Bineli Manga, autor bloga Alibaba Cloud Community.
Dynamic Host Configuration Protocol (DHCP) to protokół komunikacyjny używany przez komputery do automatycznego przypisywania adresów IP do urządzeń podłączonych do sieci lokalnej lub przez internet. Przed wynalezieniem protokołu DHCP dodanie nowego komputera do sieci wymagało ręcznego dodania adresu Mac do adresu IP. Zarządzanie siecią było skomplikowane w przypadku dużej liczby hostów w sieci. Jednak po zainstalowaniu i skonfigurowaniu DHCP w sieci lokalnej każdy komputer zaakceptowany w sieci automatycznie otrzymuje adres IP powiązany z jego adresem Mac. Serwer nazw domen (DNS) zarządza generowaniem adresów IP, a serwer DHCP automatycznie rozdziela konfigurację między hosty.
ten samouczek zilustruje, w jaki sposób można zainstalować i skonfigurować serwer DHCP w sieci lokalnej, aby uzyskać w pełni automatyczną konfigurację sieci. Ten samouczek pokaże również, jak możesz zarządzać małą siecią, taką jak ta ogólnie dostępna w domu, a także pomoże w łączeniu komputerów z innymi lokalnymi urządzeniami Internet of Things (IoT), takimi jak światła, klimatyzatory i lodówki.
wymagania wstępne
aby rozpocząć korzystanie z tego samouczka, potrzebujesz wirtualnej maszyny Linux (VM) (najlepiej Ubuntu VM) z dostępem do Internetu. W tym celu możesz kupić instancję Alibaba Cloud Elastic Compute Service (ECS) i wybrać Ubuntu jako system operacyjny.
Instalacja serwera DHCP
aby zainstalować serwer DHCP na maszynie Wirtualnej z systemem Linux, musisz najpierw zaktualizować repozytorium pakietów, wykonując następujące polecenie.
$ sudo apt-get update
po zaktualizowaniu listy pakietów zainstaluj pakiet DHCP za pomocą następującego polecenia.
$ sudo apt-get install isc-dhcp-server -y
Konfigurowanie serwera DHCP
po zainstalowaniu serwera DHCP należy uzyskać adres IP serwera DHCP za pomocą polecenia ifconfig. Wykonanie tej komendy spowoduje podanie adresu IP (192.168.110.1).
plik konfiguracyjny DHCP znajduje się pod adresem /etc/dhcp/dhcpd.conf.
uruchom następujące polecenie, aby otworzyć plik.
$ sudo nano /etc/dhcp/dhcpd.conf
2.1. Definiowanie podsieci do użycia
dodaj następujące wiersze w pliku konfiguracyjnym, aby zdefiniować podsieć, zakres adresów IP, domenę i serwery nazw domen.
subnet 192.168.110.0 netmask 255.255.255.0 {
definiując informacje o podsieci (zakres, Brama domyślna, serwer nazw domen), upewnij się, że kończysz linie średnikiem (;)
i zamykasz je nawiasami klamrowymi { }
. Zakres określa zestaw puli adresów IP, z którego adresy IP są przydzielane klientom DHCP. Aby określić zakres adresów dzierżawionych, Dodaj następujący wiersz.
range 192.168.110.5 192.168.1.10;
następnie, aby określić domyślną bramę, dodaj następującą linię.
option routers 192.168.110.1;
aby określić serwery nazw domen, dodaj następującą linię.
option domain-name-servers 8.8.8.8, 8.8.4.4;
2.2. Konfiguracje Globalne DHCP
aby skonfigurować serwer DHCP, wykonaj następujące kroki, aby skonfigurować ustawienia globalne.
Krok 1: aby określić domyślny i maksymalny czas dzierżawy, Znajdź Parametry default-lease-time I max-lease-time w pliku konfiguracyjnym i zmień ich wartości, jak pokazano poniżej.
default-lease-time 600;max-lease-time 7200;
Krok 2: W przypadku wielu interfejsów określ, którego interfejsu serwer DHCP powinien używać do obsługi żądań DHCP. W pliku konfiguracyjnym znajdź i edytuj wartość INTERFACESv4, aby zaktualizować ją za pomocą preferowanego interfejsu do obsługi żądań.
