od Bineli Manga, Alibaba Cloud Community Blog autor.
Dynamic Host Configuration Protocol (DHCP) je komunikační protokol, který používají počítače, aby automaticky přiřadit IP adresy zařízení připojených k lokální síti nebo přes internet. Před vynálezem protokolu DHCP, přidání jakéhokoli nového počítače do sítě vyžadovalo ruční akci pro přidání jeho Mac adresy na IP adresu. Správa sítě byla komplikovaná v případě velkého počtu hostitelů v síti. S nainstalovaným a nakonfigurovaným DHCP v místní síti však každý počítač, který je v síti přijat, automaticky získá IP adresu přidruženou k jeho MAC adrese. Server doménových jmen (DNS) spravuje generování IP adres a server DHCP automaticky distribuuje konfiguraci mezi hostitele.
tento tutoriál vám ukáže, jak můžete nainstalovat a nastavit DHCP server v místní síti, abyste dosáhli plně automatické konfigurace sítě. Tento výukový program bude také ukázat, jak můžete spravovat malou síť jako obvykle k dispozici doma a bude také pomáhat při propojení počítače s dalšími místními Internetu Věcí (IoT) zařízení, jako jsou světla, klimatizace a ledničky.
Předpoklady
jak začít s tento návod, budete potřebovat Linux virtuální stroj (VM) (nejlépe Ubuntu VM) s přístupem k internetu. Za tímto účelem si můžete zakoupit instanci Alibaba Cloud Elastic Compute Service (ECS) a jako operační systém zvolit Ubuntu.
instalace DHCP serveru
Chcete-li nainstalovat DHCP server na Linux VM nejprve budete muset aktualizovat úložiště balíčků provedením následujícího příkazu.
$ sudo apt-get updatepo aktualizaci seznamu balíčků nainstalujte balíček DHCP pomocí následujícího příkazu.
$ sudo apt-get install isc-dhcp-server -ykonfigurace serveru DHCP
po instalaci serveru DHCP budete chtít získat IP adresu serveru DHCP pomocí příkazu ifconfig. Provedení tohoto příkazu bude mít za následek IP adresu (192.168.110.1).
konfigurační soubor DHCP je umístěn na /etc/dhcp/dhcpd.conf. Spusťte následující příkaz k otevření souboru.
$ sudo nano /etc/dhcp/dhcpd.conf2.1. Definovat Podsítě Použít
Přidejte následující řádky do konfiguračního souboru definovat podsítě, rozsah IP adres, domén a domény servery.
subnet 192.168.110.0 netmask 255.255.255.0 {při definování informací podsítě (rozsah, výchozí brána, server doménových jmen) nezapomeňte řádky ukončit dvojtečkou (;) a uzavřít je do složených závorek { }. Rozsah definuje sadu IP adres, ze které jsou IP adresy přiděleny klientům DHCP. Chcete-li určit rozsah pronajatých adres, přidejte následující řádek.
range 192.168.110.5 192.168.1.10;dále pro zadání výchozí brány přidejte následující řádek.
option routers 192.168.110.1;Chcete-li určit servery doménových jmen, přidejte následující řádek.
option domain-name-servers 8.8.8.8, 8.8.4.4;2.2. Globální konfigurace DHCP
Chcete-li nastavit server DHCP, proveďte následující kroky ke konfiguraci globálních nastavení.
Krok 1: Chcete-li zadat výchozí a maximální doba zapůjčení, najít parametry, default-lease-time a max-lease-time v konfiguračním souboru a změnit jejich hodnoty, jak je uvedeno níže.
default-lease-time 600;max-lease-time 7200;Krok 2: V případě více rozhraní definujte, které rozhraní by měl server DHCP používat k doručování požadavků DHCP. V konfiguračním souboru najděte a upravte hodnotu Rozhranív4 a aktualizujte jej pomocí preferovaného rozhraní pro doručování požadavků.
INTERFACESv4="eth0"Krok 3: Aby server DHCP oficiální DHCP server pro klienty, odkomentujte následující řádek v konfiguračním souboru tím, že odstraní # charakter, jak je uvedeno níže.
$ authoritative;po implementaci předchozí základní konfigurace budete muset konfigurační soubor uložit a zavřít.
Správa zařízení DHCP
Nyní použijte následující příkazy pro správu serveru DHCP.
Chcete-li ověřit, zda služba funguje dobře, zkontrolujte stav služby DHCP spuštěním následujícího příkazu v okně terminálu.
$ sudo systemctl status isc-dhcp-server.serviceChcete-li spustit službu DHCP, spusťte v okně terminálu následující příkaz.
$ sudo systemctl start isc-dhcp-server.serviceChcete-li službu DHCP zastavit, spusťte v okně terminálu následující příkaz.
$ sudo systemctl stop isc-dhcp-server.serviceChcete-li restartovat službu DHCP, spusťte v okně terminálu následující příkaz.
$ sudo systemctl restart isc-dhcp-server.service3.1. Konfigurace klienta DHCP
dále je potřeba nakonfigurovat síťová nastavení v klientském počítači, aby se získala IP adresa ze serveru DHCP. Zde použijme další Ubuntu 18.04 LTS jako klientský počítač. V klientském počítači otevřete aplikaci Nastavení z nabídky Dash Ubuntu.
vyberte kartu Síť v levém podokně aplikace Nastavení a otevřete nastavení adaptéru kliknutím na ikonu ozubeného kola před ní. Ujistěte se, že je zapnutý. Otevře se okno nastavení adaptéru. Nyní vyberte kartu IPv4 z horní nabídky a poté vyberte možnost Automatické (DHCP).
klepnutím na tlačítko Použít uložte změny a restartujte síťové služby spuštěním následujícího příkazu v terminálu.
