در اين مقاله قصد داريم به بررسي نحوه پيکربندي سرويس دهنده و سرويس گيرندگانDynamic Host Configuration Protocol ) DHCP ) ، با رعايت مسائل امنيتي پرداخته و با نحوه تنظيم پارامترهاي ذيربط ، آشنا شويم . در ابتدا لازم است با جايگاه سرويس دهنده DHCP در يک شبکه بيشتر آشنا شويم .
مقدمه
تمامي پروتکل هاي شبکه به هر يک از کامپيوترهاي موجود در شبکه، يک مشخصه (آدرس ) منحصر بفرد را نسبت مي دهند پروتکل IPX ، آدرس فوق را بصورت اتوماتيک و توسط ايستگاه کاري نسبت و منحصر بفرد بودن آن تضمين خواهد شد. پروتکل NetBEUI از يک نام NetBIOS شانزده بيتي استفاده مي نمايد . پروتکل TCP/IP از يک آدرس IP ، استفاده مي نمايد. در نسخه هاي اوليه پياده سازي شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکي از کامپيوترها استفاده مي گرديد و ضرورتي به وجود يک مرکز متمرکز بمنظور اختصاص اطلاعات آدرس دهي IP ، احساس نمي گرديد. بمنظور حل مشکل مديريت صدها و يا هزاران آدرس IP در يک سازمان ، DHCP پياده سازي گرديد. هدف سرويس فوق ، اختصاص آدرس هاي IP بصورت پويا و در زمان اتصال يک کامپيوتربه شبکه است .
با وجود يک سرويس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهي IP مي باشند . وضعيت فوق ، براي کاربراني که داراي يک Laptop بوده و تمايل به اتصال به شبکه هاي متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با براي ورود به هر يک از شبکه ها و استفاده از منابع موجود ، ضرورتي به انجام تنظيماتي خاص در رابطه با آدرس دهي IP وجود نخواهد داشت . سرويس دهنده DHCP ، علاوه براختصاص اطلاعات پايه IP نظير : يک آدرس IP و Subnet mask ، قادر به ارائه ساير اطلاعات مربوط به پيکربندي پروتکل TCP/IP براي سرويس گيرندگان نيز مي باشد . آدرس Gateway پيش فرض ، سرويس دهنده DNS ، نمونه هائي در اين زمينه مي باشند.
DHCP ويندوز 2000 ( نسخه هاي سرويس دهنده ) با سرويس دهنده DNS)Domain Name System) ، در ارتباط خواهد بود. ويژگي فوق ، به يک سرويس دهنده DHCP اجازه مي دهد که با يک سرويس دهنده پوياي DNS ويندوز 2000 ( DDNS ) ، مرتبط و اطلاعات ضروري را با وي مبادله نمايد . سرويس دهنده DHCP ويندوز 2000 ، قادر به ارائه پوياي آدرس IP و Host name بصورت مستقيم براي يک سرويس دهنده DDNS است .
DHCP ، مسئوليت ارائه اطلاعات آدرس هاي IP سرويس گيرندگان را برعهده دارد . بمنظور اخذ اطلاعات آدرس دهي IP ، سرويس گيرنده مي بايست يک lease را از سرويس دهنده DHCP دريافت نمايد.زمانيکه سرويس دهنده DHCP ، اطلاعات آدرسي دهي IP را به يک سرويس گيرنده DHCP نسبت ( اختصاص) مي دهد ، سرويس گيرنده DHCP مالکيت آدرس IP را نخواهد داشت .در چنين حالتي ، سرويس دهنده DHCP همچنان مالکيت آدرس IP را بر عهده داشته و سرويس گيرنده اطلاعات فوق را اجاره و بصورت موقت و بر اساس يک بازه زماني در اختيار خواهد داشت . مي توان يک آدرس IP را بمنزله يک قطعه زمين در نظر گرفت که بصورت اجاره اي در اختيار سرويس گيرنده قرار گرفته و لازم است قبل از سررسيد مدت قرارداد! نسبت به تمديد آن اقدام گردد.در صورت عدم تمديد ، سرويس گيرنده قادر به حضور درشبکه نخواهد بود. دراين مقاله قصد نداريم به بررسي فرآيند اختصاص IP توسط سرويس دهنده به سرويس گيرنده پرداخته و مراحل چهارگانه ( Discover, Offer, Request, Acknowledgement ) را تشريح نمائيم !
