FortiGate Güvenlik Duvarında DHCP Sunucusu ve DHCP Relay Ayarları
Merhabalar,
Bu yazımızda FortiGate güvenlik duvarında DHCP kurulumu, yapılandırması ve ayarları ile ilgili bilgi verilecektir.
Öncelikle DHCP ne işe yarar bu konu hakkında kısaca bilgi verelim. DHCP sunucusu, istendiğinde, tanımlanmış bir adres aralığından ağdaki bir istemciye bir adres ve çeşitli parametrelerin otomatik olarak verilmesini sağlayan yapıdır.
https://tr.wikipedia.org/wiki/DHCP
Herhangi bir FortiGate güvenlik duvarında bir veya daha fazla DHCP sunucusu yapılandırabilirsiniz. Bir DHCP sunucusu, o interface bağlı ağdaki ana bilgisayarlara IP adreslerini dinamik olarak atar. Bilgisayarlar DHCP kullanarak IP adreslerini alacak şekilde yapılandırılmalıdır.
FortiGate interfacelerinde “DHCP relay” ayarlarını da yapılandırabilirsiniz. bilindiği üzere DHCP istekleri broadcast olarak OSI Layer 2’de çalışmaktadır. DHCP relay ile başka bir subnette bulunan DHCP sunucularına erişim sağlanmış olur. Bu sayede DHCP istemcilerinin mesajlarını harici bir DHCP sunucusuna iletir ve yanıtları DHCP istemcilerine geri döndürür. DHCP sunucusunun, DHCP istemcilerine yanıt paketlerinin ulaşması için uygun yönlendirme ayarlarına sahip olması gerekir.
Web GUI’de DHCP Ayarları
- Web GUI’de “Network > Interfaces” sayfasına gidiyoruz.
- DHCP sunucusu aktif etmek istediğimiz interface i yapılandırmak için ayarlarını açıyoruz.
- “DHCP Server ” seçeneğini aktif ediyoruz.
- “Address Range” bölümünde dağıtılmasını istediğimiz IP aralıklarını yazıyoruz, birden fazla subnette IP dağıtımı yapmak için “Create New” ile ekleme yapıyoruz.
- “Edit” ve “Delete” butonları ile düzeltme ve silme işlemlerini yapabiliriz.
- Alt tarafta “Netmask” ile o subnete ait altağ maskesini belirleriz.
- “Default Gateway“‘i de istersek “Specify” ile belirleriz, eğer belirlemezsek o interfacein IP si olur.
- “DNS Server” seçeneği ile dağıtılacak DNS Sunucusunu belirleriz.
Benzer işlemi CLI’da yapmak için:
config system dhcp server edit 1 set dns-service default set default-gateway 192.168.110.1 set netmask 255.255.255.0 set interface "port1" config ip-range edit 1 set start-ip 192.168.110.2 set end-ip 192.168.110.254 next end set timezone-option default set tftp-server "172.16.1.2" next end
DHCP Options Ayarları
Bir DHCP sunucusu ekleyip yapılandırırken, DHCP kodlarını ve seçeneklerini ekleyebilirsiniz ve bu duruma DHCP options adı verilir.
DHCP option sayıları ve kodları uygulamaya özgüdür. Uygulama ile bilgiler okunarak kullanılacak değerler bulunabilir. Seçenek kodları bir seçenek değeri / HEX değer çiftlerinde gösterilir. Seçenek, 1 ile 255 arasında bir değerdir.
DHCP sunucusu başına üç adede kadar DHCP kod / option ekleyebilirsiniz.
Web GUI’de bu DHCP option eklemek için “Network > Interfaces > DHCP > Advanced > Additional DHCP Options” menüsünden yapılabilir.
CLI’da DHCP options eklemek için:
config system dhcp server
edit <server_entry_number>
set option1 <option-number>
<parameters>
next
endNTP eklemek için (option 42)
config system dhcp server
edit 2
set ntp-service {local | default | specify}
set ntp-server1 <class_ip>
set ntp-server2 <class_ip>
set ntp-server3 <class_ip>
next
endNTP servisi şunları içerir:
local: DHCP sunucusunun eklendiği arabirimin IP adresi, istemcinin NTP sunucusu IP adresi olur.
default: İstemcilere FortiGate’in yapılandırılmış NTP sunucuları atanır.
specify: DHCP sunucusu yapılandırmasında en fazla üç NTP sunucusu belirtin.
DHCP IP Adresi ve MAC Eşleştirme
Bazı durumlarda IP ve MAC adresi eşleştirilip aynı cihazın aynı IP’yi alması gibi işlemlerin yapılması ihtiyacı doğabilir. FortiGate bu durumu arayüzde “Network > Interfaces > DHCP > Advanced > IP Address Assignment Rules” sayfasında yapmaya imkan sağlamaktadır.
“Create New” butonuna basılarak yeni bir MAC eşleştirmesi ile eşleşme durumunda alınacak aksiyonları belirten bir sayfa karşımıza çıkmaktadır.
Ayrıca “Add From DHCP Client List” opsiyonu ile de DHCP’den dağıtımı yapılan IP adreslerini ve cihazları görüp IP rezervasyonu (ReserveIP) yapabiliriz.
DHCP IP/MAC Binding Yapılandırması
DHCP IP/MAC binding ile ilgili komutlar aşağıdaki gibidir:
config system dhcp reserved-address
edit <name_str>
set ip <address_ipv4>
set mac <address_hex>
set type {regular | ipsec}
end
DHCP Relay Ayarları
“Network > Interface ” altında istenilen portu editleyerek “Mode” “Relay” seçeneği seçilir ve “DHCP Server IP” adresi girilir.
DHCP Relay Agent(Aracısı) Ayarları
Option 82 (DHCP relay agent seçeneği) FortiGate’in IP ve MAC adreslerinin taklit edilmesi (spoofing, forging) ve DHCP IP adresi starvation gibi saldırılara karşı korunmasına yardımcı olur.
Aşağıdaki CLI değişkenleri yapılandırma config system dhcp server > config reserved-address komutunda bulunur:
GUI’deki Option 82 seçeneğini kullanarak bir IP adresi atama kuralı oluşturmak ve GUI’de Relay agent ayarlamak için:
- “Network > Interfaces” sayfasına gidin.
- DHCP Relay agent için ilgili portu editleyin (Port Rolü “LAN” veya “Undefined” olmak zorunda).
- “DHCP Server” opsiyonunu aktif edin.
- Gerekli DHCP ayarları yapın.
- “Advanced” ayarlarını açın.
- “IP Address Assignment Rules ” altında “Type” seçeneğinde “DHCP Relay Agent” seçeneği seçilir.
- “Circuit ID” ve “Remote ID.” seçeneklerini girin.
- Rezerve edilecek “IP address ” i girin.
CLI’da option 82 ile DHCP Relay Agent Ayarları:
config system dhcp server
edit 1
set netmask 255.255.255.0
set interface "port4"
config ip-range
edit 1
set start-ip 100.100.100.1
set end-ip 100.100.100.99
next
edit 2
set start-ip 100.100.100.101
set end-ip 100.100.100.254
next
end
config reserved-address
edit 1
set type option82
set ip 100.100.100.12
set circuit-id-type hex
set circuit-id "00010102"
set remote-id-type hex
set remote-id "704ca5e477d6"
next
end
next
endDHCP Monitor
” Monitor > DHCP Monitor ” altında DHCP sunucumuzdan IP adresi alan istemcileri görebiliriz ve bu istemcilerle ilgili işlemler yapabiliriz:
Aşağıda DHCP ile ilgili kaynakları bulabilirsiniz:
https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/783526/dhcp-server
https://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=13076&languageId=
