DHCP - referat - Stopień: 5 PDF

Preview

Summary

Referat o DHCP...

Description

Dynamic Host Configuration Protocol (DHCP) przygotował: Jakub Prądzyński 1. Co to jest DHCP i do czego służy?

2

2. Jak działa DHCP?

2

3. Historia / co zamiast DHCP?

3

4. Odpowiedniki dla IPv6.

4

5. Wady i zalety DHCP.

4

6. Jak zainstalować serwer DHCP?

4

7. Jak wygląda plik konfiguracyjny?

5

8. Przykładowy plik konfiguracyjny.

6

9. Logi serwera DHCP.

7

10. Metody ataków związanych z usługą DHCP.

7

11. UWAGA! Nie należy uruchamiać serwera DHCP na komputerze podłączonym do sieci wydziałowej!

7

11. Lista materiałów źródłowych.

8

1. Co to jest DHCP i do czego służy? Problem jaki pojawia się podczas podłączania nowego komputera do sieci lokalnej to jego konfiguracja, a mianowicie z jakiego adresu IP powinien korzystać.

DHCP to protokół warstwy aplikacji, zarówno w modelu OSI jak i TCP/IP, służący do dynamicznej konfiguracji hostów w sieci. Protokół ten oparty jest na modelu klient-serwer, co oznacza, że w sieci musi być działający serwer DHCP. Korzysta on z protokołu UDP na poziomie warstwy transportowej modelu OSI, a przeznaczone dla niego porty to: 67 dla serwera oraz 68 dla klienta. Pozwala on na: ● alokację ręczną - administrator ustala adres IP dla klienta, który zostaje przekazany przez protokół DHCP; ● alokację automatyczną - DHCP automatycznie ustala hostowi stały adres IP; ● alokację dynamiczną - protokół DHCP wydzierżawia klientowi adres IP na pewien, określony okres czasu. Dzięki niemu oprócz adresu IP możemy przesyłać dane dodatkowe jak: adres serwera DNS, adres bramy domyślnej czy maskę podsieci. Korzystanie z protokołu UDP zamiast TCP spowodowane jest ich własnościami. Protokół TCP jest protokołem połączeniowym, a więc aby klient DHCP mógł połączyć się z serwerem musiałby stworzyć z nim połączenie, co nie jest możliwe przed konfiguracją, dlatego zastosowano bezpołączeniowy protokół UDP. Protokół DHCP został zdefiniowany w publikacji RFC 2131 w 1997 roku.

2. Jak działa DHCP? Konfiguracja nowego klienta składa się z kilku etapów. Po podłączeniu hosta do sieci rozpoczyna się faza inicjacji. Klient wysyła na adres rozgłoszeniowy komunikat poszukiwania serwera DHCP (DHCPDISCOVER). Jeżeli w podsieci nie ma serwera DHCP, należy zapewnić przesłanie tego komunikatu dalej przez router. Serwery, który otrzymują komunikat DHCPDISCOVER i mogą przydzielić adres IP odsyłają klientowi komunikat DHCPOFFER. Zawarte są w nim adres IP wraz z danymi konfiguracyjnymi. Klient wybiera jedną z otrzymanych ofert i wysyła do serwera komunikat żądania przydzielenia mu otrzymanych danych konfiguracyjnych w komunikacie DHCPREQUEST. Następnie serwer może klientowi odesłać komunikat DHCPACK (w przypadku przydzielenia adresu IP) lub DHCPNACK (w przypadku odmowy). Jeżeli serwer odmówił klientowi przypisania adresu IP, klient wraca do etapu początkowego. Klient otrzymuje od serwera DHCP czas dzierżawy danego adresu IP. Jeżeli chce zwolnić go wcześniej wysyła do serwera komunikat DHCPRELEASE. Kiedy czas dzierżawy kończy się, klient wysyła ponownie do serwera komunikat DHCPREQUEST w celu przedłużenia dzierżawy.

