Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Tema 2, Servidor DHCP, Apuntes de Informática

Tema 2: Servicio de asignación dinámica de IP. 2.1. Introducción. 2.2. Concepto DHCP. 2.2.1. Funcionamiento DHCP 2.2.2. Protocolo DHCP. 2.2.3. Agente de retransmisión DHCP. 2.2.4. Tipos de asignaciones. 2.2.5. Definiciones: ámbito, rango, exclusiones y reservas. 2.3. Seguridad. 2.4. Configuración de servidor. 2.5. Configuración de cliente. 2.6. Ejercicios.

Tipo: Apuntes

2022/2023

Subido el 22/11/2022

uwu437
uwu437 🇪🇸

5 documentos

1 / 13

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Tema 2: Servicio de asignación dinámica de IP.
2.1. Introducción.
2.2. Concepto DHCP.
2.2.1. Funcionamiento DHCP
2.2.2. Protocolo DHCP.
2.2.3. Agente de retransmisión DHCP.
2.2.4. Tipos de asignaciones.
2.2.5. Definiciones: ámbito, rango, exclusiones y reservas.
2.3. Seguridad.
2.4. Configuración de servidor.
2.5. Configuración de cliente.
2.6. Ejercicios.-an
2.1. Introducción.
Para que una red de transmisión de datos funcione necesita identificar cada uno de los equipos que
la componen y que cada uno tenga instalado la pila de protocolos que permitan dicha comunicación.
La red de Internet y la mayoría de las redes locales utilizan la arquitectura de red: TCP/IP.
Cada equipo conectado a estas redes requiere:
Pila de protocolos TCP/IP instalada.
Los datos de identificación de la estación y permiten su conectividad.
Datos que permiten la conectividad:
Imprescindible 1: Dirección IP.
Imprescindible 2: Máscara de red (Dirección de red y Dirección de difusión.)
Optativa 3: Puerta de enlace.
Optativa 4: DNS.
Esa configuración puede hacerse:
Manual.
Dinámica.
Asignación manual.
La configuración de red (dirección IP, máscara de red, servidores DNS, puerta de enlace,...) se
define manualmente en cada equipo. Responsabilidad del administrador de la red.
Existe la posibilidad de introducir una configuración incorrecta que dé lugar a problemas de
comunicación.
Si un equipo cambia de ubicación y se conecta a una subred diferente, será necesario modificar su
configuración de red. Caso frecuente de equipos portátiles e inalámbricos.
Si nuestra red crece y en un momento dado es necesario reestructurar la misma y modificar la
configuración de red de todos los equipos.
Aumento de carga de trabajo del administrador.
pf3
pf4
pf5
pf8
pf9
pfa
pfd

Vista previa parcial del texto

¡Descarga Tema 2, Servidor DHCP y más Apuntes en PDF de Informática solo en Docsity!

Tema 2: Servicio de asignación dinámica de IP.

2.1. Introducción. 2.2. Concepto DHCP. 2.2.1. Funcionamiento DHCP 2.2.2. Protocolo DHCP. 2.2.3. Agente de retransmisión DHCP. 2.2.4. Tipos de asignaciones. 2.2.5. Definiciones: ámbito, rango, exclusiones y reservas. 2.3. Seguridad. 2.4. Configuración de servidor. 2.5. Configuración de cliente. 2.6. Ejercicios.-an

