DHCP Dynamic Host Configuration Protocol (Farsi User Guide)
Resource: Microsoft.COM > TechNet > TechNet Security

Winteacher.com > Part2 > DHCP > Security > DHCP Security Part2

این بخش قسمت دوم از امنیت سرور DHCP می باشد مواردی که شما برای جلوگیری از

سوء استفاده از سرور DHCP توسط افراد می توانید از آن استفاده مفید ببرید .این موارد هم در Windows  2000 Serv و هم

در Windows 2003 Serv قابل اجرا می باشد .

 

DHCP Server Auditing

در این قسمت شما می توانید از Auditing برای ایجاد Log File استفاده کنید .در این Log مواردی همچون افراد یا Client هایی

که توانسته اند از DHCP Serv آدرس اجاره کنند مشخص می شود .این بسیار مهم است که شما بدانید  کدام سیستم ها توانسته آدرس اجاره کنند و یا موفق نشده اند .

در این Log مورد مهمی همچون BAD-ADDRESS نیز مشخص می شود این مورد مهم می باشد که شما متوجه شوید کدام سیستم ها نتوانسته اند آدرس آزاد دریافت

کنند زمانی که یک DHCP Server به دو DHCP Client یک آدرس یکسان بدهد Address Conflict این مشکل رخ می دهد این مورد برای پیدا کردن

مشکلات DHCP Client ها بسیار مفید می باشد . زمانی که یک Client بصورت دستی یک آدرس به خود بدهد که در Scope شما تعریف شده باشد این مشکل

رخ میدهد و با اینکه دو DHCP Server درشبکه  بخاطر پیکربندی اشتباه به Client ها IP Address یکسان بدهد و ... در این Log مشخص می شود .

 

To enable auditing on your DHCP servers, open  the DHCP console and connect to a DHCP server on your network. Then right-click on the server node and select Properties, and on the General tab make sure the checkbox labeled "Enable DHCP audit logging" is enabled:

Figure 1 DHCP Server Properties - General TAB (Enable DHCP Audit Logging)

Figure 1  DHCP Server Properties - General TAB (Enable DHCP Audit Logging)

 
%windir%\system32\dhcp directory

در این آدرس Log File شما ذخیره می شود .راه دومی وجود دارد برای ایجاد این آدرس و فایل مورد نظر آن هم در شکل زیر مشخص می باشد .

Figure 2  DHCP Server Properties - Advanced TAB (Audit log file path)

Figure 2  DHCP Server Properties - Advanced TAB (Audit log file path)

در قسمت Audit Log File Path شما می توانید آدرس آن را تغییر دهید .

سرویس DHCP بعد از فعال کردن Log File آن را بصورت روزانه و با نام هر روز ایجاد می کند

مانند DhcpSrvLog-Tue.log , dhcpSrvlog-Mon.log و ...

Further configuration can be performed using the HKLM\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters key in the Registry where the following keys control how DHCP logging works:

  • DhcpLogFilesMaxSize specifies a maximum file size for all DHCP log files (default is 7 MB)

  • DhcpLogDiskSpaceCheckInterval specifies how frequently DHCP checks disk space usage (default is every 50 minutes)

  • DhcpLogMinSpaceOnDisk specifies the free space threshold below which logging becomes temporarily disabled (default is 20 MB)

DHCP Administrators Group

در زمانی که شما عضو Domain Admins Groups باشد دارای قدرت کامل برای مدیریت کرد DHCP Server  می باشید.

در شبکه های منظم که کار و یا وظایف  افراد تقسیم بندی شده و مشخص می باشد شما می توانید یک Power User در اصطلاح ایجاد کنید که کار

آن فقط Manage کردن DHCP Server های شبکه باشد برای این کار نیاز نیست که به آن قدرت Admin شبکه را بدهید .

برای این کار شما می توانید ان فرد یا افراد را عضو گروه DHCP Administrator کنید در شکل زیر Administrator عضو شده که

شما می توانید یک User معمولی را برای این کار مشخص کنید نیازی به ADMINISTRATOR نیست .برای این کار در ADS آن افراد را عضو

این گروه می کنید .

Figure 3  DHCP Administrator Group - Members TAB (ADS MMC)

در مرحله بعد در ADS بر روی سرور Right-Click کرده و در قسمت Default Domain Policy تنظیمات زیر را انجام می دهید .

تذکر باید فقط از این طریق این Policy را تعریف کنید.به این دلیل در Policy این عمل را انجام می دهید که در تمام Domain یا Forest اعمال شود .

با معرفی User مورد نظر خود به این گروه شما مشخص کرده اید که کدام فرد وظیفه مدیریت کردن سرور را برعهده دارد و افراد ناشناس دیگر که ممکن است به

Pass مربوط به ADMINISTRATOR دسترسی دارند نمی توانند به این مدیریت تعریف شده کاری داشته باشند .در زمان مشکل شما

فقط به افراد عضو این گروه می توانیدرجوع کنید برای رفع مشکل و ... با این کار malicious Users نمی توانند تغییراتی در سرور بدهند .

Computer Configuration\Windows Settings\Security Settings\Restricted Groups

Figure 3  Group Policy For Domain (Default Domain Policy \ Restricted Groups)

Figure 4  ADS MMC - (Default Domain Policy \ Restricted Groups)

شما می توانید افراد درون این گروه یا گروه های دیگر را توسط GPO یا Group Policy مدیریت کنید و یا Monitor کنید .

به چه صورت : اول یاید بر روی سرور ADS در درون OU های مد نظر و یا بر روی GPO خود ADS مانند شکل Figure 4 در

قسمت Restricted Groups گروهای مدنظر را Add کنید .

 

Figure 5  ADS MMC - (Default Domain Policy \ Restricted Groups - Add Group)

Figure 5  ADS MMC - (Default Domain Policy \ Restricted Groups - Add Group)

در مرحله بعد شما نام گروه DHCP Administrator که آن User را که در Figure 3 مشخص می باشد عضو ان  کرده اید را معرفی می کنید .

بعد از مشخص کردن گروه منوی زیر مانند Figure 6 ظاهر می شود در این قسمت  شما می توانید نام افراد دلخواه را برای گروه مد نظر را کم و یا زیاد کنید .

Figure 6  ADS MMC - (Default Domain Policy \ Restricted Groups -Add Group - DHCP Administrator Properties)

Figure 6  ADS MMC - (Default Domain Policy \ Restricted Groups -

Add Group - DHCP Administrator Properties)

در مرحله آخر همانند شکلFigure 7 شما می توانید  توسط GPO یا همان Group Policy افراد عضو این گروه را Monitor کنید یعنی

از اینکه فردی یا افرادی به این گروه زیرکانه و بدون اجازه اضافه نشوند مطمن شوید چون GPO هر 5 دقیقه این مورد را چک می کند در تمام Domain.

Figure 7  ADS MMC - (Default Domain Policy \ Restricted Groups)

Figure 7  ADS MMC - (Default Domain Policy \ Restricted Groups)

اگر فردی یا افرادی مانند افراد Valid در شبکه و یا حتی Hacker ها خود را عضو این گروه کرده باشند بعد هر 5 دقیقه این

مورد چک می شود و آن افراد از این گروه Delete می شوند و Event ID 637 نیز ثبت می شود از طریق این Event نیز

شما متوجه این حمله  به  این گروه نیز می شوید . البته برای ثبت این Event ID شما باید در Auditing قسمت Account Management را فعال کرده باشید .

NOTE: Windows 2000 also includes another group called DHCP Users which can be used to grant users read-only access to the DHCP console, and membership in this group can be similarly controlled using Restricted Groups.

 
 

DNSUpdateProxy Group

On Windows-based networks, DHCP and DNS can work together to simplify the configuration and operation of your network. Normally what happens is a DHCP client register its A (host) record directly with the DNS server, while the PTR (pointer) record is instead registered on behalf of the client by the DHCP server. This means an attack on a DHCP server could compromise control over records registered with your DNS server and be used to redirect traffic to a hostile site or cause denial of service. If you make a DHCP server a member of the DNSUpdateProxy group however, your DHCP server will not take ownership of any resource records it registers on behalf of clients. This approach is typically used when upgrading from Windows NT to ensure downlevel clients that do not support DDNS can take ownership of their own resource records when they are upgraded to Windows 2000 or Windows XP.

The point is that you should only add the computer accounts for your DHCP server to the DNSUpdateProxy group if you are going to be upgrading pre-Windows 2000 computers to Windows 2000 or Windows XP. And you should never add your DHCP server to this DNSUpdateProxy group if your DHCP server is running on a domain controller.

 
 

Detecting Rogue DHCP Servers

Finally, there are a few tools you can use to detect the presence of rogue DHCP servers on your network so you can get rid of them. These include both tools from Microsoft and from third-party sources, and we'll end by examining two of these tools.

Dhcploc.exe

Dhcploc.exe is a command-line tool that is part of the Windows Support Tools found in the \Support\Tools folder on your Windows XP product CD and it can be used to display all DHCP servers that are active on the local subnet. Dhcploc.exe has been around since Windows NT 4.0 and it works by sending out DHCPREQUEST messages and displaying the IP addresses of the DHCP servers that responded with DHCPACK. You can find the syntax of this tool in the Help file that is installed when you install the Support Tools on your machine.

dhcp_probe

The Network Systems Group at Princeton University's Office of Information Technology has developed a tool called dhcp_probe that tries to discover DHCP and BOOTP servers on a directly-attached Ethernet network. The existing build runs on Solaris 8 on SPARC with gcc and there is patch for it to work on Linux also, so if you have either of those platforms you can try using this tool to detect any rogue DHCP servers that might be running on your network.

 

Related topic :

DHCP Dynamic Host Configuration Protocol (Farsi User Guide)

LastUpdate:2005/08/11

Winteacher.com > Part2 > DHCP > Security > DHCP Security Part2