https://tecadmin.net/wp-content/uploads/2013/03/dhcp.png

3. Historia / co zamiast DHCP? Problem konfiguracji hosta w sieci pojawił się wraz z pojawieniem sieci. Początkowo najprostszym rozwiązaniem była manualna konfiguracja. Polega on na ręcznym przydzielaniu stałego adresu konkretnemu interfejsowi. Wymaga to pracy zarówno od administratora sieci komputerowej (przydzielenie adresu IP) oraz użytkownika danego komputera (przypisanie adresu do interfejsu), co wymusza konieczność komunikacji wśród administratorów i użytkowników sieci oraz przestrzegania zasad przydzielania poprawnych adresów IP. W celu ułatwienia tego procesu w 1984r. powstał protokół RARP (Reverse Address Resolution Protocol) zdefiniowany w publikacji RFC 903. Zamienia on adresy MAC na adres IP. Działanie opiera się na tym, że host, który podłącza się do sieci lokalnej wysyła na adres rozgłoszeniowy zapytanie do kogo należy dany adres MAC (np. jego). Serwer, na którym działa demon RARP, sprawdza w pliku zawierającym mapowania adresów MAC na adresy IP czy posiada dany adres sprzętowy. Jeżeli tak, zwraca przypisany adres sieciowy. Minusem tego protokołu są dwie rzeczy: pozwala on zwrócić tylko adres IPv4 (bez dodatkowych danych) oraz wymaga serwera, na którym zostaną ręcznie zapisane mapowania. Jako następnikiem był protokół BOOTP (Bootstrap Protocol - RFC 951 - 1985r.). Zasada działania jest podobna do protokołu DHCP. Pozwala on wysyłać więcej danych niż tylko adres IP, ale nie jest przystosowany do w pełni dynamicznej konfiguracji hostów, gdyż wymaga profilu bootp dla każdego z nich.

4. Odpowiedniki dla IPv6. W 2003 roku w publikacji RFC 3315 został przedstawiony protokół DHCPv6, który działa na

podobnej zasadzie jak ten dla IPv4 i pozwala na konfigurację hosta dla IPv6. Jest stanowym odpowiednikiem dla protokołu SLAAC. SLAAC (IPv6 Stateless Address Autoconfiguration) polega na tym, że host podłączony do sieci otrzymuje od routera prefiks, z którego będzie składał się jego adres IPv6. Druga część będzie składała się z jego adresu MAC z wykorzystaniem formatu EUI-64. Format ten dzieli adres MAC na dwie połowy po 8 znaków heksadecymalnych, w środku umieszcza FFFE i neguje 7 bit pierwszej połowy adresu MAC.

5. Wady i zalety DHCP. Największą zaletą przydzielania adresów przez usługi jest możliwość ograniczenia pracy ludzkiej do minimum. Większość konfiguracji jest przydzielana automatycznie. Dzięki temu błędy administratorów, przy przydzielaniu adresów IP wielu klientom podsieci, są ograniczone. Do plusów można wziąć pod uwagę centralizację serwera - wszystko jest konfigurowane w jednym miejscu. Możliwość przekazywania komunikatów DHCP wśród podsieci sprawia, że nie trzeba mieć serwera w każdej z nich. Przydzielanie adresów przez usługi sieciowe jest bardzo wydaje w sieciach, z których korzysta wiele przenośnych urządzeń. Minusem jest to, że działanie całej sieci jest uzależnione od DHCP. Jeżeli istnieje tylko jeden serwer DHCP, jego awaria powoduje przestój całej sieci. Dodatkowo można łatwo “podszyć się” pod taki serwer. Kiedy nowy host pojawia się w sieci odpytuje on wszystkie serwery o możliwość przyznania adresu. Może wtedy wybrać nieodpowiedni serwer. Problem pojawia się również kiedy chcemy prześledzić adres IP, tzn. kiedy adres IP się stale zmienia, niemożliwe jest sprawdzenie do kogo należał dany adres w konkretnym momencie bez zapisywania takich danych. Przy konfiguracji stałych adresów IP w DHCP należy pamiętać o odpowiednim rozdzieleniu puli adresowej na dostępne do alokacji dynamicznej i manualnej.

