Herramientas de usuario
sri:t1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
|
sri:t1 [2018/09/18 15:01] José Manuel Guallar |
sri:t1 [2019/01/04 13:23] (actual) |
||
|---|---|---|---|
| Línea 154: | Línea 154: | ||
| } | } | ||
| | | ||
| - | ===== 5.2. Ámbito ===== | + | Estructura del archivo dhcpd.conf: |
| - | + | Parámetros globales: | |
| - | Se puede definir un ámbito como un agrupamiento administrativo de equipos o clientes de una red que utilizan el servicio DHCP. Dentro del ámbito se reserva un rango de direcciones IP para otorgar a los clientes de dicho ámbito. | + | Significado de los parámetros: |
| - | Habitualmente el administrador de red creará un ámbito para cada subred y definirá un rango de direcciones IP para otorgar, una máscara de subred, un tiempo de concesión y otros parámetros adicionales como puerta de enlace, servidores DNS, etc. | + | * authoritative – indica que el servidor DHCP esta autorizado para delegar IP's en esa red. |
| - | ====== | + | * lease-file-name – indica el nombre del archivo donde se almacena la tabla de las IP asignadas (/var/lib/dhcp3/dhcpd.conf) |
| - | 5.3. Rango ====== | + | * server-identifier – indica al servidor cual es el interface por el cual debe escuchar. |
| - | + | * default-lease-time – tiempo de validez en segundos de la IP asignada. | |
| - | Es posible definir un rango como un intervalo consecutivo de direcciones IP (Ej.: de 192.168.1.10 a 192.168.1.50) válidas y disponibles para ser concedidas o asignadas equipos clientes DHCP de una red determinada. | + | * max-lease-time – tiempo limite de concesión de la IP, por si pide una indefinida. |
| - | En un servidor DHCP se pueden configurar tantos ámbitos/rangos como sea necesario para el entorno de red | + | * option subnet-mask – indica la mascara de red general a asignar |
| + | * option broadcast address – indica la direccion de broadcast a asignar | ||
| + | * option domain-name-servers – indica la lista de servidores DNS a asignar | ||
| + | * option domain-name – indica el nombre de dominio a asignar | ||
| + | * dns-update-style – indica el metodo de actualizacion dinamica en el servidor DNS con los valores de IP asignados | ||
| ====== | ====== | ||
| - | 5.4. Exclusiones ====== | + | 7. Servidor DHCP a varias redes. Agente relay DHCP. ====== |
| - | Un conjunto de direcciones que son excluidas de un rango para no asignarlas a clientes DHCP. | + | El Agente Relay DHCP es una equipo o router configurado para escuchar broadcast DHCP/BOOTP de clientes DHCP y reenviar esos mensajes a los DCHP Servers en diferentes subredes. DHCP/BOOTP Relay Agents es parte de los estándares DHCP y BOOTP, y funciona según los documentos estándar Request for Comments (RFCs) que describen el diseño del protocolo y el comportamiento relacionado. Los clientes DHCP utilizan broadcasts para obtener el lease del DHCP Server. |
| - | Normalmente se suelen excluir del rango aquellas direcciones IP que corresponden a equipos que necesitan una dirección IP fija, como servidores, routers o Firewalls, y que se configuran manualmente. | + | |
| - | ====== 5.5. Reservas ====== | + | Los Routers normalmente no pasan broadcasts excepto que estén configurados específicamente para dejarlos pasar. Por lo tanto, sin configuración adicional, los DHCP Servers solo proveen direcciones IP a clientes en su subred local. Para que se puedan asignar direcciones a clientes en otros segmentos, se debe configurar la red para que los DHCP broadcasts puedan llegar desde el cliente al DCHP Server. Esto se puede hacer de dos maneras: configurando los routers que conectan las subnets para dejar pasar DHCP broadcasts, o configurando Agente Relay DHCP. |
| - | Consiste en la asignación de una dirección IP fija a un equipo, y se suele utilizar para asignar a servidores o PC´s concretos la misma dirección siempre. Es algo similar a configurar manualmente una dirección IP estática pero de forma automática desde el servidor DHCP. | ||
| - | En este punto es necesario recordar que en una red de área local se identifica al equipo por su dirección física o MAC. | + | {{:sri:t1:diapositivas:diapositiva04.png?500|}} |
| + | ===== 7.1. Cómo funciona El Agente Relay DHCP. ===== | ||
| - | ====== 5.6. Tiempo de concesión (léase time) ====== | ||
| - | El plazo del contrato o concesión es el tiempo en que un cliente DHCP mantiene como propios los datos de configuración que le otorgó un servidor. | + | {{:sri:t1:diapositivas:diapositiva05.png?500|}} |
| - | Cada vez que un cliente arranca, cada cierto tiempo o bien cuando se alcanza el límite de la concesión (léase time) el cliente tiene que solicitar su renovación. | + | El DHCP Relay Agent soporta el proceso Lease Generation entre el cliente DHCP y el DHCP Server, cuando se separan por un router. Esto habilita al cliente DHCP para recibir una dirección IP del DHCP Server. Los siguientes pasos describen el funcionamiento del Agente Relay DHCP: |
| + | 1. El cliente DHCP envía un paquete broadcast DHCPDISCOVER. | ||
| + | 2. El DHCP Relay Agent, desde la subnet del cliente, reenvía el mensaje DHCPDISCOVER al DHCP Server usando unicast. | ||
| + | 3. El DHCP Server usa unicast para enviar el mensaje DHCPOFFER al DHCP Relay Agent. | ||
| + | 4. El DHCP Relay Agent envía un paquete broadcast DHCPOFFER al cliente DHCP en su subnet. | ||
