DHCP Mac Filter ve ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] DHCP Mac Filter ve Firewall Sorunu  

  RSS
Uğur KARTAL
(@UgurKARTAL)
Üye

Merhaba

Sistemimde DC var ve üzerinde DHCP kurulu aynı zamanda Watchguard Firebox T50 mevcut. Dhcp üzerinden mac filtreleme yapıyorum. Bilgisayarlara rezervasyon ile ip dağıtıyorum. onun dışında yaklaşık olarak 40 ip lik DHCP tarafından dağıtılan scope mevcut. Firewall üzerinde de gruplara göre ( Management veya Kısıtlı olarak) internet çıkışları var. Acess Point üzerinden Cep telefonları da sisteme bağlı ve bunlar DHCP üzerinden otomatik IP alıyorlar 40 ip lik scope dan. 

Cep telefonlarında bir kural oluşturdum ve sadece Whatsapp Uygulamasına girebiliyorlar onun dışında net çıkışları yok.

Buraya kadar herşey normal. Fakat sorunum buradan itibaren başlıyor.

Cep telefonlarında girip el ile ip verdiklerinde (kuralda belirttiğim ip aralığı haricinde ip verdiklerinde) nete çıkış sağlıyorlar.

İlk olarak bunun önüne geçebilmem için ve sadece cep telefonlarını yine firewall üzerinden kurallara dayandırarak, 2. VDSL hattım üzerinden hiç networke dahil etmeden internete çıkışlarını nasıl sağlayabilirim.

İkinci olarak DHCP de MAC filter DENY olarak girdiğim MAC adresleri yine el ile ip verildiğinde MAC filtera hiç takılmadan direkt sisteme girebiliyorlar. Bu durum normal mi ? Bunuda engellemek için Acess Pointlerin MAC filtrelerini aktifleştirdim. Şu anda oraya takılıp sisteme giriş yapamıyorlar el ile ip verse dahi. Ama DHCP MAC Filter özelliğini aşabiliyorlar bunu yapmaz isem. Bilgisayarlarda sorun yok çünkü yönetici şifresi istiyor ip değiştirmek istediğinde o kısıtı var. Domain user hepsi.

Bu konularda deneyimi olanlar yardımcı olabilirler mi ?

Alıntı
Gönderildi : 28/02/2020 17:09
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Aslında olması gereken yöntemi zaten yapmışsınız.
Böyle hile, trickler olur bu tip işlerde evet normal. Şunu yapmak lazım mobil cihazların listesini çıkarıp rezervation yapın deny değil allow yapın ancak elle değiştirdiklerinde olur mu emin değilim orada başka trick var domain member değiller. Kafası dağınık olmayan başka uzman bir arkadaş net söyler.
Şu önerilirdi. AP üzerinde ayrı bir blok ile VLAN tanımlayın bu ip grubunun çıkışını da fw dan daha kolay yönetirsiniz. IP değiştiremezler ip içinde kalmak zorunda çıkmak için. Birkaç gündür bu örnekler geçiyor forumda. 
Siz zaten bu ihtiyacı ap üzerinde mac filter ile çözmüşsünüz.
Ancak şu olur filter üzerinden giderseniz yeni cihaz geldikçe, değiştikçe devamlı girmek zorundasınız.
SSID vlan olursa istediği ip alsın sizin fw kural aralığınız içinde kalır.
Bir de watchguard bilmiyorum o tarafta mac/ip binding filtering olabilir belki varsa markayı bilenler yanıt verebilir o da ihtiyacı çözebilir. Bu da her seferinde manuel müdahale gerektirir tabi.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/02/2020 20:10
Alper Onarangil
(@alperonarangil)
Üye

Merhabalar,

 

Bu konu ile ilgili yapabileceğiniz bir kaç önerim olacak, tahminimce işinize yarayacaktır;

 

