Ut02 asignacion dinamica_de_direcciones_dhcp
-
Upload
carlos-tessier -
Category
Education
-
view
2.421 -
download
1
Transcript of Ut02 asignacion dinamica_de_direcciones_dhcp
UT02: Asignación dinámica de direcciones DHCP
Contenidos
• Introducción• Direcciones APIPA• Tipos de Asignación• Funcionamiento de DHCP• Alquiler (lease)• Clientes DHCP• Servidores DHCP• Agentes de Retransmisión DHCP • DHCP Failover Protocol• Seguridad
Introducción al protocolo Dynamic Host Configuration Protocol
• El protocolo DHCP permite a los nodos de una red TCP/IP obtener sus parámetros de configuración de red automáticamenteo Dirección IP, Máscara, Tiempo de concesión y renovacióno Opcionalmente, Puerta de enlace, Servidores DNS, Nombre
del dominio DNS• Es un protocolo Cliente/Servidor definido en el RFC 2131• Usa UDP
o Puertos 67 (servidor) y 68 (cliente)• El servidor lleva cuenta de:
o Quién está en posesión de una IPo Cuánto tiempo la puede mantenero A quién se la ha asignado después
Ventajas e Inconvenientes del uso de DHCP• Ventajas
o El servidor suministra automáticamente la información de configuración disminuyendo el trabajo del administrador
o Los nuevos equipos se pueden conectar a la red sin intervención del administrador
o Permite reestructurar la red y añadir o modificar servicios de red sin tener que acceder a los equipos, la configuración se mandará a los equipos de la red
o Los equipos pueden cambiar de ubicación y conectarse a a la red automáticamente
• Desventajaso No es recomendable utilizar DHCP para configurar servidores de
servicios de red. Para evitar que un fallo del servidor DHCP pare el resto de servicios de la red
Direcciones APIPA
• Si un cliente DHCP no es capaz de encontrar un servidor DHCP que le otorgue una configuración de red, tiene un último recurso: el protocolo APIPA (automatic private Internet protocol addressing), descrito en el RFC 3927
• Sólo permite autoconfigurar la propia IP y la máscara en el rango 169.254.0.1-169.254.255.254 (clase B)
• Lo hace a base de acuerdos (broadcast) con los hosts de su segmento
• En cualquier caso, seguirá intentando cada 5 minutos contactar con un servidor DHCP
• En Windows es automático, en Línux hay que instalar el paquete AVAHI
Actividad 2.1 Comprobación del funcionamiento de APIPA y Avahi
• Configurar la red de las máquinas ubuntuXX y wxpXX para obtener una dirección IP automáticamente
1. Iniciar sesión en ubuntuXX con un usuario con privilegios de administrador. configurar la red para obtener una dirección IP de forma automática
– Iniciar sesión en wxpXX y configura las propiedades del protocolo TCP/IP para obtener una dirección IP y un servidor DNS automáticamente
– Reiniciar la interfaz de ambos equipos– Comprobar que APIPA en Windows y Avahi en Linux
permite a comunicar ambos equipos
Tipos de Asignación
• Según el tiempo de asignacióno Ilimitada:
La IP permanece en posesión del cliente hasta que la rechaceo Limitada
Se oferta una IP con tiempo de caducidad. El cliente deberá renovar su suscripción cada cierto tiempo, queda a la discreción del servidor las condiciones de la reválida
• Según la asignación de IPo Estática
Se asocia una IP a una MAC address en concreto, siendo la NIC que la tenga, la única candidata posible a adquirirla. La asignación, en este caso, será siempre ilimitada
o Dinámica Se asocia la primera IP libre de los rangos definidos en el DHCP No se puede prever la IP que va a ofrecer el servidor al cliente
Ámbito
• Es un agrupamiento administrativo de equipos o clientes de una red que utilizan el servicio DHCP
• Dentro del ámbito se reserva un rango de direcciones IP para otorgar a los clientes de dicho ámbitoo Ejemplo para la subred 10.33.1.0/24
subnet 10.33.1.0 netmask 255.255.255.0 {}• Lo normal es que el administrador de red cree un ámbito
para cada subred y defina:o un rango de direcciones IP para otorgaro una máscara de subredo un tiempo de concesióno puerta de enlaceo servidores DNSo y muchos más...
