-
August 19th, 2009, 18:02
#1
مدیر کل
Dhcp : پروتکل پیکربندی پویای میزبان
پروتکل پیکربندی پویای میزبان -DHCP
پروتکلی می باشد که توسط دستگاه های شبکه ای بکار می رود تا پارامترهای مختلف را که برای عملکرد برنامه های منابع گیر در IP (پروتکل اینترنت)ضروری می با شند را بدست آورد. با بکار گیری این پروتکل ، حجم کار مدیریت سیستم به شدت کاهش می یابد و دستگاه ها می توانند با حداقل تنظیمات و یا بدون تنظیمات دستی به شبکه اضافه شوند.
عملی بودن
پروتکل DHCP (پروتکل پیکر بندی پویای کامپیوتر میزبان)روشی برای اداره کردن جایگزینی پارامتر شبکه در یک سرور DHCP مستقل و یا گروهی از چنین سرور هایی است که به شیوه ای مقاوم در برابر اشکال چیده می شوند و با DHCP تکمیل شده اند.حتی در شبکه ای که چند ماشین سیستم DHCP مفید می باشد زیرا یک ماشین توسط شبکه ای محلی و با کمی تلاش قابل افزودن می باشد.
حتی در سرور هایی که نشانی ها یشان به ندرت تغییر می کند، DHCP برای قرار دادن نشانی های آنها توصیه می شود بنابراین اگر لازم باشد سرور ها دوباره نشانی گذاری شوند(آراِف سی2071) ، تغییرات باید در کمترین جاهای ممکن صورت گیرند.برای دستگاه هایی چون مسیر یاب ها و دیوارهای آتش نباید DHCP را بکار بریم، عاقلانه اینست که سرورهای TFTP و SSH را در دستگاهی مشابه که DHCP را اجرا می کند قرار دهیم تا مدیریت دوباره متمرکز شود.
این برای تخصیص مستقیم نشانی ها در سرور ها و سیستم های رومیزی مفید می باشد و نیز بواسطه یک PPPپروکسی (پروتکل نقطه به نقطه)برای شماره گیری و میزبان های پهن باند در صورت درخواست و نیز برای خروجی ها (برگردان آدرس شبکه) و مسیر یا ب ها مورد کاربرد دارد.DHCP معمولاً برای زیر ساخت(خدمات بنیادین)مانند مسیر یا ب های غیر حاشیه ای و سرور های DNS مناسب نمی باشند.
تاریخچه
DHCP به عنوان یک پروتکل استاندارد در اکتبر سال 1993 پدید آمد، و جایگزین پروتکل بوت پی شد.تعریف در RFC 2131 قابل مشاهده می باشد.و در حالیکه استاندارد مطرح شده برای DHCP در مورد نسخه ی 6 آن در RFC 3315 قابل مشاهده می باشد.
عملیات پروتکل پایه
پروتکل پیکر بندی میزبان پویا (DHCP )تخصیص نشانه های آی پی ، پوشش های زیر شبکه ، دروازه پیش فرض (ورود گاه قراردادی)و دیگر پارامتر های آی پی را به صورت خودکار در می آورد. وقتی یک برنامه منابع گر با ترکیب DHCP به یک شبکه متصل شود ، (خواه یک کامپیوتر باشد یا هر وسیله مرتبط با شبکه )،برنامه منابع گیر DHCP آن یک سئوال سرتاسری ارسال می کندو از سرور DHCPاطلاعات ضروری را در خواست می کند. سرور DHCP مجموعه ای از اطلاعات و آدرس های آی پی را در مورد پارامتر های پیکر بندی منابع گیر مانند دروازه پیش فرض ،نام قلمرو، سرورهای DNS و سرورهای دیگر همچون سرورهای زمانی و غیره را مدیریت می کند.
بر اساس دریافت یک درخواست معتبر این سرور به کامپیوتر یک نشانی آی پی و یک مدت اجاره(طول زمانیکه تخصیص در آن اعتبار دارد)و دیگر پارامتر های پیکر بندی TCP/IP مانند پوشش زیر شبکه و ورود گاه قراردادی اختصاص خواهد داد. این پرس و جو نوعاً سریعاً پس از راه اندازی آغاز می شود و باید پیش از آنکه برنامه منابع گیر بتواند ارتباط مبتنی بر آی پی را با دیگر میزبان ها شروع کند تکمیل شود.
DHCP سه حالت برای تخصیص نشانی های آی پی فراهم می کند.