| + | 5. El cliente DHCP envía un paquete broadcast DHCPREQUEST. | ||
| + | 6. El DHCP Relay Agent, desde la subnet del cliente, reenvía el mensaje DHCPREQUEST al DHCP Server, usando unicast. | ||
| + | 7. El DHCP Server usa unicast para enviar el mensaje DHCPACK al DHCP Relay Agent. | ||
| + | 8. El DHCP Relay Agent envía un paquete broadcast DHCPACK al cliente DHCP en su subnet. | ||
| - | Una vez vencido el plazo del contrato el servidor puede renovar la información del cliente, asignarle otra nueva o extender el plazo manteniendo la misma información | + | ====== 8. DHCP failover Protocol. ====== |
| - | Esta característica facilita la restructuración de una red de forma transparente al usuario, que simplemente obtendrá una nueva dirección una vez haya finalizado la concesión de la anterior configuración de red | + | DHCP Failover Protocol es un protocolo diseñado para permitir que una copia de seguridad del servidor DHCP para hacerse cargo de un servidor principal, si el servidor principal se toma fuera de la red por cualquier razón. |
| - | A la hora de determinar el tiempo de concesión es necesario analizar las características de la red. Por ejemplo en los servidores DHCP de Windows el tiempo de concesión por defecto es de 8 días, pero: | + | Puede utilizar la conmutación por error de DHCP para configurar dos servidores DHCP para que funcionen como un par redundante. |
| - | * En una red con IP disponibles y donde la configuración de los clientes raramente cambia el administrador podría incrementar el tiempo de concesión para reducir el tráfico derivado de las solicitudes de renovación por parte de los clientes. Se podría incrementarse el tiempo de concesión a varios meses. | + | Los escenarios de conmutación por error Hay tres escenarios de conmutación por error de base: |
| - | * En una red que tiene un número muy limitado de direcciones IP y donde la configuración de los clientes cambia frecuentemente, o donde los equipos cambian habitualmente de subred. Por ejemplo, si 220 ordenadores comparten 254 direcciones IP sería adecuado reducir el tiempo de concesión a pocos días. | + | * conmutación por error simple: servidor que actúa como principal y su socio que actúa como copia de seguridad. |
| - | + | * conmutación por error Back office: de red que el servidor de copia de seguridad misma. | |
| - | ====== 6. Servidores DHCP ====== | + | * conmutación por error simétrica: servidores que actúan como principal y de reserva para sí. |
| - | + | ====== | |
| - | + | 9. Problemas asociados a DHCP. Seguridad. ====== | |
| - | Los servidores DHCP permiten asignar la configuración de red al resto de máquinas presentes en la red (clientes DHCP) cuando estos arrancan o inician sus interfaces de red. Para realizar esta tarea escuchan las peticiones a través del puerto 67/UDP. | + | |
| - | + | ||
| - | Permiten configurar de forma automática parámetros como los siguientes: | + | |
| - | * Dirección IP. | + | |
| - | * Máscara de subred. | + | |
| - | * Puerta de enlace. | + | |
| - | * Servidores DNS. | + | |
| - | * Nombre DNS. | + | |
| - | * Tiempo máximo de espera de ARP. | + | |
| - | * Servidores POP3. | + | |
| - | * Servidor WINS. | + | |
| - | + | ||
| - | Estos parámetros se pueden configurar a distintos niveles. Se pueden establecer a nivel del servidor DHCP, a nivel de ámbito o incluso a nivel de una reserva. | + | |
| - | + | ||
| - | Ejemplos de servidores DHCP son: | + | |
| - | * ISC DHCP (http://www.isc.org/software/dhcp), utilizado en sistemas Linux/Unix. | + | |
| - | * Servidor DHCP de Microsoft (2003 Server/2008 Server). | + | |
| - | * Servidores DHCP integrados en routers (por ejemplo: IP Easy en routers CISCO y Linksys) | + | |
| - | + | ||
| - | ====== 7. Clientes DHCP ====== | + | |
| - | + | ||
| - | Los clientes realizan peticiones al servidor DHCP y configuran sus parámetros TCP/IP con las opciones que recibe del servidor DHCP. Para esto utilizan el puerto 68/UDP. Estos clientes DHCP están integrados en Windows, Linux y en otros sistemas operativos. | + | |
| - | + | ||
| - | ====== 8. Tipos de opciones ====== | + | |
| - | + | ||
| - | A la hora de establecer los parámetros de configuración que se enviarán a los clientes podemos establecer parámetros a diferentes niveles: | + | |
| - | * Opciones de servidor: Se envían a todos los clientes del servidor DHCP. | + | |
| - | * Opciones de ámbito: Se envían a todos los clientes del ámbito y sobrescriben las opciones de servidor. | + | |
| - | * Opciones de clase: Se envían a los clientes de acuerdo a la clase de cliente a la que pertenecen. | + | |
| - | * Opciones de equipo: Se definen para un equipo concreto mediante una reserva. Este tipo de opciones sobrescriben a cualquiera de las demás. | + | |
| - | + | ||
| - | ====== 9. Protocolo DHCP ====== | + | |
| - | + | ||
| - | El protocolo DHCP determina el conjunto de normas y reglas en base a las cuales dialogan los clientes y los servidores DHCP. Como el protocolo DHCP fue desarrollado partiendo del protocolo BOOTP, el formato de un mensaje DHCP está basado en un mensaje BOOTP | + | |
| - | + | ||
| - | El formato de un mensaje DHCP tiene una parte fija que aparece en todos los mensajes, aunque no se utilicen todos los campos y una parte variable (options) donde irán las opciones específicas de DHCP | + | |
