aga girise sadece beli MAC adreslerine izin vermek

fgenc · 09/08/2004, 00:13

universitede bu islemi linux üzerinde yapmistik gerci onuda nasil yaptigimizi ihtiyac duymadigim icin incelemedim.

sitemimize sadece bizim izin verdigimiz dolayisiyla sadece firmanin pclerini girmesini istiyoruz. arada bir birileri fisi cekip kendi lap topunu bagliyor.
tabi bin bir virusun kol gezdigi laptoplar bu sefer sisteme saldiri düzenliyor.
akabinde windows 2003 güvenlik geregi kendini kapatiyor. hos dimi
sonra kara lahana saga sola ko$sun tehdik olusturan pcyi arasin

varmi buduruma bir ilac
mac adreslerini bir yerlere kaydedip sadece o mac adreslerini tasiyan pcleri
nete girmesini izin vermek gibi?
not linux pcmiz olucak gerekirse onu devreye sokabilirim ama
windows domain server kullaniyoruz linuxla bisey yapamayiz sanirim?

Rapsodi · 09/08/2004, 10:44

Linux ile yapilamayacaginida nereden cikardin

man iptables derki

--mac-source [!] address
Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes
sense for packets coming from an Ethernet device and entering the PREROUTING, FORWARD or INPUT
chains.
...
yani mac adresini kullanabileceginiz ic aginizda kontrol noktasina yerlestireceginiz bir linux makine ile istediginizi yapabilirsiniz.

fgenc · 10/08/2004, 01:20

ya simdi bu islem icin linuc pc kurmak istemiyoruz
bunu win 2003 üzerinde yapabilirmiyiz olmadi

baska amacli kullandigimiz bir linux pcsine 2 tane daha Lan karti
takip onlari sadece tratik kontrol icin kullanmak mümkünmü?(teoratik olarak yani)

Rapsodi · 10/08/2004, 16:25

tum trafigi linux uzerinden gecirecek sekilde ayarlarsaniz niye olmasin,uygun bir yazilimla(maliyeti ne olur bilemem)Windows uzerinde de yapilabilir.

darkboy · 10/08/2004, 17:17

switch'leri programlamayı biliyorsa sorun yok. senin bu dediğini türkiyede çok önemli ve büyük birkaç kuruluş uyguluyor. hatta benden ethernet kartlarını değiştiren olursa bunu otomaitk olarak algılayacak ve sistem admine bildirecek bir program ismişlerdi...

absconder · 10/08/2004, 17:30

1- bir kere ip grubunuzu değiştirin. mesela alakasız birşey yapın. ornegin 10.24.125.x li bir ip grubuna çevirin. sonra dhcp server da ip assinging işlemi için tüm pclerin ethernet numaralarını girin ve şu ethernet mac adresine şu ip deyin. ve sadece o sayıda ip tanımlayın.

2- ipsec ile yapılabilir.

bunun için server üzerinde ipsec'i aktif hale getirmelisiniz. ama bu biraz meşakatli bir ugraş. serverlarinizda (DC'de) secure server i seçersiniz. sonra da clientlerin hepsinde client respond only dersiniz, bu sayede server ipsec konuşmayan hiç bir sistem ile görüşmez.

ama bunun handikaplarını da yaşayabilirsiniz.. ancak kurtulmak sadece secure server ayarını inaktif etmek ile kurtulabilirsiniz

ipsec ayarını serverin network baglantısını özellik sekmesinden ip ayarlarında ki advanced başlığından bulabilirsiniz. options altında tcp /ip filtering ve ip security başlıklari var. ip secuırity i seçip ordan istediğin tipi seçebilirsin. ama client respond only i clientlarda secure server ı da serverlarında seçmelisin.

bu ipsec 3. katmanda islem gördüğünden , hem tüm trafik 128 bit ile şifrelenmiş olacaktır , hem de bu sayede tanımlanmamış hiç bir client erişemeyecektir

3- isa server in varsa , orda sadece ipleri tanımlanmış clientlara erişim verir. diğerlerini deny ettirirsin. bu da bir cözüm olabilir.

en mantıklısı alakasız bir ip bloğu kullanıp, sonra da dhcp den (yüzlerce pc yoksa tabi) bu cihazlarin mac adreslerine tek tek dhcp de bir kereliğine eşleme yapmaktır. ip grubunu bilmeyen kimse de ip adresini yazıp giremez.

ama şu da varki, zaten ip adresini de bilse, dc de guvenlik ayarlarını yaptyısanız , kimse sizin sisteminize virus sokamaz ki. erişemez çünkü sisteminize.

