Community

Di Bineli Manga, autore del blog di Alibaba Cloud Community.

Dynamic Host Configuration Protocol (DHCP) è un protocollo di comunicazione che i computer utilizzano per assegnare automaticamente gli indirizzi IP ai dispositivi connessi a una rete locale o su Internet. Prima dell’invenzione del protocollo DHCP, l’aggiunta di qualsiasi nuovo computer a una rete richiedeva un’azione manuale per aggiungere il suo indirizzo Mac a un indirizzo IP. La gestione della rete è stata complicata in caso di un numero elevato di host su una rete. Tuttavia, con il DHCP installato e configurato su una rete locale, qualsiasi computer accettato nella rete ottiene automaticamente un indirizzo IP associato al suo indirizzo Mac. Un Domain Name Server (DNS) gestisce la generazione di indirizzi IP e un server DHCP distribuisce automaticamente la configurazione tra gli host.

Questo tutorial illustrerà come è possibile installare e configurare un server DHCP su una rete locale per ottenere una configurazione di rete completamente automatica. Questo tutorial mostrerà anche come è possibile gestire una piccola rete come quella generalmente disponibile a casa e aiuterà anche a collegare i computer con altri dispositivi Internet of Things (IoT) locali come luci, condizionatori d’aria e frigoriferi.

Prerequisiti

Per iniziare con questo tutorial, avrete bisogno di una macchina virtuale Linux (VM) (preferibilmente Ubuntu VM) con accesso a Internet. Per questo, è possibile acquistare un’istanza di Alibaba Cloud Elastic Compute Service (ECS) e scegliere Ubuntu come sistema operativo.

Installazione del server DHCP

Per installare il server DHCP sulla macchina virtuale Linux, è necessario aggiornare il repository dei pacchetti eseguendo il seguente comando.

$ sudo apt-get update

Dopo aver aggiornato l’elenco dei pacchetti, installare il pacchetto DHCP utilizzando il seguente comando.

$ sudo apt-get install isc-dhcp-server -y

Configurazione di un server DHCP

Dopo l’installazione del server DHCP, si vorrà ottenere l’indirizzo IP del server DHCP utilizzando il comando ifconfig. L’esecuzione di questo comando comporterà l’indirizzo IP (192.168.110.1).

Il file di configurazione DHCP si trova in /etc/dhcp/dhcpd.conf. Eseguire il seguente comando per aprire il file.

$ sudo nano /etc/dhcp/dhcpd.conf

2.1. Definizione di una sottorete da utilizzare

Aggiungere le seguenti righe nel file di configurazione per definire la sottorete, l’intervallo di indirizzi IP, il dominio e i server dei nomi di dominio.

subnet 192.168.110.0 netmask 255.255.255.0 {

Durante la definizione delle informazioni della sottorete (intervallo, gateway predefinito, domain name server), assicurarsi di terminare le righe con un punto e virgola (;) e racchiuderle tra parentesi graffe { }. L’intervallo definisce l’insieme di pool di indirizzi IP, da cui gli indirizzi IP sono allocati ai client DHCP. Per specificare l’intervallo di indirizzi affittati, aggiungere la riga seguente.

range 192.168.110.5 192.168.1.10;

Quindi, per specificare il gateway predefinito, aggiungere la seguente riga.

option routers 192.168.110.1;

Per specificare i server dei nomi di dominio, aggiungere la riga seguente.

option domain-name-servers 8.8.8.8, 8.8.4.4;

2.2. Configurazioni globali DHCP

Per configurare un server DHCP, eseguire le seguenti operazioni per configurare le impostazioni globali.

Passo 1: Per specificare il tempo di lease predefinito e massimo, trovare i parametri default-lease-time e max-lease-time nel file di configurazione e modificarne i valori come mostrato di seguito.

default-lease-time 600;max-lease-time 7200;

Fase 2: In caso di più interfacce, definire quale interfaccia il server DHCP deve utilizzare per servire le richieste DHCP. Nel file di configurazione, trovare e modificare il valore di INTERFACESv4 per aggiornarlo con l’interfaccia preferita per servire le richieste.

INTERFACESv4="eth0"

Passaggio 3: Per rendere il server DHCP il server DHCP ufficiale per i client, rimuovere il commento dalla riga seguente nel file di configurazione rimuovendo il carattere # come mostrato di seguito.

$ authoritative;

Dopo aver implementato la precedente configurazione di base, è necessario salvare e chiudere il file di configurazione.

Gestisci dispositivi DHCP

Ora, utilizzare i seguenti comandi per gestire il server DHCP.

Per verificare se il servizio è in esecuzione correttamente, controllare lo stato del servizio DHCP eseguendo il seguente comando in una finestra di terminale.

$ sudo systemctl status isc-dhcp-server.service

Per avviare il servizio DHCP, eseguire il seguente comando in una finestra di terminale.

$ sudo systemctl start isc-dhcp-server.service

Per interrompere il servizio DHCP, eseguire il seguente comando in una finestra di terminale.

$ sudo systemctl stop isc-dhcp-server.service

Per riavviare il servizio DHCP, eseguire il seguente comando in una finestra di terminale.

$ sudo systemctl restart isc-dhcp-server.service

3.1. Configurazione del client DHCP

Successivamente, è necessario configurare le impostazioni di rete nel computer client per ottenere un indirizzo IP da un server DHCP. Qui, usiamo un altro Ubuntu 18.04 LTS come computer client. Nel computer client, aprire l’applicazione Impostazioni dal menu Dash di Ubuntu.