DHCP ، يکي از استانداردهاي پروتکل TCP/IP بوده که باعث کاهش پيچيدگي و عمليات مديريتي در ارتباط با آدرس هاي IP سرويس گيرندگان در شبکه مي گردد . در اين راستا سرويس دهنده DHCP ، بصورت اتوماتيک عمليات اختصاص آدرس هاي IP و ساير اطلاعات مرتبط با TCP/IP را در اختيار کاربراني قرار مي دهد که امکان DHCP-client آنان فعال شده باشد . بصورت پيش فرض ، کامپيوترهائي که بر روي آنان ويندوز 2000 اجراء مي گردد ، سرويس گيرندگان DHCP-Enabled خواهند بود.
جايگاه سرويس دهنده DHCP در يک شبکه مبتني بر ويندوز 2000
بمنظور بکارگيري DHCP در يک محيط ويندوز 2000 از رويکردهاي متفاوتي استفاده مي گردد. با توجه به اينکه DHCP پروتکلي است که داراي محدوديت هاي امنيتي خاص خود است ، سرويس DHCP نبايد به خارج ارائه گردد . به Domain server هاي حياتي و ماشين هاي سرويس گيرنده مهم ، مي بايست آدرس هاي IP تابتي نسبت داده شود که ارتباطي با DHCP نخواهد داشت .
پيشنهادات عمومي پيکربندي
بمنظور پيشگيري و افزايش امنيت ، موارد زير پيشنهاد گردد :
• پورت هاي DHCP ( شماره 67 و 68 ) در سطح فايروالي که اينترانت را به اينترنت متصل مي نمايد ، بلاک گردد .
• DHCP/BOOTP relay agent را بر روي فايروال ، غير فعال نمائيد ( در صورت نصب ، uninstall گردد ) .
• سرويس دهنده DHCP را بر روي يک Member Server که يک Domain Controller نمي باشد ، نصب گردد .
• به تمامي سرويس دهندگان داخلي مهم ( شامل سرويس دهندگان DHCP ) ، آدرس هاي IP ثابتي نسبت داده شود و سرويس DHCP Client بر روي آنان ، متوقف گردد .
• به تمامي سرويس گيرندگان داخلي مهم ، آدرس هاي IP ثابتي نسبت داده شود و سرويس DHCP Client بر روي آنان ، متوقف گردد.
• سرويس دهنده DHCP بر اساس روشي که ارائه خواهد گرديد ، ايمن گردد.
• سرويس گيرندگان DHCP بر اساس روشي که ارائه خواهد گرديد ، ايمن گردند.
آدرس هاي IP ثابت در مقابل آدرس هاي IP رزو شده
واژه آدرس IP ثابت ، به پيکربندي دستي آدرس هاي IP اطلاق مي گردد( hardcoded ). فرآيند فوق، نقظه مقابل يک آدرس IP است رزو شده در DHCP است که بصورت دائم به يک ماشين خاص ، نسبت داده مي شود. استفاده از امکان DHCP Reservations ، براي ماشين هاي حساس توصيه نمي گردد.
سرويس DHCP Client بر روي ماشين هاي حساس ، غيرفعال گردد
در زمان نصب ويندوز 2000 ( هم سرويس دهنده و هم سرويس گيرنده ) ، سرويس DHCP client فعاليت خود را آغاز و بعنوان يک سيستم محلي اجراء خواهد شد. سرويس دهندگان DHCP و ساير ماشين هاي حساس ديگر که از آدرس هاي IP ثابتي استفاده مي نمايند به اين سرويس نياز نداشته و لازم است که سرويس فوق، متوقف و وضعيت فعاليت آن در زمان راه اندازي ييستم به حالت دستي ( Manually ) تغيير يابد .
DHCP و DNS
ويندوز 2000 با سيستم DNS)Domain Naming Service) در ارتباط خواهد بود. زمانيکه آدرس IP سرويس گيرنده بصورت پويا و توسط يک سرويس دهنده DHCP نسبت داده شد ، جداول DNS ، مي بايست بهنگام گردند. پيشنهاد مي گردد که خصلت : " Allow Dynamic Update" در سرويس دهنده DNS به مقدار "Only Secure Updates" ، تغيير يابد.
بصورت پيش فرض ، سرويس گيرندگان DHCP ، پس از نسبت دهي يک آدرس پويا توسط سرويس دهنده DHCP ، پيامي را براي سرويس دهنده DNS بمنظور بهنگام سازي ارسال مي نمايند. براي سرويس گيرندگاني که امکانات حمايتي لازم در خصوص عمليات بهنگام سازي را ندارند ( نظير ويندوز 95 ) ، سرويس دهنده DHCP ، مي بايست مسئوليت فوق را پذيرفته و به نمايندگي از سرويس گيرنده ، جداول سرويس دهنده DNS را بهنگام نمايد. سرويس دهنده DHCP ، بصورت پيش فرض بگونه اي پيکربندي شده است که جداول DNS را در زمان درخواست سرويس گيرندگان ، بهنگام مي نمايد .پيشنهاد مي گردد که ويژگي فوق ، غير فعال گردد.

