سلام.. یه سوال برام پیش اومده جایی نتونستم جوابی براش پیدا کنم گفتم از متخصصان شبکه سوال کنم ..
خب . ما یک سیستم داریم که وقتی کابل شبکه رو به کارت شبکه متصل می کنیم دو حالت رخ می ده
یا از طریق DHCP آی پی می گیره
یا دستی آی پی بهش می دیم

در هر دو صورت اگر آی پی توی رنج شبکه باشه به اون شبکه وصل میشه و می تونه از منابع اون شبکه استفاده کنه ..
حالا سوال من اینجاس ..
آیا راهی هست که قبل از طی یک فراید دلخواه ما ( مثلا احراز هویت یا تایید ادمین شبکه یا امثال اون ) کامپیوتر به شبکه وصل نشه ؟

وقتی سیستم از DHCP آی پی می گیره جایی دیدم با یک DLL می شه اونو تنظیم کرد که فقط کارت شبکه هایی آی پی بگیرن که مک اونا تایید شده باشه .. ولی وقتی دستی آی پی می دیم چی ؟ آیا برای اونم راهی هست ؟

شما می تونین توی تنظیمات DHCP Server تون برای Client هاتون IP ها رو Reserve کنین. بعد اونوقت بقیه IP های توی اون range رو از لیست IP ها خارج کنین. اینجوری کسی نمی تونه با Manual IP به شبکه متصل بشه.

یه راه دیگه هم اینه که روی Switch اگه امکاناتش وجود داشته باشه MAC ها رو فقط برای client های خودتون ببندین.

شما می تونین توی تنظیمات DHCP Server تون برای Client هاتون IP ها رو Reserve کنین. بعد اونوقت بقیه IP های توی اون range رو از لیست IP ها خارج کنین. اینجوری کسی نمی تونه با Manual IP به شبکه متصل بشه.

یه راه دیگه هم اینه که روی Switch اگه امکاناتش وجود داشته باشه MAC ها رو فقط برای client های خودتون ببندین.
فرمایش شما کاملا متین ..
در مورد مطلب اول که فرمودین خب من مثلا اون رنج رو خارج کردم و نذاشتم که کسی دستی اونو ست کنه ولی اگه کلاینت مورد نظر من خاموش باشه باز هم این روش با شکست مواجهه می شه ..
اما در مورد سویچ .. متاسفانه اون سویچ هایی که استفاده شده Mange نیستند و تقریبا کاری از دستم بر نمی یاد ..

Release time رو برای IP هایی که Reserve کردین خیلی بالا ببرین. بیشتر از دو برابر ماکزیموم زمانی که یکی از client ها می تواند خاموش باشد. چون هر client بعد از گذشت 50 درصد از زمان Release Time خود دوباره IP خودش را با DHCP Server تمدید می کند.

شما با این وجود که سویچ تان نمی توانید کانفیگ کنید من دو راه براتون در نظر دارم یا اینکه در DHCP مک آدرس کارت شبکه ها هم وارد کنید یا اینکه شما Certificate نصب کنید و به هر کلاینت یک کلید بدهید اگر کسی این کلید رو نداشته باشد به هیچ عنوان نمی تونه وارد شبکه بشه (مگر اینکه هکری باشه که الان دیگه زنده نیست)
چون شکستن قفل این کلید ها کار خدای هکر ها هست هم 128 بیتی داره هم 256 بتی البته 512 بیتی هم داره
نحوه نصب کلید هم تو اینترنت یه سرچ کن بهش می رسی اما اگر از من می شونی کاری بسیار سختی هست و کفش آهنی لازم داره یا مک ها رو Add کن یا سویج رو عوض کن

شما با این وجود که سویچ تان نمی توانید کانفیگ کنید من دو راه براتون در نظر دارم یا اینکه در DHCP مک آدرس کارت شبکه ها هم وارد کنید یا اینکه شما Certificate نصب کنید و به هر کلاینت یک کلید بدهید اگر کسی این کلید رو نداشته باشد به هیچ عنوان نمی تونه وارد شبکه بشه (مگر اینکه هکری باشه که الان دیگه زنده نیست)
چون شکستن قفل این کلید ها کار خدای هکر ها هست هم 128 بیتی داره هم 256 بتی البته 512 بیتی هم داره
نحوه نصب کلید هم تو اینترنت یه سرچ کن بهش می رسی اما اگر از من می شونی کاری بسیار سختی هست و کفش آهنی لازم داره یا مک ها رو Add کن یا سویج رو عوض کن

با نصب CA کامپیوتر از شبکه قطع نمیشه، فقط user نمیتونه Authenticate کنه.
ایشون می خوان که توی لایه IP ارتباط کامپیوتر با شبکه رو قطع کنند. CA ارتباط رو در لایه Application قطع می کنه به نظرم.

حرف شما درست هست وقتی شما می تونی تا دم در حتی گاو صندوق بانک مرکز تهران بری اما وقتی ببینه درش بسته هست و یه دیواره با قطر 20 متر جلو چشمات هست چی کاری از دست بر میاد هیچ کاری این هم همین معنی رو می ده شما تا از نظر احراز هویت مورد قبول نشین نمی تونین وارد شبکه بشین

حرف شما درست هست وقتی شما می تونی تا دم در حتی گاو صندوق بانک مرکز تهران بری اما وقتی ببینه درش بسته هست و یه دیواره با قطر 20 متر جلو چشمات هست چی کاری از دست بر میاد هیچ کاری این هم همین معنی رو می ده شما تا از نظر احراز هویت مورد قبول نشین نمی تونین وارد شبکه بشین

:قهقهه: خدا قسمت کنه بریم دم در گاو صندوق بانک مرکزی

شما با این وجود که سویچ تان نمی توانید کانفیگ کنید من دو راه براتون در نظر دارم یا اینکه در DHCP مک آدرس کارت شبکه ها هم وارد کنید یا اینکه شما Certificate نصب کنید و به هر کلاینت یک کلید بدهید اگر کسی این کلید رو نداشته باشد به هیچ عنوان نمی تونه وارد شبکه بشه (مگر اینکه هکری باشه که الان دیگه زنده نیست)
چون شکستن قفل این کلید ها کار خدای هکر ها هست هم 128 بیتی داره هم 256 بتی البته 512 بیتی هم داره
نحوه نصب کلید هم تو اینترنت یه سرچ کن بهش می رسی اما اگر از من می شونی کاری بسیار سختی هست و کفش آهنی لازم داره یا مک ها رو Add کن یا سویج رو عوض کن
ازتون خیلی متشکرم.. منم دقیقا داشتم همین موضوع رو دنبال می کردم البته کارای دیگه پیش اومد و یه مدت بی خیالش شدم. .
خب اجازه بدین من اون چیزی رو که متوجه شدم بگم تا سوال جدید :
این طور که شما می فرمایید وقتی Certificate رو نصب کردم فقط کلاینتهایی که کلید رو داشته باشن می تونن از DHCP آی پی بگیرن .. و اگه نداشته باشن خب نمی تونن به شبکه وصل بشن
اما تکلیف کلاینتهایی که دستی آی پی وارد می کنن چی ؟ وقتی اونا آی پی رو ست می کنن اگه مشکل تکرار نداشته باشه به شبکه وصل می شن و می تونن از منابع اون استفاده کنن برای این مورد چه راهکاری رو پیشنهاد می کنید ؟

نه تا وقتی کلید نداشته باشند هیچ کاری نمی توانند بکنند حتی اگر ای پی رو دستی ست کنند باز نمی توانند وارد شبکه بشوند مثال بانک مرکزی منو که یادته حالا شما کلید گاوصندق رو داری اما جلو در کلی مامور هست پس دوباره به بن بست می خوره

نه تا وقتی کلید نداشته باشند هیچ کاری نمی توانند بکنند حتی اگر ای پی رو دستی ست کنند باز نمی توانند وارد شبکه بشوند

چرا می تونن. هم می تونن از DHCP آی پی بگیرن هم خودشون دستی IP بدن و وارد شبکه بشن. فقط بدون Certificate نمیتونن Authenticate کنن .
یعنی وارد شبکه میشن، می تونن ping کنن و همین برای یک hacker کافیه .
اما بدون certificate نمی تونن از امکانات شبکه شما استفاده کنند. (که از چشم یک کاربر عادی با قطع بودن فرقی نمی کنه)

دیدم چه قدر دوستان در این خصوص بحث کردن گفتم یک راهنمایی کنم

دوستان

شما اگر محیط امن داشته باشید مهم نیست کسی وارد شبکه شود
بر فرض اینکه کسی به شبکه وصل شود
پس AD چکاره است
برای همینه دیگه که افراد غیر مجاز به منابع دسترسی نداشته باشند
به همین راحتی
البته شاید از نظر بحث امنیت مشکل داشته باشد ولی زمانیکه چاره ای نباشد بهتر از آن است که کلی هزینه و یا راههایی رو برویم که آخرش معلوم نیست