2.1. Introducción.

Para que una red de transmisión de datos funcione necesita identificar cada uno de los equipos que la componen y que cada uno tenga instalado la pila de protocolos que permitan dicha comunicación. La red de Internet y la mayoría de las redes locales utilizan la arquitectura de red: TCP/IP. Cada equipo conectado a estas redes requiere:  Pila de protocolos TCP/IP instalada.  Los datos de identificación de la estación y permiten su conectividad. Datos que permiten la conectividad:  Imprescindible 1: Dirección IP.  Imprescindible 2: Máscara de red (Dirección de red y Dirección de difusión.)  Optativa 3: Puerta de enlace.  Optativa 4: DNS. Esa configuración puede hacerse:  Manual.  Dinámica. Asignación manual. La configuración de red (dirección IP, máscara de red, servidores DNS, puerta de enlace,...) se define manualmente en cada equipo. Responsabilidad del administrador de la red. Existe la posibilidad de introducir una configuración incorrecta que dé lugar a problemas de comunicación. Si un equipo cambia de ubicación y se conecta a una subred diferente, será necesario modificar su configuración de red. Caso frecuente de equipos portátiles e inalámbricos. Si nuestra red crece y en un momento dado es necesario reestructurar la misma y modificar la configuración de red de todos los equipos. Aumento de carga de trabajo del administrador.

Asignación dinámica. El servidor suministra automáticamente la información de configuración necesaria a los equipos disminuyendo el trabajo a realizar por el administrador. Nuevos equipos se pueden conectar a la red sin necesidad de ninguna intervención por parte del administrador. Garantiza que los equipos en la red emplean la información de configuración de red correcta y permite cambiar la configuración de los equipos de forma centralizada. Permite reestructurar la red y añadir o modificar servicios de red sin tener que acceder a los equipos, simplemente revisando la configuración que se mandará a los equipos de la red. Los equipos pueden cambiar de ubicación y conectarse a otras redes automáticamente.

2.2. Concepto DHCP.

DHCP: Dynamic Host Configuration Protocol. La función principal de DHCP es permitir a los equipos de una red obtener sus parámetros de configuración automáticamente, evitando que el administrador tenga que configurar manualmente los parámetros TCP/IP en cada equipo. Origen: Durante los años 90 como mejora del protocolo BOOTP, usado en Unix para asignar direcciones a ciertos dispositivos conectados en red. En Internet. Para las empresas y organismos que operan en Internet existe una autoridad central que les asigna grupos de direcciones IP. ICANN: Internet Corporation for Assigned Names and Numbers. Asigna rangos de direcciones a los ISPs Los ISP (Internet Service Provider) utilizan DHCP para asignar los datos de configuración de red a sus clientes. Excepto cuando un cliente solicita IP fija, esto le permite a ese cliente ofrecer algún tipo de servicio y que ese servicio sea localizable con facilidad. En Redes Locales. Se suele utilizar para configurar los distintos equipos que se conectan a la red. La asignación dinámica de IPs ofrece:  Flexibilidad: Disponer de más equipos que número de IPs disponibles (siempre que no se conecten simultáneamente).  Comodidad: Facilitan la labor del administrador de la red.  Adaptabilidad: Los usuarios (equipos clientes) pueden cambiar de entorno (de red) sin modificar la configuración de su equipo.  DHCP es abierto. Es independiente del Sistema Operativo que utilizan los equipos. Funcionamiento BOOTP. El protocolo BOOTP ( Bootstrap Protocol) constituye un primer intento de configuración automática de red. Este protocolo de la capa de aplicación funciona sobre UDP (no seguro y sin conexión) y se puede considerar como un antecedente de DHCP. Al igual que este, está basado en el modelo cliente/servidor y sigue este funcionamiento:  Cuando una máquina arranca no conoce su direccionamiento IP ni a qué dirección solicitar dicha información. Envía un mensaje con dirección destino IP difusión (255.255.255.255).  En la red existirá un servidor BOOTP que responde a las peticiones. Este servidor BOOTP mirará en sus tablas para asignar a esa dirección física de red una dirección IP, máscara de subred, dirección del router , etc.