پيکربندي سرويس دهنده DHCP
سرويس دهنده DHCP بصورت اتوماتيک آدرس هاي IP و ساير اطلاعات مرتبط با پيکربندي TCP/IP را در اختيار سرويس گيرندگان DHCP-enabled ، قرار مي دهد . سرويس، سرويس دهنده DHCP بعنوان يک سيستم محلي اجراء مي گردد . بمنظور کاهش احتمال بروز خرابي و اشکالات حاصل از عوامل جانبي ، پيشنهاد مي گردد که سرويس دهنده DHCP بر روي يک Domain Server که يک Domain Controller نمي باشد ، نصب گردد . جايگاه سرويس دهندگان DHCP ، بسيار حساس و مهم بوده و مي بايست تمامي آنان داراي آدرس هاي IP ثابت باشند. سرويس DHCP Client مي بايست برروي اين نوع از سيستم ها متوقف و وضعيت اجراء آن در زمان راه اندازي سيستم ، بصورت دستي در نظر گرفته شود.
DHCP Administrators و Users Group
زمانيکه سرويس DHCP بر روي يک ماشين سرويس دهنده ويندوز 2000 نصب مي گردد ، دو گروه محلي جديد ايجاد مي گردد : DHCP Administrator و DHCP Users . از گروههاي فوق ، مي توان در صورت نياز و با توجه به سياست هاي موجود استفاده بعمل آورد.
مجوزهاي فايل و ريجستري DHCP
بانک اطلاعاتي DHCP ، فايل هاي Recovery و Audit در فولدر SystemRoot%\System32\DHCP % ذخيره مي گردند. تنظيمات زير در اين رابطه پيشنهاد مي گردد.
تنظيمات سرويس دهنده DHCP ( مربوط به File security )
مجوزهاي پيشنهادي User /Groups فايل / فولدر
Full Control
Full Control
Read System
DHCP Administrators
DHCP Users %SystemRoot%\System32\DHCP
folder, subfolders, and files
تنظيمات زير در ارتباط با اطلاعات ثبت شده در ريجستري ويندوز و مرتبط با سرويس دهنده DHCP ، پيشنهاد مي گردد:
تنظيمات سرويس دهنده DHCP ( مربوط به ريجستري ويندوز )
مجوزهاي پيشنهادي User /Groups کليد ريجستري
Full Control
Full Control DHCP Administrator
System HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\DhcpServer
Full Control
Full Control DHCP Administrator
System HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\DhcpServer
Full Control System HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp
ابزارهاي دستيابي سرويس دهنده DHCP
دو برنامه کاربردي در ارتباط با DHCP در فولدر SystemRoot%\System32 % وجود دارد : IPconfig و netsh.exe ، در اين رابطه تنظيمات زير پيشنهاد مي گردد:
تنظيمات سرويس دهنده DHCP ( مربوط به ابزارهاي کاربردي )
مجوزهاي پيشنهادي User /Groups فايل / فولدر
Full Control
Full Control System
DHCP Administrators %SystemRoot%\System32\ipconfig.exe
Full Control
Full Control System
DHCP Administrators %SystemRoot%\System32\netsh.exe
DHCP Scope و گزينه هاي سرويس دهنده
در رابطه با DHCP گزينه هاي اندکي در دسترس مي باشد . پيشنهاد مي گردد که ميزان استفاده از گزينه ها به حداقل مقدار خود برسد . بمنظور کاهش ريسک ماشين هاي سرويس گيرنده ، گزينه DNS Server نمي بايست انتخاب و به ماشين هاي سرويس گيرنده مي بايست يک آدرس ثابت DNS نسبت داده مي شود . C
ارتباط بين سرويس دهنده DHCP و DNS
پيکربندي پيش فرض DNS مربوط به سرويس دهنده DHCP در شکل زير نشان داده شده است . بر اساس پيکربندي فوق ، در زمان درخواست سرويس گيرنده عمليات بهنگام سازي جداول (Entries) انجام خواهد شد.پيشنهاد مي گردد که ويژگي فوق ، غير فعال گردد ( فعال کردن سرويس دهنده DHCP ، انتخاب سرويس دهنده ، انتخاب گزينه Properties ، انتخاب DNS Tab و غير فعال نمودن :
Automically Update DHCP Client information in DNS ) .