INTERFACESv4="eth0"
Krok 3: aby serwer DHCP stał się oficjalnym serwerem DHCP dla klientów, rozpakuj poniższą linię w pliku konfiguracyjnym, usuwając znak #
, jak pokazano poniżej.
$ authoritative;
po zaimplementowaniu poprzedniej konfiguracji podstawowej należy zapisać i zamknąć plik konfiguracyjny.
Zarządzaj urządzeniami DHCP
teraz do zarządzania serwerem DHCP użyj następujących poleceń.
aby sprawdzić, czy usługa działa prawidłowo, sprawdź stan usługi DHCP, uruchamiając następujące polecenie w oknie terminala.
$ sudo systemctl status isc-dhcp-server.service
aby uruchomić usługę DHCP, uruchom następujące polecenie w oknie terminala.
$ sudo systemctl start isc-dhcp-server.service
aby zatrzymać usługę DHCP, uruchom następujące polecenie w oknie terminala.
$ sudo systemctl stop isc-dhcp-server.service
aby ponownie uruchomić usługę DHCP, uruchom następujące polecenie w oknie terminala.
$ sudo systemctl restart isc-dhcp-server.service
3.1. Konfiguracja klienta DHCP
Następnie należy skonfigurować ustawienia sieciowe na komputerze klienckim, aby uzyskać adres IP z serwera DHCP. Tutaj użyjmy innego Ubuntu 18.04 LTS jako komputera klienckiego. Na komputerze klienckim otwórz aplikację Ustawienia z menu Dash Ubuntu.
wybierz kartę Sieć z lewego panelu aplikacji Ustawienia i otwórz Ustawienia karty, klikając ikonę koła zębatego przed nią. Upewnij się, że jest włączony. Otworzy się okno ustawień adaptera. Teraz wybierz kartę IPv4 z górnego menu, a następnie wybierz opcję Automatyczny (DHCP).
kliknij Zastosuj, aby zapisać zmiany i ponownie uruchomić usługi sieciowe, uruchamiając następujące polecenie w Terminalu.
$ sudo systemctl restart NetworkManager.service
Teraz uruchom Terminal i wpisz następujące polecenie, aby znaleźć adres IP systemu.
$ ip a
powyższe polecenie spowoduje, że adres IP będzie pochodził z zakresu zdefiniowanego w konfiguracji serwera DHCP. Jeśli klient nadal nie uzyska adresu IP z serwera DHCP, uruchom ponownie system.
3.2. Lista dzierżawionych adresów
aby dowiedzieć się, jakie adresy zostały przypisane klientom przez serwer DHCP, otwórz maszynę skonfigurowaną jako serwer DHCP i wpisz następujące polecenie w aplikacji Terminal.
$ dhcp-lease-list
dzierżawa to czas, na jaki adres IP jest przypisany do komputera. Na tej liście sprawdź, czy klient DHCP o numerze MAC: 00:0c:29:d4:cf:69
ma adres IP 192.168.110.5 z serwera DHCP.
dzięki temu konfiguracja jest zakończona, a serwer DHCP jest uruchomiony. Teraz Użyj tego serwera DHCP do przypisywania adresów IP.
zabezpieczanie konfiguracji DHCP
4.1. Ataki DHCP
serwer DHCP jest podatny na różnego rodzaju ataki. Przyjrzyjmy się niektórym rodzajom ataków i wskazówkom, jak zapobiegać tym zagrożeniom lub je ograniczać.
- odmowa usługi
ponieważ protokół DHCP nie wymaga uwierzytelniania od klienta w celu zapewnienia konfiguracji Sieci, każdy użytkownik, który ma dostęp do sieci, może uzyskać dzierżawę adresu IP. Dane wysyłane przez serwer DHCP mogą ujawniać informacje o adresach IP serwerów DNS, które mogą obejmować bezpieczeństwo sieci. Złośliwi użytkownicy, którzy mają dostęp do sieci obsługującej DHCP, mogą wywołać atak typu denial-of-service na serwery DHCP, zalewając serwer dużą liczbą żądań dzierżawy, zmniejszając w ten sposób liczbę dzierżaw dostępnych dla innych klientów DHCP.
