Re: Yerel Ağ Güvenliği
Merhaba Yapmak istediğiniz durumu daha önce bende yapmak istemiş ve LKD' nin e-posta listesinde sorduğum sorunun cevabı olarak PPPOE (point to point protokol over ethernet) almıştım. Eğer ağdaki makine sayınız çok ise yada büyümeye yatkın ise Freeradius + mysql + pppoe ( ihtiyacınıza göre postgresql ) kullanabilirsiniz bu iş için ... [1] adresindeki Howto işinizi görecektir diye düşünüyorum... Ayrıca eğer destek satın almak isterseniz freeradius.org sitesinde support link' inde Türkiyeden bir firmada mevcut.. http://www.frontios.com/freeradius.html NOT: ben becerememiştim :) fazlada uğraşma gereği duymadım... NOT2: umarım sorunuzu doğru anlamışımdır ... Cuma 29 Nisan 2005 13:32 tarihinde, Çağatay Tengiz şunları yazmıştı: > Yerel ağdaki karışık win makinelere (95, 98, 2000, XP home, XP pro) > Debian'da DHCP ile IP veriyorum. > > Yalnız herhangi bir kullanıcı doğrulamam yok. Yani kabloyu takan yerel > ağıma bağlanabilir.. (ve bağlanıyorlar da...) Ve yerel ağ sayım şu anda > 4. (4 farklı fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, > leased line vb. metodlar ile birbirine bağlı...) > > Böyle karmaşık kullanıcı işletim sistemlerine sahip bir ağ yapısında > yukarıdaki pozisyonu nasıl engelleyebilirim sizce? > > Bu konuda araştırmalarıma bana başlangıç noktası olacak bir fikriniz > varsa lütfen paylaşır mısınız? > > Benim aklıma gelenler : > > 1. samba ile pdc emülasyonu ama win xp home, 95 ve 98 kullanıcıları ne > olacak? > > 2. dhcp konfigürsayon dosyasına mac bazlı adres dağıtımı koymak. (ama bu > durumda biraz bilgisayar bilen dış ziyaretçi ip'sini eliyle verebilir) > > Teşekkürler.. -- Saygılar && İyi çalışmalar Timu EREN (a.k.a selam) pgpMA5VDIU1mS.pgp Description: PGP signature
Re: Yerel Ağ Güvenliği
Merhaba Aslında Cisco firmasının bu gibi durmlar için hazır çözümleri mevcut. Bilgisayrlara yüklenen bir ajan vasıtası ile kimlik denetiminin yanı sıra bilgisyarlarda yüklü olan anti virusün güncelliği çalışan programlar vs. gibi pek çok şeyi denetleyebiliyor. Ancak bu kadar kapsamlı bir çözüm için özgür alternatifler mevcut mu bilemiyorum. Sonuçta kullandığınız switchlerinde bu tarz bir işe destek vermesi gerekiyor. Cum, 2005-04-29 tarihinde 15:00 +0300 saatinde, Bulent Murtezaoglu yazdı: > > "CBC" == Can Burak Cilingir <[EMAIL PROTECTED]> writes: > > CBC> Dediğiniz seviyede > güvenlik için switchlerde port düzeyinde > CBC> MAC sınırlaması yapmalısınız. [...] Bu bile yeterli degil. Yanlislikla > yapilan kotulukleri engeller o kadar. MAC adresi degistirilemeyen birsey > degil (ifconfig man sayfasinda hw parametsine bakin) . Port duzeyinde > sinirlama + ancak kimlik dogrulandiktan sonra genel trafige izin vermek lazim > (yolu olmasi lazim ama ben simdi hatirlayamadim). BM -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Yerel Ağ Güvenliği
DediÄiniz seviyede gÃvenlik iÃin switchlerde port dÃzeyinde MAC sÄnÄrlamasÄ yapmalÄsÄnÄz. Birisi sisteminize baÄlansa bile switch diÄer makinalara eriÅmesini engelleyecektir. On Fri, 2005-04-29 at 14:43 +0300, ÃaÄatay Tengiz wrote: > AslÄnda derdim lan kablosunu takanÄn hià bir Åekilde lan'a > baÄlanamamasÄ > (dolayÄsÄyla worm vs. yaymamasÄ) ama manuel ip atadÄÄÄ sÃrece bunu > engelleyemem sanÄrÄm. > > Ama Ãneriniz ile en azÄndan internete veya wlan ÃÄkmasÄnÄ > engelleyebiliriz. AslÄnda bende dhcp ve firewall