Ek bilgi olmasi amaciyla belirtmek istedim, dhcp yerine statik ip
kullananlari engellemek, hatta sizin belirttiginiz dhcp sunucusu haricinde
baska bir dhcp sunucu kullanilmasini engellemek icin dhcp-snooping ve
bununla olusan ip dhcp binding database sayesinde arp inspection
uygulayabilirsiniz. Tabi bunlari uygulamak icin kullandiginiz switchlerin
cok degil ama birazcik akilli olmasi lazim.
Selamlar
On Monday, June 18, 2012, Omer Barlas wrote:
> DHCP shared network konusunu aratın. Sık kullanılan bir özellik
> olmadığı için biraz arayıp taramak gerekebilir, ancak genel olarak
> şöyle;
>
> shared-network omer {
> subnet ..... {
> deny unknown-hosts;
> .....
> }
>
> subnet ..... {
> allow unknown-hosts;
> pool {
> range 10.0.0.1-10.0.0.100;
> }
> }
> }
>
> Subnetlere kendi içerisinde birer ip grubu vs atayıp, ana ip grubunuza
> deny unknown-hosts tanımlamanız gerekiyor, tercihan buradaki ip'leri
> de tanımlayın.
>
> Kendi networkümüzde biz misafirlere bir kaç yere access point koyup,
> firewall üzerinde *fiziksel* olarak farklı bir NIC'ten çalıştırıyoruz,
> böylece tüm paketler FW üzerinden geçmek zorunda olduğu için
> filtrelemek ileri derecede kolay oluyor. Ayrıca DMZ tarafındaki
> sunucuları da tüm dış dünyadan ve misafirlerden kolayca ayırmış
> oluyoruz.
>
> Bir de şöyle bir durum var, DHCP kesinlikle güvenli değil. Makinalara
> kendiniz IP verebiliyorsunuz, eğer sivri zekalı veya kötü niyetli bir
> misafiriniz varsa sizin gerçek IP grubunuzdan bir IP'yi kendisine
> atayıp kolayca sisteminize girip dolaşabiliyor, ancak fiziksel olarak
> ayırdığınızda FW'a IP aralığı vermek yerine şu NIC'ten gelenleri
> aktarma dediğiniz iş kesin ve net olarak baştan çözülmüş oluyor.
> Tekrar ediyorum; DHCP'ye *asla* güvenmeyin, eğer güvenlik önemli ise
> kesin ve net olarak networkleri fiziksel olarak ayırın.
>
> Kolay gelsin.
>
> 18 Haziran 2012 17:31 tarihinde Sinan Beyribey
> <[email protected]<javascript:;>>
> yazdı:
> > Diğer arkadaşların da belirttiği gibi böyle yöntemler kolaylıkla
> aşılabilir.
> > Maksat güvenlik ise 802.1x incelemeniz gerek.
> >
> > iyi çalışmalar.
> >
> > 2012/6/18 Eray Aslan <[email protected] <javascript:;>>
> >>
> >> On Mon, Jun 18, 2012 at 02:51:29PM +0300, dijicom wrote:
> >> > İlginiz için teşekkürler inceleyebileceğim bir örnek varmıdır acaba?
> >>
> >> man dhcpd.conf | less +/known-clients
> >>
> >> Omer'in de soyledigi gibi etrafindan kolayca dolasilabilir.
> >>
> >> --
> >> Eray Aslan <[email protected] <javascript:;>>
> >>
> >> _______________________________________________
> >> Linux-sunucu E-Posta Listesi
> >> [email protected] <javascript:;>
> >>
> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
> >> okuyabilirsiniz;
> >>
> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden
> gelen
> >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak
> 1
> >> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
> >>
> >
> >
> > _______________________________________________
> > Linux-sunucu E-Posta Listesi
> > [email protected] <javascript:;>
> >
> > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
> > okuyabilirsiniz;
> >
> > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> > dakika içinde üyeliğinizi sonlandırabilirsiniz.
> > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
> >
>
>
>
> --
> Omer Barlas
> [email protected] <javascript:;>
> _______________________________________________
> Linux-sunucu E-Posta Listesi
> [email protected] <javascript:;>
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
_______________________________________________
Linux-sunucu E-Posta Listesi
[email protected]
Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından
okuyabilirsiniz;
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