Rango
• Es posible definir un rango como un intervalo consecutivo de direcciones IP válidas y disponibles para ser concedidas o asignadas a equipos clientes de DHCP de una redo Ej. de 192.168.1.10 a 192.168.1.50 seríaRange 192.168.1.10 192.168.1.50
• En un servidor DHCP se pueden configurar tantos ámbitos y rangos como sea necesario para el entorno de red
Exclusiones
• Es un conjunto de direcciones que pueden ser excluidas de un rango para no asignarlas a clientes DHCP
• Normalmente se excluyen del rango a direcciones IP que correspondan a equipos que necesitan una dirección IP fija y se configuran manualmente
• Ejemplos:o Servidoreso routerso Firewalls
Reservas
• Se asigna una dirección IP fija a un equipo• Se utiliza para servidores o PCs concretos la misma
dirección siempre• Es necesario apuntar la dirección física o MAC que
identifica al servidor o PCo Ej. Para excluir la dirección 192.168.0.1hardware ethernet 00:10:83:41:5e:d7; fixed-address 192.168.0.1;
• No es recomendable utilizarlo en servidores pues en caso de fallo del servidor DHCP, podrían fallar los servicios de red
Tiempo de concesión (lease time)
• Es el plazo del contrato o concesión en que un cliente DHCP mantiene la configuración que le otorgó el servidor
• Cada vez que el cliente arranca, pasa cierto tiempo o se alcanza el límite de concesión, el cliente tiene que solicitar su renovación
• El servidor puede renovar la información, asignar una nueva o extender el plazo de concesión de la configuración
• En una red con gran número de IP disponibles y donde la configuración no suele cambiar podría configurarse un tiempo de concesión de varios meses
• En una red con número limitado de IPs y conde cambia frecuentemente la configuración se podría reducir el tiempo a pocos días o incluso horas
Funcionamiento del protocolo
• DHCP DISCOVER (cliente) ¿Camarero? 0.0.0.0 (68)→255.255.255.255 (67)• DHCP OFFER (servidor)
(Se acerca uno de los camareros) Buenos días, ¿qué le parece la IP del día?• DHCP REQUEST (cliente)
MMMhh tiene buena pinta, de acuerdo, puede llevarse el la carta.• DHCP ACKnowledge (servidor)
Oído cocina. ¡marchando una IP con patatas!
Otros Mensajes DHCP
• Clienteo DHCP DECLINE
Ya estoy atendido. La IP está en uso
o DHCP RELEASE Ya he terminado de
comer la IP.o DHCP INFORM
¿Cuales son los ingredientes de mi plato?
• Servidoro DHCP NAK
Si quieres más tienes que pagar (ej.contrato finalizado)
Mensajes DHCP
Funcionamiento del alquiler (lease) de la configuración IP
• Una vez aceptada la oferta, el cliente vincula su MAC address con la IP ofertada (tabla de ARP), y comienza a contar el tiempo de “lease”
• Al pasar el 50% del tiempo de alquiler el cliente manda un DHCP REQUEST, para revalidar su concesión que el servidor normalmente concederá de nuevo
• Si el cliente no puede contactar con el servidor DHCP que le hizo el préstamo al pasar el 87.5% del tiempo de alquiler, el cliente intenta renovar su IP con otro DHCP
• Si pasado el tiempo de alquiler no ha recibido respuesta, tendrá que realizar una nueva petición de IP
• El cliente puede renunciar a su préstamo enviando un mensaje DHCP RELEASE, quedando su IP a disposición de otro cliente
Configuración de Clientes
Configuración Cliente
• Modo comandos: netsh interface ip set address "Local Area Connection" dhcp
Configuración manual en cliente Windows• No se pueden realizar todas las configuraciones del cliente
manualmente.• El comando ipconfig, permite realizar un algunas
operaciones útiles:o ipconfig /release: renunciar voluntariamente a la
configuración ofrecida por el servidor DHCP (manda un mensaje DHCP RELEASE al servidor)
o ipconfig /renew: renueva el alquiler de la configuración actual ofrecida por el servidor DHCP, es decir, resetear todos sus temporizadores (manda un mensaje DHCP RENEW al servidor). Es útil para forzar manualmente la activación de la IP cedida,
en el caso de que el servidor DHCP haya estado fuera de línea temporalmente.