Selezionare la scheda Rete dal riquadro sinistro dell’applicazione Impostazioni e aprire le impostazioni dell’adattatore facendo clic sull’icona cog di fronte ad essa. Assicurati che sia ACCESO. Si aprirà la finestra delle impostazioni dell’adattatore. Ora, selezionare la scheda IPv4 dal menu in alto, quindi selezionare l’opzione Automatica (DHCP).

Fare clic su Applica per salvare le modifiche e riavviare i servizi di rete eseguendo il seguente comando in Terminal.

$ sudo systemctl restart NetworkManager.service

Ora, avviare il terminale e digitare il seguente comando per trovare l’indirizzo IP del sistema.

$ ip a

Il comando di cui sopra si tradurrà in un indirizzo IP che sarà dall’intervallo definito nella configurazione del server DHCP. Se il client non ottiene ancora un indirizzo IP dal server DHCP, riavviare il sistema.

3.2. Elenco indirizzi affittati

Per scoprire quali indirizzi sono stati assegnati ai client dal server DHCP, aprire la macchina configurata come server DHCP e digitare il seguente comando in Terminal.

$ dhcp-lease-list

Il lease è il periodo di tempo per il quale un indirizzo IP viene assegnato a un computer. Da questo elenco, verificare se il client DHCP con MAC: 00:0c:29:d4:cf:69 è fornito con l’indirizzo IP 192.168.110.5 dal server DHCP.

Con questo, la configurazione è completa e il server DHCP è attivo e funzionante. Ora, utilizzare questo server DHCP per assegnare gli indirizzi IP.

Protezione della configurazione DHCP

4.1. Attacchi alla sicurezza DHCP

Un server DHCP è vulnerabile a diversi tipi di attacchi. Diamo un’occhiata ad alcuni dei tipi di attacco e suggerimenti su come prevenire o mitigare questi rischi.

  • Denial of Service

Poiché il protocollo DHCP non richiede l’autenticazione da parte del client per fornire configurazioni di rete, qualsiasi utente che abbia accesso alla rete può ottenere un lease di indirizzo IP. I dati inviati dal server DHCP possono rivelare informazioni sui server DNS IPs, che possono comprendere la sicurezza della rete. Gli utenti malintenzionati che hanno accesso a una rete abilitata per DHCP possono creare un attacco denial-of-service sui server DHCP inondando il server con un numero elevato di richieste di lease, riducendo così il numero di lease disponibili per altri client DHCP.

  • Attacco da fame DHCP

L’attacco da fame DHCP è un attacco in cui l’hacker esaurisce lo spazio di indirizzi disponibile per i server DHCP per un determinato periodo di tempo. Questo tipo di attacco viene condotto trasmettendo richieste DHCP con indirizzi MAC contraffatti. Inoltre, per accedere alla rete, gli aggressori sfruttano il DHCP snooping, un meccanismo utilizzato per fornire la sicurezza della rete filtrando i messaggi DHCP non attendibili e creando e mantenendo un database DHCP snooping binding.

  • Rogue DHCP Server

Un hacker può impostare un server DHCP falso sulla rete attaccata, al fine di causare man-of-the-middle, sniffing e attacchi di ricognizione. Questo server falso è chiamato un server canaglia, e l’attaccante lo usa per fornire ai clienti con indirizzi falsi e altre informazioni di rete per curiosare nei pacchetti di dati. Il server canaglia fornisce quindi i propri server DNS e gateway di rete, che reindirizzano i client a siti Web dannosi in cui eseguono attacchi di phishing per ottenere le loro informazioni riservate come numeri di carte di credito e password.

  • Suggerimenti per la sicurezza

Mantenere protocolli di sicurezza fisici adeguati per i componenti hardware come server, switch e router limita l’accesso non autorizzato al sistema server. Limitare l’accesso wireless per gli individui illeciti all’interno o all’esterno del sistema mantenendo le politiche di accesso degli utenti anche anneal il perimetro di sicurezza.

La registrazione di controllo per ogni server DHCP sulla rete dovrebbe essere abilitata insieme a mantenere una scheda sui file di registro. Questi file di registro garantiscono la sicurezza nei momenti in cui il server DHCP riceve un numero insolitamente elevato di richieste di lease dai client. Un file di registro di controllo contiene le informazioni necessarie per tracciare l’origine degli attacchi effettuati contro il server DHCP. Il registro eventi di sistema deve essere analizzato per informazioni esplicative sul servizio server DHCP pure. Mentre nei casi in cui i client eseguono il sistema operativo Microsoft con switch abilitati 802.1, l’autenticazione avviene prima che il server DHCP assegni un lease, offrendo una maggiore sicurezza.

Inoltre, l’accesso amministrativo al DHCP dovrebbe essere limitato a un numero limitato di individui. Solo un membro del gruppo Administrators o del gruppo Administrators DHCP deve poter amministrare i server DHCP utilizzando la console DHCP o i comandi Netsh per DHCP. Assicurarsi che la categoria di utenti che necessitano di accesso in sola lettura alla console DHCP venga aggiunta al gruppo Utenti DHCP anziché al gruppo Amministratori DHCP. Anche se nulla è completamente sicuro nel mondo informatico, poche misure di sicurezza incluse nella politica di sicurezza possono salvare un’organizzazione dalle minacce informatiche.

Conclusione

Per riassumere le cose, questo tutorial intende aiutare gli utenti a installare e configurare un server DHCP per conto proprio. Si concentra su come configurare un server DHCP per soddisfare esigenze specifiche. Elenca anche vari attacchi che un server DHCP può affrontare e, infine, suggerisce come proteggerlo da questi attacchi.



+