همانطور که می دانید از DHCP برای اختصاص IP آدرس و سایر پیکربندی ها به سیستم های شبکه استفاده می شود که تقریبا تمامی سیستم عامل ها را پشتیبانی می کند. از PCهای رومیزی گرفته تا لپتاپ ها و سیستم های موبایل مانند PDA تمامی اینها نیازمند یک DHCP سرور می باشند تا تنظیمات TCP/IP خود را دریافت نمایند؛ مگر اینکه به صورت دستی این تنظیمات بر روی آنها اعمال گردد. یکی از مشکلات اساسی استفاده از DHCP این است که هنگامی که یک کامپیوتر به صورت فیزیکی به شبکه متصل می شود به صورت خودکار در خواست IP کرده و از هر DHCP فعال در شبکه IP دریافت می کند. این اتفاق برای تمامی سیستم های مجاز و غیره مجاز رخ می دهد یعنی ممکن است کامپیوتر هایی که ما نمی خواهیم به شبکه ما وصل شده و IP هم رنج با شبکه ما را نیز دریافت نمایند و این امر برای مدیران شبکه یک ریسک امنیتی می باشد. در ادامه یکی از راه حل های برطرف کردن این مشکل را بحث خواهیم کرد.

برای این منظور یک DLL توسط DHCP Server Team ارائه شده است که می توانید آنرا بر روی Windows Server 2003/2008 خود نصب کنید و به کمک آن درخواست های ورودی به DHCP که بر مبنای MAC آدرس می باشند را فیلتر نمائید. این DLL را DHCP Server Callout DLL نامیده اند. توجه داشته باشید که MAC آدرس یا همان Media Access Control یک مشخصه یکتا برای هر کارت شبکه می باشد و مثلا به شکل 02-00-54-55-4E-01 بیان می شود که اعداد در مبنای هگزا دسیمال می باشند.

مکانیزم عملکرد: هنگامی که کامپیوتر برای اتصال به شبکه تلاش می کند در ابتدا سعی می کند تا یک IP آدرس از هر DHCP فعال دریافت نماید. سپس DHCP Server Callout DLL نصب شده بر روی سرور چک می کند که آیا MAC آدرس این Device در لیست MAC آدرس های کامپیوتر های شبکه که توسط مدیر شبکه ایجاد شد است قرار دارد یا خیر. اگر در این لیست موجود بود که IP آدرس خود را دریافت می کند و در غیره این صورت در خواست آن توسط سرور نادیده گرفته می شود. فیلترینگ مبتنی بر MAC آدرس به مدیران شبکه این امکان را می دهد تا اطمینان حاصل کنند که فقط سیستم های مجاز قادر به دریافت IP و اتصال به شبکه هستند. این DLL به مدیران کمک می کند تا سطح امنیتی شبکه خود را ارتقا دهند.

حل مشکل با استفاده از DHCP Server Callout DLL: DHCP Server Callout DLL به مدیران شبکه به یکی از دو روش زیر کمک خواهد کرد:

• دادن اجازه به مجموعه خاصی از MAC آدرس های مجاز جهت دریافت IP از DHCP. این لیست را می توان به راحتی توسط یک سند در کامپیوتر سرور و یا کلاینت یا با استفاده از یک نرم افزار خوب monitoring مانند SMS 2003 و یا از طریق scriptهای WMI-based ایجاد کرد. (Allow) • ندادن اجازه دریافت IP به مجموعه کامپیوترهایی که از DHCP تقاضای IP می کنند. (Deny) توجه داشته باشید که متاسفانه در حال حاضر DHCP Server Callout DLL در یک زمان فقط یکی از دو حالت Allow و یا Deny را می تواند انجام دهد.

پس از نصب برنامه دو فایل MacFilterCallout.dll و SetupDHCPMacFilter.rtf به مسیر %SystemRoot%\system32 از سرور شما منتقل می شود. برای سیستم های 64 بیتی فایل ها به مسیر %SystemRoot%\SysWOW64 انتقال می یابند. فایل SetupDHCPMacFilter.rtf راهنما می باشد که مطالعه آن توصیه می شود.

MacFilterCallout از اینجا قابل دانلود است.