چگونه فقط به سیستم های مجاز دومین IP بدهیم ؟ امنیت در DHCP
در شبکه محلی که کامپیوترهای موجود domain هستند. در شبکه محلی که حالا از سرور(2008 با اکتیو دایرکتوری فعال) و میکروتیک و سویچ و انتی ویروس کاسپر اسکی برای سرور و تمام کاربران فعال هست . چطور میشه کاری کرد که براساس ادرس فیزیکی سیستم های که domain نشدند (لب تاب یا کامپیوتری که domain نیستند) ip توسط dhcp تخصیص داده نشود؟
6 پاسخ
سلام
دوست عزیز این مطلب چندین بار در سایت مطرح شده
راه حل استاندار داشتن سوئیچهای با قابلیت ipsec در شبکه و راه اندازی ipsec این سوئیچها است
یک راه دیگه که استاندارد نیست هم اینه که شما کلیه سیستمهایی که در شبکه دارین رو روشن کنید تا همه ip بگیرن و همه ipها رو در dhcp سرور استاتیک کنید و بعد dhcp سرور رو به همین رنجی که استاتیک کردین ، محدود کنید. اینجوری دستگاه جدیدی که به شبکه اضافه میشه دیگه dhcp نمیتونه بهش ip بده
NAP یا Network Address Protection نام قابلیتی قدرتمند در ویندوز سرور هست که با نصب و راه اندازی اون میتونین سناریوتون رو اجرایی کنین. توضیح اینکه یکی از کارهایی که NAP میکنه اینه که برای نمونه تنها و تنها به کلاینت هایی که Join سرور هستن و همچنین دارای آنتی ویروس، IP تخصیص میده و به دیگر کلاینت های Join نشده یا اصلا IP اختصاص نمیده و یا حتی میشه گفت کلاینت هایی که Join نیسن فلان رینج IP رو بگیرن که با IP مد نظر شما متفاوت باشه.
یه ذره البته ممکنه کانفیگ های پیچیده ای داشته باشه، اما خب کاری رو که مد نظر شما هست به نحو احسن انجام میده!
ممنون از پاسخ شما
این از طریق تنظیمات میکروتیک یا کاسپر قابل اعمال نیست؟
چطوری میشه تشخیص داد که سویچ که داریم این قابلیت ipsec دارد؟
آیا ipsec سویچ با ipsec میکروتیک متفاوت است ؟ منظورم اینکه آیا میشه از ipsec میکروتیک برای این منظور استفاده کرد؟
با میکروتیک هم میشه این حرکت رو پیاده کرد
کافی اینترفیس مربوط به شبکه لوکال در حالت Arp-Replay قرار میدی و سپس مک سیستم هاییی که میخواین به شبکه دستسرسی داشته باشن رو در داخل ARP میکروتیک اضافه میکنید اینطوری امنیت در لایه 2 رو تو شبکه برقرار میکنید
با سلام
این مسئله شما یه راه حل ساده داره شما با فعال کردن سرویس filtering میتونید مک ادرس کارت شبکه های خود را در لیست Allow قرار دهید با اینکار دیگر کارت شبکه ها دیگر ای پی دریافت نخواهند کرد تا زمانی که شما مک آدرسشونو تو لیست اضافه کنید
اگر ipsec رو بخواین باید سوئیچ شما منیج باشه و این قابلیت رو روی تک تک پورتهاش داشته باشه