برای راه اندازی سرویس DHCP در شبکه ، راهکارهای مختلفی وجود دارد. میتوان در Mikrotik ، Cisco و یا با راه اندازی یک سرور ویندوزی ، از DHCP در شبکه بهره برد.در بسیاری از موارد به دلیل اینکه کار با کنسول DHCP ویندوزی مایکروسافت ، راحت تر و مدیریت روتین روزانه آن لذت بخش تر و User Friendly تر است ،بسیاری از ادمین ها ، راه اندازی به روش مایکروسافتی را توصیه می کنند.
کافیست یک ماشین مجازی در شبکه راه اندازی نموده و Role مربوطه را با استفاده از ویزارد ها کامل کنید.فرض کنید جهت دسترسی کاربران به یکی از VLan های خود ، مثلاً دسترسی به شبکه داخلی بصورت وایرلس ، یک DHCP ران نموده اید . در حالت دیفالت راه اندازی ، کاربران با وارد نمودن پسورد Security Profile های ست شده و SSID مربوطه به اکسس پوینت وصل شده و IP از DHCP دریافت خواهند نمود. با ذخیره SSID ها پسورد ها نیز در ویندوز ذخیره شده و براحتی قابل مشاهده است. در نتیجه احتمال اینکه کاربران ناخواسته ادمین نیز ، رمز عبور را بدست بیاورند ، بسیار ساده خواهد بود.
.jpg)
(مطابق با تصویر فوق ، در قسمت Change Adaptor Settings در منوی Properties با کلیک دکمه Wireless Properties در تب Security در صورتیکه گزینه Show characters فعال شود ، پسورد ذخیره شده وای فای قابل رویت خواهد بود.)
در این آموزش می خواهیم از سرور DHCP مایکروسافتی مان بخواهیم صرفاً به کاربران تایید شده ما سرویس دهی کند تا هیچ کاربری ، جز کاربران مورد نظر ما حق دریافت IP از سرور DHCP حتی در صورت وصل شدن صحیح به Access point و یا عضویت در شبکه ،نداشته باشند.
با ما همراه باشید...
محدود سازی اتصال به شبکه بر اساس فیلتر گذاری MAC را میتوان در سطوح و لایه های مختلف شبکه پیاده سازی کرد :
- می توان روی پورت های سویچ سیسکو ، از طریق Port Security این محدودیت را ایجاد نمود.
- می توان روی پورت های سویچ سیسکو با تکنیک های مطرح شده در مباحث سویچ سیسکو ، از پاسخگویی هر اینترفیس سویچ به بسته های DHCP جلوگیری کرد.
- و...
در این آموزش می خواهیم فیلتر آدرس های MAC کلاینت ها را در سطح کنسول DHCP مایکروسافت پیاده سازی نماییم.
.jpg)
کنسول سرور DHCP مایکروسافت ، مطابق با تصویر فوق ، با داده های Real می باشد.در قسمت IPv4 با تعریف Scope بازه IP های مورد نیاز تعریف میگردد.و نهایتاً قسمت address Leases مطابق با تصویر ، لیست IP های تخصیص داده شده از طرف سرور به نود های موجود در آن شبکه را نشان میدهد.
در قسمت Reservation می توان IP ها را به کاربران خاص ، اختصاص داده و برای آنها رزرو کرد تا همیشه از این IP جهت اتصال به شبکه استفاده نمایند:
(1).jpg)
همچنین میتوان در Node مربوطه بازای هر نود بعد از درج در لیست آدرس های رزرو ، یک Description برای خوانایی لیست کلی وارد نمود تا مدیریت IP های مورد تایید تسهیل گردد.
حال جهت محدود سازی سرور جهت سرویس دهی به MAC های خاصل کافیست در کنسول مدیریت DHCP مایکروسافت ، با طی مراحل ذیل ، Allow List ایجاد کنیم:
- بر روی نود IPv4 در کنسول DHCP رایت کلیک کرده و گزینه Properties را انتخاب کنید.
.jpg)
2.در فرم ظاهر شده تب Filters را انتخاب نمایید.
.jpg)
3.در قسمت MAC Filters گزینه Enable Allow List را انتخاب کنید.
در اینجا دقیقاً منطق Access List های سیسکو در سویچینگ ، فعال میشود . در ACL سیسکو همه چیز Deny است مگر اینکه بصورت واضح توسط ادمین ، Permit شده باشد.
اکنون نیز در لیست Allow کلیه MAC های درج شده ،اجازه دریافت IP از سرور DHCP را دارند و هر MAC دیگری که درخواست IP کندو در این لیست نباشد، مجاز به دریافت IP نخواهد بود.
نکته1: بسته به اینکه تعداد MAC های مجاز بیشتر است یا غیر مجاز ، یکی از حالات Allow یا Deny راهگشای سناریو ما خواهد بود.
4.جهت افزودن به لیست ، کافیست در حالتی که AllowList غیر فعال است از لیست Lease ها بر روی MAC مورد نظر رایت کلیک کرده و مطابق با تصویر زیر ، آنرا به لیست مان اضافه کنیم:
نکته2: برای اینکه نیاز به درج MACبصورت دستی نباشد ، کافیست Enable را غیر فعال نموده و پس از رویت MAC در لیست فوق ، آنرا به فیلتر ها اضافه کنیم.بعد از آن مجدد Enlabe Allow/Deny را فعال نماییم.
با ایجاد لیست های فوق ، صرفاً کاربران مورد تایید ما ، مجاز به دسترسی به شبکه مان و دریافت IP از سرور خواهند بود.
پیروز و مایکروسافتی باشید !...
