 |
 DHCP
DHCP - LeÃrás
A dinamikus állomáskonfiguráló protokoll (angolul Dynamic Host Configuration Protocol, rövidÃtve DHCP) egy számÃtógépes hálózati kommunikációs protokoll.
Az IETF RFC 1541, majd késõbb a 2131 határozza meg.
Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számÃtógépek) automatikusan megkapják a hálózat használatához szükséges beállÃtásokat. Ilyen szokott lenni például az IP-cÃm, hálózati maszk, alapértelmezett átjáró stb.
A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP kérésekbõl, és a szerver által adott DHCP válaszokból áll.
A DHCP-vel dinamikusan oszthatóak ki IP-cÃmek, tehát a hálózatról lecsatlakozó számÃtógépek IP-cÃmeit megkapják a hálózatra felcsatlakozó számÃtógépek, ezért hatékonyabban használhatóak ki a szûkebb cÃmtartományok.
3 féle IP-kiosztás lehetséges DHCP-vel:
- kézi (MAC cÃm alapján)
- automatikus (DHCP-vel kiadható IP - tartomány megadásával)
- dinamikus (IP-tartomány megadásával, de az IP cÃmek "újrahasznosÃtásával")
Biztonság
Amióta a DHCP szerverek IP-cÃmet és csatlakozást biztosÃtanak bárkinek akinek fizikai kapcsolata van a hálózattal, a DHCP megkönnyÃtette a betöréseket. AmÃg a tapasztaltabb támadóknak nem okoz gondot használható IP-cÃm találása és a többi beállÃtást kézzel elvégezni, addig az amatõrök a szolgáltatás erõforrásainak lefoglalásával okoznak gondot.
Védelem nélküli, vezeték nélküli hálózat (WLAN) esetén a DHCP bárkinek hozzáférést biztosÃt a sugárzás hatókörén belül a hálózathoz, beleértve az internet használatot és azokhoz az adatokhoz való hozzáférést is amit mások nem védenek. Vezetékes hálózat (LAN) estén a támadónak fizikai kapcsolatra van szüksége, ahová a betörést nehezebb észrevétlenül kivitelezni.
DHCP és a tûzfal
A tûzfalak általában határozottan korlátozzák a DHCP adatforgalmát. A DHCP client-server specifikációja több különbözõ esetet Ãr le, amikor a csomagoknak a 0x00000000 forrás-cÃmmel vagy a 0xffffffff cél-cÃmmel kell rendelkezniük. Az Anti-spoofing politikát használó tûzfalak gyakran megállÃtják ezeket a csomagokat. A többközpontú DHCP serverek különleges karbantartást és még bonyorultabb kiépÃtést igényelnek.
A DHCP engedélyezéséhez a rendszergazdáknak különbözõ tÃpusú csomagok áthaladását kell engedélyezni a szerver oldali tûzfalon. Minden DHCP csomag UDP datagramként halad tovább; az összes kliens oldali csomag forrása a 68-as és célja a 67-es port; a szerver oldalon ez pont fordÃtva. Például egy szerver oldali tûzfalnak engedélyezni kell a következõ tÃpusú csomagokat:
- Bejövõ csomag a 0.0.0.0 cÃmrõl vagy dhcp-pool-tól a dhcp-ip felé
- Bejövõ csomag bármely cÃmrõl a 255.255.255.255 cÃm felé
- Kimenõ csomag a dhcp-ip-tõl dhcp-pool vagy a 255.255.255.255 cÃm felé
Ahol a dchp-ip jelképezi bármely cÃmet amit a DCHP szerver kiosztothat és a dhcp-pool pedig amiket hozzárendelt kliensekhez.
DHCP - BeállÃtása:
TelepÃtés:
sudo apt-get install dhcp3-server
Most kiválasszuk hogy melyik hálózati kártyára konfiguráljuk:
sudo nano /etc/default/dhcp3-server
Ide Ãrjuk be a hálózati kártyára nevét: (pl.:eth1)
INTERFACES="eth1"
Mentés és bezárás!
Nézzük a dhcpd.conf -ot:
Nyissuk meg
sudo nano /etc/dhcp3/dhcpd.conf
A dhcpd.conf tartalma (Letölthetõ itt):
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 10.100.40.255;
option routers 10.100.40.254;
option domain-name-servers 10.100.40.1, 10.100.40.2;
option domain-name yourdomainname.com;
subnet 10.100.40.0 netmask 255.255.255.0 {
range 10.100.40.10 10.100.40.200; // A kiosztot cimek a 10.100.40.10 és 10.100.40.200 közöt lesznek!
}
Most állÃtsuk be a hálózati kártyát/kártyákat.
sudo nano /etc/network/interfaces
Az interfaces tartalma:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
// DCHP -t kiosztó kártya.
auto eth1
iface eth1 inet static
address 10.100.40.1
network 10.100.40.0
netmask 255.255.255.0
broadcast 10.100.40.255
gateway 10.100.40.1
IndÃtsuk újra a dhcp -ét:
sudo /etc/init.d/dhcp3-server restart |
 |
