پيکربندی Dhcp با رعايت مسائل ايمنی

[hatef_4541]

پيشنهاد ميشه قبل از مطالعه اين مقاله , مقاله آشنايي با Dhcp رو مطالعه كنيد:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

==========================

پيشنهادات عمومی پيکربندی
بمنظور پيشگيری و افزايش امنيت ، موارد زير پيشنهاد گردد :

پورت های DHCP ( شماره 67 و 68 ) در سطح فايروالی که اينترانت را به اينترنت متصل می نمايد ، بلاک گردد .
DHCP/BOOTP relay agent را بر روی فايروال ، غير فعال نمائيد ( در صورت نصب ، uninstall گردد ) .
سرويس دهنده DHCP را بر روی يک Member Server که يک Domain Controller نمی باشد ، نصب گردد .
به تمامی سرويس دهندگان داخلی مهم ( شامل سرويس دهندگان DHCP ) ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد .
به تمامی سرويس گيرندگان داخلی مهم ، آدرس های IP ثابتی نسبت داده شود و سرويس DHCP Client بر روی آنان ، متوقف گردد.
سرويس دهنده DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردد.
سرويس گيرندگان DHCP بر اساس روشی که ارائه خواهد گرديد ، ايمن گردند.
آدرس های IP ثابت در مقابل آدرس های IP رزو شده
واژه آدرس IP ثابت ، به پيکربندی دستی آدرس های IP اطلاق می گردد( hardcoded ). فرآيند فوق، نقظه مقابل يک آدرس IP است رزو شده در DHCP است که بصورت دائم به يک ماشين خاص ، نسبت داده می شود. استفاده از امکان DHCP Reservations ، برای ماشين های حساس توصيه نمی گردد.

سرويس DHCP Client بر روی ماشين های حساس ، غيرفعال گردد
در زمان نصب ويندوز 2000 ( هم سرويس دهنده و هم سرويس گيرنده ) ، سرويس DHCP client فعاليت خود را آغاز و بعنوان يک سيستم محلی اجراء خواهد شد. سرويس دهندگان DHCP و ساير ماشين های حساس ديگر که از آدرس های IP ثابتی استفاده می نمايند به اين سرويس نياز نداشته و لازم است که سرويس فوق، متوقف و وضعيت فعاليت آن در زمان راه اندازی یيستم به حالت دستی ( Manually ) تغيير يابد .

DHCP و DNS
ويندوز 2000 با سيستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانيکه آدرس IP سرويس گيرنده بصورت پويا و توسط يک سرويس دهنده DHCP نسبت داده شد ، جداول DNS ، می بايست بهنگام گردند. پيشنهاد می گردد که خصلت : " Allow Dynamic Update" در سرويس دهنده DNS به مقدار "Only Secure Updates" ، تغيير يابد.




بصورت پيش فرض ، سرويس گيرندگان DHCP ، پس از نسبت دهی يک آدرس پويا توسط سرويس دهنده DHCP ، پيامی را برای سرويس دهنده DNS بمنظور بهنگام سازی ارسال می نمايند. برای سرويس گيرندگانی که امکانات حمايتی لازم در خصوص عمليات بهنگام سازی را ندارند ( نظير ويندوز 95 ) ، سرويس دهنده DHCP ، می بايست مسئوليت فوق را پذيرفته و به نمايندگی از سرويس گيرنده ، جداول سرويس دهنده DNS را بهنگام نمايد. سرويس دهنده DHCP ، بصورت پيش فرض بگونه ای پيکربندی شده است که جداول DNS را در زمان درخواست سرويس گيرندگان ، بهنگام می نمايد .پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد.

[hatef_4541]

بمنظور کاهش احتمال بروز خرابی و اشکالات حاصل از عوامل جانبی ، پيشنهاد می گردد که سرويس دهنده DHCP بر روی يک Domain Server که يک Domain Controller نمی باشد ، نصب گردد . جايگاه سرويس دهندگان DHCP ، بسيار حساس و مهم بوده و می بايست تمامی آنان دارای آدرس های IP ثابت باشند. سرويس DHCP Client می بايست برروی اين نوع از سيستم ها متوقف و وضعيت اجراء آن در زمان راه اندازی سيستم ، بصورت دستی در نظر گرفته شود.

DHCP Administrators و Users Group
زمانيکه سرويس DHCP بر روی يک ماشين سرويس دهنده ويندوز 2000 نصب می گردد ، دو گروه محلی جديد ايجاد می گردد : DHCP Administrator و DHCP Users . از گروههای فوق ، می توان در صورت نياز و با توجه به سياست های موجود استفاده بعمل آورد.

مجوزهای فايل و ريجستری DHCP
بانک اطلاعاتی DHCP ، فايل های Recovery و Audit در فولدر SystemRoot%\System32\DHCP % ذخيره می گردند. تنظيمات زير در اين رابطه پيشنهاد می گردد.