o ipconfig /all: Muestra toda la configuración IP, incluyendo la dirección IP del servidor DHCP y la MAC address del interfaz
Configuración cliente UNIX
Configuración manual en cliente UNIX
• Suponiendo que la tarjeta de red que ha de funcionar con DHCP, se identifica como eth0
• Editar el fichero /etc/network (interfaces) como usuario root• Añadir las siguientes líneas:
auto eth0 iface eth0 inet dhcp iface lo inet loopback• Guardar el fichero y rearrancar los servicios de red con el
comando: /etc/init.d/networking restart
Configuración bajo nivel en UNIX
• Usando la orden IP podemos configurarlo también de esta manera (como usuario root):
#ip link set dev eth0 down #ip link set dev eth0 dynamic on #ip link set dev eth0 up• Para comprobar la configuración ejecutamos lo
siguiente: #ip addr show dev eth0 #ip route show
El comando dhclient
• Si está instalado el paquete “dhcp client”, se puede realizar una renovación de la concesión con el comando dhclient
• Por ejemplo, dhclient eth0 Internet Systems Consortium DHCP Client V3.0.3
Copyright 2004-2005 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/products/DHCP
Listening on LPF/eth1/00:c0:26:27:0b:d8 Sending on LPF/eth1/00:c0:26:27:0b:d8 Sending on Socket/fallback DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 6 DHCPOFFER from 192.168.100.1 DHCPREQUEST on eth1 to 255.255.255.255 port 67 DHCPACK from 192.168.100.1 bound to 192.168.100.101 -- renewal in 36616 seconds.
Arranque/Parada de la tarjeta de red
• Otra forma de renovar las concesiones ofertadas por el servidor DHCP es rearrancando los servicios de red de una tarjeta de red determinada (p.ej. eth0)o ARRANQUE: ifup eth0o PARADA: ifdown eth0
• Al pararse se alcanza el estado “INIT-REBOOT”, y al arrancar de nuevo se fuerza una renovación “DHCP REQUEST”
El fichero dhclient.leases
• Sirve para consultar la configuración actual IP (similar a ipconfig)
cat /var/lib/dhcp/dhclient.leases lease { interface "eth0"; fixed-address 192.168.100.100; option subnet-mask 255.255.255.0; option dhcp-lease-time 86400; option routers 192.168.100.1; option dhcp-message-type 5; option dhcp-server-identifier 192.168.100.1; option domain-name-servers 62.81.16.132,62.81.0.36; renew 2 2005/12/20 19:43:32; rebind 3 2005/12/21 06:47:17; expire 3 2005/12/21 09:47:17; }
Configuración manual IP en UNIX
• Para poner una IP estática, se procede igualmente en el fichero /etc/network/interfaces añadiendo líneas (o sustituyéndolas, en el caso de que ya esté la interfaz funcionando con DHCP), de la siguiente manera:
auto eth0 iface eth0 inet static address 192.168.1.40 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1
Servidores DHCP
Servidores DHCP
• Permiten asignar la configuración de red al resto de máquinas conectadas en la red cuando arrancan o inician sus interfaces de red
• Para realizar esta tarea escuchan las peticiones del puerto 67/UDP
