hatef_4541
14-03-2006, 01:23
پيشنهاد ميشه قبل از مطالعه اين مقاله , مقاله آشنايي با Dhcp رو مطالعه كنيد:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
==========================
پيشنهادات عمومی پيکربندی
بمنظور پيشگيری و افزايش امنيت ، موارد زير پيشنهاد گردد :
پورت های DHCP ( شماره 67 و 68 ) در سطح فايروالی که اينترانت را به اينترنت متصل می نمايد ، بلاک گردد .
DHCP/BOOTP relay agent را بر روی فايروال ، غير فعال نمائيد ( در صورت نصب ، uninstall گردد ) .
سرويس دهنده DHCP را بر روی يک Member Server که يک Domain Controller نمی باشد ، نصب گردد .
به تمامی سرويس دهندگان داخلی مهم ( شامل سرويس دهندگان DHCP ) ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد .
به تمامی سرويس گيرندگان داخلی مهم ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد.
سرويس دهنده DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردد.
سرويس گيرندگان DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردند.
آدرس های IP ثابت در مقابل آدرس های IP رزو شده
واژه آدرس IP ثابت ، به پيکربندی دستی آدرس های IP اطلاق می گردد( hardcoded ). فرآيند فوق، نقظه مقابل يک آدرس IP است رزو شده در DHCP است که بصورت دائم به يک ماشين خاص ، نسبت داده می شود. استفاده از امکان DHCP Reservations ، برای ماشين های حساس توصيه نمی گردد.
سرويس DHCP Client بر روی ماشين های حساس ، غيرفعال گردد
در زمان نصب ويندوز 2000 ( هم سرويس دهنده و هم سرويس گيرنده ) ، سرويس DHCP client فعاليت خود را آغاز و بعنوان يک سيستم محلی اجراء خواهد شد. سرويس دهندگان DHCP و ساير ماشين های حساس ديگر که از آدرس های IP ثابتی استفاده می نمايند به اين سرويس نياز نداشته و لازم است که سرويس فوق، متوقف و وضعيت فعاليت آن در زمان راه اندازی یيستم به حالت دستی ( Manually ) تغيير يابد .
DHCP و DNS
ويندوز 2000 با سيستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانيکه آدرس IP سرويس گيرنده بصورت پويا و توسط يک سرويس دهنده DHCP نسبت داده شد ، جداول DNS ، می بايست بهنگام گردند. پيشنهاد می گردد که خصلت : " Allow Dynamic Update" در سرويس دهنده DNS به مقدار "Only Secure Updates" ، تغيير يابد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بصورت پيش فرض ، سرويس گيرندگان DHCP ، پس از نسبت دهی يک آدرس پويا توسط سرويس دهنده DHCP ، پيامی را برای سرويس دهنده DNS بمنظور بهنگام سازی ارسال می نمايند. برای سرويس گيرندگانی که امکانات حمايتی لازم در خصوص عمليات بهنگام سازی را ندارند ( نظير ويندوز 95 ) ، سرويس دهنده DHCP ، می بايست مسئوليت فوق را پذيرفته و به نمايندگی از سرويس گيرنده ، جداول سرويس دهنده DNS را بهنگام نمايد. سرويس دهنده DHCP ، بصورت پيش فرض بگونه ای پيکربندی شده است که جداول DNS را در زمان درخواست سرويس گيرندگان ، بهنگام می نمايد .پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
==========================
پيشنهادات عمومی پيکربندی
بمنظور پيشگيری و افزايش امنيت ، موارد زير پيشنهاد گردد :
پورت های DHCP ( شماره 67 و 68 ) در سطح فايروالی که اينترانت را به اينترنت متصل می نمايد ، بلاک گردد .
DHCP/BOOTP relay agent را بر روی فايروال ، غير فعال نمائيد ( در صورت نصب ، uninstall گردد ) .
سرويس دهنده DHCP را بر روی يک Member Server که يک Domain Controller نمی باشد ، نصب گردد .
به تمامی سرويس دهندگان داخلی مهم ( شامل سرويس دهندگان DHCP ) ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد .
به تمامی سرويس گيرندگان داخلی مهم ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد.
سرويس دهنده DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردد.
سرويس گيرندگان DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردند.
آدرس های IP ثابت در مقابل آدرس های IP رزو شده
واژه آدرس IP ثابت ، به پيکربندی دستی آدرس های IP اطلاق می گردد( hardcoded ). فرآيند فوق، نقظه مقابل يک آدرس IP است رزو شده در DHCP است که بصورت دائم به يک ماشين خاص ، نسبت داده می شود. استفاده از امکان DHCP Reservations ، برای ماشين های حساس توصيه نمی گردد.
سرويس DHCP Client بر روی ماشين های حساس ، غيرفعال گردد
در زمان نصب ويندوز 2000 ( هم سرويس دهنده و هم سرويس گيرنده ) ، سرويس DHCP client فعاليت خود را آغاز و بعنوان يک سيستم محلی اجراء خواهد شد. سرويس دهندگان DHCP و ساير ماشين های حساس ديگر که از آدرس های IP ثابتی استفاده می نمايند به اين سرويس نياز نداشته و لازم است که سرويس فوق، متوقف و وضعيت فعاليت آن در زمان راه اندازی یيستم به حالت دستی ( Manually ) تغيير يابد .
DHCP و DNS
ويندوز 2000 با سيستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانيکه آدرس IP سرويس گيرنده بصورت پويا و توسط يک سرويس دهنده DHCP نسبت داده شد ، جداول DNS ، می بايست بهنگام گردند. پيشنهاد می گردد که خصلت : " Allow Dynamic Update" در سرويس دهنده DNS به مقدار "Only Secure Updates" ، تغيير يابد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بصورت پيش فرض ، سرويس گيرندگان DHCP ، پس از نسبت دهی يک آدرس پويا توسط سرويس دهنده DHCP ، پيامی را برای سرويس دهنده DNS بمنظور بهنگام سازی ارسال می نمايند. برای سرويس گيرندگانی که امکانات حمايتی لازم در خصوص عمليات بهنگام سازی را ندارند ( نظير ويندوز 95 ) ، سرويس دهنده DHCP ، می بايست مسئوليت فوق را پذيرفته و به نمايندگی از سرويس گيرنده ، جداول سرويس دهنده DNS را بهنگام نمايد. سرويس دهنده DHCP ، بصورت پيش فرض بگونه ای پيکربندی شده است که جداول DNS را در زمان درخواست سرويس گيرندگان ، بهنگام می نمايد .پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد.