av Bineli Manga, Alibaba Cloud Community Blog författare.
Dynamic Host Configuration Protocol (DHCP) är ett kommunikationsprotokoll som datorer använder för att automatiskt tilldela IP-adresser till enheter som är anslutna till ett lokalt nätverk eller via internet. Före uppfinningen av DHCP-protokollet krävde manuell åtgärd för att lägga till en ny dator i ett nätverk för att lägga till sin Mac-adress till en IP-adress. Att hantera nätverket var komplicerat vid ett stort antal värdar över ett nätverk. Men med DHCP installerat och konfigurerat i ett lokalt nätverk får alla datorer som accepteras i nätverket automatiskt en IP-adress som är associerad med sin Mac-adress. En Domännamnsserver (DNS) hanterar genereringen av IP-adresser, och en DHCP-server distribuerar automatiskt konfigurationen bland värdarna.
denna handledning illustrerar hur du kan installera och konfigurera en DHCP-server i ett lokalt nätverk för att uppnå en helautomatisk nätverkskonfiguration. Denna handledning visar också hur du kan hantera ett litet nätverk som det som är allmänt tillgängligt hemma och hjälper också till att ansluta datorer med andra lokala Internet of Things (IoT) – enheter som lampor, luftkonditioneringsapparater och kylskåp.
förutsättningar
för att komma igång med denna handledning behöver du en Linux virtuell maskin (VM) (helst Ubuntu VM) med tillgång till internet. För detta kan du köpa en Alibaba Cloud Elastic Compute Service (ECS) – instans och välja Ubuntu som operativsystem.
installera DHCP-Server
för att installera DHCP-servern på Linux VM måste du först uppdatera paketförvaret genom att utföra följande kommando.
$ sudo apt-get update
efter uppdatering av paketlistan installerar du DHCP-paketet med följande kommando.
$ sudo apt-get install isc-dhcp-server -y
konfigurera en DHCP-Server
efter installationen av DHCP-servern vill du hämta DHCP-serverns IP-adress med kommandot ifconfig. Exekvering av detta kommando kommer att resultera i IP-adressen (192.168.110.1).
DHCP-konfigurationsfilen finns på /etc/dhcp/dhcpd.conf.
kör följande kommando för att öppna filen.
$ sudo nano /etc/dhcp/dhcpd.conf
2.1. Definiera ett undernät som ska användas
Lägg till följande rader i konfigurationsfilen för att definiera undernät, intervall av IP-adresser, domän-och domännamnsservrar.
subnet 192.168.110.0 netmask 255.255.255.0 {
när du definierar subnätinformation (intervall, standardgateway, domännamnsserver), se till att avsluta raderna med ett semikolon (;)
och bifoga dem i lockiga hängslen { }
. Intervallet definierar uppsättningen IP-adresspool, från vilken IP-adresserna tilldelas DHCP-klienter. För att ange intervallet för hyrda adresser, Lägg till följande rad.
range 192.168.110.5 192.168.1.10;
lägg sedan till följande rad för att ange standardgatewayen.
option routers 192.168.110.1;
Lägg till följande rad för att ange domännamnsservrarna.
option domain-name-servers 8.8.8.8, 8.8.4.4;
2.2. DHCP Global Configurations
för att konfigurera en DHCP-server, utför följande steg för att konfigurera de globala inställningarna.
Steg 1: för att ange standard och maximal leasingtid, hitta parametrarna standard-lease-time och max-lease-time i konfigurationsfilen och ändra deras värden enligt nedan.
default-lease-time 600;max-lease-time 7200;
steg 2: Vid flera gränssnitt, definiera vilket gränssnitt DHCP-servern ska använda för att betjäna DHCP-förfrågningar. I konfigurationsfilen hittar du och redigerar värdet på INTERFACESv4 för att uppdatera det med det föredragna gränssnittet för att betjäna förfrågningarna.
INTERFACESv4="eth0"
steg 3: för att göra DHCP-servern till den officiella DHCP-servern för klienterna, Avkommentera följande rad i konfigurationsfilen genom att ta bort tecknet #
som visas nedan.
$ authoritative;
när du har implementerat föregående grundkonfiguration måste du spara och stänga konfigurationsfilen.
hantera DHCP-enheter
använd nu följande kommandon för att hantera DHCP-servern.
för att kontrollera om tjänsten fungerar bra, kontrollera statusen för DHCP-tjänsten genom att köra följande kommando i ett terminalfönster.
$ sudo systemctl status isc-dhcp-server.service
för att starta DHCP-tjänsten, kör följande kommando i ett terminalfönster.
$ sudo systemctl start isc-dhcp-server.service
för att stoppa DHCP-tjänsten, kör följande kommando i ett terminalfönster.
$ sudo systemctl stop isc-dhcp-server.service
för att starta om DHCP-tjänsten, kör följande kommando i ett terminalfönster.
$ sudo systemctl restart isc-dhcp-server.service
3.1. Konfigurera DHCP-klient
Därefter måste du konfigurera nätverksinställningarna i klientdatorn för att få en IP-adress från en DHCP-server. Här, låt oss använda en annan Ubuntu 18.04 LTS som klientdator. I klientdatorn öppnar du Inställningar från Ubuntus Dash-meny.
välj fliken Nätverk från den vänstra rutan i inställningsprogrammet och öppna adapterinställningarna genom att klicka på kugghjulsikonen framför den. Se till att den är på. Det öppnar fönstret adapterinställningar. Välj Nu fliken IPv4 från toppmenyn och välj sedan alternativet Automatisk (DHCP).
klicka på Verkställ för att spara ändringarna och starta om nätverkstjänster genom att köra följande kommando i Terminal.
