Herkese selamlar,yeni bir makalede yine birlikteyiz.Daha önceki bölümlerde hem Server 2003 hem de güvenlik tarafında bir çok makale yazmıştım.Bu bölümde ise Server 2003 ve güvenlik başlıklarını birleştirip ortaya yeni bir makale çıkaracağız.Server 2003 üzerine kurduğumuz DHCP Server rolünün sadece bizim belirlediğimiz MAC adreslerine IP adresi vermesini sağlayacağız.Bu şekilde şirketimize gelen misafirlerin kafasına göre Ip adresini almasını engelleyeceğiz.

Hepimizin bildiği ve dikkat etmiş olduğu gibi güvenlik, hayatımızın en önemli parçasıdır.Özellikle şirket networklerimizin güvenliğinden sorumlu olan kişiler olarak bizler,mutlaka ihtiyaçlarımızı belirlemeliyiz.Ayrıca bu kullanılacak olan ihtiyaçların da ne şekilde güvenliğini sağlıyacağımızın prosedürlerini de hazırlamalıyız.Bu bölümde her şirketin sıkıntı çektiği konulardan biri olan DHCP’nin otomatik olarak her network kablosunu takan bilgisayara IP adresi vermesini engelleyeceğiz.Tabi ki sizlerin kullanmış olduğu diğer çözümler hakkında da yorumlar yapacağım.Bildiğimiz gibi DHCP Server rolü,free olarak 2003 ve 2008 Server işletim sistemlerine kurup kullandığımız ve otomatik Ip adresi yapılandırmasının dağıtılmasını sağlayan roldür.Büyük veya küçük bir çok firma tarafından tercih edilmektedir.Gerçekten bir çok avantajı mevcut olan bu rol sayesinde merkezi bir yerden IP,DNS,WINS gibi yapılandırmaları yapabilmekteyiz.Ayrıca DHCP,IP çakışmasını önler,zaman kazandırır ve hatalı konfigürasyonu yapılmasını da engeller.

DHCP Server rolünün bir handikap’ını hepimiz biliyoruz.DHCP Ip adresi dağıtırken client makinasının Domain’de olup olmadığına bakmaz.Bundan dolayı boşta yer alan her network kablosunu takan DHCP’den Ip adresi alabilmektedir.Mutlaka hepimizin şirketlerine denetim,ziyaret,vs için bir çok insan gelmektedir.Ve bu tür kullanıcılar mobil çalışırlar.Peki bilginiz dahilinde olanlar, neyse ya başka birisi DHCP’nin dağıtmış olduğu bütün konfigürasyonu herhangi bir Authentication olmadan alacak olursa?İşte sıkıntı burada başlıyor.Laptop’a kabloyu taktı ve IP,DNS,WINS,Gateway gibi bilgileri DHCP verdi.Eğer birde DNS’de Secure Dynamic Update kullanmıyorsanız Local DNS üzerindede bu şahsın host(A) kaydıda oluşturulmuş demektir…:)Benim ve bir çoğumuzun bildiği çok güzel programcıklar aracılığıyla artık networkünüzdeki kaynaklara erişim sağlanabilir.

Bir çoğumuzun bu tür durumlara karşı mutlaka belli başlı çözümleri mevcuttur. Örneğin,dışarıdan gelecek olan misafirler için ayrı Ip subnet’i oluşturmak veya ayrı bir WLAN tanımlamak.Veya bir Wireless çözümü ile bu tür şahısların fiziksel networkden uzak tutulması sağlanabilir.Ancak bu tür maliyetlere gerek yok.Sağolsun DHCP Server takımı böyle bir sıkıntıyı görüp bizim için çok güzel DLL ve Scriptler hazırlamış.Bizzat uygulayan biri olarak çatır çatır çalışıyor.Peki o zaman lafı daha fazla uzatmadan yapacağımız işlemi biraz açıklayalım.Default olarak Server 2003 ve 2008 DHCP MAC filtering’i desteklememektedir.Yani siz MAC ID’si şu olan şahıs Ip adresi alabilsin diyemiyorsunuz. Kullanacağımız bir kaç dosya aracılığıyla DHCP’de MAC Filtering özelliğini aktifleştirip sadece bizim izin verdiğimiz MAC ID’lerin Ip adresi alabilmesini veya alamamasını sağlıyacağız.İlk olarak bir hazırlık aşamamız mevcut.Daha sonrasında beraber konfigürasyonu yapacağız.Yapacağımız işlemler genel başlık altında aşağıdaki gibidir.

●DLL Kurulumu(CalloutMacFilter)

●Gerekli olan Register Keylerinin oluşturulması(CalloutMacFilterReg)

●İzin vereceğimiz veya Yasaklıyacağımız MAC Adreslerini belirlenmesi

●Son olarak DHCP Server’ı bir kereliğine Restart ediceğiz.

