پیکربندی DHCP با رعایت مسائل ایمنی

پیکربندی DHCP با رعایت مسائل ایمنی
در این مقاله قصد داریم به بررسی نحوه پیکربندی سرویس دهنده و سرویس گیرندگانDynamic Host Configuration Protocol ) DHCP  ) ، با رعایت مسائل امنیتی پرداخته و با نحوه تنظیم پارامترهای ذیربط ، آشنا شویم . در ابتدا لازم است با جایگاه سرویس دهنده DHCP در یک شبکه بیشتر آشنا شویم .

مقدمه
تمامی پروتکل های شبکه به هر یک از کامپیوترهای موجود در شبکه، یک مشخصه (آدرس ) منحصر بفرد را نسبت می دهند پروتکل IPX ، آدرس فوق را  بصورت اتوماتیک و توسط ایستگاه کاری نسبت و منحصر بفرد بودن آن تضمین خواهد شد. پروتکل NetBEUI از یک نام NetBIOS شانزده بیتی استفاده می نماید . پروتکل TCP/IP از یک آدرس IP ، استفاده می نماید. در نسخه های اولیه پیاده سازی شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکی از کامپیوترها استفاده می گردید  و ضرورتی  به وجود یک مرکز متمرکز بمنظور اختصاص  اطلاعات آدرس دهی IP ، احساس نمی گردید. بمنظور حل مشکل مدیریت صدها و یا هزاران آدرس IP در یک سازمان ، DHCP پیاده سازی گردید. هدف سرویس فوق ، اختصاص آدرس های IP بصورت پویا و  در زمان اتصال یک کامپیوتربه شبکه است .
با وجود یک سرویس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهی IP می باشند . وضعیت فوق ، برای کاربرانی که دارای یک Laptop بوده و تمایل به اتصال به شبکه های متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با برای ورود به هر یک از شبکه ها و استفاده از منابع موجود ، ضرورتی به انجام تنظیماتی خاص در رابطه با آدرس دهی IP وجود نخواهد داشت  . سرویس دهنده DHCP ،  علاوه براختصاص اطلاعات پایه IP نظیر : یک آدرس IP و Subnet mask ، قادر به ارائه سایر اطلاعات مربوط به پیکربندی پروتکل TCP/IP برای سرویس گیرندگان نیز می باشد . آدرس Gateway پیش فرض ، سرویس دهنده DNS  ، نمونه هائی در این زمینه می باشند.

DHCP ویندوز 2000 ( نسخه های سرویس دهنده ) با سرویس دهنده DNS)Domain Name System) ، در ارتباط خواهد بود. ویژگی فوق ، به یک سرویس دهنده DHCP اجازه می دهد که با یک سرویس دهنده پویای DNS  ویندوز 2000 ( DDNS ) ، مرتبط و اطلاعات ضروری را با وی مبادله نماید . سرویس دهنده DHCP ویندوز 2000 ، قادر به ارائه پویای آدرس IP و Host name  بصورت مستقیم برای یک سرویس دهنده DDNS است .
DHCP ، مسئولیت ارائه اطلاعات  آدرس های IP  سرویس گیرندگان را برعهده دارد . بمنظور اخذ اطلاعات آدرس دهی IP ،  سرویس گیرنده می بایست یک lease را از سرویس دهنده DHCP دریافت نماید.زمانیکه سرویس دهنده DHCP ، اطلاعات آدرسی دهی IP را به یک سرویس گیرنده DHCP نسبت ( اختصاص) می دهد ، سرویس گیرنده DHCP مالکیت آدرس IP را نخواهد داشت .در چنین حالتی ،  سرویس دهنده DHCP همچنان مالکیت آدرس IP را بر عهده داشته و سرویس گیرنده اطلاعات فوق را اجاره و بصورت موقت و بر اساس یک بازه زمانی در اختیار خواهد داشت . می توان یک آدرس IP را بمنزله یک قطعه زمین در نظر گرفت  که بصورت اجاره ای در اختیار سرویس گیرنده قرار گرفته و لازم است قبل از سررسید مدت قرارداد! نسبت به تمدید آن اقدام گردد.در صورت عدم تمدید ، سرویس گیرنده قادر به حضور درشبکه نخواهد بود. دراین مقاله قصد نداریم به بررسی فرآیند اختصاص IP توسط سرویس دهنده به سرویس گیرنده پرداخته و مراحل چهارگانه  ( Discover, Offer, Request, Acknowledgement )  را تشریح نمائیم !
DHCP
، یکی از استانداردهای پروتکل TCP/IP بوده که باعث کاهش پیچیدگی و عملیات مدیریتی در ارتباط با  آدرس های IP سرویس گیرندگان در شبکه می گردد . در این راستا سرویس دهنده DHCP ، بصورت اتوماتیک عملیات اختصاص آدرس های IP و سایر اطلاعات مرتبط با TCP/IP  را در اختیار کاربرانی قرار می دهد که امکان DHCP-client آنان فعال شده باشد . بصورت پیش فرض ، کامپیوترهائی که بر روی آنان ویندوز 2000 اجراء می گردد ، سرویس گیرندگان DHCP-Enabled  خواهند بود.