1- WatchGuard üzerinden Static Mac Address Binding Yapabilirsiniz; (En az önerdiğim yöntem, manual işlem gerekli)

a- Bu şekilde, Mobil Cihaz IP Adresleriniz ile bu cihazların MAC adreslerini eşleştirmiş olursunuz, bunu AP üzerinden yapmaktansa, bu şekilde yapmanız durumunda; hem log alabilir, kayıt altında tutabilirsiniz. Hem de merkezi bir şekilde konuyu çözmüş olabilirsiniz. 

b- Detayları burada bulabilirsiniz >> https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/networksetup/control_int_access_by_mac_c.html?Highlight=binding

 

2- Active Directory kullandığınızı ilettiniz, bu durumda AD SSO ile bütün kullanıcıları AD üzerindeki kullanıcı adları ile çekebilirsiniz, kurallarınızı ve gruplarınızı buna göre yapılandırdıktan sonra, cep telefonları için ayrı bir kural oluşturup bunları da IP bazlı olarak internete çıkartabilirsiniz. Bu adımdan sonra;  (En kolay kurulumu ve yönetimi olan 2. öncelikli önerdiğim yöntem)

AD SSO ile ilgili detaylı bilgileri buradan bulabilirsiniz >> https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/authentication/sso_about_c.html?Highlight=AD%20SSO

Kurulum aşamalarını da bu videodan Türkçe olarak izleyebilirsiniz >>

 

a- AD Grubu olmayan hiç bir kullanıcı belirlediğiniz kurallar haricinde çıkamaz (Mevcut kurallarınızda gerekli düzenlemeyi yaptığınızı varsayarak)

b- Telefonlar kullanmaları gereken IP Adresleri ile gelirler ise, sadece WhatsApp'a erişebilirler, elle IP değiştirmek istedikleri durumda karşılarına WatchGuard Authentication Sayfası gelecektir. Bu alanda kullanıcı adı ve şifre yazmadan çıkış yapamazlar. (Ek olarak AD kullanıcısı gelmeyen herkes için sadece WhatsApp'a izin verecek bir kural bırakırsanız, IP değiştirilse de, şifre girilmese de sadece ilgili kuraldan çıkış yaparlar. 

c- Diyelim ki yukarıdaki telefon kullanıcılarınız, telefonlarında bilgisayarları için kullandıkları şifreyi kullandı, bunun da önüne geçmek için WatchGuard üzerinde Authentication limitini 1 yapabilirsiniz, bu durumda aynı kullanıcı adı ile ikinci bir cihaz erişiminin de önüne geçebilirsiniz. 

 

3- Microsoft NPS ile 802.1x yapabilirsiniz, (En güvenli olan ve 1. öncelikli önerdiğim yöntem, aynı zamanda en fazla işçilik isteyen yöntem)

a- Bu durumda ilgili SSID lere giriş için kullanıcılarınız kullanıcı adı ve şifre yazması gerekecek, (Dilerseniz sertifika ile de yapılabilir) 

b- kullanıcı adı ve şifre ile gelen kullanıcılarınız, IP değiştirseler dahi ilgili SSID ye bağlandıklarında dilerseniz kullanıcı adına göre, dilerseniz belirleyeceğiniz VLAN lara göre, sadece sizin belirlediğiniz kuraldan çıkış yapar, kaçak yapamaz.

c- Yapınızı tam olarak bilmemek ile birlikte, burada switchler üzerinde de ayrıca güvenlik sağlama şansınız olacaktır. 

Bu konu ile ilgili detayları, örnek AP konfigürasyonlarını da aşağıda bulabilirsiniz. 

