







Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Tema 2: Servicio de asignación dinámica de IP. 2.1. Introducción. 2.2. Concepto DHCP. 2.2.1. Funcionamiento DHCP 2.2.2. Protocolo DHCP. 2.2.3. Agente de retransmisión DHCP. 2.2.4. Tipos de asignaciones. 2.2.5. Definiciones: ámbito, rango, exclusiones y reservas. 2.3. Seguridad. 2.4. Configuración de servidor. 2.5. Configuración de cliente. 2.6. Ejercicios.
Tipo: Apuntes
1 / 13
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!








2.1. Introducción. 2.2. Concepto DHCP. 2.2.1. Funcionamiento DHCP 2.2.2. Protocolo DHCP. 2.2.3. Agente de retransmisión DHCP. 2.2.4. Tipos de asignaciones. 2.2.5. Definiciones: ámbito, rango, exclusiones y reservas. 2.3. Seguridad. 2.4. Configuración de servidor. 2.5. Configuración de cliente. 2.6. Ejercicios.-an
Para que una red de transmisión de datos funcione necesita identificar cada uno de los equipos que la componen y que cada uno tenga instalado la pila de protocolos que permitan dicha comunicación. La red de Internet y la mayoría de las redes locales utilizan la arquitectura de red: TCP/IP. Cada equipo conectado a estas redes requiere: Pila de protocolos TCP/IP instalada. Los datos de identificación de la estación y permiten su conectividad. Datos que permiten la conectividad: Imprescindible 1: Dirección IP. Imprescindible 2: Máscara de red (Dirección de red y Dirección de difusión.) Optativa 3: Puerta de enlace. Optativa 4: DNS. Esa configuración puede hacerse: Manual. Dinámica. Asignación manual. La configuración de red (dirección IP, máscara de red, servidores DNS, puerta de enlace,...) se define manualmente en cada equipo. Responsabilidad del administrador de la red. Existe la posibilidad de introducir una configuración incorrecta que dé lugar a problemas de comunicación. Si un equipo cambia de ubicación y se conecta a una subred diferente, será necesario modificar su configuración de red. Caso frecuente de equipos portátiles e inalámbricos. Si nuestra red crece y en un momento dado es necesario reestructurar la misma y modificar la configuración de red de todos los equipos. Aumento de carga de trabajo del administrador.
Asignación dinámica. El servidor suministra automáticamente la información de configuración necesaria a los equipos disminuyendo el trabajo a realizar por el administrador. Nuevos equipos se pueden conectar a la red sin necesidad de ninguna intervención por parte del administrador. Garantiza que los equipos en la red emplean la información de configuración de red correcta y permite cambiar la configuración de los equipos de forma centralizada. Permite reestructurar la red y añadir o modificar servicios de red sin tener que acceder a los equipos, simplemente revisando la configuración que se mandará a los equipos de la red. Los equipos pueden cambiar de ubicación y conectarse a otras redes automáticamente.
DHCP: Dynamic Host Configuration Protocol. La función principal de DHCP es permitir a los equipos de una red obtener sus parámetros de configuración automáticamente, evitando que el administrador tenga que configurar manualmente los parámetros TCP/IP en cada equipo. Origen: Durante los años 90 como mejora del protocolo BOOTP, usado en Unix para asignar direcciones a ciertos dispositivos conectados en red. En Internet. Para las empresas y organismos que operan en Internet existe una autoridad central que les asigna grupos de direcciones IP. ICANN: Internet Corporation for Assigned Names and Numbers. Asigna rangos de direcciones a los ISPs Los ISP (Internet Service Provider) utilizan DHCP para asignar los datos de configuración de red a sus clientes. Excepto cuando un cliente solicita IP fija, esto le permite a ese cliente ofrecer algún tipo de servicio y que ese servicio sea localizable con facilidad. En Redes Locales. Se suele utilizar para configurar los distintos equipos que se conectan a la red. La asignación dinámica de IPs ofrece: Flexibilidad: Disponer de más equipos que número de IPs disponibles (siempre que no se conecten simultáneamente). Comodidad: Facilitan la labor del administrador de la red. Adaptabilidad: Los usuarios (equipos clientes) pueden cambiar de entorno (de red) sin modificar la configuración de su equipo. DHCP es abierto. Es independiente del Sistema Operativo que utilizan los equipos. Funcionamiento BOOTP. El protocolo BOOTP ( Bootstrap Protocol) constituye un primer intento de configuración automática de red. Este protocolo de la capa de aplicación funciona sobre UDP (no seguro y sin conexión) y se puede considerar como un antecedente de DHCP. Al igual que este, está basado en el modelo cliente/servidor y sigue este funcionamiento: Cuando una máquina arranca no conoce su direccionamiento IP ni a qué dirección solicitar dicha información. Envía un mensaje con dirección destino IP difusión (255.255.255.255). En la red existirá un servidor BOOTP que responde a las peticiones. Este servidor BOOTP mirará en sus tablas para asignar a esa dirección física de red una dirección IP, máscara de subred, dirección del router , etc.