حالت شناخته شده ،پویا (دینامیک) می باشد که در آن برای برنامه خدمات دیگر یک اجاره نامه روی نشانیIP برای یک دوره زمانی فراهم می آید. منوط به ثبات شبکه این اجاره نامه می تواند از چند ساعت (شبکه بی سیم در یک فرودگاه) تا چند ماه (برای رومیزی ها در یک آزمایشگاه سیم بندی شده)وجود داشته باشد. به هر حال پیش از اینکه اجاره نامه منتفی شود ، DHCP می تواند در خواست تمدید اجاره نامه را روی نشانی آی پی موجود بدهد .
یک برنامه منابع گیر با کار کرد مناسب ساز و کار تمدید را برای حفظ همان نشانی IP در سر تا سر اتصا لش به یک شبکه مستقل بکار می برد، در غیر اینصورت ممکن است خطر از دست دادن اجاره نامه اش (مدت اجاره)را در حین اتصال موجب شود، بنا بر این در حالیکه مجدداً برای نشانی IP اصلی یا جدیدش با سرور مذاکره می کند اتصال به شبکه دچار اختلال و اشکال شود.
دو حالت دیگر برای تخصیص نشانی های IP خودکار (اتوماتیک) و دستی می باشند، که در حالت خودکار نشانی به طور دائم جایگزین منابع گیر می شود و در حالت دستی نشانی توسط منابع گیر انتخاب می شود و پیام های پروتکل DHCP برای مطلع کردن سرور نسبت به جایگزینی نشانی ، مورد استفاده قرار می گیرند.
روشهای دستی و خودکار به طور کلی زمانیکه کنترل دقیق تری روی نشانی IP مورد نیاز باشد بکار می روند (عموماً از نوع نصب دیواره آتش محکم با استقامت) ، اگرچه عموماً یک دیواره آتش امکان دسترسی به گستره ای از نشانی های IP را می دهد که می تواند به صورت پویایی توسط سرور DHCP جایگزین شوند.
امنیت
به جهت متعارف سازی آن قبل از امنیت اینترنت این تبدیل به یک مسئله شده پروتکل DHCP مبنا اقدامات لازم امنیتی را در بر نمی گیرد و بطور بالقوه آنرا در معرض دو نوع حمله قرار می دهد.
- سرورهای DHCP غیر مجاز:از آنجائیکه شما نمیتوانید DHCP مورد دلخواه خود را تعیین کنید، یک سرور
غیر مجاز می تواند به در خواست های خدمات گیر پاسخ دهد و مقادیر پیکر بندی شبکه منابع گیر را ارسال میکند که برای هواپیما ربا مفید می باشند. به عنوان مثال ، یک هکر می تواند سرور DHCP را ترکیب بندی نماید تا خدمات دیگر را برای یک سرور DNS که مختل شده است پیکر بندی نماید.
- برنامه های منابع گیر DHCP غیر مجاز: با تظاهر به برنامه منابع گیر قانونی (مجاز) یک برنامه منابع گیر غیر مجاز می تواند به پیکر بندی و یک IP روی شبکه دسترسی یابد و در غیر اینصورت آن نباید امکان دسترسی و اتصال به شبکه را پیدا کند.
همچنین با ارسال انبوه سرور DHCP با در خواست هایی به منظور نشانی های IP این برای مهاجم امکان پذیر می باشد تا مجموعه وسیعی از آدرس های IP تخلیه نموده و فعالیت عادی شبکه را مختل سازد.
برای مبارزه با این تهدیدات RFC 3118 (تصدیق پیام های DHCP)اطلاعات تایید را در پیام های DHCP ارائه کرد که منابع گیر ها و سرورها را قادر ساخت تا اطلاعات ارسالی از منابع غیر معتبر را نپذیرند.اگر چه حمایت از این پروتکل گسترده می باشد اما تعداد زیادی از خدمات گیران و خدمات دهندگان هنوز به طور کامل از تایید حمایت نمی کنند و سرور ها را مجبور نمی کنند تا از خدمات گیر انی پشتیبانی کنند که از این ویژگی حمایت نمی کنند.در نتیجه دیگر اقدامات امنیتی معمولاً در مورد سرور DHCP صورت می گیرند تا تضمین شود که تنها خدمات گیران و خدمات دهندگان مورد تایید به شبکه دسترسی پیدا می کنند.
در صورت ممکن ، نشانی های اختصاص یافته DHCP بایستی به طور پویا به یک سرور DNS ایمن متصل شوند تا امکان عیب یابی آنها توسط نام وجود داشته باشد بجای اینکه توسط نشانی بالقوه نا معلوم عیب یابی شوند.
اتصال موثر DHCP-DNS به پرونده ای از نشانی های MAC و یا اسامی محلی نیاز دارد که به DNS ارسال خواهند شد و بطور منحصر به فردی میزبان های فیزیکی را مشخص می کند. نشانی های IP سرورهای DNS از یک سرور DHCP .
