Etiket arşivi: Server 2003

DHCP Server Uzerinde Mac Adres Tabanlı Filitreleme – DHCP Server MAC Address based filtering

Daha önceki bölümlerde hem Server 2003 hem de güvenlik tarafında bir çok makale yazmıştım.Bu bölümde ise Server 2003 ve güvenlik başlıklarını birleştirip ortaya yeni bir makale çıkaracağız.Server 2003 üzerine kurduğumuz DHCP Server rolünün sadece bizim belirlediğimiz MAC adreslerine IP adresi vermesini sağlıyacağız.Bu şekilde şirketimize gelen misafirlerin kafasına göre Ip adresini almasını engelliyeceğiz.

 

Hepimizin bildiği ve dikkat etmiş olduğu gibi güvenlik hayatımızın en önemli parçasıdır.Özellikle şirket networklerimizin güvenliğinden sorumlu olan kişiler olarak bizler,mutlaka ihtiyaçlarımızı belirlememiz gerekmektedir.Ayrıca bu kullanılacak olan ihtiyaçlarında ne şekilde güvenliğini sağlayacağımızın prosedürlerini de hazırlamalıyız.Bu bölümde her şirketin sıkıntı çektiği konulardan biri olan DHCP’nin otomatik olarak her network kablosunu takan bilgisayara IP adresi vermesini engelliyeceğiz.Tabi ki sizlerin kullanmış olduğu diğer çözümler hakkında da yorumlar yapacağım.Bildiğimiz gibi DHCP Server rolü free olarak 2003 ve 2008 Server işletim sistemlerine kurup kullandığımız ve otomatik Ip adresi yapılandırmasının dağıtılmasını sağlayan roldür.Büyük veya küçük bir çok firma tarafından tercih edilmektedir.Gerçekten bir çok avantajı mevcut olan bu rol sayesinde merkezi bir yerden Ip,DNS,WINS gibi yapılandırmaları yapabilmekteyiz.Ayrıca DHCP,IP çakışmasını önler,zaman kazandırır ve Hatalı konfigürasyonu yapılmasını da engellemektedir.

 

DHCP Server rolünün bir handikap’ını hepimiz biliyoruz.DHCP Ip adresi dağıtırken client makinasının Domain’de olup olmadığına bakmaz.Bundan dolayı boşta yer alan her network kablosunu takan DHCP’den Ip adresi alabilmektedir.Mutlaka hepimizin şirketlerine denetim,ziyaret,vss için bir çok insan gelmektedir.Ve bu tür kullanıcılar mobil çalışırlar.Peki bilginiz dahilinde olanlar neyse ya başka birisi DHCP’nin dağıtmış olduğu bütün konfigürasyonu herhangi bir Authantication olmadan alıcak olursa?İşte sıkıntı burada başlıyor.Laptop’a kabloyu taktı ve Ip,DNS,WINS,Gateway gibi bilgileri DHCP verdi.Eğer birde DNS’de Secure Dynamic Update kullanmıyorsanız Local DNS üzerindede bu şahıs host(A) kaydıda oluşturulmuş demektir…:)Benim ve bir çoğumuzun bildiği çok güzel programcıklar aracılığıyla artık networkünüzdeki kaynaklara erişim sağlanabilir.

 

Bir çoğumuzun bu tür durumlara karşı mutlaka belli başlı çözümleri mevcuttur. Örneğin,dışarıdan gelecek olan misafirler için ayrı Ip subnet’i oluşturmak.Veya ayrı bir WLAN tanımlamak.Veya bir Wireless çözümü ile bu tür şahısların fiziksel networkden uzak tutulması sağlanabilir.Ancak bu tür maliyetlere gerek yok.Sağolsun DHCP MCP takımı böyle bir sıkıntıyı görüp bizim için çok güzel DLL ve Scriptler hazırlamış.Bizzat uygulayan biri olarak çatır çatır çalışıyor.Peki o zaman lafı daha fazla uzatmadan yapacağımız işlemi biraz açıklayalım.Default olarak Server 2003 ve 2008 DHCP MAC filtering’i desteklememektedir.Yani siz MAC ID’si şu olan şahıs Ip adresi alabilsin diyemiyorsunuz. Kullanacağımız bir kaç dosya aracılığıyla DHCP’de MAC Filtering özelliğini aktifleştirip sadece bizim izin verdiğimiz MAC ID’lerin Ip adresi alabilmesini veya alamamasını sağlıyacağız.İlk olarak bir hazırlık aşamamız mevcut.Daha sonrasında beraber konfigürasyonu yapacağız.Yapacağımız işlemler genel başlık altında aşağıdaki gibidir.

 

DLL Kurulumu(CalloutMacFilter)

 

Gerekli olan Register Keylerinin oluşturulması(CalloutMacFilterReg)

 

İzin vereceğimiz veya Yasaklıyacağımız MAC Adreslerini belirlenmesi

 

Son olarak DHCP Server’ı bir kereliğine Restart ediceğiz.

 

Server 2003 DHCP MAC Filtering Uygulaması

 

1)Arkadaşlar ilk olarak yapımızı tanıtmamız gerekirse denemeleri yapmış olduğum Server 2003 makinesinde AD-DNS-DHCP rolleri yüklüdür.Bende denemeleri Server 2003 üzerinde yapıyorum.Aynı şekilde Server 2008 tarafında da çalışmaktadır.DHCP Serverımız 192.168.1.15-25 arasındaki blogları dağıtmaktadır.Yani kullandığım IP bloğu 192.168.1.x\24’dir.

 

image001

 

 

 

image002

 

 

2)Microsoft DHCP Team tarafından oluşturulan CalloutMacFilter.MSİ dosyasını kurarak gerekli DLL’lere sahip oluyoruz.Ancak dikkat edilmesi gereken bir nokta var.Bu MSI dosyasını dhcp server kurulu olan makinede System32 altına atıp orada kuruyoruz.

 

Aşağıdaki linki kullanarak gerekli dosyayı download edebilirsiniz.

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

 

image003

 

 

3)Hepimizin kurabileceği tarzda basit bir uygulama.Eminim herkes kurabilir…:)

 

 

image004

 

 

 

image005 

 

4)Evet kurulum bitti. Söylediğim gayet kısa. Bu işlemden sonra System32 altına 2 adet dosya gelmesi gerekiyor. Biri MacFilterCallout.dll,diğeri ise step by step doküman olan SetupDHCPMacFilter.rtf.Yaptığımız işlemlere bu dosyadan da ulaşabilirsiniz. 

 

image006 

 

5)Sıra geldi Register keylerini oluşturmaya. İster manuel elle oluşturabilir,isterseniz yine aşağıdaki linkden hazır Callout_DHCP.reg dosyasını indirerek sadece bir çift tıklamayla gerekli keylerin oluşmasını sağlayabilirsiniz.

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx 

 

image007 

 

6)Çift tıklayarak keyleri yüklüyoruz. 

 

image008 

 

image009

 

7)Toplamda oluşması gereken keyleri isterseniz hazırda gelen register dosyasını editleyere görebilirsiniz. Eğer keyleri Manuel oluşturacaksanız aşağıdaki tablo daha çok yardımcı olacaktır. 

 

 

Key Name

Key Type

Description

CalloutDlls

REG_MULTI_SZ

The location of the MacFilterCallout.dll

CalloutEnabled

DWORD

0 = Disable MacFilterCallout
1 = Enable MacFilterCallout

CalloutErrorLogFile

REG_MULTI_SZ

Log path. If this registry key is not specified, callout dll will output errors %WINDIR%\System32\Log.txt

CalloutInfoLogFile

REG_MULTI_SZ

Info log path. If this key is not present, no information messages will be logged.

CalloutMACAddressListFile

REG_MULTI_SZ

This is the name and location of the MAC filtering list you’re going to be creating next.

 

 

8)Keyleri kontrol edelim bakalım. 

 

image010

 

 

9)Evet keyleri gördükten sonra DHCP Server servisini bir stop-start yapıyoruz.

 

 

image011

 

 

 

image012

 

 

10)Gerekli DLL’lerin yüklendiğine dair loglarıda kontrol edebilirsiniz.(Event ID:1033) 

 

image013 

 

 

11)Register keyleride yüklendikten sonra System32’nin altında MacFilterCallout.dll, MacFilterCallout.log, MacFilterCalloutinfo.log dosyalarını görmemiz gerekmektedir.Ek olarak MACList.txt ismini vererek kendimiz bir tane Notepad dosyası oluşturuyoruz.İzin vereceğimiz veya bloklayacağımız MAC adreslerini bu dosyaya yazacağız. 

 

image014 

 

12)MACList.txt dosyasını açıp aynen aşağıdaki yazım formatında olduğu gibi DHCP’den Ip adresi almasına izin vereceğimiz bir MAC adresi(Client01) giriyoruz.Sizlerinde tahmin edebileceği gibi eğer ALLOW yerine DENY yazarsanız,girmiş olduğumuz MAC adreslerine Ip adresi verilmeyeceği anlamına gelir.Bu dosyaya her girdiğimiz MAC adresinden sonra DHCP Servisini restart etmemiz gerekmektedir.Son bir hatırlatma olarak mutlaka MAC adreslerini küçük harfle yazmanız gerekmektedir.Büyük harf kullanırsanız çalışmayacaktır. 

image015

 

13)Evet geldik test aşamasına arkadaşlar test ortamımızda client01 ve client02 isimlerine sahip 2 tane Xp makinesi bulunmaktadır. Her ikiside workgroup’da çalışıyor.Senaryomuz gereği Client01 makinesine MAC adresine izin verip DHCP’den Ip adresi almasını sağlayacağız.Client02 ise DHCP’den Ip adresi alamayacak.Bu 2 makinenin konfigürasyonu aynen aşağıdaki gibidir.Yukarıdaki Maclist.txt dosyasına ben Client01’in MAC adresini girdim.

 

image016 

 

image017 

 

14)Bütün işlemlerden sonra artık kontrol yapabiliriz. Aynen aşağıda görüldüğü üzere Client01 makinemiz Ip adresi almaktadır.

 

image018

 

15)Peki Client02 makinesi Ip adresi almaya çalıştığı zaman durum ne olacak derseniz. Aynen aşağıdaki gibi bir mesaj alacaktır.

 

image019

 

 

16)Ve tabii ki son olarak System32 altındaki MACFilterCalloutInfo.log dosyasına bakarak kimlerin,daha doğrusu hangi MAC’lerin Ip adresi alabildiği görebiliriz.Aynı zamanda hangi MAC’lerin bloklandığını görebilmek içinde bu log dosyasını kullanabiliriz.

 

image020

 

Evet arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde olmazsa olmazlarımızdan olan güvenlik için bir başka çözüme baktık.Özellikle DHCP kullanan şirketler için maliyetsiz ve bedava olarak kullanabilecek olan bu seçenek ile DHCP’nin kimlere Ip adresi verebileceğini belirleyebilmekteyiz.Bir başka makalede görüşmek üzere,

 

Hoşçakalın

 

 

Kaynak:

 

http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

 

Vermiş olduğum kurumsal eğitimlerde öğrencilerimin %90’ından mutlaka bu sorun ile alakalı bir şeyler söylüyorlar. Bu makale hepimizin işini görecektir.

Serhad MAKBULOĞLU

Boot Ng – Disk Yapilandirma ve Yonetim

Önceki makalemizde Boot Ng kurulum ilk ayarlar ve birden fazla işletim sistemini aynı anda kullanmayı öğrenmiştik.

Makalemizin II. Bölümünde ise daha çok birden fazla bilgisayar yöneticilerine yönelik özelliklerden bahsedeceğim.

Bir imajı diğer bilgisayarlara kopyalamak / Partition Kopyalamak.

Kısaca özetlemek gerekirse aynı konfigürasyonlardaki bilgisayarlara tek tek OS kurmak artık bizim için pek mantıklı gelmiyor yani hem zaman hemde yorucu bir iş.

Os kurulumundan sonra Tek tek programları kur vs vs gibi bir sürü ayarları yapmak gerekiyor ilk kurulumdan sonra bunları yapmamak için Boot ng de neler yapmamız gerekiyor ve böyle bir şey yapabilir miyiz? Nasıl yaparız şimdi bunlara biraz göz atalım.

Tavsiyem öncelik olarak tüm OS kopyalacağınız tüm Hard disklere veya bilgisayarlara Boot ng yi kurmanız.

Daha sonra diskleri alıp İşletim sistemini kopyalamak istediğiniz pc ye taktıktan sonra aşağıdaki işlemleri yapalım.

Not: Kopyalacağınız işletim sistemlerine açıldıktan sonra mutlaka New Sid programı veya benzer bir tool ile SID lerini sıfırlayalım.

Şimdi bir diskten diğer diske işletim sistemi veya diskin üzerindeki herhangi bir diski kopyalayalım. Ben burada Server 2003’ü kopyaladım diğer diske yapıştıracağım.

image001

Kopyalacağınız diski sol menüden [Hard Drivers] kısmından seçip kopyalacağınız bölüm üzerinde sağ tuş Copy yapın.

image002

Yapıştırmak istediğim diski seçip ve diskin üzerindeki kopyaladığım alan kadar boş yer yani (Free space) olması gerekiyor.
Ben herhangi bir yerde sağtuş Paste diyorum ve bölüme vereceğim ismi yazma için aşağıda pencere geliyor.

image003

Disk 1 üzerine paste dedim ve pencereye Kopyaladığım bölümü anlamanız için Kopya Server yazdım.
Bu bölümde dikkat edilmesi gereken bir şey var. Allocate High seçeneği bu ne işe yarar derseniz; herhangi bir bölümü kopyaladıktan sonra veya bir bölüm oluştururken default olarak en üste oluşturur bölümü Boot It EMBRM nin altına gelecek normalde Kopya Server ama bu seçeneği kullanırsam ikisi arasında boşluk olacak ve En alta atmış olacak Kopya Server bölümünü.

image004

Paste dedikten sonra kopyalamaya başladı normalde hızlı kopyalıyor tabi diskin içindeki verilerin çok olmasına göre bu zaman artar veya azalır.

image005

Kopyalama işlemi bitti. Completed uyarısını görünce ESC veya Close diyerek uyarıyı kapatabilirsiniz.

image006

Close dediğimde yukarıda gördüğünüz gibi kopyalama işlemini yapmış olduk yani şimdi bu diski çıkartıp başka bir pc ye takarsam Server 2003 açılıyor olacak.

Yukarıda bahsettiğim özellik. Allocate High seçeneğini kullanmış olsaydık aşağıdaki gibi boşluk ortada olacaktı ve kopyaladığımız bölüm en alta olacaktı.

image007

Kopyalama işlemini bu şekilde şimdi Bir diski var olan işletim sistemine ikinci disk olarak eklemeye bakalım.

II. Disk Ekleme

image008

Boot Ng nin ana menüsünde Boot Edit var. Biliyorsunuz burası bilgisayarı açarken kullanıcının diskin içini değil sadece görmesini istediğimiz yani boot menüyü ayarlamak için kullandığımız bölümdü.

Boot menüde Server 2003 olduğunu düşünürsek Server 2003 ‘e ikinci disk eklerken aşağıdaki işlemleri yapalım.

image009

Hdd 1 bölümü demek; Harici olarak taktığım yani işletim sisteminin kurulu olduğu disk değil ek bir disk takmıyor aynı diskin üzerindeki farklı bir bölümü ikinci disk olarak eklemek istiyorsanız HDD 0 bölümünde çalışmalısınız.

HDD 1 bölümüne 0 olan yere çift tıklıyorum. Gelen menüde disk olarak eklemek istediğim bölümü seçmemizi istiyor. Seçtikten sonra Ok yapıyorum bilgisayarı açtığımda diski direk bilgisayarıma bakarak görebileceğiz.

Resize İşlemi / Disk & Bölüm Boyutlandırma

Bölümlendirmek istediğim bölümün üzerinde sağ tuş Resize yapıyorum.

image010

Resize yaptıktan sonra uyarı geliyor disk üzerinde bir hata varmı denetlemek istiyor musunuz vs gibi bir uyarı evet diyerek devam ediyoruz.

image011

1.5 GB yapalım Server 2003 ‘ü

Resize işlemi bitti. Diskimizin son hali aşağıdaki gibidir.

image012

İmage Alma

Şimdi image alma bölümü var fakat alternatif olarak kopyalamayıda kullanabilirsiniz arasındaki fark nedir diye sorarsanız. İmage alırken sıkıştırma işlemi yapmasıdır. Örneğin 4 gb bölümün image’ını alırsak 1 gb ‘a kadar düşebilir.

Yedek Xp nin image’ını alalım.
Bölümün üzerinde sağ tuş Image seçeneğini kullanıyoruz. Image’a bastığımızda hemen aşağıdaki pencere geliyor karşımıza.

image013

Create Image : İmage oluştur demek gerekiyor bu seçenekte.

Daha sonra image’ı bir bölüme açmak istediğimizde Kopayala yapıştır yapmak yerine İmage yapıp Boş bir alana Paste yapmak gerekiyor. Kopyala yapıştır yaparsanız imajı kopyalamış olursunuz yani boot edemezsiniz bölümün imaj halini.

Programın Kaldırılması!

Utilities menüsünden Uninstall Seçeneği ni seçip gelen menüden tüm seçenekleri işaretlememiz ve Ok demeniz yeterli olacaktır.

Makaleye burada son veriyorum fakat kısa kısa püf noktalarını anlatayım özet olarak.

Herhangi bir işletim sistemi kurduktan sonra Boot ng pasif duruma gelir bu durumda Boot ng cd sini takıp gelecek olan menüden Reaktif Boot ng seçeneği seçip cd yi çıkarıp restart ettikten sonra Boot menünün gelmesini sağlayabilirsiniz.

Boot ng kullanırken makalenin ilk bölümünde de bahsettiğim gibi Direct Boot seçeneğini kaldırmayı mutlaka uygulayın. Yoksa diskteki tüm bölümlerden şifresiz bir şekilde açıp kullanabilirler yedeklerinizi ve diğer bölümlere istediği gibi erişebilirler.

İşletim sistemini aynı Pc de kopyalarken SID sıfırlamanıza gerek yok ama başka pc lere kopyaladığınızda yapmanız gerekiyor.

Herhangi bir sorunda forumda uygun bölüme konu açarak sorunuzu sorabilirsiniz.

Zaman ayırdığınız için Teşekkürler.

Mustafa KAŞIKCI