Bineli Manga, Alibaba Cloud közösségi Blog szerzője.
a DHCP (Dynamic Host Configuration Protocol) egy olyan kommunikációs protokoll, amelyet a számítógépek arra használnak, hogy automatikusan hozzárendeljék az IP-címeket a helyi hálózathoz vagy az Interneten keresztül csatlakoztatott eszközökhöz. A DHCP protokoll feltalálása előtt bármilyen új számítógép hozzáadása a hálózathoz kézi műveletet igényelt a Mac-cím IP-címhez történő hozzáadásához. A hálózat kezelése bonyolult volt, ha nagyszámú gazdagép volt a hálózaton keresztül. A DHCP helyi hálózaton történő telepítésével és konfigurálásával azonban a hálózatban elfogadott bármely számítógép automatikusan megkapja a Mac-címéhez társított IP-címet. A tartománynév-kiszolgáló (DNS) kezeli az IP-címek generálását, a DHCP-kiszolgáló pedig automatikusan elosztja a konfigurációt a gazdagépek között.
ez az oktatóanyag bemutatja, hogyan telepítheti és állíthatja be a DHCP-kiszolgálót a helyi hálózaton a teljesen automatikus hálózati konfiguráció elérése érdekében. Ez a bemutató azt is bemutatja, hogyan kezelheti az otthon általánosan elérhető kis hálózatot, és segít a számítógépek összekapcsolásában más helyi tárgyak internete (IoT) eszközökkel, például lámpákkal, légkondicionálókkal és hűtőszekrényekkel.
előfeltételek
az oktatóanyag használatának megkezdéséhez szüksége lesz egy Linux virtuális gépre (VM) (lehetőleg Ubuntu VM), amely rendelkezik internet-hozzáféréssel. Ehhez megvásárolhat egy Alibaba Cloud Elastic Compute Service (ECS) példányt, és az Ubuntu operációs rendszert választhatja.
DHCP szerver telepítése
a DHCP szerver Linux virtuális gépre történő telepítéséhez először frissítenie kell a csomagtárat a következő parancs végrehajtásával.
$ sudo apt-get update
a csomagok listájának frissítése után telepítse a DHCP csomagot a következő paranccsal.
$ sudo apt-get install isc-dhcp-server -y
DHCP-kiszolgáló konfigurálása
a DHCP-kiszolgáló telepítése után az ifconfig paranccsal meg kell szereznie a DHCP-kiszolgáló IP-címét. A parancs végrehajtása az IP-címet eredményezi (192.168.110.1).
a DHCP konfigurációs fájl a következő helyen található: /etc/dhcp/dhcpd.conf.
futtassa a következő parancsot a fájl megnyitásához.
$ sudo nano /etc/dhcp/dhcpd.conf
2.1. A
alhálózat meghatározása adja hozzá a következő sorokat a konfigurációs fájlhoz az alhálózat, az IP-címek tartománya, a tartomány és a tartománynévkiszolgálók meghatározásához.
subnet 192.168.110.0 netmask 255.255.255.0 {
az alhálózati információk (tartomány, alapértelmezett átjáró, domain name server) meghatározásakor ügyeljen arra, hogy a sorokat (;)
pontosvesszővel fejezze be, és zárja be azokat { }
göndör zárójelben. A tartomány meghatározza az IP-címkészlet készletét, amelyből az IP-címeket a DHCP-ügyfelek számára osztják ki. A bérelt címek tartományának megadásához adja hozzá a következő sort.
range 192.168.110.5 192.168.1.10;
Ezután adja meg az alapértelmezett átjárót, adja hozzá a következő sort.
option routers 192.168.110.1;
a domain névkiszolgálók megadásához adja meg a következő sort.
option domain-name-servers 8.8.8.8, 8.8.4.4;
2.2. DHCP globális konfigurációk
DHCP-kiszolgáló beállításához hajtsa végre a következő lépéseket a globális beállítások konfigurálásához.
1.lépés: az alapértelmezett és a maximális bérleti idő megadásához keresse meg az alapértelmezett-bérleti idő és a maximális bérleti idő paramétereket a konfigurációs fájlban, és módosítsa értékeiket az alábbiak szerint.
default-lease-time 600;max-lease-time 7200;
2. lépés: Több interfész esetén határozza meg, hogy a DHCP-kiszolgáló melyik interfészt használja a DHCP-kérések kiszolgálására. A konfigurációs fájlban keresse meg és szerkessze az INTERFACESv4 értékét, hogy frissítse azt a kívánt interfésszel a kérések kiszolgálásához.
INTERFACESv4="eth0"
3.lépés: ahhoz, hogy a DHCP-kiszolgáló legyen az ügyfelek hivatalos DHCP-kiszolgálója, távolítsa el a konfigurációs fájl következő sorát a #
karakter eltávolításával az alábbiak szerint.
$ authoritative;
az előző alapkonfiguráció végrehajtása után el kell mentenie és be kell zárnia a konfigurációs fájlt.
DHCP-eszközök kezelése
most használja a következő parancsokat a DHCP-kiszolgáló kezeléséhez.
annak ellenőrzéséhez, hogy a szolgáltatás jól működik-e, ellenőrizze a DHCP szolgáltatás állapotát a következő parancs futtatásával egy terminálablakban.
$ sudo systemctl status isc-dhcp-server.service
a DHCP szolgáltatás indításához futtassa a következő parancsot egy terminálablakban.
$ sudo systemctl start isc-dhcp-server.service
a DHCP szolgáltatás leállításához futtassa a következő parancsot egy terminálablakban.
$ sudo systemctl stop isc-dhcp-server.service
a DHCP szolgáltatás újraindításához futtassa a következő parancsot egy terminálablakban.
$ sudo systemctl restart isc-dhcp-server.service
3.1. DHCP kliens konfigurálása
ezután be kell állítania az ügyfélszámítógép hálózati beállításait, hogy IP-címet szerezzen be egy DHCP-kiszolgálótól. Itt használjunk egy másik Ubuntu 18.04 LTS-t kliens számítógépként. Az ügyfélszámítógépen nyissa meg a Beállítások alkalmazást az Ubuntu Dash menüjéből.
válassza ki a Hálózat fület a Beállítások alkalmazás bal oldali ablaktábláján, majd nyissa meg az adapter beállításait az előtte lévő fogaskerék ikonra kattintva. Győződjön meg róla, hogy be van kapcsolva. Megnyitja az Adapterbeállítások ablakot. Most válassza az IPv4 fület a felső menüből, majd válassza az automatikus (DHCP) lehetőséget.
kattintson az Alkalmaz gombra a módosítások mentéséhez és a hálózati szolgáltatások újraindításához a következő parancs futtatásával a terminálon.
$ sudo systemctl restart NetworkManager.service
most indítsa el a terminált, és írja be a következő parancsot a rendszer IP-címének megkereséséhez.
$ ip a
a fenti parancs olyan IP-címet eredményez, amely a DHCP-kiszolgáló konfigurációjában meghatározott tartományból származik. Ha az ügyfél továbbra sem kap IP-címet a DHCP-kiszolgálótól, indítsa újra a rendszert.
3.2. Bérelt címek felsorolása
ha meg szeretné tudni, hogy a DHCP-kiszolgáló milyen címeket rendelt az ügyfelekhez, nyissa meg a DHCP-kiszolgálóként konfigurált gépet, és írja be a következő parancsot a terminálba.
$ dhcp-lease-list
a bérlet az az időtartam, amelyre egy IP-címet hozzárendelnek egy számítógéphez. Ebből a listából ellenőrizze, hogy a MAC: 00:0c:29:d4:cf:69
jelzésű DHCP-ügyfél a DHCP-kiszolgálótól kapott 192.168.110.5 IP-címmel rendelkezik-e.
ezzel a beállítás befejeződött, és a DHCP-kiszolgáló működik. Most használja ezt a DHCP-kiszolgálót az IP-címek hozzárendeléséhez.
A DHCP-konfiguráció biztosítása
4.1. DHCP biztonsági támadások
a DHCP-kiszolgáló sebezhető a különböző típusú támadásokkal szemben. Vessünk egy pillantást néhány támadási típusra és tippekre, hogyan lehet megelőzni vagy enyhíteni ezeket a kockázatokat.
- szolgáltatásmegtagadás
mivel a DHCP protokoll nem igényel hitelesítést az ügyféltől a hálózati konfigurációk biztosításához, bármely felhasználó, aki hozzáfér a hálózathoz, IP-címet bérelhet. A DHCP-kiszolgáló által küldött adatok információkat tárhatnak fel a DNS-kiszolgálók IP-jéről, amely magában foglalhatja a hálózat biztonságát. A DHCP-kompatibilis hálózathoz hozzáféréssel rendelkező rosszindulatú felhasználók szolgáltatásmegtagadási támadást hozhatnak létre a DHCP-kiszolgálók ellen azáltal, hogy a kiszolgálót nagy számú bérleti kéréssel elárasztják, ezáltal kimerítve a többi DHCP-ügyfél számára elérhető lízingek számát.
- DHCP éhezési támadás
a DHCP éhezési támadás olyan támadás, amelyben a hacker kimeríti a DHCP-kiszolgálók számára egy adott időszakra rendelkezésre álló címterületet. Ez a fajta támadás a DHCP-kérések hamisított MAC-címekkel történő sugárzásával történik. A hálózathoz való hozzáférés érdekében a támadók kihasználják a DHCP snooping mechanizmust, amelyet a hálózat biztonságának biztosítására használnak a nem megbízható DHCP üzenetek szűrésével, valamint a DHCP snooping kötelező adatbázis létrehozásával és karbantartásával.
- Rogue DHCP Server
egy hacker hamis DHCP szervert állíthat be a megtámadott hálózaton, hogy a középső ember, szippantás és felderítés támadásokat okozzon. Ezt a hamis szervert szélhámos szervernek hívják, és a támadó arra használja, hogy hamis címeket és egyéb hálózati információkat szolgáltasson az ügyfeleknek az adatcsomagokba való snoophoz. A szélhámos szerver ezután saját DNS-kiszolgálókat és hálózati átjárókat biztosít, amelyek átirányítják az ügyfeleket rosszindulatú webhelyekre, ahol adathalász támadásokat hajtanak végre, hogy megszerezzék bizalmas információikat, például hitelkártya-számokat és jelszavakat.
- Biztonsági tippek
a hardverkomponensek, például szerverek, kapcsolók és útválasztók megfelelő fizikai biztonsági protokolljainak fenntartása korlátozza a szerverrendszerhez való jogosulatlan hozzáférést. A tiltott személyek vezeték nélküli hozzáférésének korlátozása a rendszeren belül vagy kívül a felhasználói hozzáférési Irányelvek fenntartásával a biztonsági kerületet is megsemmisíti.
a hálózat minden DHCP-kiszolgálójának naplózását engedélyezni kell a naplófájlok fülének megtartása mellett. Ezek a naplófájlok biztonságot nyújtanak olyan esetekben, amikor a DHCP-kiszolgáló szokatlanul nagy számú bérleti kérelmet kap az ügyfelektől. Az ellenőrzési naplófájl tartalmazza a DHCP-kiszolgáló elleni támadások forrásának nyomon követéséhez szükséges információkat. A rendszer eseménynaplóját elemezni kell a DHCP szerver szolgáltatással kapcsolatos magyarázó információk érdekében is. Míg azokban az esetekben, amikor az ügyfelek 802.1-es kapcsolókkal futtatják a Microsoft operációs rendszert, a hitelesítés a DHCP-kiszolgáló előtt történik, hogy bérletet rendeljen hozzá, ami jobb biztonságot nyújt.
ezenkívül a DHCP-hez való adminisztratív hozzáférést korlátozott számú személyre kell korlátozni. Csak a Rendszergazdák csoport vagy a DHCP-Rendszergazdák csoport tagjai kezelhetik a DHCP-kiszolgálókat a DHCP-konzol vagy a DHCP-hez tartozó Netsh parancsok segítségével. Győződjön meg arról, hogy a DHCP-konzolhoz csak olvasható hozzáférést igénylő felhasználók kategóriája a DHCP-felhasználók csoportba kerül a DHCP-Rendszergazdák csoport helyett. Annak ellenére, hogy semmi sem teljesen biztonságos a számítógépes világban, a biztonsági politikában szereplő néhány biztonsági intézkedés megmentheti a szervezetet a számítógépes fenyegetésektől.
következtetés
összefoglalva a dolgokat, ez az oktatóanyag segítséget nyújt a felhasználóknak a DHCP-kiszolgáló önálló telepítésében és konfigurálásában. Arra összpontosít, hogy miként konfigurálhatja a DHCP-kiszolgálót az egyedi igényeknek megfelelően. Felsorolja azokat a támadásokat is, amelyekkel a DHCP-kiszolgáló szembesülhet, és végül javasolja, hogyan lehet megvédeni ezeket a támadásokat.