Trabalho sobre DHCP - Especialização em redes PUC RJ
-
Upload
rodrigo-azevedo -
Category
Technology
-
view
184 -
download
2
Transcript of Trabalho sobre DHCP - Especialização em redes PUC RJ
Especialização em Redes de Computadores
Professor Anderson Silva
TCPIP 2
Dynamic Host Configuration Protocol
Rodrigo Moreira de Azevedo
Introdução
• O objetivo é entregar endereço e parâmetros da rede dinamicamente para hosts em uma rede.
• DHCP é baseado no protocolo BOOTP ( Bootstrap Protocol )
• Possui um modelo Cliente/Servidor• Três modelos de entrega de endereço :
- Alocação automática- Alocação dinâmica- Alocação manual
• Suporta ipv4 e ipv6
Principais objetivos
• Clientes não necessitam de nenhum tipo de configuração manual para o protocolo DHCP funcionar.
• O protocolo DHCP não necessita de um servidor em cada sub-rede.
• Precisa interoperar com o protocolo BOOTP conforme descrito pela RFC951 e RFC1542.
Formato da mensagem DHCP
Formato da mensagem DHCP• op – Código da operação
1 – BOOTREQUEST2 – BOOTREPLY
• htype – Hardware address type
• hops – Usado por agentes de relay
• Hlen – Tamanho do endereço de hardware
• xid – ID de transação gerado pelo cliente
• secs – Tempos em segundos usado pelo cliente
• flags – Broadcast flag usado quando software TCP/IP não aceita datagrama unicast de hardware
• ciaddr – Endereço IP do cliente
• yiaddr – Endereço IP oferecido ao cliente
Formato da mensagem DHCP• siaddr – Endereço IP do
servidor DHCP• chaddr – Endereço de
hardware do cliente• sname – Nome do host
servidor DHCP• file – Nome do arquivo de
boot• options – Campo de
parâmetros opcionais
Mensagens DHCP
DHCPDISCOVER• Cliente->Servidor | Usado para descobrir servidores DHCP
DHCPOFFER• Servidor->Cliente | Resposta do DHCPDISCOVER
DHCPREQUEST• Cliente->Servidor | Solicita alguns parâmetros oferecidos pelo servidor
DHCPACK• Servidor->Cliente | Parâmetros solicitados pelo cliente
DHCPNAK• Servidor->Cliente | Enviado quando o endereço IP está incorreto ou o período de lease expirado
DHCPDECLINE• Cliente->Servidor | Informa que o endereço IP já está em uso
DHCPRELEASE• Cliente->Servidor | Cliente libera o endereço IP para uso em outro host
DHCPINFORM• Cliente->Servidor | Solicitação de parâmetros locais quando já possui um endereço configurado
Exemplo – Alocação end. IP
Cliente• DHCPDISCOVER
Servidor• DHCPOFFER
Cliente• DHCPREQUEST
Servidor• DHCPACK
Cliente• DHCPRELEASEServidor
DHCP ipv6
• Pode ser de dois tipos:- Stateless ou Statefull
• DUID (DHCP Unique Identifier)• IAID (Identity Association)• Coexiste com DHCP ipv4• Configura o gateway através de mensagens RA
(Router Advertisements)• Router Advertisements são mensagens ICMPv6
enviadas para o grupo de multicast FF02::1 (tipo broadcast do ipv4)
Problemas de segurança
Protocolo sem autenticação
Quando um host é conectado em um rede que possui um servidor DHCP, não é solicitada qualquer tipo de autenticação para o host ou usuário.
Servidores não autorizados
Se uma pessoa mal intencionada disponibiliza um servidor DHCP, é possível que este dispositivo responda as solicitações do cliente e fornecer informações de configuração. Isso pode ser usado para fazer os clientes inutilizáveis na rede, ou pior, configurá-los para novos abusos mais tarde. Por exemplo, um hacker poderia explorar um servidor DHCP falso para dirigir um cliente DHCP para usar um roteador sob controle do hacker, em vez de o que o cliente deveria usar.
Clientes não autorizados
Um cliente pode ser configurado para que simule um cliente DHCP legítimo e, assim, obter informações de configuração destinados para esse cliente, o que poderia, então, ser usado para comprometer a rede mais tarde. Como alternativa, um cliente mal intencionado pode usar o software para gerar lotes de falsos pedidos de cliente DHCP para usar todos os endereços IP no Pool de um servidor DHCP. Mais simples, isso poderia ser usado por um ladrão para roubar um endereço IP de uma organização para seu próprio uso.
Como detectar ?
• Existem algumas ferramentas que auxiliam na detecção de servidores DHCP em operação na rede.
• dhcploc.exe – Disponível no Windows Support ToolsExemplo:- dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList]
• dhcp_probe – Disponível no site http://www.net.princeton.edu/software/dhcp_probe/Exemplo:- /usr/local/sbin/dhcp_probe -f -d 11 hme0
DHCP Snooping
• Implementado na camada 2 de rede
• Configurado diretamente no Switch, quando o mesmo suporta essa funcionalidade
• Conceito de porta confiável e não confiável
• Exemplo de configuração:
# Cat4(config)#ip dhcp snooping# Cat2(config)#ip dhcp snooping vlan 10# Cat2(config)#int fa0/23# Cat2(config-if)#ip dhcp snooping trust
Microsoft NAP• Microsoft DHCP Server com Network
Access Protection
• Disponível a partir do Windows 2008 Standart
• O NAP é habilitado no servidor DHCP.
• Permite implementar políticas de segurança de acesso a rede
Sugestões
• Implementar switches no lugar dos hubs e garantir que os switches evitem falsificação de endereço MAC. Muitos dos possíveis ataques DHCP dependem ou são facilitados por meio de técnicas de spoofing MAC.
• Utilizar técnicas de detecção de ativos para identificar potenciais servidores hostis de DNS. O IDS Snort, por exemplo, tem um plug-in disponível para esta finalidade.
• Bloquear o protocolo DHCP (portas UDP 67 e 68) no firewall separando a rede local da internet.
• Considere o uso de uma lista de endereços MAC no servidor DHCP.
Sugestões
• Desinstale ou desabilite quaisquer agentes de relay DHCP/BOOTP no firewall e sobre quaisquer roteadores onde não é necessário.
• Atribuir endereços IP fixos para servidores da rede DMZ, servidores internos críticos e clientes de Internet críticos. O serviço de cliente DHCP também deve ser desativado nessas máquinas.
• Usar um servidor membro que não é um controlador de domínio para o seu servidor DHCP.
• Permitir somente atualizações dinâmicas “SEGURAS” de hosts no servidor DNS
Sugestões
• Verifique regulamente os logs e audite este periodicamente. Em ambiente Windows este log pode ser localizado na pasta “%SystemRoot%\system32\DHCP directory”.
• Se possível, utilize autenticação de um servidor RADIUS ao invés de senha compartilhada em redes IEEE 802.11x. ( WPA2-Enterprise ao invés de WPA2-Personal.