Mejoras implementadas en algún servidor Linux: En el punto 2, antes de que el servidor ofrezca una determinada IP se lanza un mensaje eco ICMP para comprobar que no está ocupada (nadie la ha asignado manualmente). En caso de respuesta marca esa IP en su tabla como abandonada y prueba con otra. Si todas las del rango están ocupadas, vuelve a intentar con las que se marcaron como abandonadas por si alguna está libre. Mensaje eco ICMP (ping): se usa para comprobar si un equipo está conectado a la red y funciona. Internet Control Message Protocol. APIPA / Avahi. En Windows. APIPA (Automatic Private IP Addressing): Cuando no hay respuesta de ningún servidor DHCP el cliente utiliza este algoritmo para asignarse una IP y estará en la red: 169.254.0.0/ En Linux. Avahi similar a APIPA. Ejercicio. Configurar Windows XP y Debian con ip dinámica. Ante la ausencia de un servidor DHCP que les proporcione una configuración IP. Comprueba con los comandos ipconfig e ifconfig la configuración de red de cada equipo y con el comando ping si existe conectividad entre ellos. Tratamiento de los Routers. Filtran los mensajes DHCP. No se puede asignar IP detrás de un router. Si fuera necesario hay que configurar el router para que deje pasar los paquetes de difusión.

2.2.2. Protocolo DHCP.

Datagrama DHCP.

- op: Indica si es solicitud o respuesta.

  • htype: Tipo de hardware. Por ejemplo Ethernet (1) o redes IEEE 802.
  • hlen: Longitud de la dirección hardware.
  • hops: Saltos.
  • xid: Identificador de la transacción para relacionar peticiones y respuestas.
  • secs: Tiempo en segundos desde que el cliente inicio el proceso.
  • flags: El bit más significativo de este campo se utiliza como flag de difusión.
  • ciaddr: Dirección IP del cliente.
  • yiaddr: Dirección IP que el servidor ofrece al cliente.
  • siaddr: Dirección IP del servidor que ofrece la concesión.
  • giaddr: Dirección IP del agente de retransmisión.
  • chaddr: Dirección física, del cliente.
  • sname: Nombre del servidor DHCP.
  • file: Nombre del fichero a descargar y arrancar con él. Etapa 1. Descubrimiento DHCP (DHCPDISCOVER).  El cliente DHCP difunde por broadcast un paquete DHCPDISCOVER para localizar un servidor DHCP.  El mensaje DHCPDISCOVER tiene las siguientes características: Puerto destino 67 Puerto origen 68 Dirección IP origen: 0.0.0. Dirección IP destino: 255.255.255. Lleva un identificador de transacción Incluye la dirección MAC del cliente Al enviar la MAC permite que el servidor asigne una IP fija. También se puede indicar una IP si mantiene información de la concesión anterior. Etapa 2. Oferta DHCP (DHCPOFFER).  Los servidores responden a la petición con DHCPOFFER. Donde ofrecen una dirección IP, máscara de red, tiempo de concesión, etc. Se comprueba la MAC del cliente por si hay configurada un IP fija.  Cada servidor DHCP que da respuesta reserva la dirección IP propuesta para no ofrecerla a otro posible cliente. Se puede comprobar si esa IP está disponible. Etapa3: Solicitud DHCP (DHCPREQUEST).  El cliente recibe una o más ofertas de servidores y elige la "mejor" (por tiempo de respuesta, por IP, etc.). Normalmente elige la primera.  Difunde (por broadcast) un mensaje DHCPREQUEST, poniendo el nombre del servidor elegido en uno de los campos de opciones (ID del servidor).  Si el cliente no recibe mensajes DHCPOFFER, expira la petición y reenvía un nuevo mensaje DHCPDISCOVER. Etapa4: Reconocimiento DHCP (DHCPACK) o reconocimiento negativo DHCP (DHCPNAK).  (Acknowledgement/Non acknowledgement)  Si el mensaje DHCPREQUEST no contiene su dirección, el servidor considera su oferta rechazada y quita la reserva a la IP que envió.  Si contiene su dirección, envía un mensaje dirigido sólo al cliente:  DHCPACK si la dirección IP aún está disponible.  DHCPNAK si ya no está disponible esa IP o no es válida (ha tardado mucho en contestar o en llegar la contestación del cliente). Etapa5: Uso de la concesión por parte del cliente o declinación  Si el cliente recibe el DHCPACK, puede usar la dirección IP El cliente debe verificar que la dirección IP es válida y no está duplicada.  Si la IP es válida, el cliente se inicializa con los datos suministrados por el servidor DHCP.