جایگاه سرویس دهنده DHCP در یک شبکه مبتنی بر ویندوز 2000
بمنظور بکارگیری DHCP در یک محیط ویندوز 2000 از رویکردهای متفاوتی استفاده می گردد. با توجه به اینکه DHCP پروتکلی است که دارای محدودیت های امنیتی خاص خود است ، سرویس DHCP نباید به خارج  ارائه گردد . به  Domain server های حیاتی و ماشین های سرویس گیرنده مهم ، می بایست  آدرس های IP تابتی نسبت داده شود که ارتباطی با DHCP نخواهد داشت .

پیشنهادات عمومی پیکربندی
بمنظور پیشگیری  و افزایش امنیت ، موارد زیر  پیشنهاد گردد :

  • پورت های DHCP ( شماره 67 و 68 )  در سطح فایروالی که اینترانت را به اینترنت متصل می نماید ، بلاک گردد .
  • DHCP/BOOTP relay agent را بر روی فایروال ، غیر فعال نمائید ( در صورت  نصب ،  uninstall گردد ) .
  • سرویس دهنده DHCP را بر روی یک Member Server که یک Domain Controller نمی باشد ، نصب گردد .
  • به تمامی سرویس دهندگان داخلی مهم ( شامل سرویس دهندگان DHCP ) ، آدرس های IP ثابتی نسبت داده شود و سرویس DHCP Client  بر روی آنان ، متوقف گردد .
  • به تمامی سرویس گیرندگان  داخلی مهم ، آدرس های IP ثابتی نسبت داده شود و سرویس DHCP Client بر روی آنان ، متوقف  گردد.
  • سرویس دهنده DHCP بر اساس روشی که ارائه خواهد گردید ، ایمن گردد.
  • سرویس گیرندگان DHCP بر اساس روشی که ارائه خواهد گردید ، ایمن گردند.

آدرس های IP ثابت در مقابل آدرس های IP رزو شده
واژه آدرس IP ثابت ، به پیکربندی دستی آدرس های  IP اطلاق می گردد( hardcoded ). فرآیند فوق، نقظه مقابل  یک آدرس IP  است رزو شده در DHCP است که بصورت دائم به یک ماشین خاص ، نسبت داده می شود. استفاده از امکان DHCP Reservations ، برای ماشین های حساس توصیه نمی گردد.

سرویس DHCP Client بر روی ماشین های حساس ، غیرفعال گردد
در زمان نصب ویندوز 2000 ( هم سرویس دهنده و هم سرویس گیرنده ) ، سرویس DHCP client فعالیت خود را آغاز و بعنوان یک سیستم محلی اجراء خواهد شد. سرویس دهندگان DHCP و سایر ماشین های حساس دیگر که از آدرس های IP ثابتی استفاده می نمایند به این سرویس نیاز نداشته و لازم است که سرویس فوق، متوقف و وضعیت فعالیت  آن در زمان راه اندازی ییستم به حالت دستی ( Manually ) تغییر یابد .

DHCP و DNS 
ویندوز 2000 با سیستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانیکه آدرس IP سرویس گیرنده بصورت پویا  و توسط یک سرویس دهنده DHCP نسبت داده شد ، جداول DNS ، می بایست بهنگام گردند. پیشنهاد  می گردد که خصلت : " Allow Dynamic Update" در سرویس دهنده DNS به مقدار "Only Secure Updates" ، تغییر یابد.

بصورت پیش فرض ، سرویس گیرندگان DHCP ، پس از نسبت دهی یک آدرس پویا توسط سرویس دهنده DHCP ، پیامی را برای سرویس دهنده DNS بمنظور بهنگام سازی ارسال می نمایند. برای سرویس گیرندگانی که امکانات حمایتی لازم در خصوص عملیات بهنگام سازی را ندارند ( نظیر ویندوز 95 ) ، سرویس دهنده DHCP ، می بایست مسئولیت فوق را پذیرفته و به نمایندگی از سرویس گیرنده ، جداول سرویس دهنده DNS را بهنگام نماید. سرویس دهنده DHCP ، بصورت پیش فرض بگونه ای پیکربندی شده است که جداول DNS  را در زمان درخواست سرویس گیرندگان ، بهنگام  می نماید .پیشنهاد می گردد که ویژگی فوق ، غیر فعال گردد.

پیکربندی سرویس دهنده DHCP
سرویس دهنده DHCP بصورت اتوماتیک آدرس های IP و سایر اطلاعات مرتبط با پیکربندی TCP/IP را در اختیار سرویس گیرندگان DHCP-enabled  ، قرار می دهد . سرویس،  سرویس دهنده  DHCP بعنوان یک سیستم محلی اجراء می گردد . بمنظور کاهش احتمال بروز خرابی و اشکالات حاصل از عوامل  جانبی  ، پیشنهاد می گردد که سرویس دهنده DHCP بر روی یک Domain Server که یک Domain Controller نمی باشد ، نصب گردد . جایگاه سرویس دهندگان DHCP ، بسیار حساس و مهم بوده و می بایست تمامی آنان دارای آدرس های IP  ثابت باشند. سرویس DHCP Client می بایست برروی این نوع از سیستم ها متوقف و وضعیت اجراء آن در زمان راه اندازی سیستم ، بصورت دستی در نظر گرفته شود.

DHCP Administrators و  Users Group  
زمانیکه سرویس DHCP بر روی یک ماشین سرویس دهنده ویندوز 2000 نصب می گردد ، دو گروه محلی جدید ایجاد می گردد : DHCP Administrator و DHCP Users . از گروههای  فوق ، می توان در صورت نیاز و با توجه به سیاست های موجود استفاده بعمل آورد.

مجوزهای فایل و ریجستری DHCP
بانک اطلاعاتی DHCP ، فایل های Recovery و Audit  در فولدر SystemRoot%\System32\DHCP % ذخیره می گردند. تنظیمات زیر در این رابطه پیشنهاد  می گردد.

تنظیمات سرویس دهنده DHCP ( مربوط به File security )

مجوزهای پیشنهادی

User /Groups

فایل / فولدر

Full Control
Full Control
Read

System
DHCP Administrators
DHCP Users

%SystemRoot%\System32\DHCP
folder, subfolders, and files

تنظیمات زیر در ارتباط با اطلاعات ثبت شده در ریجستری ویندوز و مرتبط با سرویس دهنده DHCP  ، پیشنهاد می گردد:

تنظیمات سرویس دهنده DHCP ( مربوط به ریجستری ویندوز )

مجوزهای پیشنهادی

User /Groups

کلید ریجستری

Full Control
Full Control

DHCP Administrator
System

HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\DhcpServer

Full Control
Full Control

DHCP Administrator
System

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\DhcpServer

Full Control

System

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp

ابزارهای دستیابی سرویس دهنده DHCP
دو برنامه کاربردی در ارتباط با  DHCP در فولدر SystemRoot%\System32 % وجود دارد : IPconfig و netsh.exe ، در این رابطه تنظیمات زیر پیشنهاد می گردد:

تنظیمات سرویس دهنده DHCP ( مربوط به ابزارهای کاربردی )

مجوزهای پیشنهادی

User /Groups

فایل / فولدر

Full Control
Full Control

System
DHCP Administrators

%SystemRoot%\System32\ipconfig.exe

Full Control
Full Control

System
DHCP Administrators

%SystemRoot%\System32\netsh.exe

DHCP Scope  و گزینه های سرویس دهنده
در رابطه با DHCP گزینه های اندکی در دسترس می باشد . پیشنهاد می گردد که میزان استفاده از گزینه ها به حداقل مقدار خود برسد . بمنظور کاهش ریسک  ماشین های سرویس گیرنده ، گزینه DNS Server نمی بایست انتخاب و به ماشین های سرویس گیرنده می بایست یک آدرس ثابت DNS نسبت داده می شود .
C
ارتباط بین سرویس دهنده DHCP و DNS 
پیکربندی پیش فرض DNS مربوط به سرویس دهنده DHCP در شکل زیر نشان داده شده است . بر اساس  پیکربندی  فوق ، در زمان درخواست سرویس گیرنده عملیات بهنگام سازی جداول (Entries) انجام خواهد شد.پیشنهاد می گردد که ویژگی فوق ، غیر فعال گردد ( فعال کردن سرویس دهنده DHCP ،  انتخاب سرویس دهنده ،  انتخاب گزینه Properties ، انتخاب  DNS Tab  و غیر فعال نمودن :
 Automically Update DHCP Client information in DNS ) .