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/wireless/ap_ssid_security_radius_c.html

 

Örnek AP Konfigürasyonu (Aruba için) 

https://www.watchguard.com/help/docs/help-center/en-US/Content/Integration-Guides/General/aruba.html?Highlight=RSSO

 

NPS kurulum ve Planlama adımları

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772591(v=ws.11)?redirectedfrom=MSDN

https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-plan-proxy?redirectedfrom=MSDN

 

NPS ile ilgili çok derin bir bilgim yok ancak, Microsoft tarafı ile ilgilenen arkadaşlar, daha detaylı bilgi paylaşacaktır veya yanlışım varsa düzeltecektir. 

 

Umarım yukarıdaki önerilerim size kalıcı bir çözüm sağlar. 

 

Alper

 

CevapAlıntı
Gönderildi : 03/03/2020 00:05
Uğur KARTAL
(@UgurKARTAL)
Üye

Aslında Watchguard olarak baktığımda beni fazlasıyla yoruyor kural yazmak vesaire kısımlarında. İhtiyaç dahilinde ne doğru düzgün anlatım videosu nede kaynak bulabiliyorum. İngilizce konusunda evet okuyup yapabiliyorum ama bir yere kadar. Aslında bu işe Watchguard Türkiyenin el atması lazım daha etkin ve anlaşılabilir kullanım için.

Bir yıllık lisansım kaldı watchguard üzerinde son zamanlarda Berqnet diye bir sistem duyuyorum. Bu konuda bilginiz var mı ? Koruma durumları nasıl özellikle baktığımda ataklara karşı Watchguard iyi ama Berqneti bilemiyorum. Tavsiye edilir mi ?

CevapAlıntı
Gönderildi : 03/03/2020 09:50
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

WG yorucu gelebilir bana da öyle gelmişti ama sonuçta sağlam desteği var.
Berqnet duyuyoruz 🙂 ama kullanmadım o çözüm daha çok küçük kobilerin işini görebilecek tipte. Sizin WG de büyük değil gerçi. bn nin tabanı pfsense diye biliyorum. forumda arayın bahsi geçmişti. Bence global marka wg'nin alternatifi değil ama işinizi görebilir. UTM kaabiliyetlerine ihtiyacınız yoksa pfsense de kurup öğrenebilirsiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/03/2020 10:01
Aykut Deniz
(@aykutdeniz)
Üye

Merhaba ;

 

İbrahim bey'inde söylediği gibi DHCP dağıttığın Interface altında  Static mac/IP adress binding var oraya kullanıcı mac adresini ve o kullanıcıya belirlemiş olduğun IP adresini yazarsan elle IP'de verse sorun olmayacaktır. 

CevapAlıntı
Gönderildi : 03/03/2020 10:43
Alper Onarangil
(@alperonarangil)
Üye
Gönderen: @UgurKARTAL

Aslında Watchguard olarak baktığımda beni fazlasıyla yoruyor kural yazmak vesaire kısımlarında. İhtiyaç dahilinde ne doğru düzgün anlatım videosu nede kaynak bulabiliyorum. İngilizce konusunda evet okuyup yapabiliyorum ama bir yere kadar. Aslında bu işe Watchguard Türkiyenin el atması lazım daha etkin ve anlaşılabilir kullanım için.

Bir yıllık lisansım kaldı watchguard üzerinde son zamanlarda Berqnet diye bir sistem duyuyorum. Bu konuda bilginiz var mı ? Koruma durumları nasıl özellikle baktığımda ataklara karşı Watchguard iyi ama Berqneti bilemiyorum. Tavsiye edilir mi ?

Bu sorunuzun ilk paragrafına Çözüm Park üyesi kimliğimden ziyade, WatchGuard Türkiye ekibinin bir üyesi olarak cevap vereyim 🙂 ikinci paragrafına da tekrar Çözüm Park Üyesi kimliğimle kısmen cevap vereceğim 🙂 .

