Aria
September 2nd, 2010, 02:00
سلام.
متوجه شدم که کاربران این انجمن به دلایلی در دیتاسنتر های مختلف دچار این مشکل میشن و نمی تونند دلیل رو بفهمند چون به هر دلیل این مورد براشون نا آشنا هست.
توضیح اولیه:
شبکه های Layer-2 که معمولاً از Cisco Router های مدل های Catalyst 2970 - 3560 - 3750 استفاده می کنند که به سرور و یا Client های داخل شبکه خودشون دسترسی محدود با استفاده از VLAN بدند، از روش Static MAC Address استفاده می کنند که در Router های Layer-2 شرکت Cisco در عمل بهترین راه انجام VLAN بندی هست.
علت بروز مشکل:
سرور ها و یا Client های موجود در شبکه به صورت اتفاقی و یا به دلیل تنظیمات غلط و یا به دلیل سو استفاد مشتریانشان از ضعف امنیتی سرور های ویندوز ایشان، از طریق دستور arp -a از IP های سرور استعلام می گیرند و از آن می خواهند که جواب را برای IP مورد نظرشان بفرستند و در صورت حاظر بودن IP تلاش می کنند آن را بر روی سرور خود تنظیم کنند تا در نهایت IP Conflict ایجاد شود و شبکه دچار مشکل امنیتی شده و حتی سرور مورد نظر به همراه سرور خاطی هر دو از دسترس خارج شوند!
تنظیمات مفید - راه حل نسبی:
در صورت تمایل شما به یافتن شخص خاطی، به راحتی و با داشتن کمی اطلاعات در مورد Policy ها و روش های Auditing سرور های ویندوز، می توانید با Audit کردن شبکه داخلی سرور خود (زیر شاخه arp) از طریق IP Security Monitor متوجه شوید که کدام یک از کاربران شما در حال انجام ARPA NEGOTIATION هستند و مستقیماً با ایشان برخورد کنید و سرویس ایشان را مسدود کنید تا دیگر مشکلاتی از این قبیل رخ ندهد.
اگر تمایل شما به بستن این دسترسی به کل سرور هست، از روش ساده Group Policy استفاده می کنید و با اضافه کردن یک Rule جدید به سرویس arp سرور خود سطوح دسترسی لازم را اعمال می کنید تا دیگر به استعلام های غیر قانونی پاسخی ندهد که انجام این کار با تنظیم موارد زیر امکان پذیر خواهد بود:
1. به منو Start بروید و گزینه RUN را انتخاب نمایید.
2. فرمان gpedit.msc را وارد نمایید.
3. به بخش Computer Configuration بروید.
4. به زیر شاخه Windows Settings وارد شوید.
5. به زیر شاخه Security Settings وارد شوید.
6. به زیر شاخه File System وارد شوید.
7. در اینجا یک Entry جدید برای آدرس %systemroot%\system32\arp ایجاد نمایید.
8. دسترسی های مورد نظر خود را (بسته به نیاز) تایین کنید و Replace را انتخاب کنید.
9. پایان!
به همین راحتی شما می توانید مشکل بزرگ و آزار دهنده ARP Negotiation Requests را برطرف کنید.
با تشکر.
متوجه شدم که کاربران این انجمن به دلایلی در دیتاسنتر های مختلف دچار این مشکل میشن و نمی تونند دلیل رو بفهمند چون به هر دلیل این مورد براشون نا آشنا هست.
توضیح اولیه:
شبکه های Layer-2 که معمولاً از Cisco Router های مدل های Catalyst 2970 - 3560 - 3750 استفاده می کنند که به سرور و یا Client های داخل شبکه خودشون دسترسی محدود با استفاده از VLAN بدند، از روش Static MAC Address استفاده می کنند که در Router های Layer-2 شرکت Cisco در عمل بهترین راه انجام VLAN بندی هست.
علت بروز مشکل:
سرور ها و یا Client های موجود در شبکه به صورت اتفاقی و یا به دلیل تنظیمات غلط و یا به دلیل سو استفاد مشتریانشان از ضعف امنیتی سرور های ویندوز ایشان، از طریق دستور arp -a از IP های سرور استعلام می گیرند و از آن می خواهند که جواب را برای IP مورد نظرشان بفرستند و در صورت حاظر بودن IP تلاش می کنند آن را بر روی سرور خود تنظیم کنند تا در نهایت IP Conflict ایجاد شود و شبکه دچار مشکل امنیتی شده و حتی سرور مورد نظر به همراه سرور خاطی هر دو از دسترس خارج شوند!
تنظیمات مفید - راه حل نسبی:
در صورت تمایل شما به یافتن شخص خاطی، به راحتی و با داشتن کمی اطلاعات در مورد Policy ها و روش های Auditing سرور های ویندوز، می توانید با Audit کردن شبکه داخلی سرور خود (زیر شاخه arp) از طریق IP Security Monitor متوجه شوید که کدام یک از کاربران شما در حال انجام ARPA NEGOTIATION هستند و مستقیماً با ایشان برخورد کنید و سرویس ایشان را مسدود کنید تا دیگر مشکلاتی از این قبیل رخ ندهد.
اگر تمایل شما به بستن این دسترسی به کل سرور هست، از روش ساده Group Policy استفاده می کنید و با اضافه کردن یک Rule جدید به سرویس arp سرور خود سطوح دسترسی لازم را اعمال می کنید تا دیگر به استعلام های غیر قانونی پاسخی ندهد که انجام این کار با تنظیم موارد زیر امکان پذیر خواهد بود:
1. به منو Start بروید و گزینه RUN را انتخاب نمایید.
2. فرمان gpedit.msc را وارد نمایید.
3. به بخش Computer Configuration بروید.
4. به زیر شاخه Windows Settings وارد شوید.
5. به زیر شاخه Security Settings وارد شوید.
6. به زیر شاخه File System وارد شوید.
7. در اینجا یک Entry جدید برای آدرس %systemroot%\system32\arp ایجاد نمایید.
8. دسترسی های مورد نظر خود را (بسته به نیاز) تایین کنید و Replace را انتخاب کنید.
9. پایان!
به همین راحتی شما می توانید مشکل بزرگ و آزار دهنده ARP Negotiation Requests را برطرف کنید.
با تشکر.