Server 2003 DHCP MAC Filtering Uygulaması

1)Arkadaşlar ilk olarak yapımızı tanıtmamız gerekirse denemeleri yapmış olduğum Server 2003 makinasında AD-DNS-DHCP rolleri yüklüdür.Bende denemeleri Server 2003 üzerinde yapıyorum.Aynı şekilde Server 2008 tarafındada çalışmaktadır.DHCP Serverımız 192.168.1.15-25 arasındaki blogları dağıtmaktadır.Yani kullandığım IP bloğu 192.168.1.x24’dür.

Windows Server 2003 DHCP MAC Adress Filtering

2)Microsoft DHCP Team tarafından oluşturulan CalloutMacFilter.MSİ dosyasını kurarak gerekli DLL’lere sahip oluyoruz.Ancak dikkat edilmesi gereken bir nokta var.Bu MSI dosyasını dhcp server kurulu olan makinada System32 altına atıp orada kuruyoruz.  Aşağıdaki linki kullanarak gerekli dosyayı download edebilirsiniz.

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

3)Hepimizin kurabileceği tarzda basit bir uygulama.Eminim herkes kurabilir…:)

4)Evet kurulum bitti.Söylediğim gibi gayet kısa.Bu işlemden sonra System32 altına 2 adet dosya gelmesi gerekiyor.Biri MacFilterCallout.dll,diğeri ise step by step döküman olan SetupDHCPMacFilter.rtf.Yaptığımız işlemlere bu dosyadan da ulaşabilirsiniz.

5)Sıra geldi Register keylerini oluşturmaya.İster manuel elle oluşturabilir,isterseniz yine aşağıdaki linkden hazır Callout_DHCP.reg dosyasını indererek sadece bir çift tıklamayla gerekli keylerin oluşmasını sağlıyabilirsiniz.

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

6)Çift tıklayarak keyleri yüklüyoruz.

7)Toplamda oluşması gereken keyleri isterseniz hazırda gelen register dosyasını editleyerek görebilirsiniz.Eğer keyleri Manuel oluşturacaksanız aşağıdaki tablo daha çok yardımcı olucaktır.

8)Keyleri kontrol edelim bakalım.

9)Evet keyleri gördükten sonra DHCP Server servisini bir stop-start yapıyoruz.

10)Gerekli DLL’lerin yüklendiğine dair loglarıda kontrol edebilirsiniz.(Event ID:1033)

11)Register keyleride yüklendikten sonra System32’nin altında MacFilterCallout.dll, MacFilterCallout.log,MacFilterCalloutinfo.log dosyalarını görmemiz gerekmektedir.Ek olarak MACList.txt ismini vererek kendimiz bir tane Notepad dosyası oluşturuyoruz.İzin vereceğimiz veya bloklayacağımız MAC adreslerini bu dosyaya yazacağız.

12)MACList.txt dosyasını açıp aynen aşağıdaki yazım formatında olduğu gibi DHCP’den Ip adresi almasına izin vereceğimiz bir MAC adresi(Client01) giriyoruz.Sizlerinde tahmin edebileceği gibi eğer ALLOW yerine DENY yazarsanız,girmiş olduğumuz MAC adreslerine Ip adresi verilmiyeceği anlamına gelir.Bu dosyaya her girdiğimiz MAC adresinden sonra DHCP Servisini restart etmemiz gerekmektedir.Son bir hatırlatma olarak mutlaka MAC adreslerini küçük harfle yazmanız gerekmektedir.Büyük harf kullanırsanız çalışmıyacaktır.

13)Evet geldik test aşamasına.Arkadaşlar test ortamımızda client01 ve client02 isimlerine sahip 2 tane Xp makinası bulunmaktadır.Her ikiside workgroup’da çalışıyor.Senaryomuz gereği Client01 makinasın MAC adresine izin verip DHCP’den Ip adresi almasını sağlıyacağız.Client02 ise DHCP’den Ip adresi alamıyacak.Bu 2 makinanın konfigürasyonu aynen aşağıdaki gibidir.Yukarıdaki Maclist.txt dosyasına ben Client01’in MAC adresini girdim.

14)Bütün işlemlerden sonra artık kontrol yapabiliriz.Aynen aşağıda gördüldüğü üzere Client01 makinamız Ip adresi almaktadır.

15)Peki Client02 makinası Ip adresi almaya çalıştığı zaman durum ne olucak derseniz.Aynen aşağıdaki gibi bir mesaj alıcaktır.

16)Son olarak System32 altındaki MACFilterCalloutInfo.log dosyasına bakarak kimlerin,daha doğrusu hangi MAC’lerin Ip adresi alabildiğini görebiliriz.Aynı zamanda hangi MAC’lerin bloklandığını görebilmek içinde bu log dosyasını kullanabiliriz.

Evet arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde olmazsa olmazlarımızdan olan güvenlik için bir başka çözüme baktık.Özellikle DHCP kullanan şirketler için maliyetsiz ve bedava olarak kullanabilecek olan bu seçenek ile DHCP’nin kimlere Ip adresi verebileceğini belirleyebilmekteyiz.Bir başka makalede görüşmek üzere,

Hoşçakalın.

Close