6. Jak zainstalować serwer DHCP? Aby zainstalować serwer DHCP na komputerze z systemem Fedora należy wykonać poniższe komendy:

$ $ $ $ $

sudo sudo sudo sudo sudo

dnf install -y dhcp firewall-cmd --add-service=dhcp --permanent firewall-cmd --reload systemctl enable dhcpd systemctl restart dhcpd

Komendy te zainstalują dhcpd czyli DHCP deamon, oraz doda serwis dhcp do firewalla.

7. Jak wygląda plik konfiguracyjny? Ścieżka do pliku konfiguracyjnego serwera DHCP to: /etc/dhcp/dhcpd.conf Plik ten ma ustaloną strukturę: modyfikator zasięgu { [parametry],

[deklaracje] } Dostępne modyfikatory to: global - domyślny o zasięgu globalnym, używany jeśli modyfikator nie został podany subnet "subnet-number" netmask "netmask-number" - dla konkretnej podsieci z podaną maską host - dla pojedynczego hosta group - dla grupy hostów, podsieci, sieci-dzielonych a nawet innych grup shared-network - dla sieci korzystających z tego samego fizycznego segmentu Kilka przydatnych parametrów: option routers – adres bramy domyślnej; option subnet-mask – maska podsieci; option domain-name - nazwa domeny option domain-name-servers – DNS’y option ntp-servers – adres serwera NTP (serwer czasu); option netbios-name-servers – adres serwera WINS; default-lease-time - domyślny czas na jaki IP jest dzierżawiony max-lease time – maksymalny czas na jaki IP jest dzierżawiony; authoritative|not authoritative; - czy oficjalny serwer dla podsieci range [ dynamic-bootp ] low-address [ high-address] - zakresy IP jakie DHCP będzie przydzielać, flaga dynamic-bootp pozwala na przypisywanie adresów dla klientów BOOTP allow|deny unknown-clients - flaga czy zezwalać na przydzielanie adresów IP nieznanym klientom allow|deny bootp - flaga czy zezwalać na przydzielanie adresów IP klientom BOOTP allow|deny booting - flaga w zakresie dla hosta, czy pozwalać na automatyczną konfigurację hosta, domyślnie allow fixed-address address[, address ... ] - przypisanie konkretnego adresu lub adresów hostowi Więcej opcji konfiguracji pod adresem: https://www.isc.org/wpcontent/uploads/2018/10/dhcpd44.html

8. Przykładowy plik konfiguracyjny. # Ustawienia globalne # Ustawienie domeny option domain-name "mat.umk.pl"; # Ustawienie DNS poprzez domenę lub IP option domain-name-servers dns1.mat.umk.pl; # Ustawienie domyślnego czasu dzierżawy default-lease-time 60;

# Ustawienie maksymalnego czasu dzierżawy max-lease-time 120; # Ustawienie serwera DHCP jako oficjalny serwer dla danej sieci lokalnej authoritative; # Ustawienie działania DHCP dla konkretnej podsieci z podaną maską subnet 10.0.0.0 netmask 255.255.255.0 { # Pula adresów IP range dynamic-bootp 10.0.0.200 10.0.0.253; # Adres rozgłoszeniowy option broadcast-address 10.0.0.255; # Bramka domyślna option routers 10.0.0.1; } # Ustawienie działania DHCP dla konkretnego hosta w sieci host drukarka { # Deklaracja adresu MAC hosta hardware ethernet 08:00:07:26:c0:a5; # Ustalenie stałego adresu IP fixed-address 10.0.0.254; }

9. Logi serwera DHCP. Aby zobaczyć logi serwera należy wykonać polecenie: journalctl --unit dhcpd --since -2m --follow Do polecenia warto dołożyć parametry: --since -Xm - gdzie X to czas w minutach jaki chcemy odjąć od godziny teraźniejszej -- follow - śledzenie logów na bieżąco Logi serwera DHCP zawierają dane o komunikatach wysyłanych przez serwer, wraz z datą oraz użytymi adresami IP oraz MAC.

