Dynamic Host Configuration Protocol
O DHCP, Dynamic Host Configuration Protocol (Protocolo de configuração de host dinâmico), é um protocolo de serviço TCP/IP que oferece configuração dinâmica de terminais, com concessão de endereços IP de host e outros parâmetros de configuração para clientes de rede. Este protocolo é o sucessor do BOOTP que, embora mais simples, tornou-se limitado para as exigências atuais. O DHCP surgiu como padrão em Outubro de 1993. O RFC 2131 contém as especificações mais atuais (março de 1997). O último standard para a especificação do DHCP sobre IPv6 (DHCPv6) foi publicado a Julho de 2003 como RFC 3315.
Resumidamente, o DHCP opera da seguinte forma:
- Um cliente envia um pacote UDP em broadcast (destinado a todas as máquinas) com um pedido DHCP
- Os servidores DHCP que capturarem este pacote irão responder (se o cliente se enquadrar numa série de critérios — ver abaixo) com um pacote com configurações onde constará, pelo menos, um endereço IP, uma máscara de rede e outros dados opcionais winks , como o gateway, servidores de DNS, etc.
O DHCP usa um modelo cliente-servidor, no qual o servidor DHCP mantém o gerenciamento centralizado dos endereços IP usados na rede.
Índice |
[editar] Critérios de atribuição de IPs
O DHCP oferece três tipos de alocação de endereços IP:
- Atribuição manual - Onde não existe uma tabela de associação entre o Endereço MAC do cliente (que será comparado através do pacote broadcast recebido) e o endereço IP (e dados restantes) a fornecer. Esta associação é feita manualmente pelo administrador de rede; por conseguinte, apenas os clientes cujo MAC consta nesta lista poderão receber configurações desse servidor;
- Atribuição automática - Onde o cliente obtém um endereço de um espaço de endereços possíveis, especificado pelo administrador. Geralmente não existe vínculo entre os vários MAC habilitados a esse espaço de endereços;
- Atribuição dinâmica - O único método que dispõe a reutilização dinâmica dos endereços. O administrador disponibiliza um espaço de endereços possíveis, e cada cliente terá o software TCP/IP da sua interface de rede configurados para requisitar um endereço por DHCP assim que a máquina arranque. A alocação utiliza um mecanismo de aluguel do endereço, caracterizado por um tempo de vida. Após a máquina se desligar, o tempo de vida naturalmente irá expirar, e da próxima vez que o cliente se conectar, o endereço provavelmente será outro.
Algumas implementações do software servidor de DHCP permitem ainda a atualização dinâmica dos servidores de DNS para que cada cliente disponha também de um DNS. Este mecanismo utiliza o protocolo de atualização do DNS especificado no RFC 2136.
[editar] Detalhes técnicos
[editar] DHCP Relaying
Pequenas redes DHCP usam broadcast. Contudo, em algumas situações, endereços unicast serão utilizados, por exemplo: quando redes possuírem um único servidor DHCP que fornece endereços IP para várias subredes. Quando um roteador para tal subrede recebe um broadcast DHCP, ele o converte em um unicast (com um endereço de destino MAC/IP do servidor DHCP configurado, MAC/IP fonte do roteador em si). O campo GIADDR desta requisição modificada é preenchido com o endereço IP da interface do roteador no qual ele recebeu a requisição DHCP original. O servidor DHCP usa o campo GIADDR para identificar a subrede do dispositivo originador com o objetivo de selecionar um endereço IP do pool correto. Então, o servidor DHCP retorna o DHCP OFFER para o roteador via unicast. O roteador converte então o DHCP OFFER de volta para um broadcast, enviado pela interface do dispositivo original.
[editar] Segurança
A base de protocolo DHCP não inclui qualquer mecanismo de autenticação. Por isso, é vulnerável a uma variedade de ataques. Estes ataques se dividem em três categorias principais:
- Servidores DHCP não autorizados fornecimento de informações falsas aos clientes.
- Clientes não autorizados tenham acesso aos recursos.
- Esgotamento dos recursos de clientes ataques maliciosos DHCP.
Porque o cliente não tem como validar a identidade de um servidor DHCP, servidores DHCP não autorizados podem ser operados em redes, prestação de informações incorrectas aos clientes DHCP. Isso pode servir tanto como um ataque de negação de serviço, impedindo o cliente de ter acesso a conectividade de rede. Porque o servidor DHCP fornece o cliente DHCP com endereços IP do servidor, como o endereço IP de um ou mais servidores DNS, um atacante pode convencer um cliente DHCP para fazer pesquisas através de seu DNS seu próprio servidor DNS, e pode, portanto, fornecer suas próprias respostas a consultas DNS do cliente. Por sua vez, permite que o atacante para redirecionar o tráfego de rede através de si, permitindo-lhe escutar as conexões entre os servidores de rede do cliente e ele entra em contato, ou simplesmente para substituir os servidores de rede com o seu próprio. Porque o servidor DHCP não tem nenhum mecanismo seguro para autenticar o cliente, os clientes podem obter acesso não autorizado aos endereços IP de apresentação de credenciais, tais como identificadores do cliente, que pertencem a outros clientes DHCP. Isso também permite que os clientes DHCP para esgotar o DHCP armazenamento de servidor de endereços IP-, apresentando novas credenciais cada vez que ele pede um endereço, o cliente pode consumir todos os endereços IP disponíveis em um link de rede particular, impedindo outros clientes DHCP da obtenção de serviços. DHCP fornece alguns mecanismos para mitigar esses problemas.
vez que estas mensagens chegam na rede de confiança do operador de rede. Esta tag é então usado como um token de autorização para controlar o acesso do cliente aos recursos da rede. Porque o cliente não tem acesso à rede a montante do agente de retransmissão, a falta de autenticação não impede que o operador do servidor DHCP de confiar no token de autorização.
Outro ramal, autenticação para DHCP mensagens (RFC 3118), fornece um mecanismo para autenticação de mensagens DHCP. Infelizmente RFC 3118 não viu a adopção generalizada por causa dos problemas de gerenciamento de chaves para um grande número de clientes DHCP.
