Bırak tüm istemciler aynı DHCP den IP alsın. Senin yapında domian ortamı varsa, authentication vardır. Authentication varsa güvenlik vardır.


Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez. Ama izinler dahilinde internete çıkabilir. 


Bunu domain ortamı ile çözmelisin.

CevapAlıntı
Gönderildi : 27/03/2008 03:26
Omer KARADENIZ
(@OmerKARADENIZ)
Üye

Merhaba


Anladığım kadarıyla Local LAN a girmeden gelen kişileri internete çıkartmak istiyorsunuz sanırım.Firmanızda iki farklı IP blogu kullanmak için ya VLAN yapmalısınız yada DMZ kullanmalısınız.


 En kolay yöntem  farklı bir IP için  DHCP ile DMZ portu kullanarak Wireless AP ile interneti dağıtmak olacaktır.


ÖR.: Zywall 70 UTM cihazını inceleyebilirsin.


 

CevapAlıntı
Gönderildi : 27/03/2008 10:13
Oguzhan Bitlisli
(@oguzhanbitlisli)
Üye

Serhat Hocam Ben Burda Bir şey Sormak İstiyorum. Benim Sisteminde 2003 r2 , DC , Dhcp Dns Ve İsa Server 2006 var misafir kullanıcılar dhcp den ip aldı diyelim bunu ben isa server de Authentication özelliğini açarak internete çıkmasını engelleyebiliyorum fakat söylediğiniz şu cümleyi "Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez" anlayamadım. Domaine dahil olmayan misafir bilgisayarlar zaten senin sistemine,klasörlerine vs.. erişemez özelliği dhcp yada dc kurulduğunda  otomatik olarak aktif oluyor mu yoksa bizim herhangi bir ayar yapmamıza gerek varmı

CevapAlıntı
Gönderildi : 28/03/2008 13:24
Rahmi DILLI
(@rahmidilli)
Tecrübeli Üye

Merhabalar,

Ortamınızda domain yapısı varsa domaine üye olmayan(başka bir ifadeyle dc ile authantication kuramayan) makinalar domaine dahil olan makinlara erişemezler. Kullanıcı adı ve şifre yazarak o  şekilde erişebilirsiniz. Default olarak böyledir. 

CevapAlıntı
Gönderildi : 28/03/2008 13:29
Serhat AKINCI
(@serhatakinci)
Tecrübeli Üye

Bunu sağlayan active directory domain ortamıdır.


Active directory domain ortamında gelişmiş bir authentication mekanizması vardır. Domain ortamında çalışan bilgisayarlar dc üzerinde authentication (kimlik doğrulama) yaparlar ve ağ kaynaklarına erişim için gerekli yetkileri alır.


Domaindeki server/pc üzerinde paylaşımda olan bir klasörü (authenticated users yada ilgili gurup için izin tanımlanmış) ele alarak iki örnek verelim.


Domaine dahil olan bir kullanıcı bu klasöre rahatlıkla erişebilir. Çünkü domain ortamı bu kullanıcıyı tanıyordur ve güvenilir olduğunu bilir (authentication)


Ama domaine dahil olmayan bir kullanıcı, her nekadar DHCP den ağa erişmesi için gerekli IP adresini almış olsada, paylaşımdaki klasöre erişemeyecektir. Çünkü paylaşımı barındıran server, paylaşıma erişmek isteyen kullanıcının kimlik doğrulayıp doğrulamadığına bakacak. Kullanıcı domainde olmadığı için haliyle kimlik doğrulamamış olacak ve ondan username ve password isteyecek. Misafirler domainde tanımlı user ve password bilgilerini bilmediği için bu bilgiyi veremeyecek ve paylaşıma erişemeyecek.


Bu paylaşım için bir örnekti. Diğer kaynaklar içinde durum bu şekilde.