10. Metody ataków związanych z usługą DHCP. Jednym z przykładowych ataków na serwer DHCP jest DHCP spoofing. Polega on na tym, że atakujący podszywa się pod serwer DHCP. Ma on szansę odpowiedzieć szybciej niż prawdziwy serwer DHCP, dlatego że nie musi on sprawdzać czy dany host jest już zapisany. Fałszywy DHCP wysyła własne dane konfiguracyjne - adres IP, adres DNS, adres bramy domyślnej, maskę podsieci. Dzięki temu ma możliwość kontrolowania całego ruchu sieciowego, który został skonfigurowany przez fałszywy serwer DHCP. Obroną przed tym atakiem jest DHCP snooping. Polega on na tym, że ustawiamy wszystkie porty (np. huba) domyślnie jako niezaufane, a tylko porty z których będą korzystać nasze serwery DHCP oznaczamy jako zaufane. To oznacza, że tylko serwer DHCP podłączony pod zaufany port może wysyłać komunikaty DHCP, a te które są wysyłane przez porty niezaufane są ignorowane. Inny atakiem na DHCP jest atak typu DoS (Denial of Service) mający na celu wygłodzenie puli adresowej serwera DHCP. Atakujący stara się ustalić pulę dostępnych adresów i stara się wydzierżawić wszystkie możliwe adresy z tej puli, w tym celu rozsyła komunikaty DHCP Discover w ilości równej rozmiarowi sieci. Ochrona przed tym atakiem polega na ograniczeniu ilość MAC adresów na danym porcie. Dzięki temu ograniczymy atakującemu możliwość wysyłania dużej ilości komunikatów z różnymi adresami MAC.

11. UWAGA! Nie należy uruchamiać serwera DHCP na komputerze podłączonym do sieci wydziałowej! Host, który podłącza się do sieci, najpierw wysyła komunikaty w celu odnalezienia serwera DHCP. W przypadku istnienia w podsieci dwóch serwerów DHCP, to host wybiera z której odpowiedzi skorzysta. Kiedy pojawia się nowy serwer DHCP w sieci, który jest źle skonfigurowany, może przydzielać niepoprawne dane konfiguracyjne, co powoduje niespójność w sieci.

11. Lista materiałów źródłowych. http://wazniak.mimuw.edu.pl/index.php?title=SK_Modu%C5%82_7 https://innasiec.pl/2018/04/14/ipv6/ https://lukasz.bromirski.net/docs/prezos/securecon2007/bezpieczenstwo_sieci.pdf https://www.hiroom2.com/2018/05/17/fedora-28-dhcp-en/ https://www.server-world.info/en/note?os=Fedora_28&p=dhcp&f=1 https://linux.die.net/man/5/dhcpd.conf http://www.qnx.com/developers/docs/6.5.0SP1.update/com.qnx.doc.neutrino_utilities/d/dhcpd.conf. html http://howtonixnux.blogspot.com/2008/01/checking-dhcp-logs.html https://prefetch.net/articles/iscdhcpd.html https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol https://tecadmin.net/what-is-dhcp-server/ https://tools.ietf.org/ https://www.isc.org/wp-content/uploads/2018/10/dhcpd44.html https://www.isc.org/wp-content/uploads/2018/02/dhcp44.html https://docs.fedoraproject.org/en-US/fedora/f28/install-

guide/advanced/Network_based_Installations/#pxe-dhcpd...