 Antes de que finalice el período de concesión, intentan renovar su concesión a intervalos específicos para garantizar que la información de configuración esté actualizada. Por defecto, a la mitad del plazo de concesión, aunque este parámetro se puede configurar. Si no lo consigue, al finalizar el plazo liberará la dirección IP. Se realizan dos pasos para renovar una concesión:  El cliente DHCP difunde un DHCPREQUEST con la opción Requested IP address (la dirección previamente asignada).  El servidor DHCP correspondiente devuelve DHCPACK o DHCPNAK. Algunas preguntas: ¿Qué ocurre si un equipo se retira de la red? El servidor DHCP cuando detecte que ha caducado la concesión y no ha recibido ninguna petición de renovación liberará esa dirección para poder asignarla a próximas peticiones. ¿Qué tiempo de concesión será el adecuado? Establecer los tiempos de concesión de las asignaciones dependerá de las características de los equipos que las utilicen. En los servidores DHCP de Windows el tiempo de concesión por defecto es de ocho días. Ejemplos:  En la red de un aula a la que se conectan portátiles de forma inalámbrica cada día, sería suficiente concesiones de 12 horas , lo que permitiría liberar direcciones al término de cada jornada.  Para los equipos de sobremesa de un departamento de informática, que no se mueven frecuentemente, una concesión de 30 días podría ser adecuada.  En un cíber-café llevarlo a horas. ¿Qué ocurre al reiniciar un equipo? Cuando se reinicia un equipo que ha obtenido la concesión y esta no ha caducado todavía, el equipo cliente mandará un mensaje al servidor DHCP para confirmar si su configuración de red es válida. El servidor DHCP comprueba que la concesión es válida y está activa. Si es así, extiende el tiempo de concesión al valor establecido por defecto. Al recibir el mensaje de confirmación del servidor DHCP el equipo cliente podrá seguir utilizando la red con su configuración de red. Liberar una concesión. El cliente puede devolver la dirección IP al servidor DHCP que se la concedió antes de que finalice el plazo de concesión, mediante DHCPRELEASE. El cliente manda su dirección IP en el mensaje DHCPRELEASE y no espera una respuesta, deja de utilizar esa dirección IP según termina de enviar el mensaje. Ej: Al cambiar el equipo de subred y queremos liberar la dirección IP que estaba usando. Resumen de mensajes DHCP. DHCPDISCOVER. Mensaje de broadcast de un cliente para detectar servidores DHCP. DHCPOFFER. Mensaje de un servidor hacia un cliente con una oferta de configuración (respuesta a un DHCPDISCOVER). DHCPREQUEST. Trama de difusión que va de un cliente a un servidor para:

  • Aceptar la oferta de un servidor determinado y rechazar las otras.
  • Confirmar la exactitud de la información asignada antes del reinicio del sistema.
  • Extender el contrato de una dirección IP determinada, es decir, pedir prorroga de tiempo de concesión. DHCPACK. Mensaje del servidor al cliente para confirmar la configuración asignada y excluirla de sus disponibles. DHCPNAK. Mensaje del servidor al cliente para indicar que la dirección que tiene asignada es incorrecta, (por ejemplo, cuando el cliente cambia de subred) o que el contrato ha expirado. •DHCPDECLINE. Mensaje del cliente para el servidor indicando que ha encontrado un problema con la dirección IP que le ha sido asignada. •DHCPRELEASE. Mensaje del cliente para el servidor para indicar que renuncia a la dirección otorgada y cancela lo que queda de la concesión. •DHCPINFORM. Mensaje del cliente para pedir más información de la que el servidor le ha enviado con DHCPACK. Más de un servidor en la misma red. En una red pueden coexistir varios servidores DHCP. Esta configuración ofrece mayor tolerancia a errores. En principio, los servidores DHCP no se comunican entre ellos, salvo DHCP Failover Protocol. Es responsabilidad del administrador que sus configuraciones sean independientes y consistentes, de manera que no puedan asignar la misma dirección IP a dos ordenadores distintos. Para ello, basta que los rangos de direcciones IP que puedan proporcionar no tengan direcciones comunes, excepto que estas sean direcciones reservadas. DHCP Failover Protocol. Este protocolo sí permite la intercomunicación entre dos servidores DHCP que dan servicio a la misma red. Windows Server lo incluye desde la versión Windows 2008 R2, permitiendo la sincronización de la información de sus concesiones. Este protocolo tiene dos formas de funcionar: a) Por defecto. Un servidor es designado como primario y el otro como secundario. Cuando un equipo solicita IP solo lo atiende el primario y envía la actualización al secundario. En caso de que el primario caiga o deje de funcionar el secundario toma el relevo.