پیکربندی پیش فرض تنظیمات DNS در سرویس دهنده DHCP

پیکربندی پیشنهادی  تنظیمات DNS در سرویس دهنده DHCP

پیکربندی سرویس گیرندگان DHCP
سرویس  DHCP Client ، بصورت اتوماتیک درخواست هائی را برای سرویس دهنده DHCP بمنظوردریافت یک آدرس IP  و نسبت دهی آن  به ماشین سرویس گیرنده ، انجام می دهد . درخواست فوق ،  در زمان راه اندازی سیستم ( Booting ) انجام و در صورت ضرورت و قبل از اتمام تاریخ اعتبار آن ، تکرار خواهد شد. سرویس DHCP Client بعنوان یک سیستم محلی بر روی ماشین سرویس گیرنده اجراء خواهد شد. پیشنهاد می گردد که از خدمات DHCP بر روی ماشین های سرویس گیرنده حساس و مهم استفاده نگردد . این نوع از ماشین های سرویس گیرنده ، می بایست از آدرس های IP ثابتی  استفاده و بر روی آنان سرویس DHCP client متوقف و نحوه راه اندازی آنان  در زمان راه اندازی ، بصورت "دستی " تعیین گردد .

مجوزهای ریجستری DHCP Client 
تنظیمات زیر در ارتباط با ریجستری DHCP client ، پیشنهاد می گردد .

تنظیمات DHCP Client ( مربوط به ریجستری ویندوز )

مجوزهای پیشنهادی

User /Groups

کلید ریجستری

Full Control
 

System
 

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp

تنظیمات TCP/IP مربوط به سرویس گیرندگان
پیشنهاد می گردد که سرویس گیرندگان صرفا" آدرس IP ،  آدرس Gateway و Subnet mask  را از سرویس دهنده DHCP دریافت نمایند. آدرس سرویس دهنده DNS ، می بایست بصورت ثابت در نظر گرفته شود.( تنظیمات پروتکل TCP/IP )

DHCP Client و DNS 
با انتخاب گزینه Advanced TCP/IP Setting ، مشاهد خواهد شد که " Register this connection's address in DNS" ، بصورت پیش فرض فعال است .( تنظیمات پروتکل TCP/IP )

امکان  فوق ، به سرویس گیرنده DHCP امکان بهنگام سازی را پس از دریافت  یک آدرس IP توسط سرویس دهنده DHCP ، خواهد داد. با توجه به اینکه سرویس دهنده DNS بگونه ای پیکربندی شده است که صرفا" بهنگام سازی ایمن را قبول نماید ، صرفا" سرویس گیرندگان تائید شده قادر به تغییر  اطلاعات مربوطه خود در DNS   خواهند بود( DNS Entries ) .

آدرس دهی اتوماتیک آدرس های خصوصی IP
ویندوز 2000 ، از آدرس دهی اتوماتیک IP خصوصی ( APIPA ) ، بمنظور نستب دهی یک آدرس IP به یک ماشین سرویس گیرنده و درمواردیکه سرویس دهنده DHCP  در دسترس نبوده  و  یا درخواست ماشین سرویس گیرنده توام با موفقیت نگردد ، استفاده می نماید.. بر اساس مستندات مایکروسافت آدرس های نسبت داده شده در محدوده IP:169.254.0.1 تا IP:169.254.255.254 می باشند. این محدوده از آدرس های IP توسط IANA رزو و در اینترنت استفاده نمی گردد. پیشنهاد می گردد این ویژگی غیرفعال گردد . بمنظور نیل به خواسته فوق ، عملیات زیر را دنبال می نمائیم :

  • از طریق Start|Run برنامه Regedt32 را فعال نمائید ( در رابطه با استفاده از برنامه فوق ، دقت گردد) .
  • در ریجستری ویندوز ، کلید زیر را پیدا نمائید :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  • Entry زیر را ایجاد  و مقدار آن صفر در نظر گرفته شود.(غیر فعال نمودن آدرس دهی اتوماتیک آدرس های IP خصوصی ).

IPAutoconfigurationEnabled: REG_DWORD

fبرنامه های  کاربردی DHCP Client 
در این راستا صرفا" یک برنامه وجود داشته و در فولدر %SystemRoot%\System32 قرار دارد: ipconfig.exe . تنظیمات زیر در این رابطه ، پیشنهاد می گردد:

تنظیمات DHCP Client ( مربوط به برنامه های کاربردی  )

مجوزهای پیشنهادی

User /Groups

فایل / فولدر

Full Control
Full Control

System
Administrators

%SystemRoot%\System32\ipconfig.exe

  
نویسنده : ali gooliof ; ساعت ۱٢:٥٠ ‎ق.ظ روز ۱۳۸٧/٢/٢
تگ ها :