| - | Code: Indica si es solicitud (1) o respuesta (2) | + | |
| - | + | ||
| - | hwtype: Tipo de hardware. Por ejemplo Ethernet (1) o redes IEEE 802 (6) | + | |
| - | + | ||
| - | + | ||
| - | La sección opciones contiene información de configuración enviada entre el cliente y el servidor DHCP. Cada opción tiene un option code, que identifica el tipo de opción, un option length, que identifica el tamaño de los datos y un option data, que constituye los datos de la opción. | + | |
| - | + | ||
| - | Cada tipo de mensaje se determina mediante una opción. Por ejemplo un Mensaje DHCPOFFER vendría definido por option code=53, (tipo de opción para establecer el tipo de mensaje) option length=1, option data=2 (dato que indica el mensaje DHCPOFFER). Y así sucesivamente, se irían estableciendo todas las opciones DHCP referidas a ese mensaje. | + | |
| - | + | ||
| - | ====== 10. Funcionamiento ====== | + | |
| - | + | ||
| - | + | ||
| - | El funcionamiento del servicio DHCP sigue estos pasos: | + | |
| - | + | ||
| - | - Cuando un cliente DHCP se conecta a la red envía una solicitud en forma de broadcast a través de la red. | + | |
| - | - Todos los servidores alcanzados por la solicitud responden al cliente con sus respectivas propuestas. | + | |
| - | - El cliente acepta una de ellas haciéndoselo saber al servidor elegido. | + | |
| - | - El servidor le otorga la información requerida (en este mensaje le otorga un plazo de concesión (léase time). | + | |
| - | - Esta información se mantiene asociada al cliente mientras éste no desactive su interfaz de red o no expire el plazo del contrato o concesión (léase time). | + | |
| - | + | ||
| - | Renovaciones: | + | |
| - | + | ||
| - | - Cada vez que el cliente arranca, cada cierto tiempo o bien cuando se alcanza el límite de la concesión (léase time) el cliente tiene que solicitar su renovación. | + | |
| - | - Una vez vencido el plazo del contrato el servidor puede renovar la información del cliente, asignarle otra nueva o extender el plazo, manteniendo la misma información. | + | |
| - | + | ||
| - | Vamos a estudiar en más detalle las dos situaciones principales del servicio, la que se produce cuando el cliente quiere obtener una concesión y la que se produce cuando el cliente quiere renovar su concesión. | + | |
| - | + | ||
| - | ===== 10.1. Obtener una concesión ===== | + | |
| - | + | ||
| - | Partimos de la situación en la que el servidor DHCP está a la escucha de las posibles solicitudes de los clientes. El servidor almacena las posibles direcciones IP a otorgar además del resto de la información (mascaras, DNS, gateways,...). | + | |
| - | + | ||
| - | A la hora de obtener una concesión por parte de un cliente se suceden cuatro etapas, que reciben su nombre de los tipos de paquete DHCP usados en la comunicación: | + | |
| - | + | ||
| - | **1. Descubrimiento DHCP (DHCPDISCOVER)** | + | |
| - | + | ||
| - | El cliente DHCP difunde por broadcast un paquete DHCPDISCOVER para localizar un servidor DHCP | + | |
| - | + | ||
| - | El mensaje DHCPDISCOVER tiene las siguientes características: | + | |
| - | * Puerto destino 67 | + | |
| - | * Puerto origen 68 | + | |
| - | * Dirección IP origen: 0.0.0.0 | + | |
| - | * Dirección IP destino: 255.255.255.255 | + | |
| - | * Lleva un identificador de transacción | + | |
| - | * Incluye la dirección MAC del cliente. | + | |
| - | + | ||
| - | ** 2 Oferta DHCP (DHCPOFFER)** | + | |
| - | + | ||
| - | Los servidores responden a la petición con DHCPOFFER. Donde ofrecen una dirección IP al cliente (basándose en la información que han recibido), máscara de red, tiempo de concesión. | + | |
| - | + | ||
| - | Cada servidor DHCP de respuesta reserva la dirección IP propuesta para no ofrecerla a otro cliente DHCP antes de que el cliente que realizó la solicitud la acepte. | + | |
| - | + | ||
| - | ** 3. Solicitud DHCP (DHCPREQUEST)** | + | |
| - | + | ||
| - | El cliente recibe una o más ofertas de servidores y elige la "mejor" (por tiempo de respuesta, por IP, etc.). Normalmente elige la primera. | + | |
| - | + | ||
| - | Difunde (por broadcast) un mensaje DHCPREQUEST, poniendo el nombre del servidor elegido en uno de los campos de opciones (ID del servidor). | + | |
| - | + | ||
| - | Si el cliente no recibe mensajes DHCPOFFER, expira la petición y reenvía un nuevo mensaje DHCPDISCOVER. | + | |
| - | + | ||
| - | ** 4. Reconocimiento DHCP (DHCPACK) o reconocimiento negativo DHCP (DHCPNAK)** | + | |
| - | + | ||
| - | Si el mensaje DHCPREQUEST no contiene su dirección, el servidor considera su oferta rechazada. | + | |
| - | + | ||
| - | Si contiene su dirección, envía un mensaje: | + | |
| - | + | ||
| - | * DHCPACK si la dirección IP aún está disponible. | + | |
| - | * DHCPNAK si ya no lo está disponible o no es válida. | + | |
| - | + | ||
| - | * Si el cliente recibe el DHCPACK, puede usar la dirección IP. | + | |
| - | * El cliente debe verificar que la dirección IP es válida y no está duplicada. | + | |
| - | * Si es válida, el cliente se inicializa con los datos suministrados por el servidor DHCP. | + | |
| - | * Si encuentra un problema con la dirección asignada, envía un DHCPDECLINE al servidor y vuelve al paso 1 (DHCPDISCOVER). | + | |
| - | + | ||
| - | Si recibe el DHCPNAK, libera la dirección IP y vuelve al paso 1 (DHCPDISCOVER). | + | |
| - | + | ||
| - | **¿Qué ocurre si el servidor DHCP no está disponible?** | + | |
| - | + | ||
| - | Si el servidor DHCP no está disponible los equipos de la red no podrán obtener una concesión. Para evitar este problema puede resultar conveniente tener más de un servidor DHCP funcionando simultáneamente. De esta forma aumentaría la fiabilidad del servicio DHCP en la red. | + | |
| - | + | ||
| - | **¿Qué ocurre si un equipo con una concesión activa cambia de subred?** | + | |
| - | + | ||
| - | Si el equipo con una concesión de dirección IP 192.168.3.1 cambiara a la subred 192.168.1.0, al ser iniciado mandaría la petición de confirmación al servidor DHCP. Este comprobaría que el mensaje viene de la red 192.168.1.0 por lo que contestaría al equipo indicándole que su dirección IP es inválida. El equipo ante esta respuesta mandaría una petición al servidor DHCP para obtener una nueva concesión válida. | + | |
| - | + | ||
| - | + | ||
| - | ==== 10.2. Renovar una concesión ==== | + | |
| - | + | ||
| - | El proceso de renovación de concesiones es resultado del valor del periodo de concesión (lease time). Este valor garantiza que DHCP mantiene la información de direcciones IP y que los clientes actualizan o renuevan regularmente sus datos de configuración de direcciones IP | + | |
| - | + | ||
| - | Los clientes intentan renovar su concesión: | + | |
| - | + | ||
| - | * Cuando se inician (se reinicia la maquina o el interfaz de red) para asegurarse de que pueden usar la dirección IP que tenían anteriormente y si no es así solicitar otra. | + | |
| - | * Antes de que finalice el período de concesión para garantizar que la información de configuración está actualizada. Los clientes DHCP intentan renovar su concesión a intervalos específicos para garantizar que la información de configuración está actualizada. | + | |
| - | * Por defecto un cliente DHCP intenta renovar su concesión a la mitad del plazo de concesión, aunque este parámetro se puede configurar. | + | |
| - | * Si no lo consigue, al finalizar el plazo libera la dirección IP. | + | |
| - | + | ||
| - | Renovación manual. La concesión se puede renovar manualmente en el cliente. Se realizan dos pasos para renovar una concesión: | + | |
| - | + | ||
| - | **1. El cliente DHCP difunde un DHCPREQUEST** con la opción Requested IP address (la dirección previamente asignada). | + | |
| - | + | ||
| - | **2. El servidor DHCP correspondiente devuelve DHCPACK o DHCPNAK.** | + | |
| - | + | ||
| - | **¿Qué ocurre si un equipo se retira de la red?** | + | |
| - | + | ||
| - | El servidor DHCP cuando detecte que ha caducado la concesión que tenía ese equipo y no ha recibido ninguna petición de renovación simplemente liberará esa dirección para poder asignarla a próximas peticiones. | + | |
| - | + | ||
| - | **¿Qué tiempo de concesión será el adecuado?** | + | |
| - | + | ||
| - | Establecer los tiempos de concesión de las asignaciones dependerá de las características de los equipos que las utilicen. Por ejemplo, si tenemos una red en el aula a la que se conectan con portátiles de forma inalámbrica cada día, sería suficiente concesiones de 12 horas, lo que permitiría liberar direcciones al término de cada jornada. Para los equipos de sobremesa del departamento de informática, que no se reponen frecuentemente, una concesión de 30 días podría ser adecuado. | + | |
| - | + | ||
| - | **¿Que ocurre al reiniciar un equipo?** | + | |
| - | + | ||
| - | Cuando se reinicia un equipo que ha obtenido la concesión y esta no ha caducado todavía, el equipo cliente mandará un mensaje al servidor DHCP para confirmar si su configuración de red es válida. El servidor DHCP comprueba que la concesión es válida y está activa. Si es así, extiende el tiempo de concesión al valor establecido por defecto. Al recibir el mensaje de confirmación del servidor DHCP el equipo cliente podrá seguir utilizando la red con su configuración de red. | + | |
| - | + | ||
| - | En el caso de que el servidor DHCP no estuviera disponible, el equipo cliente mantendrá activa su configuración hasta que termine el periodo de concesión. | + | |
| - | + | ||
| - | ==== 10.3. Liberar una concesión ==== | + | |
| - | + | ||
| - | El cliente puede devolver la dirección al servidor DHCP que se la concedió antes de que finalice el plazo de concesión, mediante DHCPRELEASE. Esta situación se podría dar cuando queremos cambiar el equipo de subred y queremos que la dirección IP que tenía asignada quede liberada inmediatamente. | + | |
| - | + | ||
| - | ==== 10.4. Actualizar parámetros de configuración ==== | + | |
| - | + | ||
| - | Finalmente, es conveniente recordar que el servidor DHCP permite actualizar los parámetros de configuración de los equipos de la red cada vez que dichos equipos contacten con él. Por ejemplo, si cambia la dirección IP de un servidor DNS en la red esta se actualizará a los equipos clientes cuando contacten con el servidor, para obtener una concesión, para renovar una concesión o cuando remiden. | + | |
| - | + | ||
| - | ====== 11. Tipos de mensajes DHCP ====== | + | |
| - | + | ||
| - | A continuación se enumeran los mensajes DHCP utilizados habitualmente: | + | |
| - | + | ||
| - | * DHCPDISCOVER. Mensaje de broadcast de un cliente para detectar los servidores DHCP existentes. | + | |
| - | * DHCPOFFER. Mensaje de un servidor hacia un cliente con una oferta de configuración (respuesta a un DHCPDISCOVER). | + | |
| - | * DHCPREQUEST: Mensaje encapsulado en una trama de difusión que va de un cliente a un servidor para: | + | |
| - | + | ||
| - | Aceptar la oferta de un servidor determinado y rechazar las otras | + | |
| - | + | ||
| - | Confirmar la exactitud de la información asignada antes del reinicio del sistema. | + | |
| - | + | ||
| - | Extender el contrato de una dirección IP determinada. | + | |
| - | + | ||
| - | * DHCPPACK: Mensaje del servidor hacia un cliente para enviarle la configuración asignada excluyendo la dirección IP que ya fue aceptada. | + | |
| - | * DHCPNAK: Mensaje del servidor al cliente para indicar que la dirección que tiene asignada es incorrecta (por ejemplo, cuando él cliente cambia de subred) o que el contrato ha expirado. | + | |
| - | * DHCPDECLINE. Mensaje del cliente para el servidor indicando que ha encontrado un problema con la dirección IP que le ha sido asignada. | + | |
| - | * DHCPRELEASE. Mensaje del cliente para el servidor para indicar que renuncia a la dirección otorgada y cancela lo que queda del contrato establecido anteriormente. | + | |
| - | * DHCPINFORM. Mensaje del cliente para pedir más información de la que el servidor le ha enviado con DHCPACK. | + | |
| - | + | ||
| - | ====== 12. Varios servidores independientes DHCP ====== | + | |
| - | + | ||
| - | En una misma red pueden coexistir varios servidores DHCP. Por ejemplo, se podrían configurar dos servidores DHCP en una red si se quiere mayor tolerancia a errores. | + | |
| - | + | ||
| - | Cuando se produce esta situación los servidores DHCP no se comunican entre ellos para saber qué direcciones IP debe asignar cada uno. Es responsabilidad de los administradores que sus configuraciones sean independientes y consistentes, de manera que no puedan asignar la misma dirección IP a dos ordenadores distintos. Para ello, basta que los rangos de direcciones IP que puedan proporcionar no tengan direcciones comunes, o si las tienen, que estas sean direcciones reservadas. | + | |
| - | + | ||
| - | Cuando existen varios servidores DHCP independientes trabajando simultáneamente, después de emitir un mensaje DHCPDISCOVER el cliente recibirá varios mensajes ofreciéndole diferentes configuraciones TCP/IP. El cliente utilizará la primera que reciba e indicará en el mensaje DHCPREQUEST el servidor que ha elegido. Este mensaje se transmitirá a todos los servidores DHCP, con lo que el servidor elegido realiza la concesión y el resto libera las direcciones IP propuestas al cliente. | + | |
| - | + | ||
| - | ======13. Dar servicio a varias redes ====== | + | |
| - | + | ||
| - | Para que un servidor DHCP pueda atender a una red física (mismo dominio de difusión) tiene que estar conectado a esa red física. Si se dispone de varias redes interconectadas por routers en las que se quiere configurar el servicio DHCP tenemos dos opciones | + | |
| - | + | ||
| - | * Configurar un servidor DHCP en cada subred. | + | |
| - | * Configurar un servidor DHCP desde una ubicación centralizada a varias subredes. | + | |
| - | + | ||
| - | ===== 13.1. Un servidor DHCP en cada red ===== | + | |
| - | + | ||
| - | Esta opción supone un aumento del trabajo administrativo y del equipamiento necesario, ya que habrá que ubicar un servidor DHCP en cada subred individual. | + | |
| - | + | ||
| - | ===== 13.2. Un servidor DHCP centralizado ===== | + | |
| - | + | ||
| - | Si se quiere mantener un único servidor DHCP centralizado podríamos contemplar varias opciones: | + | |
| - | * Conectar el servidor directamente a dichas redes. | + | |
| - | * Que los enrutadores que interconectan las redes tengan la capacidad de retransmitir los mensajes del protocolo DHCP entre dichas redes. | + | |
| - | * Instalar un agente de retransmisión DHCP en un equipo y configurarlo para escuchar los mensajes de difusión utilizados por DHCP y redirigirlos a un servidor DHCP específico. | + | |
| - | + | ||
| - | **¿Qué ocurre si el servidor DHCP recibe peticiones de varias subredes?** | + | |
| - | + | ||
| - | Sí el servidor DHCP está atendiendo a diferentes subredes de la empresa, cuando reciba la petición identificará que subred proviene para poder darle un dirección IP valida para esa subred. Si tenemos diferentes ámbitos para las distintas subredes el servidor elegirá una dirección IP sin usar del ámbito que corresponda con esa subred. | + | |
| - | + | ||
| - | ===== 14. Agentes de retransmisión DHCP ===== | + | |
| - | + | ||
| - | Un agente de retransmisión (relay agent) DHCP es escuchar difusiones DHCP procedentes de clientes DHCP procedentes de clientes DHCP y, a continuación, retransmitir dichos mensajes a los servidores DHCP ubicados en distintas redes. | + | |
| - | + | ||
| - | Existen dos tipos de agentes de retransmisión DHCP, aquellos que están integrados en routers y aquellos que funcionan en servidores. | + | |
| - | + | ||
| - | Como el proceso de generación de concesiones DHCP se base en las difusiones, si el servidor DHCP y el cliente DHCP están separados por un enrutador que no reenvía las difusiones DHCP, el proceso de generación de concesiones DHCP no podrá realizar y el cliente DHCP no recibirá la concesión de dirección IP del servidor DHCP | + | |
| - | Para solventar este problema, el agente de retransmisión DHCP permite que se lleve a cabo el proceso de generación de concesiones entre el cliente DHCP y el servidor DHCP cuando ambos están separados por un enrutador. | + | |
| - | + | ||
| - | El funcionamiento es el siguiente: | + | |
| - | + | ||
| - | - El cliente DHCP difunde un paquete DHCPDISCOVER, | + | |
| - | - El agente de retransmisión DHCP de la subred del cliente reenvía el mensaje DHCPDISCOVER al servidor DHCP mediante unidifusión. | + | |
| - | - El servidor DHCP emplea unidifusión para enviar un DHCPOFFER al agente DHCP. | + | |
| - | - El agente DHCP difunde el paquete DHCPOFFER a la subred del cliente DHCP. | + | |
| - | - El cliente DHCP difunde un paquete DHCPREQUEST. | + | |
| - | - El agente DHCP de la subred del cliente reenvía el mensaje DHCPREQUEST al servidor DHCP mediante unidifusión. | + | |
| - | - El servidor DHCP emplea la unidifusión para enviar un mensaje DHCPACK al agente DHCP. | + | |
| - | - El agente DHCP difunde el paquete DHCPACK a la subred del cliente DHCP. | + | |
| - | + | ||
| - | El inconveniente de esta opción radica en que cada subred a la que sea necesario dar servicio DHCP necesitará de un servidor que funcione como agente de retransmisión. | + | |
| - | + | ||
| - | La segunda opción consistirá en utilizar routers que tengan integrado un agente de retransmisión DHCP. Estos routers tendrán que ser adecuadamente configurados para que retransmitan los paquetes DCHP intercambiados entre cliente y servidor. | + | |
| - | En la siguiente imagen se ilustra el funcionamiento de un servidor DHCP configurado para dar servicio a una red compuesta por 3 subredes interconectadas por un router. El servidor DHCP dará una configuración de red adecuada al segmento de red al que está conectado el equipo que efectúa la petición. | + | Los principales problemas asociados a la seguridad de DHCP son: |
| + | * DHCP es un protocolo no autenticado. | ||
| + | Cuando un usuario se conecta a una red no necesita proporcionar credenciales para obtener una concesión. Por tanto, es posible que un usuario no autenticado obtenga una concesión para cualquier cliente DHCP siempre que haya un servidor DHCP disponible para proporcionarla. Así, el usuario no autenticado podrá disponer de todos los valores de opción que el servidor DHCP proporcione con la concesión, como la dirección IP del servidor WINS o del servidor DNS. Si el cliente DHCP se identifica como miembro de una clase de usuario o de una clase de proveedor también dispondrá de las opciones asociadas a dicha clase. Esto permite que usuarios malintencionados que tengan acceso físico a una red habilitada para DHCP puedan realizar un ataque de denegación de servicio en los servidores DHCP si solicitan muchas concesiones al servidor, lo que reduciría el número de concesiones disponibles para otros clientes DHCP. | ||
| - | Cuando un equipo es conectado por primera vez a la red 192.168.3.0 lanzará un mensaje de difusión para localizar en la red un servidor DHCP. El Servidor DHCP escuchará este mensaje y contestará al quipo con una configuración de red adecuada, actuando el router como agente de retransmisión entre los dos equipos conectados a subredes distintas. Gracias a la información añadida por el router al mensaje inicial, el servidor DHCP sabrá las características de la subred de donde procede el mensaje | + | Recomendaciones: |
| + | * Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red. | ||
| + | * Habilite el registro de auditoría en todos los servidores DHCP de la red. Compruebe periódicamente los archivos de registro de auditoría y supervíselos si el servidor DHCP recibe de los clientes un número de solicitudes de concesión inusualmente alto. En los archivos de registro de auditoría encontrará la información necesaria para localizar el origen de cualquier ataque realizado contra el servidor DHCP. La ubicación predeterminada de los registros de auditoría de es %windir%\System32\Dhcp. | ||
| - | ===== 15. DHCP Failover Protocol ===== | ||
| - | Cuando dos servidores DHCP trabajan en la misma red ambos mantienen una base de datos con sus concesiones y el estado de las mismas. Para evitar que una misma dirección IP sea asignada por ambos servidores, una solución consiste que ambos trabajen con distintos rangos de direcciones. Si ambos servidores quieren trabajar con el mismo rango de direcciones es necesario que puedan sincronizar sus bases de datos de concesiones. El protocolo DHCP Failover Protocol permite esta intercomunicación entre dos servidores DHCP que dan servicio a la misma red | + | * El servidor DHCP permite realizar ataques por denegación de servicio contra el servidor DNS. Cuando el servidor DHCP está configurado para actuar como servidor proxy DNS para los clientes DHCP y para realizar actualizaciones dinámicas de DNS existe la posibilidad de que un usuario malintencionado realice un ataque por denegación de servicio contra el servidor DHCP y el servidor DNS simultáneamente, inundando el servidor DHCP con solicitudes de concesiones. |
| - | Por ejemplo en Windows Server 2008 R2 ha sido incluida esta funcionalidad, permitiendo que dos servidores DHCP puedan sincronizar la información de sus concesiones. Un servidor será designado servidor primario DHCP y otro servidor secundario DHCP. | + | |
| - | Cuando un equipo solicita su configuración IP, por defecto, el servidor primario le responderá. En caso de que este servidor falle será cuando el servidor secundario proporcione la configuración IP al equipo cliente. En esta configuración el servidor secundario, no otorga concesiones y solo recibe actualizaciones de servidor primario. Cuando detecta que no puede comunicarse con el servidor primario será cuando se active como servidor DHCP | + | Recomendaciones: |
| - | + | ||
| - | Este protocolo también se puede utilizar para realizar un balanceo de carga, de manera que el trabajo se reparta entre los servidores primario y secundario. En esta configuración ambos servidores contestarían a las peticiones de los clientes, lo que permitirá hacer frente a gran número de peticiones en un corto periodo de tiempo. | + | |
| - | Trabajar con dos servidores sincronizados permite una fácil recuperación ante el fallo en alguno de los dos servidores. Si se pierden los datos de un servidor, el otro mantendrá su copia sincronizada con la que poder seguir funcionando con normalidad. | + | * Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red. |
| + | * Utilice los registros de auditoría de DHCP, que se encuentran de manera predeterminada en %windir%\System32\Dhcp, para supervisar las actualizaciones dinámicas de DNS realizadas por el servidor DHCP. | ||
| - | ===== 16. Seguridad ===== | + | A continuación, se enumeran las amenazas comunes a los servidores DHCP: |
| - | El servicio DHCP puede ser un servicio vital para el funcionamiento de una red TCP/IP, sin embargo, este protocolo no incluye ningún mecanismo de autentificación, lo que produce que sea vulnerable a diferentes tipos de ataques: | + | * Un usuario no autorizado podría iniciar un ataque de denegación de servicio (DoS) basado en solicitar y obtener un gran número de direcciones IP. |
| + | * Se puede lanzar un ataque de denegación de servicio (DoS) a través de un usuario no autorizado, realizando un gran número de actualizaciones de DNS dinámico a través del servidor DHCP. | ||
| + | * Un usuario no autorizado podría utilizar un servidor DHCP para proporcionar direcciones IP incorrectas a sus clientes DHCP. | ||
| + | * Si se realiza la asignación de direcciones IP DNS e IP WINS a través del servidor DHCP, la probabilidad de que un usuario no autorizado pueda acceder información sobre el servidor, para luego utilizarla para atacar a los servidores DNS y servidores WINS es elevada. | ||
| - | * Suplantación del servidor DHCP. Servidores no autorizados podrían proporcionar información falsa a los clientes suplantando al servidor DHCP autorizado (DHCP spoofing). | + | A continuación, se enumeran algunas medidas básicas de seguridad para garantizar la función de servidor DHCP: |
| - | * Denegación de servicio. Una técnica empleada consiste en agotar el rango de direcciones a asignar para así evitar que un cliente pueda obtener una configuración de red. El proceso es el siguiente, un cliente no autorizado solicita una dirección IP al servidor DHCP y una vez, concedida cambia su dirección MAC para pedir una nueva dirección IP y así sucesivamente hasta agotar el rango de direcciones posibles | + | |
| - | * "Hombre de en medio". Un cliente no autorizado puede responder a un cliente que busca un servidor DHCP y otorgarle una dirección IP válida, pero darle como puerta de enlace su propia dirección IP. De esta forma, el cliente manda los paquetes al atacante, que después de procesarlos los reenvía al router para que el cliente no se de cuenta del ataque Este tipo de ataque tiene más posibilidades de éxito cuando el servidor DHCP está alejado de los clientes. | + | |
| - | * Clientes no autorizados podrían acceder a los recursos configurando manualmente su interfaz de red. | + | |
| - | * Clientes no autorizados podrían realizar ataques para intentar congestionar al servidor DHCP. | + | |
| - | En las redes de área local se pueden configurar los switches para protegerse de estos ataques mediante DHCP snooping. Tras activar esta función en el switch se declara de confianza el puerto por el que genera respuestas el servidor DHCP autorizado, siendo todos los demás puertos no fiables. Si llegaran mensajes de otros servidores DHCP por cualquier otro puerto estos serían rechazados. De esta forma se pueden resolver los problemas de "hombre en medio" y DHCP spoofing. | + | * Asegurar de forma física la habitación o sala donde se encuentran los servidores DHCP. |
| + | * Se deben utilizar sistemas de archivos NTFS para proteger los datos del sistema. | ||
| + | * Aplicar y mantener una solución de protección antivirus. | ||
| + | * La instalación de parches de software deberán instalarse de forma periódica. | ||
| + | * Sólo deberá instalarse aquel software que provenga de fuentes de confianza. | ||
| + | * Todos los servicios y aplicaciones que no se están utilizando en los servidores DHCP deberán desinstalarse. | ||
| + | * Se deberán realizar tareas administrativas en el servidor DHCP con el menor nivel de privilegios posible. | ||
| + | * Los servidores DHCP deberán ubicarse detrás de un firewall. | ||
| + | * Se deberán cerrar todos los puertos abiertos no utilizados. | ||
| + | * A fin de garantizar el buen funcionamiento del servidor DHCP, se pueden utilizar túneles VPN para garantizar su tráfico. | ||
| + | * Se deberá supervisar la actividad de DHCP mediante la revisión de los registros y la visualización de la información estadística que proporciona el servidor. | ||
| - | También es interesante acceder a los ficheros de logs de los servidores DHCP para auditar posibles peticiones no autorizadas. | + | ====== 10. BOOTP. ====== |
| - | ===== 17. BOOTP ===== | + | BOOTP son las siglas de Bootstrap Protocol. Es un protocolo de red UDP utilizado por los clientes de red para obtener su dirección IP automáticamente. |
| - | El protocolo BOOTP (Boot Strap Protocol) constituye un primer intento de configuración automática de red. Este protocolo de la capa de aplicación funciona sobre UDP y se puede considerar como un antecedente de DHCP. Al igual que este, está basado en el modelo cliente/servidor y sigue este funcionamiento: | + | Normalmente se realiza en el proceso de arranque de los ordenadores o del sistema operativo. |
| - | * Cuando una maquina arranca no conoce su direccionamiento IP ni a qué dirección solicitar dicha información, por lo que envía un mensaje con dirección IP destino la dirección de difusión limitada (255.255.255.255) | + | Originalmente está definido en el RFC 951. Este protocolo permite a los ordenadores sin disco obtener una dirección IP antes de cargar un sistema operativo avanzado. |
| - | * En la red existirá un servidor BOOTP que responderá a las peticiones. Este servidor BOOTP mirará sus tablas para asignar a esta dirección física de red una dirección IP determinada y compone el mensaje de respuesta donde también envía la máscara de subred, dirección del router... | + | |
| - | * A la hora de responder al mensaje empleará la dirección de difusión IP (aunque el servidor conozca la dirección que se le va a asignar a la máquina que realizó la petición) | + | |
| - | * La maquina que está a la espera de la información recupera el mensaje y configura su dirección IP, mascara, etc. | + | |
| - | * | + | |
| - | Como resumen, podemos afirmar que BOOTP se basa en un protocolo estático de configuración fundamentado en una tabla estática establecida de antemano y en donde las asociaciones direcciones físicas-direcciones IP se establecen previamente y manualmente por el administrador. | + | |
| - | Al ser las redes cada vez más grandes BOOTP no parece el protocolo más adecuado mientras de DHCP si que puede cubrir estas nuevas demandas. Sin embargo, la arquitectura cliente/servidor de DHCP y el formato de los mensajes que se intercambian en DHCP están basados en BOOTP. | + | Históricamente ha sido utilizado por las estaciones de trabajo sin disco basadas en UNIX (las cuales también obtenían la localización de su imagen de arranque mediante este protocolo) y también por empresas para introducir una instalación preconfigurada de Windows en PC recién comprados (típicamente en un entorno de red Windows NT). |
| + | Originalmente requería el uso de un disquete de arranque para establecer las conexiones de red iniciales, pero el protocolo se integró en la BIOS de algunas tarjetas de red (como la 3c905c) y en muchas placas base modernas para permitir el arranque directo desde la red. | ||
| + | DHCP es un protocolo basado en BOOTP, más avanzado, pero más difícil de implementar. Muchos servidores DHCP también ofrecen soporte BOOTP. Bootp el predecesor del protocolo DHCP y comparte con éste algunas características funcionales. | ||
| + | BOOTP es una manera de descargar configuraciones de dirección e inicio para estaciones de trabajo sin disco. Una estación de trabajo sin disco no tiene unidad de disco duro ni sistema operativo. Por ejemplo, muchos sistemas de cajas registradoras automatizadas de los supermercados son estaciones de trabajo sin disco. Tanto DHCP como BOOTP se basan en la relación cliente/servidor y utilizan los puertos UDP 67 y 68. Estos puertos todavía se conocen como puertos BOOTP. El proceso BOOTP involucra los siguientes pasos: 1. El cliente determina su propia dirección de hardware; esta dirección está normalmente en una ROM en el hardware. 2. Un cliente BOOTP envía su dirección hardware en un datagrama UDP al servidor. Si el cliente sabe su dirección IP y/o la dirección del servidor, debería usarlos, pero en general los clientes BOOTP no tienen datos de configuración IP del todo. Si el cliente no sabe su propia dirección IP, usa 0.0.0.0. Si el cliente no sabe la dirección IP del servidor, usa la dirección broadcast limitada (255.255.255.255). El número de puerto UDP es el 67. 3. El servidor recibe el datagrama y busca la dirección hardware del cliente en su fichero de configuración, que contiene la dirección IP del cliente. El servidor rellena los campos restantes en el datagrama UDP y lo devuelve al cliente usando el puerto UDP 68. 4. Cuando recibe la respuesta, el cliente BOOTP grabará su propia dirección IP (permitiendo que responda a las peticiones ARP) y comenzará el proceso de bootstrapping | ||
sri/t1.txt · Última modificación: 2019/01/04 13:23 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