CevapAlıntı
Gönderildi : 28/03/2008 13:56
serkanuz
(@serkanuz)
Üye

ya hocam bendede var domain ayenen dediğiniz gibi ama psikolojikman rahatsızım 🙂 misafirler klasörleri görüyor dediğiniz gibi giremiyor ama görüyor buda beni acayip rahatsız ediyor bildiğiniz gibi değil htta şöyle yaptım en son wirelees için ayrı bir hat adsl olay bititi 🙂 güvenlik klasörlerimi kimse göremez artık hehe

CevapAlıntı
Gönderildi : 30/03/2008 01:48
Mesut SARIYAR
(@mesutsariyar)
Kıdemli Üye Forum Yöneticisi

Merhaba,


Windows2003 DHCP üzerinde mac bazlı ip dağıtma makalesi aslında gönderişmişti, Hakan hocam yakında yayınlar ve bence bu yöntemi kullanmalısınız.


Yukarıda denildiği gibi dhcp den ip alsalarda kimlik doğrulama yapamayacaklarından sadece paylaşıma açılan dosyalara erişim sağlayamazlar, ama ip almaları güvenlik açığıdır. IP aldıktan sonra sniffer ile pek çok bilgi hırsızlığı gerçekleştirebilirler.


Bence layer2 yönetilebilen bir switch sahibi iseniz switch üzerinde mac leri tek tek işleyin ve kablo taksalarda hiçbir şey ifade etmesin. Eğer bunu sağlayamıyorsanız dhcp mac filter makalesini uygulayın derim.


Ayrıca şirket yöneticileri gelen misaffierlerinin interneti kullanamamasından dolayıda homurdanabilirler, misafirer için ayrı bir adsl hattı almak ve bunu wireless olarak sağlamak sizi kurtarabilir.

CevapAlıntı
Gönderildi : 31/03/2008 14:16
CozumPark
(@cozumpark)
Onursal Üye Yönetici

Peki dhcp misafirlere ip dağıtmadı iyi güzel. Misafir manuel ip alabilicekmi mac filter yapıldığında?

CevapAlıntı
Gönderildi : 25/08/2008 19:35
Alper OZDEMIR
(@alperozdemir)
Üye

Misafirlerinizin manual ip vermesini engelliyemezsiniz bu durumda klasör isimlerini görebilecekler fakat çok takıntı yapıyorum derseniz bu konuyu ortama bir firewall koyarsınız DMZ portuna bir switch veya tüm müşterileriniz wireless üzerinden geliyorsa bir access point koyarsınız misafirlerinize ip adresslerini farklı bir ip bloğu üzerinden AP yada Firewall dağıtır DMZ içinde bir access rule yazar DMZ portundan gelicek istekleri LAN a block'lar bu şekilde manuel'de verseler izole etmiş olursunuz yok derseniz bu sistem bana pahalı gelir virtual DMZ desteği olan modemlerde var piyasada bununla istediğinizi yapabilirsiniz kolay gelsin.

CevapAlıntı
Gönderildi : 25/08/2008 19:46
Eser SOLMAZ
(@esersolmaz)
Kıdemli Üye Yönetici

Arkadaşlar alternetif çözümleri söledi güzel yöntemlerde ama ilerde bu postu okuyacaklar için yazıyorum bu olayın asıl çözümü 802.1x dir.


Yani cidddi bir firmada çalışıyorsanız ki eger değişik yolları denememenizi öneririm.

CevapAlıntı
Gönderildi : 26/08/2008 00:49
dermaz
(@dermaz)
Üye

Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  


 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

CevapAlıntı
Gönderildi : 02/02/2009 20:27
 Anonim

Merhaba ;


802.1x  i kısaca  soyle  ozetleyebılırız bır  kullanıcı network kablosunu pc sıne veya  notebook una  taktıgı  zaman sisteme  auth olması  gerekır auth olmayan pc  ler  networke erişim saglayamazlar.


http://www.google.com.tr/search?hl=tr&q=802.1.x+nedir&meta =


Teşekkürler.


 


[quote user="dermaz"]


Hocam bunun çözümünü  bende   öğrenmek istiyorum..    dedigine  en  yakin bu konu var.  " http://www.cozumpark.com/blogs/windows_server/archive/2008/12/28/dhcp-server-uzerinde-mac-adres-tabanl-filitreleme-dhcp-server-mac-address-based-filtering.aspx  


 eger  dedigin gibi  bir sitem  varsa  bilen bi  arkadas  paylasirsa  sevinirim...ama  zor gibi

[/quote]

CevapAlıntı
Gönderildi : 02/02/2009 21:01
Sayfa 1 / 2
Paylaş: