DHCP shared network konusunu aratın. Sık kullanılan bir özellik
olmadığı için biraz arayıp taramak gerekebilir, ancak genel olarak
şöyle;
shared-network omer {
subnet ..... {
deny unknown-hosts;
.....
}
subnet ..... {
allow unknown-hosts;
pool {
range 10.0.0.1-10.0.0.100;
}
}
}
Subnetlere kendi içerisinde birer ip grubu vs atayıp, ana ip grubunuza
deny unknown-hosts tanımlamanız gerekiyor, tercihan buradaki ip'leri
de tanımlayın.
Kendi networkümüzde biz misafirlere bir kaç yere access point koyup,
firewall üzerinde *fiziksel* olarak farklı bir NIC'ten çalıştırıyoruz,
böylece tüm paketler FW üzerinden geçmek zorunda olduğu için
filtrelemek ileri derecede kolay oluyor. Ayrıca DMZ tarafındaki
sunucuları da tüm dış dünyadan ve misafirlerden kolayca ayırmış
oluyoruz.
Bir de şöyle bir durum var, DHCP kesinlikle güvenli değil. Makinalara
kendiniz IP verebiliyorsunuz, eğer sivri zekalı veya kötü niyetli bir
misafiriniz varsa sizin gerçek IP grubunuzdan bir IP'yi kendisine
atayıp kolayca sisteminize girip dolaşabiliyor, ancak fiziksel olarak
ayırdığınızda FW'a IP aralığı vermek yerine şu NIC'ten gelenleri
aktarma dediğiniz iş kesin ve net olarak baştan çözülmüş oluyor.
Tekrar ediyorum; DHCP'ye *asla* güvenmeyin, eğer güvenlik önemli ise
kesin ve net olarak networkleri fiziksel olarak ayırın.
Kolay gelsin.
18 Haziran 2012 17:31 tarihinde Sinan Beyribey <[email protected]> yazdı:
> Diğer arkadaşların da belirttiği gibi böyle yöntemler kolaylıkla aşılabilir.
> Maksat güvenlik ise 802.1x incelemeniz gerek.
>
> iyi çalışmalar.
>
> 2012/6/18 Eray Aslan <[email protected]>
>>
>> On Mon, Jun 18, 2012 at 02:51:29PM +0300, dijicom wrote:
>> > İlginiz için teşekkürler inceleyebileceğim bir örnek varmıdır acaba?
>>
>> man dhcpd.conf | less +/known-clients
>>
>> Omer'in de soyledigi gibi etrafindan kolayca dolasilabilir.
>>
>> --
>> Eray Aslan <[email protected]>
>>
>> _______________________________________________
>> Linux-sunucu E-Posta Listesi
>> [email protected]
>>
>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
>> okuyabilirsiniz;
>>
>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
>> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
>> dakika içinde üyeliğinizi sonlandırabilirsiniz.
>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>>
>
>
> _______________________________________________
> Linux-sunucu E-Posta Listesi
> [email protected]
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
--
Omer Barlas
[email protected]
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
