Community

By Bineli Manga, Alibaba Cloud Community blogin kirjoittaja.

Dynamic Host Configuration Protocol (DHCP) on tietoliikenneprotokolla, jota tietokoneet käyttävät määrittääkseen IP-osoitteet automaattisesti laitteisiin, jotka on liitetty paikalliseen verkkoon tai Internetin kautta. Ennen DHCP-protokollan keksimistä uuden tietokoneen lisääminen verkkoon vaati manuaalista toimintaa MAC-osoitteen lisäämiseksi IP-osoitteeseen. Verkon hallinta oli monimutkaista, jos isäntiä oli paljon verkon yli. Kun DHCP on kuitenkin asennettu ja määritetty lähiverkossa, jokainen verkkoon hyväksytty tietokone saa automaattisesti Mac-osoitteeseensa liittyvän IP-osoitteen. Domain Name Server (DNS) hallinnoi IP-osoitteiden luomista, ja DHCP-palvelin jakaa määrityksen automaattisesti isäntien kesken.

tämä opetusohjelma havainnollistaa, miten DHCP-palvelimen voi asentaa ja määrittää lähiverkossa täysin automaattisen verkkokokoonpanon saavuttamiseksi. Tämä opetusohjelma näyttää myös, miten voit hallita pientä verkkoa, kuten se, joka on yleisesti saatavilla kotona, ja auttaa myös tietokoneiden yhdistämisessä muihin paikallisiin Esineiden Internet (IoT) – laitteisiin, kuten Valoihin, ilmastointilaitteisiin ja jääkaappeihin.

Edeltävät opinnot

aloittaaksesi tämän opetusohjelman tarvitset Linux-virtuaalikoneen (VM) (mieluiten Ubuntu VM), jossa on pääsy Internetiin. Tätä varten voit ostaa Alibaba Cloud Elastic Compute Service (ECS) – instanssin ja valita käyttöjärjestelmäksi Ubuntun.

DHCP-palvelimen asentaminen

DHCP-palvelimen asentamiseksi Linux VM: ään on ensin päivitettävä pakettivarasto suorittamalla seuraava komento.

$ sudo apt-get update

kun olet päivittänyt pakettiluettelon, asenna DHCP-paketti seuraavalla komennolla.

$ sudo apt-get install isc-dhcp-server -y

kun määrität DHCP-palvelimen

DHCP-palvelimen asennuksen jälkeen, haluat saada DHCP-palvelimen IP-osoitteen ifconfig-komennolla. Tämän komennon suorittaminen johtaa IP-osoitteeseen (192.168.110.1).

DHCP-asetustiedosto sijaitsee kohdassa /etc/dhcp/dhcpd.conf. suorita seuraava komento avataksesi tiedoston.

$ sudo nano /etc/dhcp/dhcpd.conf

2.1. Määrittelemällä aliverkon, jota käytetään

, lisää asetustiedostoon seuraavat rivit määrittääksesi aliverkon, IP-osoitteiden valikoiman, toimialueen ja toimialueen nimipalvelimet.

subnet 192.168.110.0 netmask 255.255.255.0 {

määritellessäsi aliverkon Tietoja (alue, oletusyhdyskäytävä, toimialueen nimipalvelin), varmista, että päätät rivit puolipisteellä (;) ja liitä ne kiharaan olkaimeen { }. Alue määrittelee joukon IP-osoitepooleja, joista IP-osoitteet jaetaan DHCP-asiakkaille. Jos haluat määrittää vuokrattujen osoitteiden valikoiman, lisää seuraava rivi.

range 192.168.110.5 192.168.1.10;

lisää seuraava rivi, Jos haluat määrittää oletusyhdyskäytävän.

option routers 192.168.110.1;

jos haluat määrittää verkkotunnuspalvelimet, lisää seuraava rivi.

option domain-name-servers 8.8.8.8, 8.8.4.4;

2.2. DHCP Global Configurations

määrittääksesi DHCP-palvelimen, suorita seuraavat vaiheet yleisasetusten määrittämiseksi.

Vaihe 1: voit määrittää oletus-ja enimmäisvuokrausajan etsimällä parametrit oletus-lease-aika ja enimmäis-lease-aika asetustiedostosta ja muuttamalla niiden arvoja alla esitetyllä tavalla.

default-lease-time 600;max-lease-time 7200;

Vaihe 2: Jos rajapintoja on useita, määrittele, mitä rajapintaa DHCP-palvelimen tulee käyttää DHCP-pyyntöjen palvelemiseen. Etsi ja muokkaa asetustiedostosta INTERFACESv4: n arvo päivittääksesi sen haluamaasi käyttöliittymään, joka palvelee pyyntöjä.

INTERFACESv4="eth0"

Vaihe 3: tehdäksesi DHCP-palvelimesta asiakkaiden virallisen DHCP-palvelimen, poista seuraava rivi asetustiedostosta poistamalla # – merkki alla esitetyllä tavalla.

$ authoritative;

edellisen perusasetuksen käyttöönoton jälkeen asetustiedosto on tallennettava ja suljettava.

Hallitse DHCP-laitteita

käytä seuraavia komentoja DHCP-palvelimen hallintaan.

tarkistaaksesi, onko palvelu kunnossa, tarkista DHCP-palvelun tila suorittamalla seuraava komento pääteikkunassa.

$ sudo systemctl status isc-dhcp-server.service

käynnistääksesi DHCP-palvelun suorita seuraava komento pääteikkunassa.

$ sudo systemctl start isc-dhcp-server.service

pysäyttääksesi DHCP-palvelun suorita seuraava komento pääteikkunassa.

$ sudo systemctl stop isc-dhcp-server.service

käynnistääksesi DHCP-palvelun uudelleen, suorita seuraava komento pääteikkunassa.

$ sudo systemctl restart isc-dhcp-server.service

3.1. Määritettäessä DHCP-asiakasohjelmaa

seuraavaksi on tarpeen määrittää asiakastietokoneen verkkoasetukset IP-osoitteen saamiseksi DHCP-palvelimelta. Tässä, käytetään toista Ubuntu 18.04 LTS asiakastietokoneena. Avaa asiakastietokoneessa Asetukset-sovellus Ubuntun Dash-valikosta.

valitse Verkko-välilehti Asetukset-sovelluksen vasemmasta ruudusta ja avaa sovittimen asetukset klikkaamalla sen edessä olevaa rataskuvaketta. Varmista, että se ON päällä. Se avaa sovittimen asetukset-ikkunan. Nyt, valitse IPv4 välilehti ylävalikosta, ja valitse Automaattinen (DHCP) vaihtoehto.

Tallenna muutokset napsauttamalla Käytä ja käynnistä verkkopalvelut uudelleen ajamalla seuraava komento terminaalissa.

$ sudo systemctl restart NetworkManager.service

nyt, käynnistä Pääte ja kirjoita seuraava komento löytääksesi järjestelmän IP-osoitteen.

$ ip a

yllä oleva komento johtaa IP-osoitteeseen, joka on DHCP-palvelinkokoonpanossa määritellyltä alueelta. Jos asiakas ei vieläkään saa IP-osoitetta DHCP-palvelimelta, käynnistä järjestelmä uudelleen.

3.2. Listaa vuokratut osoitteet

saadaksesi selville, mitä osoitteita DHCP-palvelin on määrittänyt asiakkaille, avaa DHCP-palvelimeksi määritetty kone ja kirjoita seuraava komento terminaaliin.

$ dhcp-lease-list

leasing on aika, jonka IP-osoite on osoitettu tietokoneelle. Tarkista tästä luettelosta, onko DHCP-asiakas, jolla on MAC: 00:0c:29:d4:cf:69, IP-osoite 192.168.110.5 DHCP-palvelimelta.

tämän avulla asennus on valmis ja DHCP-palvelin on toiminnassa. Nyt, käytä tätä DHCP-palvelinta IP-osoitteiden määrittämiseen.

DHCP-kokoonpanon varmistaminen

4.1. DHCP-tietoturvahyökkäykset

DHCP-palvelin on altis erityyppisille hyökkäyksille. Katsotaanpa katsomaan joitakin hyökkäys tyypit ja vinkkejä siitä, miten estää tai lieventää näitä riskejä.

• Palvelunesto

koska DHCP-protokolla ei vaadi asiakkaalta tunnistautumista verkkokonfiguraatioiden tarjoamiseksi, kuka tahansa käyttäjä, jolla on pääsy verkkoon, voi hankkia IP-osoitteen vuokrasopimuksen. DHCP-palvelimen lähettämät tiedot voivat paljastaa DNS-palvelimien IP-osoitteista tietoja, jotka voivat muodostaa verkon tietoturvan. Haitalliset käyttäjät, joilla on pääsy DHCP-yhteensopivaan verkkoon, voivat luoda palvelunestohyökkäyksen DHCP-palvelimia vastaan täyttämällä palvelimelle suuren määrän vuokrauspyyntöjä, mikä vähentää muiden DHCP-asiakkaiden käytettävissä olevien vuokrasopimusten määrää.

• DHCP: n Nälkiintymishyökkäys

DHCP: n nälkiintymishyökkäys on hyökkäys, jossa hakkeri tyhjentää DHCP: n palvelimien käytettävissä olevan osoiteavaruuden tietyn ajan. Tällainen hyökkäys toteutetaan lähettämällä DHCP-pyyntöjä väärennetyillä MAC-osoitteilla. Myös, päästä verkkoon, hyökkääjät hyödyntää DHCP snooping, mekanismi, jota käytetään tarjoamaan turvallisuuden verkon suodattamalla epäluotettavia DHCP viestejä ja luomalla ja ylläpitämällä DHCP snooping sitova tietokanta.

• Rogue DHCP-palvelin

hakkeri voi perustaa hyökkäyksen kohteena olevaan verkkoon Vale-DHCP-palvelimen, jonka tarkoituksena on aiheuttaa keskimies -, Nuuskija-ja tiedusteluhyökkäyksiä. Tätä valepalvelinta kutsutaan rogue serveriksi, ja hyökkääjä käyttää sitä toimittaakseen asiakkaille valeosoitteita ja muita verkko-tietoja nuuskiakseen datapaketteja. Rogue server tarjoaa sitten omia DNS-palvelimia ja verkon yhdyskäytäviä, jotka ohjaavat asiakkaat haitallisille verkkosivustoille, joissa he suorittavat tietojenkalasteluhyökkäyksiä saadakseen luottamuksellisia tietoja, kuten luottokorttinumeroita ja salasanoja.

• Turvakärjet

laitteistokomponenttien, kuten palvelimien, kytkimien ja reitittimien, asianmukaisten fyysisten turvaprotokollien ylläpitäminen rajoittaa luvattoman pääsyn palvelinjärjestelmään. Laittomien henkilöiden langattoman pääsyn rajoittaminen järjestelmän sisällä tai sen ulkopuolella ylläpitämällä käyttäjien pääsykäytäntöjä myös hehkutetaan tietoturva-aluetta.

jokaisen verkon DHCP-palvelimen Tarkastusloki tulisi ottaa käyttöön ja lokitiedostoissa tulisi pitää välilehteä. Nämä lokitiedostot varmistavat turvallisuuden aikoina, jolloin DHCP-palvelin saa epätavallisen paljon vuokrauspyyntöjä asiakkailta. Tarkastuslokitiedosto sisältää tarvittavat tiedot DHCP-palvelinta vastaan tehtyjen hyökkäysten lähteen seuraamiseksi. Järjestelmän tapahtumaloki on analysoitava myös DHCP-palvelinpalvelun selittävien tietojen saamiseksi. Vaikka tapauksissa, joissa asiakkaat käyttävät Microsoft-käyttöjärjestelmää 802.1-kytkimillä, todennus tapahtuu ennen DHCP-palvelinta vuokrasopimuksen määrittämistä, mikä tarjoaa paremman tietoturvan.

lisäksi DHCP: n hallinnolliset käyttömahdollisuudet olisi rajoitettava rajattuun määrään yksityishenkilöitä. Vain järjestelmänvalvojat-ryhmän tai DHCP: n Järjestelmänvalvojat-ryhmän jäsen saa hallita DHCP-palvelimia DHCP-konsolin tai DHCP: n netsh-komentojen avulla. Varmista, että niiden käyttäjien luokka, jotka tarvitsevat vain lukuoikeuden DHCP-konsoliin, lisätään DHCP-käyttäjät-ryhmään DHCP: n Järjestelmänvalvojat-ryhmän sijaan. Vaikka mikään ei ole täysin turvallista kybermaailmassa, harvat turvallisuuspolitiikkaan sisältyvät turvatoimet saattavat pelastaa organisaation kyberuhkilta.

johtopäätös

yhteenvetona tämän opetusohjelman tarkoituksena on auttaa käyttäjiä asentamaan ja konfiguroimaan DHCP-palvelin itse. Siinä keskitytään DHCP-palvelimen määrittämiseen vastaamaan erityistarpeita. Se myös listaa erilaisia hyökkäyksiä, joita DHCP-palvelin voi kohdata, ja ehdottaa lopuksi, miten se voidaan suojata näiltä hyökkäyksiltä.