af Bineli Manga, Alibaba Cloud Community Blog forfatter.
Dynamic Host Configuration Protocol (DHCP) er en kommunikationsprotokol, som computere bruger til automatisk at tildele IP-adresser til enheder, der er tilsluttet et lokalt netværk eller via Internettet. Forud for opfindelsen af DHCP-protokollen krævede tilføjelse af enhver ny computer til et netværk manuel handling for at tilføje sin Mac-adresse til en IP-adresse. Styring af netværket var kompliceret i tilfælde af et stort antal værter over et netværk. Men når DHCP ‘ en er installeret og konfigureret på et lokalt netværk, får enhver computer, der accepteres i netværket, automatisk en IP-adresse, der er knyttet til dens Mac-adresse. En Domænenavnsserver (DNS) styrer genereringen af IP-adresser, og en DHCP-server distribuerer automatisk konfigurationen blandt værterne.
denne vejledning illustrerer, hvordan du kan installere og konfigurere en DHCP-server på et lokalt netværk for at opnå en fuldautomatisk netværkskonfiguration. Denne tutorial viser også, hvordan du kan styre et lille netværk som det, der generelt er tilgængeligt derhjemme, og vil også hjælpe med at forbinde computere med andre lokale Internet of Things (IoT) enheder såsom lys, klimaanlæg og køleskabe.
- forudsætninger
- installation af DHCP-Server
- konfiguration af en DHCP-Server
- 2.1. Definition af et undernet, der skal bruges
- 2.2. DHCP Global Configurations
- Administrer DHCP-enheder
- 3.1. Konfiguration af DHCP-klient
- 3.2. Angiv lejede adresser
- sikring af DHCP-konfigurationen
- 4.1. DHCP – sikkerhedsangreb
- konklusion
forudsætninger
for at komme i gang med denne tutorial skal du bruge en virtuel maskine (VM) (helst Ubuntu VM) med adgang til internettet. Til dette kan du købe en Alibaba Cloud Elastic Compute Service (ECS) – instans og vælge Ubuntu som operativsystem.
installation af DHCP-Server
for at installere DHCP-serveren på VM for det første skal du opdatere pakkelageret ved at udføre følgende kommando.
$ sudo apt-get update
efter opdatering af pakkerne skal du installere DHCP-pakken ved hjælp af følgende kommando.
$ sudo apt-get install isc-dhcp-server -y
konfiguration af en DHCP-Server
efter installationen af DHCP-serveren vil du få IP-adressen til DHCP-serveren ved hjælp af ifconfig-kommandoen. Udførelse af denne kommando vil resultere i IP-adressen (192.168.110.1).
DHCP-konfigurationsfilen er placeret på /etc/dhcp/dhcpd.conf.
Kør følgende kommando for at åbne filen.
$ sudo nano /etc/dhcp/dhcpd.conf
2.1. Definition af et undernet, der skal bruges
tilføj følgende linjer i konfigurationsfilen for at definere undernet, rækkevidde af IP-adresser, domæne-og domænenavneservere.
subnet 192.168.110.0 netmask 255.255.255.0 {
når du definerer undernetoplysninger (område, standardport, domænenavnsserver), skal du sørge for at afslutte linjerne med et halvkolonn (;)
og vedlægge dem i krøllede seler { }
. Området definerer det sæt IP-adressepulje, hvorfra IP-adresserne tildeles DHCP-klienter. For at angive rækkevidden af lejede adresser skal du tilføje følgende linje.
range 192.168.110.5 192.168.1.10;
tilføj derefter følgende linje for at angive standardporten.
option routers 192.168.110.1;
for at angive domænenavneserverne skal du tilføje følgende linje.
option domain-name-servers 8.8.8.8, 8.8.4.4;
2.2. DHCP Global Configurations
hvis du vil konfigurere en DHCP-server, skal du udføre følgende trin for at konfigurere de globale indstillinger.