1- WatchGuard Türkiye olarak Türkçe kaynak üretme konusunda elimizden geleni yapmaya çalışıyoruz, gerek bu değerli platformu takip ederek, özellikle Çözüm Park Forum altındaki WatchGuard konu başlığını düzenli olarak takip edip, diğer konu başlıklarında da mümkün olduğunca görebildiğimiz, yetişebildiğimiz kadar takip edip, ilk elden herkese yardımcı olmaya, yol göstermeye çalışıyoruz. Ek olarak YouTube üzerinde WatchGuard Türkiye kanalımızda Türkçe olarak birçok soruya cevap verebilecek kurulum, yapılandırma v.b. videolarımızı bulabilirsiniz. Yine de bu kaynaklar yetersiz, farklı önerilerim var derseniz, memnuniyetle dikkate alabiliriz.

2- Farklı bir üretici hakkında benim yorum yapmam çok etik olmayacağı için, bu konuda size forumda aratmanızı önerebilirim. Sevgili Hakan Uzuner'in ve bir çok değerli, tecrübeli üyelerin yorumlarına denk geleceksiniz. Buna ek olarak, artık birçok güvenlik duvarı üreticisi kendi web sayfalarında ürünlerin menülerini inceleyebileceğiniz demo erişimleri ya da  sanal cihazlarının deneme sürümlerini indirebileceğiniz imkanlar sağlıyor. Naçizane önerim herhangi bir satın alma yapmadan önce, lisans sürenizin son günlerine kalmadan bunları geniş zaman içinde inceleyip bir fikir edinebilirsiniz. Böylelikle yönetim olarak size en uygun ürüne/ürünlere karar verip, forum üzerinde ilgili ürünler ilgili destek, güncellenme, zafiyetlere karşı alınan aksiyonlar gibi daha spesifik yorumları tekrar değerlendirebilirsiniz. 

CevapAlıntı
Gönderildi : 04/03/2020 01:11
Uğur KARTAL
(@UgurKARTAL)
Üye

Alper Bey

Değerli yorumunuz ve cevabınız için size teşekkür ederim. Aslında bir sistemi değiştirmek değil o sistemin en ince ayrıntısına kadar öğrenmeye çalışmak hep ilk tercihim olmuştur. Fakat watchguard üzerinde Chrome ile çalışan bilgisayarlarda bir youtube engellemeye çalışırken çok sıkıntılar çektim. tamam sonunda başardım şu anda benim istediğim sistemi yaptım. Ama çok yapmak isteyip yapamadığım kurallarda var bunun için sıkıntı çekiyorum. Videolarınızı inceliyorum bunlarda sorun yok. Yorumları forumları araştıra araştıra buluyorum bir şeyler.

Biz az çok ana dilimiz gibi olmasa da ingilizceye teknik dökümanlar kısmında aşinayız. Oralardan birşeyler çıkartabiliyoruz. Ama hiç ingilizce ile arası olmayan insanlar da var piyasada. Watchguard hotspot için aratma yaptığımda örneğin Youtube üzerinden onlarca ingilizce video çıkıyor ama sizin haricinizde ( belli başlı konularda ) Türkçe video yada yardımcı döküman bulmakta zorluk çektiğimiz için serzeniştteyim.

Yoksa Watchguard güvenliğinden ve sızdırmazlığından son derece memnumun. Her zamanda tavsiye edeceğim bir firewall. Sadece ve sadece açıklamalı kaynak ve Yüksek destek anlaşması bedelleri bizi yoruyor. Bu konularda birşeyler yapılması lazım. Firma ismi vermeden sadece tek bir telefon açma ve watchguarda bağlantı bile olmadan destek için 30$ + KDV gibi bir rakam istediler. Sadece telefon açma bu rakam. Bunlar küçük ve orta ölçekli işletmelerde yeküne vurduğumuzda büyük paralar. Büyük Kurumsal şirketlerde göz ardı edebilirler belki.

Değerli bilgileriniz ve gösterdiğiniz yollar içinde tekrar teşekkür ederim.

 

CevapAlıntı
Gönderildi : 04/03/2020 17:31
Paylaş: