SlideShare ist ein Scribd-Unternehmen logo

DHCP - Protocolo de Configuração Dinâmica de Endereços de Rede

Als PPTX, PDF herunterladen
Rodrigo Azevedo
Rodrigo Azevedo

O documento discute o protocolo DHCP, incluindo seu objetivo de fornecer endereços IP e parâmetros de rede dinamicamente para hosts, seu modelo cliente-servidor e os três modelos de alocação de endereços. Também descreve as mensagens DHCP e formatos, além de abordar questões de segurança e sugestões para mitigá-las.

Technologie
1 von 16
Especialização em Redes de Computadores Dynamic Host Configuration Protocol TCPIP 2 Professor Anderson Silva Rodrigo Moreira de Azevedo
Introdução • O objetivo é entregar endereço e parâmetros da rede dinamicamente para hosts em uma rede. • DHCP é baseado no protocolo BOOTP ( Bootstrap Protocol ) • Possui um modelo Cliente/Servidor • Três modelos de entrega de endereço : - Alocação automática - Alocação dinâmica - Alocação manual • Suporta ipv4 e ipv6
Principais objetivos • Clientes não necessitam de nenhum tipo de configuração manual para o protocolo DHCP funcionar. • O protocolo DHCP não necessita de um servidor em cada sub-rede. • Precisa interoperar com o protocolo BOOTP conforme descrito pela RFC951 e RFC1542.
Formato da mensagem DHCP
Formato da mensagem DHCP • op – Código da operação 1 – BOOTREQUEST 2 – BOOTREPLY • htype – Hardware address type • hops – Usado por agentes de relay • Hlen – Tamanho do endereço de hardware • xid – ID de transação gerado pelo cliente • secs – Tempos em segundos usado pelo cliente • flags – Broadcast flag usado quando software TCP/IP não aceita datagrama unicast de hardware • ciaddr – Endereço IP do cliente • yiaddr – Endereço IP oferecido ao cliente
Formato da mensagem DHCP • siaddr – Endereço IP do servidor DHCP • chaddr – Endereço de hardware do cliente • sname – Nome do host servidor DHCP • file – Nome do arquivo de boot • options – Campo de parâmetros opcionais
Mensagens DHCP DHCPDISCOVER • Cliente->Servidor | Usado para descobrir servidores DHCP DHCPOFFER • Servidor->Cliente | Resposta do DHCPDISCOVER DHCPREQUEST • Cliente->Servidor | Solicita alguns parâmetros oferecidos pelo servidor DHCPACK • Servidor->Cliente | Parâmetros solicitados pelo cliente DHCPNAK • Servidor->Cliente | Enviado quando o endereço IP está incorreto ou o período de lease expirado DHCPDECLINE • Cliente->Servidor | Informa que o endereço IP já está em uso DHCPRELEASE • Cliente->Servidor | Cliente libera o endereço IP para uso em outro host DHCPINFORM • Cliente->Servidor | Solicitação de parâmetros locais quando já possui um endereço configurado
Exemplo – Alocação end. IP Cliente • DHCPDISCOVER Servidor • DHCPOFFER Cliente • DHCPREQUEST Servidor • DHCPACK Cliente Servidor • DHCPRELEASE
DHCP ipv6 • Pode ser de dois tipos: - Stateless ou Statefull • DUID (DHCP Unique Identifier) • IAID (Identity Association) • Coexiste com DHCP ipv4 • Configura o gateway através de mensagens RA (Router Advertisements) • Router Advertisements são mensagens ICMPv6 enviadas para o grupo de multicast FF02::1 (tipo broadcast do ipv4)
Problemas de segurança Protocolo sem autenticação Quando um host é conectado em um rede que possui um servidor DHCP, não é solicitada qualquer tipo de autenticação para o host ou usuário. Servidores não autorizados Se uma pessoa mal intencionada disponibiliza um servidor DHCP, é possível que este dispositivo responda as solicitações do cliente e fornecer informações de configuração. Isso pode ser usado para fazer os clientes inutilizáveis na rede, ou pior, configurá-los para novos abusos mais tarde. Por exemplo, um hacker poderia explorar um servidor DHCP falso para dirigir um cliente DHCP para usar um roteador sob controle do hacker, em vez de o que o cliente deveria usar. Clientes não autorizados Um cliente pode ser configurado para que simule um cliente DHCP legítimo e, assim, obter informações de configuração destinados para esse cliente, o que poderia, então, ser usado para comprometer a rede mais tarde. Como alternativa, um cliente mal intencionado pode usar o software para gerar lotes de falsos pedidos de cliente DHCP para usar todos os endereços IP no Pool de um servidor DHCP. Mais simples, isso poderia ser usado por um ladrão para roubar um endereço IP de uma organização para seu próprio uso.
Como detectar ? • Existem algumas ferramentas que auxiliam na detecção de servidores DHCP em operação na rede. • dhcploc.exe – Disponível no Windows Support Tools Exemplo: - dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList] • dhcp_probe – Disponível no site http://www.net.princeton.edu/software/dhcp_probe/ Exemplo: - /usr/local/sbin/dhcp_probe -f -d 11 hme0
DHCP Snooping • Implementado na camada 2 de rede • Configurado diretamente no Switch, quando o mesmo suporta essa funcionalidade • Conceito de porta confiável e não confiável • Exemplo de configuração: # Cat4(config)#ip dhcp snooping # Cat2(config)#ip dhcp snooping vlan 10 # Cat2(config)#int fa0/23 # Cat2(config-if)#ip dhcp snooping trust
Microsoft NAP • Microsoft DHCP Server com Network Access Protection • Disponível a partir do Windows 2008 Standart • O NAP é habilitado no servidor DHCP. • Permite implementar políticas de segurança de acesso a rede
Sugestões • Implementar switches no lugar dos hubs e garantir que os switches evitem falsificação de endereço MAC. Muitos dos possíveis ataques DHCP dependem ou são facilitados por meio de técnicas de spoofing MAC. • Utilizar técnicas de detecção de ativos para identificar potenciais servidores hostis de DNS. O IDS Snort, por exemplo, tem um plug-in disponível para esta finalidade. • Bloquear o protocolo DHCP (portas UDP 67 e 68) no firewall separando a rede local da internet. • Considere o uso de uma lista de endereços MAC no servidor DHCP.
Sugestões • Desinstale ou desabilite quaisquer agentes de relay DHCP/BOOTP no firewall e sobre quaisquer roteadores onde não é necessário. • Atribuir endereços IP fixos para servidores da rede DMZ, servidores internos críticos e clientes de Internet críticos. O serviço de cliente DHCP também deve ser desativado nessas máquinas. • Usar um servidor membro que não é um controlador de domínio para o seu servidor DHCP. • Permitir somente atualizações dinâmicas “SEGURAS” de hosts no servidor DNS
Sugestões • Verifique regulamente os logs e audite este periodicamente. Em ambiente Windows este log pode ser localizado na pasta “%SystemRoot%system32DHCP directory”. • Se possível, utilize autenticação de um servidor RADIUS ao invés de senha compartilhada em redes IEEE 802.11x. ( WPA2-Enterprise ao invés de WPA2-Personal.