$ sudo systemctl restart NetworkManager.service
Starta nu terminalen och skriv följande kommando för att hitta systemets IP-adress.
$ ip a
ovanstående kommando kommer att resultera i en IP-adress som kommer från det intervall som definieras i DHCP-serverkonfigurationen. Om klienten fortfarande inte får en IP-adress från DHCP-servern startar du om systemet.
3.2. Lista hyrda adresser
för att ta reda på vilka adresser som har tilldelats klienter av DHCP-servern, öppna maskinen konfigurerad som en DHCP-server och skriv följande kommando i Terminal.
$ dhcp-lease-list
hyresavtalet är den tid för vilken en IP-adress tilldelas en dator. I den här listan kontrollerar du om DHCP-klienten med MAC: 00:0c:29:d4:cf:69
är försedd med IP-adressen 192.168.110.5 från DHCP-servern.
med detta är installationen klar och DHCP-servern är igång. Använd nu denna DHCP-server för att tilldela IP-adresser.
säkra DHCP-konfigurationen
4.1. DHCP – säkerhetsattacker
en DHCP-server är sårbar för olika typer av attacker. Låt oss ta en titt på några av attacktyperna och tips om hur man förhindrar eller mildrar dessa risker.
- Denial of Service
eftersom DHCP-protokollet inte kräver autentisering från klienten för att tillhandahålla nätverkskonfigurationer kan alla användare som har tillgång till nätverket få en leasing av IP-adress. Data som skickas av DHCP-servern kan avslöja information om DNS-servrarnas IP-adresser, som kan omfatta nätverkets säkerhet. Skadliga användare som har tillgång till ett DHCP-aktiverat nätverk kan skapa en denial-of-service-attack på DHCP-servrar genom att översvämma servern med ett stort antal leasingförfrågningar och därigenom tömma antalet leasingavtal som är tillgängliga för andra DHCP-klienter.
- DHCP-Svältattack
DHCP-svältattacken är en attack där hackaren uttömmer adressutrymmet som är tillgängligt för DHCP-servrarna under en viss tidsperiod. Denna typ av attack utförs genom att sända DHCP-förfrågningar med falska MAC-adresser. För att få tillgång till nätverket utnyttjar angriparna DHCP-snooping, en mekanism som används för att ge nätverkets säkerhet genom att filtrera otillförlitliga DHCP-meddelanden och genom att skapa och underhålla en DHCP-snoopingbindningsdatabas.
- Rogue DHCP-Server
en hacker kan skapa en falsk DHCP-server på det attackerade nätverket för att orsaka man-of-the-middle, sniffing och rekognoseringsattacker. Denna falska server kallas en skurkserver, och angriparen använder den för att förse klienterna med falska adresser och annan nätverksinformation för att snoka in i datapaketen. Rogue-servern tillhandahåller sedan sina egna DNS-servrar och nätverksgateways, som omdirigerar klienter till skadliga webbplatser där de utför phishing-attacker för att få sin konfidentiella information som kreditkortsnummer och lösenord.
- Säkerhetstips
att upprätthålla korrekta fysiska säkerhetsprotokoll för hårdvarukomponenter som servrar, switchar och routrar begränsar obehörig åtkomst till serversystemet. Begränsa trådlös åtkomst för olagliga individer inom eller utanför systemet genom att upprätthålla användaråtkomstpolicyn glödgar också säkerhetsomkretsen.
Granskningsloggning för varje DHCP-server i nätverket bör aktiveras tillsammans med att hålla en flik på loggfiler. Dessa loggfiler säkerställer säkerheten ibland när DHCP-servern får ett ovanligt stort antal hyresförfrågningar från klienterna. En granskningsloggfil innehåller den information som krävs för att spåra källan till attacker mot DHCP-servern. Systemhändelseloggen ska också analyseras för förklarande information om DHCP-servertjänsten. I de fall där klienterna kör Microsoft OS med 802.1-aktiverade switchar sker autentisering före DHCP-servern för att tilldela ett leasingavtal, vilket ger bättre säkerhet.
dessutom bör administrativ åtkomst till DHCP begränsas till ett begränsat antal individer. Endast en medlem i gruppen administratörer eller gruppen DHCP-administratörer får administrera DHCP-servrar med DHCP-konsolen eller Netsh-kommandona för DHCP. Se till att kategorin användare som behöver skrivskyddad åtkomst till DHCP-konsolen läggs till i gruppen DHCP-användare istället för i gruppen DHCP-administratörer. Även om ingenting är helt säkert i cybervärlden kan få säkerhetsåtgärder som ingår i säkerhetspolicyn rädda en organisation från cyberhot.
slutsats
för att sammanfatta saker avser denna handledning att hjälpa användare att installera och konfigurera en DHCP-server på egen hand. Den fokuserar på hur man konfigurerar en DHCP-server för att matcha specifika behov. Den listar också olika attacker som en DHCP-server kan möta och föreslår slutligen hur man skyddar den från dessa attacker.