bu ayarlara örnek vermek gerekirse;

- $ ile açılan sistem sharelerin kapatmak
- sağlam bir admin sifresi
- gereksiz tüm kullanıcı yetkilerini kaldırılması
- guest account un kaldırılması (ya da disable edilmesi)
- paylaşım yetkilerinin düzenlenmesi
- kullanıcı şifrelerinde bir policy oluşturup (örneğin son 5 şifre kullanılamaz, en az 8 karekter olmalı hatta 2003 dc'niz varsa , password complexity denen şifre de @ işareti gibi bir alfanümerik olmayan karekterin kullanılması ya da küçük büyük harf farkına hassas ve birlikte kullanımasını mecbur kılan bir policy oluşturmak
- userların desktoplarından tutta kullanacağı masaüstü yazılımlarına kadar erişimlerini group policy ile sınırlamak

- en önemlisi internet bacağınızda (serveriniz varsa) microsoft networking kapalı olmalı o ethernet kartinda.

fgenc · 10/08/2004, 20:13

absconder@aydinlatici
dahada ileri gidece olursa solugum kesildi (bu biraz romantik gibi oldu )

windows 2003 aglari hakkinda bir pdf buldum onu bir hatim indireyim.
umarim yazdiklarin ondan sonra benim icin daha derin mana ifade eder

09/08/2004, 00:13	#1 (permalink)
fgenc iptal dumuru Üyelik Tarihi: 07/2003 Yer: burasi Mesaj: 2,860	aga girise sadece beli MAC adreslerine izin vermek universitede bu islemi linux üzerinde yapmistik gerci onuda nasil yaptigimizi ihtiyac duymadigim icin incelemedim. sitemimize sadece bizim izin verdigimiz dolayisiyla sadece firmanin pclerini girmesini istiyoruz. arada bir birileri fisi cekip kendi lap topunu bagliyor. tabi bin bir virusun kol gezdigi laptoplar bu sefer sisteme saldiri düzenliyor. akabinde windows 2003 güvenlik geregi kendini kapatiyor. hos dimi sonra kara lahana saga sola ko$sun tehdik olusturan pcyi arasin varmi buduruma bir ilac mac adreslerini bir yerlere kaydedip sadece o mac adreslerini tasiyan pcleri nete girmesini izin vermek gibi? not linux pcmiz olucak gerekirse onu devreye sokabilirim ama windows domain server kullaniyoruz linuxla bisey yapamayiz sanirim? __________________ www.fatihgenc.com

09/08/2004, 10:44	#2 (permalink)
Rapsodi Yönetim Danışmanı Üyelik Tarihi: 08/2002 Yer: /tmp/loop Mesaj: 1,360	Linux ile yapilamayacaginida nereden cikardin man iptables derki --mac-source [!] address Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet device and entering the PREROUTING, FORWARD or INPUT chains. ... yani mac adresini kullanabileceginiz ic aginizda kontrol noktasina yerlestireceginiz bir linux makine ile istediginizi yapabilirsiniz. __________________ ` `

10/08/2004, 01:20	#3 (permalink)
fgenc iptal dumuru Üyelik Tarihi: 07/2003 Yer: burasi Mesaj: 2,860	ya simdi bu islem icin linuc pc kurmak istemiyoruz bunu win 2003 üzerinde yapabilirmiyiz olmadi baska amacli kullandigimiz bir linux pcsine 2 tane daha Lan karti takip onlari sadece tratik kontrol icin kullanmak mümkünmü?(teoratik olarak yani) __________________ www.fatihgenc.com

10/08/2004, 16:25	#4 (permalink)
Rapsodi Yönetim Danışmanı Üyelik Tarihi: 08/2002 Yer: /tmp/loop Mesaj: 1,360	tum trafigi linux uzerinden gecirecek sekilde ayarlarsaniz niye olmasin,uygun bir yazilimla(maliyeti ne olur bilemem)Windows uzerinde de yapilabilir. __________________ ` `