پيکربندي سرويس گيرندگان DHCP
سرويس DHCP Client ، بصورت اتوماتيک درخواست هائي را براي سرويس دهنده DHCP بمنظوردريافت يک آدرس IP و نسبت دهي آن به ماشين سرويس گيرنده ، انجام مي دهد . درخواست فوق ، در زمان راه اندازي سيستم ( Booting ) انجام و در صورت ضرورت و قبل از اتمام تاريخ اعتبار آن ، تکرار خواهد شد. سرويس DHCP Client بعنوان يک سيستم محلي بر روي ماشين سرويس گيرنده اجراء خواهد شد. پيشنهاد مي گردد که از خدمات DHCP بر روي ماشين هاي سرويس گيرنده حساس و مهم استفاده نگردد . اين نوع از ماشين هاي سرويس گيرنده ، مي بايست از آدرس هاي IP ثابتي استفاده و بر روي آنان سرويس DHCP client متوقف و نحوه راه اندازي آنان در زمان راه اندازي ، بصورت "دستي " تعيين گردد .
مجوزهاي ريجستري DHCP Client
تنظيمات زير در ارتباط با ريجستري DHCP client ، پيشنهاد مي گردد .
تنظيمات DHCP Client ( مربوط به ريجستري ويندوز )
مجوزهاي پيشنهادي User /Groups کليد ريجستري
Full Control
System
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\Dhcp
تنظيمات TCP/IP مربوط به سرويس گيرندگان
پيشنهاد مي گردد که سرويس گيرندگان صرفا" آدرس IP ، آدرس Gateway و Subnet mask را از سرويس دهنده DHCP دريافت نمايند. آدرس سرويس دهنده DNS ، مي بايست بصورت ثابت در نظر گرفته شود.( تنظيمات پروتکل TCP/IP )
DHCP Client و DNS
با انتخاب گزينه Advanced TCP/IP Setting ، مشاهد خواهد شد که " Register this connection's address in DNS" ، بصورت پيش فرض فعال است .( تنظيمات پروتکل TCP/IP )
امکان فوق ، به سرويس گيرنده DHCP امکان بهنگام سازي را پس از دريافت يک آدرس IP توسط سرويس دهنده DHCP ، خواهد داد. با توجه به اينکه سرويس دهنده DNS بگونه اي پيکربندي شده است که صرفا" بهنگام سازي ايمن را قبول نمايد ، صرفا" سرويس گيرندگان تائيد شده قادر به تغيير اطلاعات مربوطه خود در DNS خواهند بود( DNS Entries ) .
آدرس دهي اتوماتيک آدرس هاي خصوصي IP
ويندوز 2000 ، از آدرس دهي اتوماتيک IP خصوصي ( APIPA ) ، بمنظور نستب دهي يک آدرس IP به يک ماشين سرويس گيرنده و درموارديکه سرويس دهنده DHCP در دسترس نبوده و يا درخواست ماشين سرويس گيرنده توام با موفقيت نگردد ، استفاده مي نمايد.. بر اساس مستندات مايکروسافت آدرس هاي نسبت داده شده در محدوده IP:169.254.0.1 تا IP:169.254.255.254 مي باشند. اين محدوده از آدرس هاي IP توسط IANA رزو و در اينترنت استفاده نمي گردد. پيشنهاد مي گردد اين ويژگي غيرفعال گردد . بمنظور نيل به خواسته فوق ، عمليات زير را دنبال مي نمائيم :
• از طريق Start|Run برنامه Regedt32 را فعال نمائيد ( در رابطه با استفاده از برنامه فوق ، دقت گردد) .
• در ريجستري ويندوز ، کليد زير را پيدا نمائيد :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
• Entry زير را ايجاد و مقدار آن صفر در نظر گرفته شود.(غير فعال نمودن آدرس دهي اتوماتيک آدرس هاي IP خصوصي ).
IPAutoconfigurationEnabled: REG_DWORD
fبرنامه هاي کاربردي DHCP Client
در اين راستا صرفا" يک برنامه وجود داشته و در فولدر %SystemRoot%\System32 قرار دارد: ipconfig.exe . تنظيمات زير در اين رابطه ، پيشنهاد مي گردد:
تنظيمات DHCP Client ( مربوط به برنامه هاي کاربردي )
مجوزهاي پيشنهادي User /Groups فايل / فولدر
Full Control
Full Control System

Administrators %SystemRoot%\System32\ipconfig.exe