• Ejemplos de servidores DHCPo ISC DHCP para Linux/Unixo Servidor DHCP de Microsoft (2003 Server/2008 Server)o Servidores DHCP integrados en routers
Varios servidores independientes DHCP• En una misma red pueden existir varios servidores DHCP• Los servidores DHCP no se comunican entre ellos para
concoer que direcciones IP asigna cada uno• El administrador debe asegurarse que sean independientes
y consistentes, asignando rangos de ip que no tengan direcciones comunes
• El cliente utilizará la primera configuración que reciba y enviará a todos los servidores DHCP el mensaje DHCPPREQUEST
• El servidor elegido realizará la concesión y el resto liberará las IP propuestas
Agentes de transmisión DHCP (relay agent)• Es un equipo o enrutador configurado para escuchar
difusiones DHCP procedentes de clientes que retransmite a los servidores DHCP de otras redes, que de otra forma no llegarían
• Existen dos tipos de agentes de retransmisión DHCPo Integrados en routerso Funcionan en servidores
• Lo más conveniente es utilizar routers que tengan integrado un agente de retransmisión DHCP para no necesitar un servidor por cada subred
Funcionamiento de los agentes de transmisión DHCP 1. El cliente DHCP difunde un paquete DHCPDISCOVER2. El relay agent de la subred del cliente reenvía el mensaje
DHCPDISCOVER al servidor DHCP mediante unidifusión3. El servidor DHCP emplea la unidifusión para enviar un
mensaje DHCPOFFER al relay agent4. El relay agent difunde el paquete DHCPOFFER a la subred
del cliente DHCP5. El cliente DHCP difunde un paquete DHCPREQUEST6. El relay agent reenvía el mensaje DHCPREQUEST al al
servidor DHCP mediante unidifusión 7. El servidor DHCP emplea la unidifusión para enviar un
mensaje DHCPACK al relay agent8. El relay agent difunde el paquete DHCPACK a la subred del
cliente DHCP
DHCP Failover Protocol
• Si existen dos servidores DHCP que coexisten en la misma red, una solución para evitar dar la misma IP es que trabajen con distintos rangos de direcciones.
• Si ambos servidores quieren trabajar con el mismo rango de direcciones, es necesario que puedan sincronizar sus bases de datos de concesiones
• El protocolo DHCP Failover Protocol permite esta intercomunicación entre dos servidores DHCP que dan servicio en la misma red
• Fue desarrollado por el grupo Internet Engineering Task Force (IETF), una entidad abierta de normalización que tiene como objetivo garantizar el funcionamiento de la arquitectura y protocolos de Internet
DHCP Failover Protocol en Windows Server 2008 R2• Un servidor se configura como primario y otro como
secundario que recibe solo concesiones.• En caso de fallar el primero, funcionará el segundo
• Este protocolo también se puede utilizar para hacer un balanceo de carga
• El trabajo se reparte entre los servidores primario y secundario, donde ambos contestarían a las peticiones de los clientes.