- atak głodowy DHCP
atak głodowy DHCP jest atakiem, w którym haker wyczerpuje przestrzeń adresową dostępną dla serwerów DHCP przez określony czas. Ten rodzaj ataku jest przeprowadzany przez nadawanie żądań DHCP z fałszywymi adresami MAC. Ponadto, aby uzyskać dostęp do sieci, atakujący wykorzystują DHCP snooping, mechanizm używany do zapewnienia bezpieczeństwa sieci poprzez filtrowanie niezaufanych wiadomości DHCP oraz tworzenie i utrzymywanie wiążącej bazy danych DHCP snooping.
- nieuczciwy serwer DHCP
haker może skonfigurować fałszywy serwer DHCP w zaatakowanej sieci, aby wywołać ataki typu man-of-the-middle, sniffing i reconnaissance. Ten fałszywy serwer nazywa się nieuczciwym serwerem, a atakujący używa go do dostarczania klientom fałszywych adresów i innych informacji sieciowych do wglądu w pakiety danych. Nieuczciwy serwer udostępnia następnie własne serwery DNS i bramy sieciowe, które przekierowują klientów do złośliwych stron internetowych, gdzie przeprowadzają ataki phishingowe, aby uzyskać poufne informacje, takie jak numery kart kredytowych i hasła.
- Wskazówki dotyczące bezpieczeństwa
utrzymywanie odpowiednich fizycznych protokołów bezpieczeństwa komponentów sprzętowych, takich jak serwery, Przełączniki i routery, ogranicza nieautoryzowany dostęp do systemu serwerowego. Ograniczenie dostępu Bezprzewodowego dla nielegalnych osób wewnątrz lub na zewnątrz systemu poprzez utrzymanie zasad dostępu użytkowników również obniża poziom bezpieczeństwa.
rejestrowanie inspekcji dla każdego serwera DHCP w sieci powinno być włączone wraz z utrzymaniem karty w plikach dziennika. Te pliki dziennika zapewniają bezpieczeństwo w czasach, gdy serwer DHCP otrzymuje niezwykle dużą liczbę żądań dzierżawy od klientów. Plik dziennika audytu zawiera informacje wymagane do śledzenia źródła ataków na serwer DHCP. Dziennik zdarzeń systemowych powinien być analizowany w celu uzyskania informacji wyjaśniających o usłudze serwera DHCP. W przypadku, gdy klienci korzystają z systemu operacyjnego Microsoft z włączonymi przełącznikami 802.1, uwierzytelnianie odbywa się przed serwerem DHCP w celu przypisania dzierżawy, oferując lepsze bezpieczeństwo.
ponadto dostęp administracyjny do DHCP powinien być ograniczony do ograniczonej liczby osób. Tylko członek grupy Administratorzy lub grupy Administratorzy DHCP powinien mieć prawo do administrowania serwerami DHCP przy użyciu konsoli DHCP lub poleceń Netsh dla DHCP. Upewnij się, że kategoria użytkowników, którzy potrzebują dostępu tylko do odczytu do konsoli DHCP, zostanie dodana do grupy użytkowników DHCP, a nie do grupy administratorów DHCP. Mimo że nic nie jest całkowicie bezpieczne w cyber świecie, niewiele środków bezpieczeństwa zawartych w polityce bezpieczeństwa może uratować organizację przed zagrożeniami cybernetycznymi.
wniosek
podsumowując, ten poradnik ma na celu pomóc użytkownikom samodzielnie zainstalować i skonfigurować serwer DHCP. Koncentruje się na tym, jak skonfigurować serwer DHCP, aby dopasować go do konkretnych potrzeb. Zawiera również listę różnych ataków, które mogą napotkać serwer DHCP, a na koniec sugeruje, jak go chronić przed tymi atakami.