ayrÄ makinelerde hizmet > veriyor. Bu durumda birleÅtirmek daha mantÄklÄ sanki. > > > Can Burak Cilingir wrote: > > Merhaba, > > > > UmarÄm sorununuzu doÄru anlamÄÅÄmdÄr. > > > > Firewall dÃzeyinde mac adresi kÄsÄtlamasÄ yapabilirsiniz. iptables ya da > > benzer bir alt seviye araà kullanabilmenize ragmen kiÅisel tercihim > > shorewalldÄr. > > > > maclist dosyasÄnda hangi interface Ãzerinde hangi mac adreslerinin aktif > > olabileceÄini belirtebiliyorsunuz. Ãrnegin Åu mac adresi eth0 dan > > gelebilir, Åu ise wlan0 Ãzerinden eriÅebilir. bunun dÄÅÄnda herhangi > > bir > > mac adresine servis verme. > > > > Tabi elinizde akÄllÄ switchler bulunuyorsa o katmanda yapmanÄz daha > > doÄru olacaktÄr. > > > > MAC adresi bazÄnda statik ip vermeye de devam etmenizi Ãneriyorum. > > > > On Fri, 2005-04-29 at 13:32 +0300, ÃaÄatay Tengiz wrote: > > > >>Yerel aÄdaki karÄÅÄk win makinelere (95, 98, 2000, XP home, XP pro) > >>Debian'da DHCP ile IP veriyorum. > >> > >>YalnÄz herhangi bir kullanÄcÄ doÄrulamam yok. Yani kabloyu takan yerel > >>aÄÄma baÄlanabilir.. (ve baÄlanÄyorlar da...) Ve yerel aÄ sayÄm Åu > >>anda > >>4. (4 farklÄ fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, > >>leased line vb. metodlar ile birbirine baÄlÄ...) > >> > >>BÃyle karmaÅÄk kullanÄcÄ iÅletim sistemlerine sahip bir aÄ > >>yapÄsÄnda > >>yukarÄdaki pozisyonu nasÄl engelleyebilirim sizce? > >> > >>Bu konuda araÅtÄrmalarÄma bana baÅlangÄà noktasÄ olacak bir fikriniz > >>varsa lÃtfen paylaÅÄr mÄsÄnÄz? > >> > >>Benim aklÄma gelenler : > >> > >>1. samba ile pdc emÃlasyonu ama win xp home, 95 ve 98 kullanÄcÄlarÄ ne > >>olacak? > >> > >>2. dhcp konfigÃrsayon dosyasÄna mac bazlÄ adres daÄÄtÄmÄ koymak. > >>(ama bu > >>durumda biraz bilgisayar bilen dÄÅ ziyaretÃi ip'sini eliyle verebilir) > >> > >>TeÅekkÃrler.. > >> > > > > > -- Can Burak Ãilingir | [EMAIL PROTECTED] http://canb.net/ | icq#10720999 http://knuth.cs.bilgi.edu.tr/~canburak/blog/index.php?entry=entry050410-145716 signature.asc Description: This is a digitally signed message part
Re: Yerel Ağ Güvenliği
AslÄnda derdim lan kablosunu takanÄn hià bir Åekilde lan'a baÄlanamamasÄ (dolayÄsÄyla worm vs. yaymamasÄ) ama manuel ip atadÄÄÄ sÃrece bunu engelleyemem sanÄrÄm. Ama Ãneriniz ile en azÄndan internete veya wlan ÃÄkmasÄnÄ engelleyebiliriz. AslÄnda bende dhcp ve firewall ayrÄ makinelerde hizmet veriyor. Bu durumda birleÅtirmek daha mantÄklÄ sanki. Can Burak Cilingir wrote: Merhaba, UmarÄm sorununuzu doÄru anlamÄÅÄmdÄr. Firewall dÃzeyinde mac adresi kÄsÄtlamasÄ yapabilirsiniz. iptables ya da benzer bir alt seviye araà kullanabilmenize ragmen kiÅisel tercihim shorewalldÄr. maclist dosyasÄnda hangi interface Ãzerinde hangi mac adreslerinin aktif olabileceÄini belirtebiliyorsunuz. Ãrnegin Åu mac adresi eth0 dan gelebilir, Åu ise wlan0 Ãzerinden eriÅebilir. bunun dÄÅÄnda herhangi bir mac adresine servis verme. Tabi elinizde akÄllÄ switchler bulunuyorsa o katmanda yapmanÄz daha doÄru olacaktÄr. MAC adresi bazÄnda statik ip vermeye de devam etmenizi Ãneriyorum. On Fri, 2005-04-29 at 13:32 +0300, ÃaÄatay Tengiz wrote: Yerel aÄdaki karÄÅÄk win makinelere (95, 98, 2000, XP home, XP pro) Debian'da DHCP ile IP veriyorum. YalnÄz herhangi bir kullanÄcÄ doÄrulamam yok. Yani kabloyu takan yerel aÄÄma baÄlanabilir.. (ve baÄlanÄyorlar da...) Ve yerel aÄ sayÄm Åu anda 4. (4 farklÄ fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, leased line vb. metodlar ile birbirine baÄlÄ...) BÃyle karmaÅÄk kullanÄcÄ iÅletim sistemlerine sahip bir aÄ yapÄsÄnda yukarÄdaki pozisyonu nasÄl engelleyebilirim sizce? Bu konuda araÅtÄrmalarÄma bana baÅlangÄà noktasÄ olacak bir fikriniz varsa lÃtfen paylaÅÄr mÄsÄnÄz? Benim aklÄma gelenler : 1. samba ile pdc emÃlasyonu ama win xp home, 95 ve 98 kullanÄcÄlarÄ ne olacak? 