DHCP.

Y así con todos los paquetes de difusión que envíe el cliente o el servidor.

2.2.4. Tipos de asignaciones.

Se pueden distinguir varias formar en que un servidor asigna la configuración de los clientes:  Asignación manual o estática (Reservas): Asignar direcciones IPs concretas a máquinas concretas. A cada dirección física MAC le corresponde una dirección IP (pre-asignada "manualmente" por el administrador).  Asignación dinámica: El servidor DHCP elige una dirección de un grupo de direcciones disponibles (definidas por el administrador) (rango/ámbito). Realiza una concesión de la dirección IP al cliente durante un plazo limitado (lease time).  Asignación automática (permanente): Asignar direcciones IP de forma permanente a máquinas clientes la primera vez que hacen la solicitud al servidor DHCP y hasta que el cliente las libera. Cuidado: si un equipo con una asignación sin caducidad es eliminado y no se notifica al servidor DHCP, su dirección IP no se podría reutilizar.

2.2.5. Definiciones.

Ámbito: Agrupamiento organizativo de equipos o clientes de una red que utilizan el servicio DHCP. Dentro del ámbito se reserva un rango de direcciones IP para otorgar a los clientes de dicho ámbito. Definición de 1 ámbito por subred. Se especificará: un rango de direcciones IP para otorgar, una máscara de subred, un tiempo de concesión y otros parámetros adicionales como puerta de enlace, servidores DNS, etc. Los parámetros establecidos manualmente en el cliente sobre-escriben a los recibidos del servidor. Rango: Intervalo consecutivo de direcciones IP válidas y disponibles para ser concedidas a los equipos clientes. Ej: de 192.168.1.10 a 192.168.1. Sólo un rango por ámbito (un ámbito puede tener varios rangos). En un servidor DHCP se pueden configurar tantos ámbitos-rangos como sea necesario para el entorno de red. Exclusiones: Un conjunto de direcciones que son excluidas de un rango para no asignarlas a clientes DHCP. Puede haber más de un rango de exclusiones dentro del rango del ámbito. Direcciones IP que corresponden a equipos que necesitan una dirección IP fija, como servidores, routers, firewalls, .. y que se configuran normalmente de forma manual. Reservas: Consiste en la asignación de la misma dirección IP al mismo equipo. Se suele utilizar para asignarla a servidores (no recomendado) o PCs concretos (impresoras,...). Han de estar dentro del rango: pueden ser dentro de alguna exclusión o no. La identificación del equipo se hace por su dirección física o MAC. Similar a configurar manualmente una dirección IP estática pero de forma automática, desde el servidor DHCP. Ante una reestructuración el trabajo se centraliza en el servidor DHCP, se evitan desplazamientos a las máquinas afectadas.

Debemos tener en cuenta que hay que excluir:  La dirección de red, que es la primera dirección de dicha red.  La dirección de broadcast (difusión). Es una dirección mediante la cual nos podemos dirigir a toda la red y corresponde a la última dirección de dicha red.  La dirección del router.

2.3. Seguridad.

DHCP no incluye ningún mecanismo de identificación de servidores ni clientes, esto provoca vulnerabilidades a diferentes tipos de ataques: Suplantación del servidor DHCP. Servidores no autorizados que podrían proporcionar información falsa a los clientes suplantando al servidor DHCP autorizado (DHCP spoofing). Ej: Asigne un servidor DNS falso, que haga asociaciones Dominios – IPs no legítimas. Redirija el tráfico a una IP de router ilegítima haciendo MITM. Denegación de servicio. Consiste en agotar el rango de direcciones a asignar. Cuando un cliente legítimo solicite IP no tendrá respuesta. El proceso es el siguiente, un cliente no autorizado solicita una dirección IP al servidor DHCP y una vez concedida, cambia su dirección MAC para pedir una nueva dirección IP, y así sucesivamente, hasta agotar el rango de direcciones disponibles. Ejercicio : Buscar una herramienta, probablemente malware, que obtenga continuamente direcciones IP del servidor DHCP. Hombre de en medio (MITM). Un servidor no autorizado puede responder a un cliente que busca un servidor DHCP y otorgarle una dirección IP válida, pero darle como puerta de enlace su propia dirección IP. De esta forma, el cliente manda los paquetes al atacante, que después de procesarlos los reenvía al router para que el cliente no se dé cuenta del ataque. Este tipo de ataque tiene más posibilidades de éxito cuando el servidor DHCP legítimo está alejado de los clientes. Clientes no autorizados  1) Podrían acceder a los recursos configurando manualmente su interfaz de red (solución. ACL para filtrado MAC. Problema a la solución: MAC spoofing).  2) Podrían realizar ataques para intentar congestionar al servidor DHCP. Ej: denegación de servicio. Solución a algunos de esos problemas. En las redes de área local se pueden configurar los switches para protegerse de estos ataques mediante DHCP snooping. Tras activar esta función en el switch se declara de confianza el puerto por el que genera respuestas el servidor DHCP autorizado, siendo todos los demás puertos no fiables. Si llegaran mensajes de otros servidores DHCP por cualquier otro puerto estos serían rechazados. De esta forma se pueden resolver los problemas de "hombre en medio" y DHCP spoofing. Evitar DoS: gestionar la asignación de IPs mediante reservas. Esto implica que previamente se han de conocer las MAC de todos los clientes legítimos y registrarlas en el servidor DHCP. Sólo válido en entornos muy estables. (casi equivalente a ACL mediante MAC)

2.4. Configuración de servidor.

Consideraciones previas:

  1. Preparar una muestra en la que se ataque mediante denegación de servicio. Explica cómo lo has hecho y describe los resultados.
  2. Realiza un análisis de los paquetes enviados en el proceso de atención a un cliente por DHCP con wireshark.
  3. Configurar un servidor DHCP en el que se definan dos ámbitos. Para ello, has de tener dos tarjetas a las que se accede a dos subredes distintas. Para probarlo has de tener al menos dos máquinas clientes una en cada subred.
  4. Establecer una simulación con dos servidores DHCP en los que se solapen los rangos de direccionamiento y comprobar los efectos.
  5. Configurar Windows-7 como servidor DHCP. Probar el paquete “Dual DHCP DNS Server”, Descargarlo e instalarlo.
  6. Estudia como mejorar la tolerancia a fallos y realizar un equilibrio de carga entre servidores con DHCP Failover Protocol en Windows2008. Contrastar resultados con el ejercicio 6.
  7. Estudia la forma de simular una prueba de agente de retransmisión. Los ficheros de logs nos permiten acceder a información para comprobar el funcionamiento del servicio:  En Windows2008: %windir%\system32\dhcp  En Debian: /var/log/syslog Preguntas:
  8. Procedimiento que se sigue desde que un equipo solicita configuración de red hasta que la obtiene.
  9. En Linux una vez instalado el servidor DHCP, dhcp3-server ¿Cuales son los principales ficheros de interés y configuración? ¿Qué utilidad tienen? Dudas surgidas en clase (proxy transparente forticlient del Ayuntamiento) https://docs.mitmproxy.org/stable/howto-transparent/