چگونه فقط به سیستم های مجاز دومین IP بدهیم ؟ امنیت در DHCP

سلام

دوست عزیز این مطلب چندین بار در سایت مطرح شده

راه حل استاندار داشتن سوئیچهای با قابلیت ipsec در شبکه و راه اندازی ipsec این سوئیچها است

یک راه دیگه که استاندارد نیست هم اینه که شما کلیه سیستمهایی که در شبکه دارین رو روشن کنید تا همه ip بگیرن و همه ipها رو در dhcp سرور استاتیک کنید و بعد dhcp سرور رو به همین رنجی که استاتیک کردین ، محدود کنید. اینجوری دستگاه جدیدی که به شبکه اضافه میشه دیگه dhcp نمیتونه بهش ip بده

NAP یا Network Address Protection نام قابلیتی قدرتمند در ویندوز سرور هست که با نصب و راه اندازی اون میتونین سناریوتون رو اجرایی کنین. توضیح اینکه یکی از کارهایی که NAP میکنه اینه که برای نمونه تنها و تنها به کلاینت هایی که Join سرور هستن و همچنین دارای آنتی ویروس، IP تخصیص میده و به دیگر کلاینت های Join نشده یا اصلا IP اختصاص نمیده و یا حتی میشه گفت کلاینت هایی که Join نیسن فلان رینج IP رو بگیرن که با IP مد نظر شما متفاوت باشه.

یه ذره البته ممکنه کانفیگ های پیچیده ای داشته باشه، اما خب کاری رو که مد نظر شما هست به نحو احسن انجام میده!

ممنون از پاسخ شما

این از طریق تنظیمات میکروتیک یا کاسپر قابل اعمال نیست؟

چطوری میشه تشخیص داد که سویچ که داریم این قابلیت ipsec دارد؟

آیا ipsec سویچ با ipsec میکروتیک متفاوت است ؟ منظورم اینکه آیا میشه از ipsec میکروتیک برای این منظور استفاده کرد؟

با میکروتیک هم میشه این حرکت رو پیاده کرد

کافی اینترفیس مربوط به شبکه لوکال در حالت Arp-Replay قرار میدی و سپس مک سیستم هاییی که میخواین به شبکه دستسرسی داشته باشن رو در داخل ARP میکروتیک اضافه میکنید اینطوری امنیت در لایه 2 رو تو شبکه برقرار میکنید

با سلام

این مسئله شما یه راه حل ساده داره شما با فعال کردن سرویس filtering میتونید مک ادرس کارت شبکه های خود را در لیست Allow قرار دهید با اینکار دیگر کارت شبکه ها دیگر ای پی دریافت نخواهند کرد تا زمانی که شما مک آدرسشونو تو لیست اضافه کنید

اگر ipsec رو بخواین باید سوئیچ شما منیج باشه و این قابلیت رو روی تک تک پورتهاش داشته باشه