Empfohlen

Protocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosProtocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosFábio dos Reis
 
Introdução ao dhcp
Introdução ao dhcpIntrodução ao dhcp
Introdução ao dhcpMarcelo Gomes
 
Redes prática - DHCP
Redes prática - DHCPRedes prática - DHCP
Redes prática - DHCPLuiz Arthur
 
Redes dhcp
Redes dhcpRedes dhcp
Redes dhcpMauro Duarte
 
Dhcp
DhcpDhcp
DhcpPatrícia Morais
 
Protocolo dhcp
Protocolo dhcpProtocolo dhcp
Protocolo dhcpDony Bellino
 
Aula 09 instalação e configuração dhcp
Aula 09 instalação e configuração dhcpAula 09 instalação e configuração dhcp
Aula 09 instalação e configuração dhcpAparicio Junior
 
Servidor DHCP - Linux - Bóson Treinamentos
Servidor DHCP - Linux - Bóson TreinamentosServidor DHCP - Linux - Bóson Treinamentos
Servidor DHCP - Linux - Bóson TreinamentosFábio dos Reis
 

Empfohlen

Protocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosProtocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosFábio dos Reis
 
Introdução ao dhcp
Introdução ao dhcpIntrodução ao dhcp
Introdução ao dhcpMarcelo Gomes
 
Redes prática - DHCP
Redes prática - DHCPRedes prática - DHCP
Redes prática - DHCPLuiz Arthur
 
Redes dhcp
Redes dhcpRedes dhcp
Redes dhcpMauro Duarte
 
Dhcp
DhcpDhcp
DhcpPatrícia Morais
 
Protocolo dhcp
Protocolo dhcpProtocolo dhcp
Protocolo dhcpDony Bellino
 
Aula 09 instalação e configuração dhcp
Aula 09 instalação e configuração dhcpAula 09 instalação e configuração dhcp
Aula 09 instalação e configuração dhcpAparicio Junior
 
Servidor DHCP - Linux - Bóson Treinamentos
Servidor DHCP - Linux - Bóson TreinamentosServidor DHCP - Linux - Bóson Treinamentos
Servidor DHCP - Linux - Bóson TreinamentosFábio dos Reis
 
Dhcp
DhcpDhcp
Dhcpmar_lucios
 
Instalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCPInstalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCPJoeldson Costa Damasceno
 
Linux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcpLinux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcpRui Lopes
 
Redes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCPRedes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCPCleber Fonseca
 
Trabalho rede de computadores 6º si
Trabalho rede de computadores 6º siTrabalho rede de computadores 6º si
Trabalho rede de computadores 6º siMarcos Vinícius Brum
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcpMarlon Vinicius da Silva
 
Nat Mikrotik
Nat MikrotikNat Mikrotik
Nat MikrotikCelso Luiz Domingues
 
funcionamento da internet
funcionamento da internetfuncionamento da internet
funcionamento da internetMarco Pinheiro
 
Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008Joeldson Costa Damasceno
 
Apresentação geral
Apresentação geralApresentação geral
Apresentação geralwagnercorreia82
 
Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1Licínio Rocha
 
Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2SoftD Abreu
 
Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2Felipe Pereira
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1SoftD Abreu
 
Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6Mauro Tapajós
 
Redes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IPRedes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IPMauro Tapajós
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcpMarlon Vinicius da Silva
 
Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)#Jão Pablo
 
07 - Atividade III
07 - Atividade III07 - Atividade III
07 - Atividade IIIMarlon Vinicius da Silva
 
Aula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdfAula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdfJfersonMendonadeLima
 
Dhcp windows 2003
Dhcp windows 2003Dhcp windows 2003
Dhcp windows 2003fernandao777
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPAndre Peres
 

Weitere ähnliche Inhalte

Was ist angesagt?

Instalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCPInstalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCPJoeldson Costa Damasceno
 
Linux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcpLinux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcpRui Lopes
 
Redes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCPRedes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCPCleber Fonseca
 
Trabalho rede de computadores 6º si
Trabalho rede de computadores 6º siTrabalho rede de computadores 6º si
Trabalho rede de computadores 6º siMarcos Vinícius Brum
 
funcionamento da internet
funcionamento da internetfuncionamento da internet
funcionamento da internetMarco Pinheiro
 
Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008Joeldson Costa Damasceno
 
Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1Licínio Rocha
 
Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2SoftD Abreu
 
Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2Felipe Pereira
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1SoftD Abreu
 
Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6Mauro Tapajós
 
Redes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IPRedes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IPMauro Tapajós
 
Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)#Jão Pablo
 

Was ist angesagt? (19)

Dhcp
DhcpDhcp
Dhcp
 
Instalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCPInstalação e configuração - Servidor DHCP
Instalação e configuração - Servidor DHCP
 
Linux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcpLinux Ubuntu Server - Configurar dhcp
Linux Ubuntu Server - Configurar dhcp
 
Redes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCPRedes de computadores 2 - Aula 6 - DNS, DHCP
Redes de computadores 2 - Aula 6 - DNS, DHCP
 
Trabalho rede de computadores 6º si
Trabalho rede de computadores 6º siTrabalho rede de computadores 6º si
Trabalho rede de computadores 6º si
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcp
 
Nat Mikrotik
Nat MikrotikNat Mikrotik
Nat Mikrotik
 
funcionamento da internet
funcionamento da internetfuncionamento da internet
funcionamento da internet
 
Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008Instalação de Servidor FTP - Microsoft Windows Server 2008
Instalação de Servidor FTP - Microsoft Windows Server 2008
 
Apresentação geral
Apresentação geralApresentação geral
Apresentação geral
 
Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1Dns Dhcp Proxy Server1
Dns Dhcp Proxy Server1
 
Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2Samba, Squid, FTP, DHCP2
Samba, Squid, FTP, DHCP2
 
Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2Redes arquitetura tcp-ip parte 2
Redes arquitetura tcp-ip parte 2
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1
 
Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6Redes Avançadas - 2.IPv6
Redes Avançadas - 2.IPv6
 
Redes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IPRedes de computadores II - 5.Serviços em Redes TCP/IP
Redes de computadores II - 5.Serviços em Redes TCP/IP
 
05 servidor dhcp
05 servidor dhcp05 servidor dhcp
05 servidor dhcp
 
Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)Minicurso - Conceitos de Redes (2018)
Minicurso - Conceitos de Redes (2018)
 
07 - Atividade III
07 - Atividade III07 - Atividade III
07 - Atividade III
 

Ähnlich wie DHCP - Protocolo de Configuração Dinâmica de Endereços de Rede

Aula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdfAula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdfJfersonMendonadeLima
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPAndre Peres
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
ana.pptx
ana.pptxana.pptx
ana.pptxCidrone
 
Configurando uma rede wireless de pequeno porte
Configurando uma rede wireless de pequeno porteConfigurando uma rede wireless de pequeno porte
Configurando uma rede wireless de pequeno porteCIJUN
 
Economize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCacheEconomize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCacheRodrigo Immaginario
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoWilson Rogerio Lopes
 
Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Carlos Melo
 

Ähnlich wie DHCP - Protocolo de Configuração Dinâmica de Endereços de Rede (20)

Aula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdfAula 02 - Configuração de Servidor DHCP.pdf
Aula 02 - Configuração de Servidor DHCP.pdf
 
Dhcp windows 2003
Dhcp windows 2003Dhcp windows 2003
Dhcp windows 2003
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
Dhcpv6
Dhcpv6Dhcpv6
Dhcpv6
 
05 - Aervidor DHCP
05 - Aervidor DHCP05 - Aervidor DHCP
05 - Aervidor DHCP
 
DHCP
DHCPDHCP
DHCP
 
ana.pptx
ana.pptxana.pptx
ana.pptx
 
Cisco ccna modulo 04
Cisco ccna modulo 04Cisco ccna modulo 04
Cisco ccna modulo 04
 
Aula11semana
Aula11semanaAula11semana
Aula11semana
 
Aula12semana
Aula12semanaAula12semana
Aula12semana
 
Aplicações web parte 1
Aplicações web parte 1Aplicações web parte 1
Aplicações web parte 1
 
Configurando uma rede wireless de pequeno porte
Configurando uma rede wireless de pequeno porteConfigurando uma rede wireless de pequeno porte
Configurando uma rede wireless de pequeno porte
 
MIKROTIK - SERVIDOR DHCP.docx
MIKROTIK - SERVIDOR DHCP.docxMIKROTIK - SERVIDOR DHCP.docx
MIKROTIK - SERVIDOR DHCP.docx
 
Economize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCacheEconomize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCache
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
 
Aula 5 semana
Aula 5 semanaAula 5 semana
Aula 5 semana
 
Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011
 
HornetQ - 5.Transports
HornetQ - 5.TransportsHornetQ - 5.Transports
HornetQ - 5.Transports
 
Cirrus
CirrusCirrus
Cirrus
 

DHCP - Protocolo de Configuração Dinâmica de Endereços de Rede

  • 1. Especialização em Redes de Computadores Dynamic Host Configuration Protocol TCPIP 2 Professor Anderson Silva Rodrigo Moreira de Azevedo
  • 2. Introdução • O objetivo é entregar endereço e parâmetros da rede dinamicamente para hosts em uma rede. • DHCP é baseado no protocolo BOOTP ( Bootstrap Protocol ) • Possui um modelo Cliente/Servidor • Três modelos de entrega de endereço : - Alocação automática - Alocação dinâmica - Alocação manual • Suporta ipv4 e ipv6
  • 3. Principais objetivos • Clientes não necessitam de nenhum tipo de configuração manual para o protocolo DHCP funcionar. • O protocolo DHCP não necessita de um servidor em cada sub-rede. • Precisa interoperar com o protocolo BOOTP conforme descrito pela RFC951 e RFC1542.
  • 5. Formato da mensagem DHCP • op – Código da operação 1 – BOOTREQUEST 2 – BOOTREPLY • htype – Hardware address type • hops – Usado por agentes de relay • Hlen – Tamanho do endereço de hardware • xid – ID de transação gerado pelo cliente • secs – Tempos em segundos usado pelo cliente • flags – Broadcast flag usado quando software TCP/IP não aceita datagrama unicast de hardware • ciaddr – Endereço IP do cliente • yiaddr – Endereço IP oferecido ao cliente
  • 6. Formato da mensagem DHCP • siaddr – Endereço IP do servidor DHCP • chaddr – Endereço de hardware do cliente • sname – Nome do host servidor DHCP • file – Nome do arquivo de boot • options – Campo de parâmetros opcionais
  • 7. Mensagens DHCP DHCPDISCOVER • Cliente->Servidor | Usado para descobrir servidores DHCP DHCPOFFER • Servidor->Cliente | Resposta do DHCPDISCOVER DHCPREQUEST • Cliente->Servidor | Solicita alguns parâmetros oferecidos pelo servidor DHCPACK • Servidor->Cliente | Parâmetros solicitados pelo cliente DHCPNAK • Servidor->Cliente | Enviado quando o endereço IP está incorreto ou o período de lease expirado DHCPDECLINE • Cliente->Servidor | Informa que o endereço IP já está em uso DHCPRELEASE • Cliente->Servidor | Cliente libera o endereço IP para uso em outro host DHCPINFORM • Cliente->Servidor | Solicitação de parâmetros locais quando já possui um endereço configurado
  • 8. Exemplo – Alocação end. IP Cliente • DHCPDISCOVER Servidor • DHCPOFFER Cliente • DHCPREQUEST Servidor • DHCPACK Cliente Servidor • DHCPRELEASE
  • 9. DHCP ipv6 • Pode ser de dois tipos: - Stateless ou Statefull • DUID (DHCP Unique Identifier) • IAID (Identity Association) • Coexiste com DHCP ipv4 • Configura o gateway através de mensagens RA (Router Advertisements) • Router Advertisements são mensagens ICMPv6 enviadas para o grupo de multicast FF02::1 (tipo broadcast do ipv4)
  • 10. Problemas de segurança Protocolo sem autenticação Quando um host é conectado em um rede que possui um servidor DHCP, não é solicitada qualquer tipo de autenticação para o host ou usuário. Servidores não autorizados Se uma pessoa mal intencionada disponibiliza um servidor DHCP, é possível que este dispositivo responda as solicitações do cliente e fornecer informações de configuração. Isso pode ser usado para fazer os clientes inutilizáveis na rede, ou pior, configurá-los para novos abusos mais tarde. Por exemplo, um hacker poderia explorar um servidor DHCP falso para dirigir um cliente DHCP para usar um roteador sob controle do hacker, em vez de o que o cliente deveria usar. Clientes não autorizados Um cliente pode ser configurado para que simule um cliente DHCP legítimo e, assim, obter informações de configuração destinados para esse cliente, o que poderia, então, ser usado para comprometer a rede mais tarde. Como alternativa, um cliente mal intencionado pode usar o software para gerar lotes de falsos pedidos de cliente DHCP para usar todos os endereços IP no Pool de um servidor DHCP. Mais simples, isso poderia ser usado por um ladrão para roubar um endereço IP de uma organização para seu próprio uso.
  • 11. Como detectar ? • Existem algumas ferramentas que auxiliam na detecção de servidores DHCP em operação na rede. • dhcploc.exe – Disponível no Windows Support Tools Exemplo: - dhcploc /p /a:"AlertNameList" /i:AlertInterval ComputerIPAddress [ValidDHCPServerList] • dhcp_probe – Disponível no site http://www.net.princeton.edu/software/dhcp_probe/ Exemplo: - /usr/local/sbin/dhcp_probe -f -d 11 hme0
  • 12. DHCP Snooping • Implementado na camada 2 de rede • Configurado diretamente no Switch, quando o mesmo suporta essa funcionalidade • Conceito de porta confiável e não confiável • Exemplo de configuração: # Cat4(config)#ip dhcp snooping # Cat2(config)#ip dhcp snooping vlan 10 # Cat2(config)#int fa0/23 # Cat2(config-if)#ip dhcp snooping trust
  • 13. Microsoft NAP • Microsoft DHCP Server com Network Access Protection • Disponível a partir do Windows 2008 Standart • O NAP é habilitado no servidor DHCP. • Permite implementar políticas de segurança de acesso a rede
  • 14. Sugestões • Implementar switches no lugar dos hubs e garantir que os switches evitem falsificação de endereço MAC. Muitos dos possíveis ataques DHCP dependem ou são facilitados por meio de técnicas de spoofing MAC. • Utilizar técnicas de detecção de ativos para identificar potenciais servidores hostis de DNS. O IDS Snort, por exemplo, tem um plug-in disponível para esta finalidade. • Bloquear o protocolo DHCP (portas UDP 67 e 68) no firewall separando a rede local da internet. • Considere o uso de uma lista de endereços MAC no servidor DHCP.
  • 15. Sugestões • Desinstale ou desabilite quaisquer agentes de relay DHCP/BOOTP no firewall e sobre quaisquer roteadores onde não é necessário. • Atribuir endereços IP fixos para servidores da rede DMZ, servidores internos críticos e clientes de Internet críticos. O serviço de cliente DHCP também deve ser desativado nessas máquinas. • Usar um servidor membro que não é um controlador de domínio para o seu servidor DHCP. • Permitir somente atualizações dinâmicas “SEGURAS” de hosts no servidor DNS
  • 16. Sugestões • Verifique regulamente os logs e audite este periodicamente. Em ambiente Windows este log pode ser localizado na pasta “%SystemRoot%system32DHCP directory”. • Se possível, utilize autenticação de um servidor RADIUS ao invés de senha compartilhada em redes IEEE 802.11x. ( WPA2-Enterprise ao invés de WPA2-Personal.