Seguridad
• El protocolo DHCP no incluye ningún mecanismo de autentificación, lo que produce que sea vulnerable a ataqueso Suplantación del servidor DHCP (DHCP spoofing)o Denegación de servicio. Agotar el rango de direcciones
cambiando la dirección MAC para evitar que se pueda obtener una configuración de red
o Hombre de en medio. Un cliente no autorizado puede responder a un cliente que busca un servidor DHCP y darle una IP válida pero su IP como puerta de enlace. El cliente reenvia después de procesarlos al router
o Clientes no autorizados podrían acceder a los recursos configurando manualmente su interfaz
o Clientes no autorizados podrían realizar ataques para intentar congestionar el servidor DHCP
Seguridad (2)
• En las redes de área local se pueden configurar los switches para protegerse de estos ataques mediante DHCP spooning
• Tras activar esta función el switch se declara de confianza el puerto por el que se genera respuestas el servidor DHCP autorizado, siendo el reto puertos no fiables
• Si llegaran mensajes de otros servidores DHCP por cualquier otro puerto estos serían rechados
• Otra medida de seguridad es acceder a los ficheros de logs de los servidores DHCPS para auditar posibles peticiones no autorizadas
BOOTP
• El protocolo constituye un primer intento de configuración automática de la red
• Se basa en un protocolo estáticode configuración utilizando una tabla estática establecida deantemano y donde las asociaciones físicas-direccionesIP se establecen previamente ymanualmente por el administrador
• Apenas se usa al ser las redes cada vez más grandes.• La arquitectura cliente/servidor de DHCP y el formato de
mensajes están basados en BOOTP
DHCP a bajo nivel
Formato de los datagramas IP
DHCPOFFER
• El servidor otorga la IP a ofertar:o De entre las que tenga libres en los rangos
definidos para la subred por donde se está obteniendo la petición
o Encontrando la IP asociada a una determinada MAC address, al compararla con la MAC address del cliente (registro CHADDR)
• El servidor especifica la dirección IP ofertada en el registro YIADDRo C0.A8.01.64o 192.168.1.100
DHCPREQUEST
• El cliente hace PING y si la dirección ofertada no está activa, manda un paquete de vuelta al servidor aceptando su oferta, detallada en los campos DHCP options
• El servidor que hizo la oferta siempre sabe qué transacción está procesando, mediante el campo XID
• Todos los DHCP cuya IP no coincide con la IP del servidor DHCP que le ha hecho la oferta (opción 54 de la sección de opciones), vuelven a su estado inicial (antes de haber recibido la petición DISCOVER del cliente)
DHCPDISCOVER
• Resumen de campos más significativos:o OP: Código de operacióno XID: Identificador de la transacción.o CIADDR: IP del clienteo YIADDR: Tu IPo SIADDR: IP del servidoro GIADDR: IP del Gatewayo CHADDR: Direcciones MAC del cliente
• El cliente envía un paquete DHCPDISCOVER.• Las direcciones IP y puertos origen y destino de
dicho paquete serán 0.0.0.0 (68) y 255.255.255.255 (67) respectivamente.
• XID, le servirá al servidor en todo el ciclo de vida del protocolo, para seguirle la pista a esta petición
• El servidor almacena los campos del paquete CHADDR (dirección Ethernet origen, MAC) y el de identificación del cliente
Configuración servidor DHCP (Ubuntu)
Instalación y arranque
• Descargar e instalar el paquete “dhcp3-server”o Utilizando el gestor de paquetes Synaptico Desde el terminal sudo apt-get install dhcp3-server
• Comandos de arranque / parada (init.d)o Arranque: /etc/init.d/dhcp3-server starto Parada: /etc/init.d/dhcp3-server stopo Re-arranque: /etc/init.d/dhcp3-server restart
Configuración de las interfaces de red
• La configuración del servidor se realiza prácticamente entera editando el fichero /etc/dhcp3/dhcpd.conf
• Para empezar debemos indicarle al servidor DHCP por cuál de sus interfaces de red (eth0, eth1, eth2, eth3, …) ha de ofertar sus servicios (podría darlos por varias).
• Para ello, habrá que:• Editar el fichero /etc/default/dhcp3-server• Buscar una línea que dice INTERFACES=“”• Incluir dentro de las comillas la interfaz por la que debe dar
servicio.o Por ejemplo:INTERFACES=“eth0”
Fichero dhcpd.conf
• Hay 3 tipos de secciones (zonas) donde indicar los distintos parámetros que se describirán en las siguientes diapositivas:o Sección global: al principio del fichero y fuera de
cualquier otra sección. Afectan a cualquier sección que no los contradigan
o Sección “subnet”: los parámetros que siguen (entre llaves) afectan a los nodos de la subred que define
o Sección “host”: los parámetros que siguen (entre llaves) afectan a un host en concreto, definido por su MAC address
o Sección “group”: los parámetros que siguen (entre llaves) afectan a los host, subnets u otros grupos definidos dentro de él
Parámetros (dhcpd.conf)
• authoritative: Indica que este servidor está autorizado para otorgar configuraciones IP en este segmento de red
• server-identifier: se indica la IP de la NIC por la que debe dar servicio (en el caso de que haya varias). Si hay sólo una, puede ser el nombre de host del servidor DHCP
• one-lease-per-client: sólo asigna una IP por cada MAC si está a on, y potencialmente varias, si está a off
• default-lease-time: tiempo de alquiler para las IP del ámbito en el que esté definido
• max-lease-time: tiempo máximo de préstamo para el ámbito en el que esté definido.