Mejoras implementadas en algún servidor Linux: En el punto 2, antes de que el servidor ofrezca una determinada IP se lanza un mensaje eco ICMP para comprobar que no está ocupada (nadie la ha asignado manualmente). En caso de respuesta marca esa IP en su tabla como abandonada y prueba con otra. Si todas las del rango están ocupadas, vuelve a intentar con las que se marcaron como abandonadas por si alguna está libre. Mensaje eco ICMP (ping): se usa para comprobar si un equipo está conectado a la red y funciona. Internet Control Message Protocol. APIPA / Avahi. En Windows. APIPA (Automatic Private IP Addressing): Cuando no hay respuesta de ningún servidor DHCP el cliente utiliza este algoritmo para asignarse una IP y estará en la red: 169.254.0.0/ En Linux. Avahi similar a APIPA. Ejercicio. Configurar Windows XP y Debian con ip dinámica. Ante la ausencia de un servidor DHCP que les proporcione una configuración IP. Comprueba con los comandos ipconfig e ifconfig la configuración de red de cada equipo y con el comando ping si existe conectividad entre ellos. Tratamiento de los Routers. Filtran los mensajes DHCP. No se puede asignar IP detrás de un router. Si fuera necesario hay que configurar el router para que deje pasar los paquetes de difusión.
Datagrama DHCP.
- op: Indica si es solicitud o respuesta.
Antes de que finalice el período de concesión, intentan renovar su concesión a intervalos específicos para garantizar que la información de configuración esté actualizada. Por defecto, a la mitad del plazo de concesión, aunque este parámetro se puede configurar. Si no lo consigue, al finalizar el plazo liberará la dirección IP. Se realizan dos pasos para renovar una concesión: El cliente DHCP difunde un DHCPREQUEST con la opción Requested IP address (la dirección previamente asignada). El servidor DHCP correspondiente devuelve DHCPACK o DHCPNAK. Algunas preguntas: ¿Qué ocurre si un equipo se retira de la red? El servidor DHCP cuando detecte que ha caducado la concesión y no ha recibido ninguna petición de renovación liberará esa dirección para poder asignarla a próximas peticiones. ¿Qué tiempo de concesión será el adecuado? Establecer los tiempos de concesión de las asignaciones dependerá de las características de los equipos que las utilicen. En los servidores DHCP de Windows el tiempo de concesión por defecto es de ocho días. Ejemplos: En la red de un aula a la que se conectan portátiles de forma inalámbrica cada día, sería suficiente concesiones de 12 horas , lo que permitiría liberar direcciones al término de cada jornada. Para los equipos de sobremesa de un departamento de informática, que no se mueven frecuentemente, una concesión de 30 días podría ser adecuada. En un cíber-café llevarlo a horas. ¿Qué ocurre al reiniciar un equipo? Cuando se reinicia un equipo que ha obtenido la concesión y esta no ha caducado todavía, el equipo cliente mandará un mensaje al servidor DHCP para confirmar si su configuración de red es válida. El servidor DHCP comprueba que la concesión es válida y está activa. Si es así, extiende el tiempo de concesión al valor establecido por defecto. Al recibir el mensaje de confirmación del servidor DHCP el equipo cliente podrá seguir utilizando la red con su configuración de red. Liberar una concesión. El cliente puede devolver la dirección IP al servidor DHCP que se la concedió antes de que finalice el plazo de concesión, mediante DHCPRELEASE. El cliente manda su dirección IP en el mensaje DHCPRELEASE y no espera una respuesta, deja de utilizar esa dirección IP según termina de enviar el mensaje. Ej: Al cambiar el equipo de subred y queremos liberar la dirección IP que estaba usando. Resumen de mensajes DHCP. DHCPDISCOVER. Mensaje de broadcast de un cliente para detectar servidores DHCP. DHCPOFFER. Mensaje de un servidor hacia un cliente con una oferta de configuración (respuesta a un DHCPDISCOVER). DHCPREQUEST. Trama de difusión que va de un cliente a un servidor para:
Y así con todos los paquetes de difusión que envíe el cliente o el servidor.
Se pueden distinguir varias formar en que un servidor asigna la configuración de los clientes: Asignación manual o estática (Reservas): Asignar direcciones IPs concretas a máquinas concretas. A cada dirección física MAC le corresponde una dirección IP (pre-asignada "manualmente" por el administrador). Asignación dinámica: El servidor DHCP elige una dirección de un grupo de direcciones disponibles (definidas por el administrador) (rango/ámbito). Realiza una concesión de la dirección IP al cliente durante un plazo limitado (lease time). Asignación automática (permanente): Asignar direcciones IP de forma permanente a máquinas clientes la primera vez que hacen la solicitud al servidor DHCP y hasta que el cliente las libera. Cuidado: si un equipo con una asignación sin caducidad es eliminado y no se notifica al servidor DHCP, su dirección IP no se podría reutilizar.
Ámbito: Agrupamiento organizativo de equipos o clientes de una red que utilizan el servicio DHCP. Dentro del ámbito se reserva un rango de direcciones IP para otorgar a los clientes de dicho ámbito. Definición de 1 ámbito por subred. Se especificará: un rango de direcciones IP para otorgar, una máscara de subred, un tiempo de concesión y otros parámetros adicionales como puerta de enlace, servidores DNS, etc. Los parámetros establecidos manualmente en el cliente sobre-escriben a los recibidos del servidor. Rango: Intervalo consecutivo de direcciones IP válidas y disponibles para ser concedidas a los equipos clientes. Ej: de 192.168.1.10 a 192.168.1. Sólo un rango por ámbito (un ámbito puede tener varios rangos). En un servidor DHCP se pueden configurar tantos ámbitos-rangos como sea necesario para el entorno de red. Exclusiones: Un conjunto de direcciones que son excluidas de un rango para no asignarlas a clientes DHCP. Puede haber más de un rango de exclusiones dentro del rango del ámbito. Direcciones IP que corresponden a equipos que necesitan una dirección IP fija, como servidores, routers, firewalls, .. y que se configuran normalmente de forma manual. Reservas: Consiste en la asignación de la misma dirección IP al mismo equipo. Se suele utilizar para asignarla a servidores (no recomendado) o PCs concretos (impresoras,...). Han de estar dentro del rango: pueden ser dentro de alguna exclusión o no. La identificación del equipo se hace por su dirección física o MAC. Similar a configurar manualmente una dirección IP estática pero de forma automática, desde el servidor DHCP. Ante una reestructuración el trabajo se centraliza en el servidor DHCP, se evitan desplazamientos a las máquinas afectadas.
Debemos tener en cuenta que hay que excluir: La dirección de red, que es la primera dirección de dicha red. La dirección de broadcast (difusión). Es una dirección mediante la cual nos podemos dirigir a toda la red y corresponde a la última dirección de dicha red. La dirección del router.
DHCP no incluye ningún mecanismo de identificación de servidores ni clientes, esto provoca vulnerabilidades a diferentes tipos de ataques: Suplantación del servidor DHCP. Servidores no autorizados que podrían proporcionar información falsa a los clientes suplantando al servidor DHCP autorizado (DHCP spoofing). Ej: Asigne un servidor DNS falso, que haga asociaciones Dominios – IPs no legítimas. Redirija el tráfico a una IP de router ilegítima haciendo MITM. Denegación de servicio. Consiste en agotar el rango de direcciones a asignar. Cuando un cliente legítimo solicite IP no tendrá respuesta. El proceso es el siguiente, un cliente no autorizado solicita una dirección IP al servidor DHCP y una vez concedida, cambia su dirección MAC para pedir una nueva dirección IP, y así sucesivamente, hasta agotar el rango de direcciones disponibles. Ejercicio : Buscar una herramienta, probablemente malware, que obtenga continuamente direcciones IP del servidor DHCP. Hombre de en medio (MITM). Un servidor no autorizado puede responder a un cliente que busca un servidor DHCP y otorgarle una dirección IP válida, pero darle como puerta de enlace su propia dirección IP. De esta forma, el cliente manda los paquetes al atacante, que después de procesarlos los reenvía al router para que el cliente no se dé cuenta del ataque. Este tipo de ataque tiene más posibilidades de éxito cuando el servidor DHCP legítimo está alejado de los clientes. Clientes no autorizados 1) Podrían acceder a los recursos configurando manualmente su interfaz de red (solución. ACL para filtrado MAC. Problema a la solución: MAC spoofing). 2) Podrían realizar ataques para intentar congestionar al servidor DHCP. Ej: denegación de servicio. Solución a algunos de esos problemas. En las redes de área local se pueden configurar los switches para protegerse de estos ataques mediante DHCP snooping. Tras activar esta función en el switch se declara de confianza el puerto por el que genera respuestas el servidor DHCP autorizado, siendo todos los demás puertos no fiables. Si llegaran mensajes de otros servidores DHCP por cualquier otro puerto estos serían rechazados. De esta forma se pueden resolver los problemas de "hombre en medio" y DHCP spoofing. Evitar DoS: gestionar la asignación de IPs mediante reservas. Esto implica que previamente se han de conocer las MAC de todos los clientes legítimos y registrarlas en el servidor DHCP. Sólo válido en entornos muy estables. (casi equivalente a ACL mediante MAC)
Consideraciones previas: