همانطور که می دانید از سرویس DHCP به منظور اختصاص آدرس IP و سایر پیکربندی های مرتبط با پروتکل TCP/IP به سیستم های موجود در شبکه استفاده می شود. می توان به جرات گفت که تمامی سیستم عامل های موجود از این پروتکل پشتیبانی می نمایند.
یکی از مشکلات اساسی استفاده از DHCP این است که هنگامی که یک کامپیوتر به صورت فیزیکی به شبکه متصل می شود، می تواند به صورت خودکار در خواست آدرسIP کرده و از هر DHCP سرور فعال در شبکه تنظیمات مورد نظر خود را دریافت نماید. این اتفاق می تواند برای تمامی سیستم های مجاز و غیر مجاز به وقوع بپیوندد. به عبارت دیگر، رایانه های غیر مجاز براحتی می توانند در صورت برقراری ارتباط فیزیکی و یا غیر فیزیکی (بدون سیم) با شبکه سازمان، تنظیمات مرتبط با پروتکل TCP/IP را دریافت نموده و بدین ترتیب اولین و بزرگترین قدم در جهت نفوذ به شبکه سازمان مورد نظر را بردارند. لذا این امر می تواند برای مدیران شبکه یک ریسک امنیتی تلقی شود.
در ادامه قصد دارم که به یکی از راه حل های ارائه شده از سوی شرکت مایکروسافت جهت برطرف نمودن این مشکل امنیتی اشاره کنم.
در اواخر سال 2007 میلادی، تیم DHCP سرور در مایکروسافت، ابزاری را در اختیار کاربران قرار داده است که با نصب آن بر روی سرورهایی با سیستم عامل های Windows Server 2003 و Windows Server 2008، می تواند قابلیت فیلتر نمودن درخواست های رسیده از سوی سیستم های موجود در شبکه جهت دریافت تنظیمات مرتبط با پروتکل TCP/IP را در اختیار سرویس DHCP قرار دهد. این ابزار که DHCP Server Callout DLL نامیده می شود، در سیستم عامل Windows Server 2008 R2 به صورت پیش فرض نصب می باشد.
توجه داشته باشید که MAC آدرس و یا همان Media Access Control، یک مشخصه یکتا برای هر کارت شبکه بوده که در مبنای هگزا دسیمال نمایش داده می شود. به عنوان مثال 00-0C-29-59-D9-FD یک MAC آدرس می باشد.
قابلیت DHCP Server Callout DLL چگونه کار می کند؟
هنگامی که یک کامپیوتر به شبکه متصل می شود، در اولین قدم به منظور برقراری ارتباط با دیگر کامپیوترهای موجود در شبکه، اقدام به دریافت نمودن یک آدرس IP و دیگر تنظیمات مرتبط با پروتکل TCP/IP می نماید. همانطور که قبلا نیز به آن اشاره شد، وظیفه در اختیار قرار دادن آدرس IP و دیگر تنظیمات مرتبط با پروتکل TCP/IP، بر عهده DHCP سرور می باشد.
اگر چنانچه قابلیت Callout DLL در DHCP سرور موجود فعال شده باشد، MAC آدرس کلاینت درخواست کننده تنظیمات، با لیست MAC آدرس های تعریف شده مجاز از سوی مدیر شبکه، مقایسه می گردد. اگر چنانچه این MAC آدرس در لیست آدرس های مجاز قرار گرفته شده باشد، بدین ترتیب به درخواست کلاینت مورد نظر، پاسخ مناسب داده خواهد شد. حال اگر چنانچه آدرس مورد نظر در لیست آدرس های مجاز تعریف نشده باشد و یا آنکه مدیر شبکه آن را در لیست آدرس های غیر مجاز قرار داده باشد، درخواست کلاینت مورد نظر نادیده گرفته می شود و بدین ترتیب، کلاینت مورد نظر نمی تواند با دیگر کلاینت های موجود در شبکه ارتباط برقرار نماید.
فیلترینگ مبتنی بر MAC آدرس به مدیران شبکه این امکان را می دهد تا اطمینان حاصل کنند که فقط سیستم های مجاز قادر به دریافت IP و اتصال به شبکه هستند. لذا با استفاده از این قابلیت، مدیران شبکه می توانند سطح امنیتی خود را ارتقاء بخشند.
به طور کلی می توان دو عملکرد زیر را برای قابلیت DHCP Server Callout DLL در نظر گرفت:
• (Allow) اجازه دریافت آدرس IP و دیگر تنظیمات مرتبط با پروتکل TCP/IP بر اساس مقایسه MAC آدرس سیستم های درخواست کننده این تنظیمات با لیست تعریف شده از سوی مدیر شبکه. لازم به ذکر است که این لیست را می توان توسط روش های گوناگونی بدست آورد که از جمله آنها می توان به استفاده از اسکریپت های ایجاد شده توسط زبان WMI اشاره نمود.
• (Deny) عدم ارائه آدرس IP و دیگر تنظیمات مرتبط با پروتکل TCP/IP به کلاینت های درخواست کننده این تنظیمات بر اساس لیست تعریف شده از MAC آدرس های غیر مجاز توسط مدیر شبکه.
توجه داشته باشید که این قابلیت در سیستم عامل های Windows Server 2003 و Windows Server 2008، در یک زمان فقط یکی از دو حالت Allow و یا Deny را می تواند انجام دهد و این در حالیست که این قابلیت در سیستم عامل Windows Server 2008 R2 دارای چنین محدودیتی نیست.
به منظور استفاده از این قابلیت ابتدا می بایست این ابزار را از مسیر ارائه شده در اینجا دانلود کرده و سپس طبق تصاویر زیر، اقدام به نصب آن بر روی سروری که نقش DHCP را در شبکه بر عهده دارد، نمایید.
توجه داشته باشید که قبل از نصب این ابزار، توجه کنید که ابزار مورد نظر برای سیستم عامل های 32 بیتی و 64 بیتی به صورت مجزا در اختیار شما قرار گرفته شده است.
حال با توجه به نکته فوق، اقدام به نصب این ابزار می نماییم. ب
در حقیقت عملیات نصب، فعالیت های زیر را به انجام می رساند:
• ایجاد فایل های MacFilterCallout.dll و SetupDHCPMacFilter.rtf در فولدر System32 (در سیستم های 32 بیتی) و یا SysWOW64 (در سیستم های 64 بیتی).
• ایجاد چندین کلید مختلف در مسیر HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters در رجیستری. جهت کسب اطلاعات بیشتر در خصوص کلید های ایجاد شده و وظایف محوله به این کلید ها، فایل SetupDHCPMacFilter.rtf را مطالعه فرمایید.
• متوقف کردن سرویس DHCP.
• راه اندازی مجدد سرویس DHCP. توجه داشته باشید که در صورت لود موفقیت آمیز ابزار Callout DLL، رخ دادی به شماره 1033 در Event Viewer ایجاد می گردد.
در مقاله ایی دیگر به چگونگی پیکربندی این قابلیت در سیستم عامل های Windows Server 2003 و Windows Server 2008 و همچنین Windows Server 2008 R2 اشاره خواهیم نمود.