سرور DHCP اطمینان می دهد که تمام نشانی های IP تک و منحصر به فرد می باشند به عنوان مثال هیچ نشانی IP به یک خدمات گیر ثانویه اختصاص داده نمی شود در حالیکه تخصیص خدمات گیر اولیه معتبر می باشد. بنا بر این مدیریت جمعی نشانی IP توسط سرور صورت می گیرد نه بوسیله مدیر شبکه.
تخصیص نشانی IP
منوط به بکار گیری ، سرور DHCP سه نوع روش در تقسیم کردن (اختصاص دادن) نشانی های IP دارد:
- تخصیص پویا :مدیر شبکه محدوده ای از نشانی های IP را به DHCP اختصاص می دهدو هر کامپیوتر خدمات گیر روی LAN (شبکه محلی) نرم افزار TCP/IP خود را دارد که آرایش بندی اش به گونه ای است که در طول شروع شدن شبکه از سرور DHCP در خواست نشانی IP را می کند.فرایند عرضه و تقاضا یک مفهوم اجاره نامه را با یک دوره زمانی قابل کنترل بکار می برد و این امکان را به سرور DHCP می دهد تا نشانی های IP را که تمدید نمی شوند احیا و بازیابی کند.
- تخصیص خودکار: سرور DHCP دائماً یک نشانی IP آزاد را به خدمات گیر درخواستی از محدوده ای که توسط مدیر تعریف می شود، اختصاص می دهد.
- تخصیص دستی: سرور DHCP یک نشانی IP مبتنی بر جدول را با نشانی MAC اختصا ص می دهد.
جفت های نشانی IP توسط مدیر سرور به صورت دستی پر می شوند. فقط به خدمات گیران با یک نشانی MAC که در این جدول فهرست شده اند یک نشانی IP اختصاص می یابد.
DHCP و دیوارهای آتش
دیوارهای آتش معمولاً باید ترافیک DHCP را آشکارا ممکن سازند. خصوصیات پروتکل سرور – خدمات گیر DHCP چندین مورد را توضیح می دهد زمانیکه بسته ها باید نشانی مبدا 00000000*0 یا نشانی مقصد 0*FFFFFFFF را در اختیار داشته باشند. قوانین سیاستی ضد تلاش عمدی و دیوارهای آتش در بر گیرنده و محکم غالباً چنین بسته هایی را متوقف می سازند.
برای مجاز دانستن DHCP ، مدیران شبکه لازم است که چند نوع بسته اطلاعاتی را از طریق دیوار آتش سرور جانبی ممکن سازند.
تمام بسته های DHCP به عنوان دیتا گرام های UDP منتقل می شوند، تمام بسته های ارسالی خدمات گیر درگاه منبع 68 و درگاه مقصد 67 دارند، تمام بسته های ارسالی خدمات دهنده درگاه منبع 67 و درگاه مقصد 68 دارند.
به عنوان مثال یک دیوار آتش سرور جانبی باید انواع پاکتها که در ذیل آمده را فراهم کند:
- بسته های وارد شده از 0.0.0.0 یا DHCP-POOL تا DHCP-IP
- بسته های وارد شده از هر نشانی برای 2550255025502550
- بسته های خروجی از DHCP-IP تا DHCP-POOL یا 255025502550255
وقتیکه DHCP-IP هر آدرسی را که روی یک سرور DHCP ترکیب بندی می شود را نشان می دهد و مجموعه DHCPنشان دهنده مجموعه ای است که از آن سرور DHCP نشان هایی را به خدمات گیران اختصاص می دهد.
نمونه ای در دیوار آتش IPFW
برای دادن ایده ای از چگونگی ظاهر تولید در پیکر بندی ، قوانین زیر برای سرور جانبی دیوار آتش IP امکان تردد DHCP را فراهم می آورند. DHCPd روی میانجی R10 عمل می کند و نشانی ها را از 192.168.00124 تخصیص میدهد
برای پیش رفت در علم آسانسوری وجود ندارد پله ها را باید پیاده رفت /./ همیشه این یادتان باشد که دست بالای دست بسیار است.
يادمان باشد براي يك بار ايستادن صد ها بار افتاده ايم /./ بک آپ مهمترین رمز موفقیت هاستینگ /./ امنیت مطلق نیست.
ارتباط مستقیم با من :
Admin -{(@)}- WebHostingTalk . ir
-
تعداد تشکر ها ازVahid به دلیل پست مفید
-
August 19th, 2009 18:02
# ADS