10/08/2004, 17:30	#6 (permalink)
absconder Cevizci Üyelik Tarihi: 05/2004 Mesaj: 74	1- bir kere ip grubunuzu değiştirin. mesela alakasız birşey yapın. ornegin 10.24.125.x li bir ip grubuna çevirin. sonra dhcp server da ip assinging işlemi için tüm pclerin ethernet numaralarını girin ve şu ethernet mac adresine şu ip deyin. ve sadece o sayıda ip tanımlayın. 2- ipsec ile yapılabilir. bunun için server üzerinde ipsec'i aktif hale getirmelisiniz. ama bu biraz meşakatli bir ugraş. serverlarinizda (DC'de) secure server i seçersiniz. sonra da clientlerin hepsinde client respond only dersiniz, bu sayede server ipsec konuşmayan hiç bir sistem ile görüşmez. ama bunun handikaplarını da yaşayabilirsiniz.. ancak kurtulmak sadece secure server ayarını inaktif etmek ile kurtulabilirsiniz ipsec ayarını serverin network baglantısını özellik sekmesinden ip ayarlarında ki advanced başlığından bulabilirsiniz. options altında tcp /ip filtering ve ip security başlıklari var. ip secuırity i seçip ordan istediğin tipi seçebilirsin. ama client respond only i clientlarda secure server ı da serverlarında seçmelisin. bu ipsec 3. katmanda islem gördüğünden , hem tüm trafik 128 bit ile şifrelenmiş olacaktır , hem de bu sayede tanımlanmamış hiç bir client erişemeyecektir 3- isa server in varsa , orda sadece ipleri tanımlanmış clientlara erişim verir. diğerlerini deny ettirirsin. bu da bir cözüm olabilir. en mantıklısı alakasız bir ip bloğu kullanıp, sonra da dhcp den (yüzlerce pc yoksa tabi) bu cihazlarin mac adreslerine tek tek dhcp de bir kereliğine eşleme yapmaktır. ip grubunu bilmeyen kimse de ip adresini yazıp giremez. ama şu da varki, zaten ip adresini de bilse, dc de guvenlik ayarlarını yaptyısanız , kimse sizin sisteminize virus sokamaz ki. erişemez çünkü sisteminize. bu ayarlara örnek vermek gerekirse; - $ ile açılan sistem sharelerin kapatmak - sağlam bir admin sifresi - gereksiz tüm kullanıcı yetkilerini kaldırılması - guest account un kaldırılması (ya da disable edilmesi) - paylaşım yetkilerinin düzenlenmesi - kullanıcı şifrelerinde bir policy oluşturup (örneğin son 5 şifre kullanılamaz, en az 8 karekter olmalı hatta 2003 dc'niz varsa , password complexity denen şifre de @ işareti gibi bir alfanümerik olmayan karekterin kullanılması ya da küçük büyük harf farkına hassas ve birlikte kullanımasını mecbur kılan bir policy oluşturmak - userların desktoplarından tutta kullanacağı masaüstü yazılımlarına kadar erişimlerini group policy ile sınırlamak - en önemlisi internet bacağınızda (serveriniz varsa) microsoft networking kapalı olmalı o ethernet kartinda. __________________ herkes kendi beyninin akım şiddeti ölçüsünde aydınlanır. http://www.sipidik.com

10/08/2004, 17:17	#5 (permalink)
darkboy Üye Üyelik Tarihi: 07/2004 Mesaj: 8	switch'leri programlamayı biliyorsa sorun yok. senin bu dediğini türkiyede çok önemli ve büyük birkaç kuruluş uyguluyor. hatta benden ethernet kartlarını değiştiren olursa bunu otomaitk olarak algılayacak ve sistem admine bildirecek bir program ismişlerdi...

10/08/2004, 20:13	#7 (permalink)
fgenc iptal dumuru Üyelik Tarihi: 07/2003 Yer: burasi Mesaj: 2,860	absconder@aydinlatici dahada ileri gidece olursa solugum kesildi (bu biraz romantik gibi oldu ) windows 2003 aglari hakkinda bir pdf buldum onu bir hatim indireyim. umarim yazdiklarin ondan sonra benim icin daha derin mana ifade eder __________________ www.fatihgenc.com

Seçenekler
Yazdırmaya Uygun Sayfa Sayfayı E-posta İle Gönder

Benzer Konular
Konu	Konuyu açana göre	Forum	Cevap	En Son Mesaj
linux üzerinde beli bir portun istatistikleri	fgenc	GNU / Linux / UNIX / BSD / Pardus	3	30/11/2006 00:34
formun alanına sadece harf yada sadece rakam girilebilsin.	yeniogrenen	Javascript / DHTML / Ajax	1	24/11/2006 20:24
Bir problem var ama sorun beli değil!?	pirilti	GNU / Linux / UNIX / BSD / Pardus	4	15/08/2006 17:34
yerel ağda'ki belli IP lere izin vermek için	Gurhan	Ağ / Güvenlik	1	08/01/2005 22:56
rpm beli bir kullanici icin yükleme	fgenc	GNU / Linux / UNIX / BSD / Pardus	2	21/11/2003 19:59