2. dhcp konfigÃrsayon dosyasÄna mac bazlÄ adres daÄÄtÄmÄ koymak. (ama bu durumda biraz bilgisayar bilen dÄÅ ziyaretÃi ip'sini eliyle verebilir) TeÅekkÃrler.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Yerel Ağ Güvenliği
Merhaba, UmarÄm sorununuzu doÄru anlamÄÅÄmdÄr. Firewall dÃzeyinde mac adresi kÄsÄtlamasÄ yapabilirsiniz. iptables ya da benzer bir alt seviye araà kullanabilmenize ragmen kiÅisel tercihim shorewalldÄr. maclist dosyasÄnda hangi interface Ãzerinde hangi mac adreslerinin aktif olabileceÄini belirtebiliyorsunuz. Ãrnegin Åu mac adresi eth0 dan gelebilir, Åu ise wlan0 Ãzerinden eriÅebilir. bunun dÄÅÄnda herhangi bir mac adresine servis verme. Tabi elinizde akÄllÄ switchler bulunuyorsa o katmanda yapmanÄz daha doÄru olacaktÄr. MAC adresi bazÄnda statik ip vermeye de devam etmenizi Ãneriyorum. On Fri, 2005-04-29 at 13:32 +0300, ÃaÄatay Tengiz wrote: > Yerel aÄdaki karÄÅÄk win makinelere (95, 98, 2000, XP home, XP pro) > Debian'da DHCP ile IP veriyorum. > > YalnÄz herhangi bir kullanÄcÄ doÄrulamam yok. Yani kabloyu takan yerel > aÄÄma baÄlanabilir.. (ve baÄlanÄyorlar da...) Ve yerel aÄ sayÄm Åu > anda > 4. (4 farklÄ fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, > leased line vb. metodlar ile birbirine baÄlÄ...) > > BÃyle karmaÅÄk kullanÄcÄ iÅletim sistemlerine sahip bir aÄ yapÄsÄnda > yukarÄdaki pozisyonu nasÄl engelleyebilirim sizce? > > Bu konuda araÅtÄrmalarÄma bana baÅlangÄà noktasÄ olacak bir fikriniz > varsa lÃtfen paylaÅÄr mÄsÄnÄz? > > Benim aklÄma gelenler : > > 1. samba ile pdc emÃlasyonu ama win xp home, 95 ve 98 kullanÄcÄlarÄ ne > olacak? > > 2. dhcp konfigÃrsayon dosyasÄna mac bazlÄ adres daÄÄtÄmÄ koymak. (ama > bu > durumda biraz bilgisayar bilen dÄÅ ziyaretÃi ip'sini eliyle verebilir) > > TeÅekkÃrler.. > -- Can Burak Ãilingir | [EMAIL PROTECTED] http://canb.net/ | icq#10720999 http://knuth.cs.bilgi.edu.tr/~canburak/blog/index.php?entry=entry050410-145716 signature.asc Description: This is a digitally signed message part
Yerel Ağ Güvenliği
Yerel ağdaki karışık win makinelere (95, 98, 2000, XP home, XP pro) Debian'da DHCP ile IP veriyorum. Yalnız herhangi bir kullanıcı doğrulamam yok. Yani kabloyu takan yerel ağıma bağlanabilir.. (ve bağlanıyorlar da...) Ve yerel ağ sayım şu anda 4. (4 farklı fiziksel lokasyon var ve bunlar frame-relay, adsl vpn, leased line vb. metodlar ile birbirine bağlı...) Böyle karmaşık kullanıcı işletim sistemlerine sahip bir ağ yapısında yukarıdaki pozisyonu nasıl engelleyebilirim sizce? Bu konuda araştırmalarıma bana başlangıç noktası olacak bir fikriniz varsa lütfen paylaşır mısınız? Benim aklıma gelenler : 1. samba ile pdc emülasyonu ama win xp home, 95 ve 98 kullanıcıları ne olacak? 2. dhcp konfigürsayon dosyasına mac bazlı adres dağıtımı koymak. (ama bu durumda biraz bilgisayar bilen dış ziyaretçi ip'sini eliyle verebilir) Teşekkürler.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