Trin 1: hvis du vil angive standard-og maksimal lejetid, skal du finde parametrene standard-lejetid og maks.lejetid i konfigurationsfilen og ændre deres værdier som vist nedenfor.
default-lease-time 600;max-lease-time 7200;
Trin 2: I tilfælde af flere grænseflader skal du definere, hvilken grænseflade DHCP-serveren skal bruge til at betjene DHCP-anmodninger. I konfigurationsfilen skal du finde og redigere værdien af Grænsefladerv4 for at opdatere den med den foretrukne grænseflade til at betjene anmodningerne.
INTERFACESv4="eth0"
Trin 3: for at gøre DHCP-serveren til den officielle DHCP-server for klienterne, skal du fjerne følgende linje i konfigurationsfilen ved at fjerne tegnet #
som vist nedenfor.
$ authoritative;
når du har implementeret den foregående grundlæggende konfiguration, skal du gemme og lukke konfigurationsfilen.
Administrer DHCP-enheder
brug nu følgende kommandoer til at administrere DHCP-serveren.
for at kontrollere, om tjenesten kører fint, skal du kontrollere status for DHCP-tjenesten ved at køre følgende kommando i et terminalvindue.
$ sudo systemctl status isc-dhcp-server.service
for at starte DHCP-tjenesten skal du køre følgende kommando i et terminalvindue.
$ sudo systemctl start isc-dhcp-server.service
for at stoppe DHCP-tjenesten skal du køre følgende kommando i et terminalvindue.
$ sudo systemctl stop isc-dhcp-server.service
for at genstarte DHCP-tjenesten skal du køre følgende kommando i et terminalvindue.
$ sudo systemctl restart isc-dhcp-server.service
3.1. Konfiguration af DHCP-klient
dernæst er der al behov for at konfigurere netværksindstillingerne i klientcomputeren for at få en IP-adresse fra en DHCP-server. Lad os her bruge en anden Ubuntu 18.04 LTS som en klientcomputer. I klientcomputeren skal du åbne Indstillinger program fra Ubuntu ‘ s Dash menu.
vælg fanen Netværk fra venstre rude i indstillingsprogrammet, og åbn adapterindstillingerne ved at klikke på tandhjulsikonet foran det. Sørg for, at den er tændt. Det åbner vinduet adapterindstillinger. Vælg Nu fanen IPv4 i topmenuen, og vælg derefter indstillingen Automatisk (DHCP).
Klik på Anvend for at gemme ændringerne og genstarte netværkstjenester ved at køre følgende kommando i Terminal.
$ sudo systemctl restart NetworkManager.service
start nu terminalen og skriv følgende kommando for at finde systemets IP-adresse.
$ ip a
ovenstående kommando vil resultere i en IP-adresse, der kommer fra det område, der er defineret i DHCP-serverkonfigurationen. Hvis klienten stadig ikke får en IP-adresse fra DHCP-serveren, skal du genstarte systemet.
3.2. Angiv lejede adresser
for at finde ud af, hvilke adresser der er tildelt klienter af DHCP-serveren, skal du åbne maskinen konfigureret som en DHCP-server og skrive følgende kommando i Terminal.
$ dhcp-lease-list
lejekontrakten er den tid, som en IP-adresse er tildelt til en computer. Fra denne liste skal du kontrollere, om DHCP-klienten med MAC: 00:0c:29:d4:cf:69
er forsynet med IP-adressen 192.168.110.5 fra DHCP-serveren.
med dette er opsætningen færdig, og DHCP-serveren er i gang. Brug nu denne DHCP-server til at tildele IP-adresser.
sikring af DHCP-konfigurationen
4.1. DHCP – sikkerhedsangreb
en DHCP-server er sårbar over for forskellige typer angreb. Lad os se på nogle af angrebstyperne og tipene til, hvordan man forhindrer eller mindsker disse risici.
- lammelsesangreb
da DHCP-protokollen ikke kræver godkendelse fra klienten for at levere netværkskonfigurationer, kan enhver bruger, der har adgang til netværket, få en leasing af IP-adresse. De data, der sendes af DHCP-serveren, kan afsløre oplysninger om DNS-serverne IP ‘ er, som kan omfatte netværkets sikkerhed. Ondsindede brugere, der har adgang til et DHCP-aktiveret netværk, kan oprette et denial-of-service-angreb på DHCP-servere ved at oversvømme serveren med et stort antal leasinganmodninger og derved udtømme antallet af lejemål, der er tilgængelige for andre DHCP-klienter.
- DHCP sult angreb
DHCP sult angreb er et angreb, hvor hackeren udtømmer adressen plads til rådighed for DHCP servere for en bestemt tidsperiode. Denne form for angreb udføres ved at udsende DHCP-anmodninger med falske MAC-adresser. For at få adgang til netværket udnytter angriberne også DHCP snooping, en mekanisme, der bruges til at give netværkets sikkerhed ved at filtrere ikke-betroede DHCP-meddelelser og ved at oprette og vedligeholde en DHCP snooping-bindende database.
- Rogue DHCP Server
en hacker kan oprette en falsk DHCP-server på det angrebne netværk for at forårsage Mand-of-the-middle, sniffing og rekognosceringsangreb. Denne falske server kaldes en useriøs server, og angriberen bruger den til at forsyne klienterne med falske adresser og anden netværksinformation for at snuse ind i datapakkerne. Rogue-serveren leverer derefter sine egne DNS-servere og netværksportaler, som omdirigerer klienter til ondsindede hjemmesider, hvor de udfører phishing-angreb for at få deres fortrolige oplysninger såsom kreditkortnumre og adgangskoder.
- Sikkerhedstips
vedligeholdelse af korrekte fysiske sikkerhedsprotokoller for udstyrskomponenter såsom servere, afbrydere og routere begrænser uautoriseret adgang til serversystemet. Begrænsning af trådløs adgang for ulovlige personer inden for eller uden for systemet ved at opretholde brugeradgangspolitikkerne anneal også sikkerhedsperimeteren.
Revisionslogning for hver DHCP-server på netværket skal være aktiveret sammen med at holde en fane på logfiler. Disse logfiler sikrer sikkerhed på tidspunkter, hvor DHCP-serveren modtager et usædvanligt stort antal leasinganmodninger fra klienterne. En revisionslogfil indeholder de oplysninger, der kræves for at spore kilden til angreb mod DHCP-serveren. Systemhændelsesloggen skal også analyseres for forklarende oplysninger om DHCP-Servertjenesten. I tilfælde, hvor klienterne kører Microsoft OS med 802.1-aktiverede kontakter, sker godkendelse før DHCP-serveren for at tildele en lejekontrakt, hvilket giver bedre sikkerhed.
derudover bør administrativ adgang til DHCP begrænses til et begrænset antal personer. Kun et medlem af administratorgruppen eller DHCP-administratorgruppen bør have tilladelse til at administrere DHCP-servere ved hjælp af DHCP-konsollen eller Netsh-kommandoerne til DHCP. Sørg for, at den kategori af brugere, der har brug for skrivebeskyttet adgang til DHCP-konsollen, føjes til gruppen DHCP-brugere i stedet for til gruppen DHCP-administratorer. Selvom intet er helt sikkert i cyberverdenen, kan få sikkerhedsforanstaltninger, der er inkluderet i sikkerhedspolitikken, redde en organisation fra cybertrusler.
konklusion
for at opsummere ting har denne tutorial til hensigt at hjælpe brugerne med at installere og konfigurere en DHCP-server alene. Det fokuserer på, hvordan du konfigurerer en DHCP-server til at matche specifikke behov. Den viser også forskellige angreb, som en DHCP-server kan blive udsat for, og foreslår endelig, hvordan man beskytter den mod disse angreb.