$ sudo systemctl restart NetworkManager.serviceNyní spusťte terminál a zadejte následující příkaz k nalezení IP adresy systému.
$ ip avýše uvedený příkaz bude mít za následek IP adresu, která bude z rozsahu definovaného v konfiguraci serveru DHCP. Pokud klient stále neobdrží IP adresu ze serveru DHCP, restartujte systém.
3.2. Seznam Pronajatých Adres
zjistit, jaké adresy byly přiřazeny klientům DHCP server, otevřete stroj konfigurován jako DHCP server, zadejte následující příkaz v Terminálu.
$ dhcp-lease-listpronájem je doba, po kterou je IP adresa přiřazena počítači. Z tohoto seznamu ověřte, zda je klient DHCP s MAC: 00:0c:29:d4:cf:69 opatřen IP adresou 192.168.110.5 ze serveru DHCP.
díky tomu je nastavení dokončeno a server DHCP je v provozu. Nyní použijte tento server DHCP k přiřazení adres IP.
zabezpečení konfigurace DHCP
4.1. DHCP bezpečnostní útoky
server DHCP je zranitelný vůči různým typům útoků. Podívejme se na některé typy útoků a tipy, jak těmto rizikům předcházet nebo je zmírňovat.
- Odmítnutí Služby
Od DHCP protokolu nemá vyžadovat ověření z klienta na poskytování síťových konfigurací, každý uživatel, který má přístup k síti může získat zapůjčení adresy IP. Data odeslaná serverem DHCP mohou odhalit informace o IP adresách serverů DNS, které mohou zahrnovat zabezpečení sítě. Uživatelé se zlými úmysly, kteří mají přístup k DHCP-povoleno síť může vytvořit denial-of-service útok na servery DHCP zaplavením server s vysokým počtem nájemních požadavků, čímž snížila počet pronájmů, které jsou k dispozici pro ostatní klienty DHCP.
- DHCP Hladovění Útok
DHCP hladovění útok je útok, kde hacker výfuky adresní prostor k dispozici pro DHCP servery pro určité časové období. Tento druh útoku se provádí vysíláním požadavků DHCP s falešnými MAC adresami. K získání přístupu do sítě útočníci také využívají snooping DHCP, mechanismus používaný k zajištění bezpečnosti sítě filtrováním nedůvěryhodných zpráv DHCP a vytvořením a udržováním vázací databáze DHCP snooping.
- Rogue DHCP Server
hacker může nastavit falešný DHCP server na napadl síť, aby způsobil muž-of-the-middle, čichání a průzkumné útoky. Tento falešný server se nazývá rogue server, a útočník používá k poskytování klientům s falešné adresy a dalších informací o síti, aby se snoop do datové pakety. Rogue server pak poskytuje své vlastní servery DNS a síťové brány, které přesměrují klienty na škodlivé weby, kde provádějí phishingové útoky, aby získali své důvěrné informace, jako jsou čísla kreditních karet a hesla.
- Bezpečnostní Tipy
Udržování správné tělesné bezpečnostní protokoly pro hardwarových komponent jako jsou servery, přepínače a směrovače omezuje neoprávněný přístup na server systému. Omezení bezdrátového přístupu pro nedovolené osoby uvnitř nebo vně systému udržováním zásad přístupu uživatelů také zhoršuje bezpečnostní obvod.
protokolování auditu pro každý server DHCP v síti by mělo být povoleno spolu se zachováním karty v souborech protokolu. Tyto soubory protokolu zajišťují bezpečnost v době, kdy server DHCP obdrží od klientů neobvykle vysoký počet žádostí o pronájem. Soubor protokolu auditu obsahuje informace potřebné ke sledování zdroje útoků provedených proti serveru DHCP. Protokol událostí systému by měl být analyzován také pro vysvětlující informace o službě serveru DHCP. Zatímco v případech, kde jsou klienti se systémem Microsoft OS s 802.1 povoleno spínače, dojde k ověření, než server DHCP přiřadit pronájmu, nabízejí lepší zabezpečení.
kromě toho by měl být administrativní přístup k DHCP omezen na omezený počet osob. Pouze člen skupiny Administrátoři nebo skupina DHCP Administrátoři by měli mít možnost spravovat servery DHCP pomocí konzoly DHCP nebo příkazů Netsh pro DHCP. Ujistěte se, že kategorie uživatelů, kteří potřebují přístup pouze pro čtení ke konzole DHCP, je přidána do skupiny uživatelů DHCP místo do skupiny správců DHCP. I když v kybernetickém světě není nic zcela bezpečné, několik bezpečnostních opatření zahrnutých do bezpečnostní politiky může organizaci zachránit před kybernetickými hrozbami.
závěr
Chcete-li shrnout věci, tento tutoriál má v úmyslu pomoci uživatelům nainstalovat a nakonfigurovat server DHCP Samostatně. Zaměřuje se na to, jak nakonfigurovat server DHCP tak, aby odpovídal konkrétním potřebám. Uvádí také různé útoky, kterým může server DHCP čelit, a nakonec navrhuje, jak jej před těmito útoky chránit.