• range: rango de IPs (separados por un espacio, ambas IPs del extremo incluidas) que se ofertarán y a los que aplican los parámetros option que se definan a continuación, entre llaves
Parámetros Option (dhcpd.conf)
• option subnet-mask: Máscara de subred• option routers: IP de la puerta de enlace (gateway) por
defecto• option broadcast-address: Dirección de broadcast• option domain-name-servers: IPs de los DNS (separadas
por un espacio)• option domain-names: sufijos DNS (separados por un
espacio)
Parámetros para asignación estática de la configuración (dhcpd.conf)
• option host-name “nombre_de_host_a_otorgar”• hardware ethernet <MAC_address_en_formato_XX:XX:XX:XX:XX:XX>
• fixed-address <IP_a_otorgar_en_formato_X.Y.Z.Q>
Ejemplo de dhcpd.conf
authoritative;one-lease-per-client off;server-identifier estedhcp.midom.com;default-lease-time 604800;max-lease-time 1604800;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option routers 192.168.1.1;option domain-name-servers 192.168.1.10;option domain-name “midom.com” “otrodom.com”;
subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.7 192.168.1.9; range 192.168.1.30 192.168.1.200;
host servidorweb { hardware ethernet 00:10:c4:c5:5a; fixed-address 192.168.1.100; }}
Lista de concesiones
• Para ver el listado de las concesiones que ha ido realizando el servidor DHCP a los distintos clientes basta con echar un vistazo al fichero dhcpd.leaseso cat /var/lib/dhcp3/dhcpd.leases
• ¡¡Atención!! El contenido de este fichero es informativo y no debería ser modificado. Sólo el demonio DHCP debe hacerlo
• Su aspecto es el siguiente: lease 192.168.1.10 { starts 6 2006/04/01 13:36:52; ends 6 2006/04/01 13:46:52; binding state active; next binding state free; hardware ethernet 00:10:60:ba:05:bf; } ... ...
Configuración servidor DHCP (Windows 2008)
Instalación del servidor
• Ir a Inicio—>Herramientas Administrativas—>Administrador del servidor
• Pulsar con el botón derecho en el Administrador del servidor y seleccionarAgregar funciones
Servidor DHCP
• Seleccionar la función servidor DHCP y pulsar siguiente. Lee la información que ofrece sobre DHCP y haz clic en siguiente
Seleccionar enlaces de conexión de red
• Selecciona la dirección IP que se utilizará para dar servicio a los clientes
Configuración DNS IPv4
• Configuramos el Dominio primario y los DNS primario y secundario
Configuración WINS IPv4
• Es un servidor de nombres de para NETBIOS• mantiene una tabla con la correspondencia entre
direcciones IP y nombres NetBIOS de ordenadores• Esta lista permite localizar rápidamente a otro ordenador
de la red• De esta forma se simplifican las búsquedas reduciendose el
tráfico de la red• Está cayendo de desuso y solo se mantiene para versiones
anteriores a 2000• En las versiones posteriores a 2000 ha sido sustituido por
DNS y Active Directory
Ámbitos DHCP
• Indicaremos el intervalo de direcciones a asignar, la máscara de subred, la puerta de enlace y el tipo de subred