تنظيمات سرويس دهنده DHCP ( مربوط به File security )
مجوزهای پيشنهادی
User /Groups
فايل / فولدر

Full Control
Full Control
Read
System
DHCP Administrators
DHCP Users
%SystemRoot%\System32\DHCP
folder, subfolders, and files

تنظيمات زير در ارتباط با اطلاعات ثبت شده در ريجستری ويندوز و مرتبط با سرويس دهنده DHCP ، پيشنهاد می گردد:

تنظيمات سرويس دهنده DHCP ( مربوط به ريجستری ويندوز )
مجوزهای پيشنهادی
User /Groups
کليد ريجستری

Full Control
Full Control
DHCP Administrator
System
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\DhcpServer

Full Control
Full Control
DHCP Administrator
System
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\DhcpServer

Full Control
System
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp


ابزارهای دستيابی سرويس دهنده DHCP
دو برنامه کاربردی در ارتباط با DHCP در فولدر SystemRoot%\System32 % وجود دارد : IPconfig و netsh.exe ، در اين رابطه تنظيمات زير پيشنهاد می گردد:

تنظيمات سرويس دهنده DHCP ( مربوط به ابزارهای کاربردی )
مجوزهای پيشنهادی
User /Groups
فايل / فولدر

Full Control
Full Control
System
DHCP Administrators
%SystemRoot%\System32\ipconfig.exe

Full Control
Full Control
System
DHCP Administrators
%SystemRoot%\System32\netsh.exe

[hatef_4541]

ارتباط بين سرويس دهنده DHCP و DNS
پيکربندی پيش فرض DNS مربوط به سرويس دهنده DHCP در شکل زير نشان داده شده است . بر اساس پيکربندی فوق ، در زمان درخواست سرويس گيرنده عمليات بهنگام سازی جداول (Entries) انجام خواهد شد.پيشنهاد می گردد که ويژگی فوق ، غير فعال گردد ( فعال کردن سرويس دهنده DHCP ، انتخاب سرويس دهنده ، انتخاب گزينه Properties ، انتخاب DNS Tab و غير فعال نمودن :
Automically Update DHCP Client information in DNS )

پيکربندی پيش فرض تنظيمات DNS در سرويس دهنده DHCP




پيکربندی پيشنهادی تنظيمات DNS در سرويس دهنده DHCP





پيکربندی سرويس گيرندگان DHCP
سرويس DHCP Client ، بصورت اتوماتيک درخواست هائی را برای سرويس دهنده DHCP بمنظوردريافت يک آدرس IP و نسبت دهی آن به ماشين سرويس گيرنده ، انجام می دهد . درخواست فوق ، در زمان راه اندازی سيستم ( Booting ) انجام و در صورت ضرورت و قبل از اتمام تاريخ اعتبار آن ، تکرار خواهد شد. سرويس DHCP Client بعنوان يک سيستم محلی بر روی ماشين سرويس گيرنده اجراء خواهد شد. پيشنهاد می گردد که از خدمات DHCP بر روی ماشين های سرويس گيرنده حساس و مهم استفاده نگردد . اين نوع از ماشين های سرويس گيرنده ، می بايست از آدرس های IP ثابتی استفاده و بر روی آنان سرويس DHCP client متوقف و نحوه راه اندازی آنان در زمان راه اندازی ، بصورت "دستی " تعيين گردد .

مجوزهای ريجستری DHCP Client
تنظيمات زير در ارتباط با ريجستری DHCP client ، پيشنهاد می گردد .

تنظيمات DHCP Client ( مربوط به ريجستری ويندوز )
مجوزهای پيشنهادی
User /Groups
کليد ريجستری

Full Control

System

HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp


تنظيمات TCP/IP مربوط به سرويس گيرندگان
پيشنهاد می گردد که سرويس گيرندگان صرفا" آدرس IP ، آدرس Gateway و Subnet mask را از سرويس دهنده DHCP دريافت نمايند. آدرس سرويس دهنده DNS ، می بايست بصورت ثابت در نظر گرفته شود.( تنظيمات پروتکل TCP/IP )

[hatef_4541]

امکان فوق ، به سرويس گيرنده DHCP امکان بهنگام سازی را پس از دريافت يک آدرس IP توسط سرويس دهنده DHCP ، خواهد داد. با توجه به اينکه سرويس دهنده DNS بگونه ای پيکربندی شده است که صرفا" بهنگام سازی ايمن را قبول نمايد ، صرفا" سرويس گيرندگان تائيد شده قادر به تغيير اطلاعات مربوطه خود در DNS خواهند بود( DNS Entries ) .

آدرس دهی اتوماتيک آدرس های خصوصی IP
ويندوز 2000 ، از آدرس دهی اتوماتيک IP خصوصی ( APIPA ) ، بمنظور نستب دهی يک آدرس IP به يک ماشين سرويس گيرنده و درموارديکه سرويس دهنده DHCP در دسترس نبوده و يا درخواست ماشين سرويس گيرنده توام با موفقيت نگردد ، استفاده می نمايد.. بر اساس مستندات مايکروسافت آدرس های نسبت داده شده در محدوده IP:169.254.0.1 تا IP:169.254.255.254 می باشند. اين محدوده از آدرس های IP توسط IANA رزو و در اينترنت استفاده نمی گردد. پيشنهاد می گردد اين ويژگی غيرفعال گردد . بمنظور نيل به خواسته فوق ، عمليات زير را دنبال می نمائيم :

*از طريق Start|Run برنامه Regedt32 را فعال نمائيد ( در رابطه با استفاده از برنامه فوق ، دقت گردد) .
*در ريجستری ويندوز ، کليد زير را پيدا نمائيد :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters

*Entry زير را ايجاد و مقدار آن صفر در نظر گرفته شود.(غير فعال نمودن آدرس دهی اتوماتيک آدرس های IP خصوصی ).

IPAutoconfigurationEnabled: REG_DWORD

برنامه های کاربردی DHCP Client
در اين راستا صرفا" يک برنامه وجود داشته و در فولدر %SystemRoot%\System32 قرار دارد: ipconfig.exe . تنظيمات زير در اين رابطه ، پيشنهاد می گردد:


تنظيمات DHCP Client ( مربوط به برنامه های کاربردی )
مجوزهای پيشنهادی
User /Groups
فايل / فولدر

Full Control
Full Control
System
Administrators
%SystemRoot%\System32\ipconfig.exe

منبع: شرکت سخاروش