Herramientas de usuario
sri:t1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
|
sri:t1 [2017/10/02 13:29] José Manuel Guallar creado |
sri:t1 [2019/01/04 13:23] (actual) |
||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | 1. Introducción | + | ====== 1. Configuración automática de red DHCP, características. ====== |
| - | Trataremos en profundidad DHCP (Dinamic Host Configuration Protocol) Protocolo de configuración dinámica de hosts), el servicio de configuración automática de red más extendido en las redes TCP/IP. | + | **DHCP** (sigla en inglés de Dynamic Host Configuration Protocol -** Protocolo de configuración dinámica de host**) es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después. |
| - | 2. Características | + | DHCP reduce la complejidad y el trabajo de administración relacionado con la reconfiguración de equipos en redes basadas en TCP/IP. Cuando movemos un equipo de una subred a otra, debemos cambiar su dirección IP para reflejar el nuevo ID de red. DHCP nos permite asignar automáticamente una dirección IP a un host, denominado también cliente DHCP, desde una base de datos asignada a una subred. Además, cuando un equipo está sin conexión durante un determinado periodo de tiempo, DHCP puede reasignar su dirección IP. |
| - | DHCP es un protocolo de capa de aplicación diseñado para implementar un servicio de configuración automática de red en redes TCP/IP. | + | |
| - | La función principal de DHCP es permitir a los equipos de una red obtener sus parámetros de configuración automáticamente, evitando que el administrador tenga que configurar manualmente los parámetros TCP/IP en cada equipo. | + | |
| - | Para comenzar su estudio vamos a analizar las ventajas e inconvenientes derivados de la utilización del mismo. | + | |
| - | 3. Ventajas e inconvenientes del uso de servicios de configuración automática de red | + | El DHCP es una alternativa a otros protocolos de gestión de direcciones IP de red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo más avanzado, pero ambos son los usados normalmente. |
| - | En las redes TCP/IP los administradores de sistema tienen dos opciones a la hora de configurar los equipos: | + | |
| - | • Configurar y mantener manualmente la configuración de red de los equipos | + | ===== 1.1. Características de DHCP ===== |
| - | • Usar un servidor para asignar, configurar y mantener de forma dinámica los datos de configuración de red de cada equipo. | + | |
| - | En el caso de elegir la configuración manual se encontrarán con varias dificultades: | + | Básicamente el servicio DHCP funciona de la siguiente forma: |
| - | • La configuración de red (dirección IP, mascara de subred, servidores DNS, puerta de enlace,...) se define manualmente en cada equipo lo que conlleva un aumento de las tareas de administración de la red. | + | * Existe un programa servidor en un host de la red que escucha las solicitudes de los clientes y que en su configuración almacena tablas de posibles direcciones IP a otorgar además del resto de la información. |
| - | • Existe la posibilidad de introducir una configuración incorrecta | + | * Cuando un cliente requiere del servicio envía una solicitud en forma de broadcast a través de la red. |
| - | • Si un equipo cambia de ubicación y se conecta a una subred diferente será necesario modificar su configuración de red. Está situación es especialmente importante en redes inalámbricas donde es habitual que los equipos portátiles puedan conectarse en diferentes subredes. | + | * Todos los servidores alcanzados por la solicitud responden al cliente con sus respectivas propuestas, este acepta una de ellas haciéndoselo saber al servidor elegido, el cual le otorga la información requerida. |
| - | • Si nuestra red crece y en un momento dado es necesario reestructurar la misma será necesario modificar la configuración de red de todos los equipos. | + | * Esta información se mantiene asociada al cliente mientras este no desactive su interfaz de red (posiblemente porque se apague la máquina) o no expire el plazo del “contrato”. |
| - | Sin embargo, al elegir la configuración automática se obtienen varias ventajas: | + | El plazo del “contrato” o renta es el tiempo en que un cliente DHCP mantiene como propios los datos que le otorgó un servidor. Este se negocia como parte del protocolo entre el cliente y el servidor. Una vez vencido el plazo del contrato el servidor puede renovar la información del cliente, fundamentalmente su dirección IP, y asignarle otra nueva o extender el plazo, manteniendo la misma información. El cliente puede solicitar también la renovación o liberación de sus Datos. |
| - | • El servidor suministra automáticamente la información de configuración necesaria a los equipos disminuyendo el trabajo a realizar por el administrador. | + | |
| - | • Nuevos equipos se pueden conectar a la red sin necesidad de ninguna intervención por parte del administrador. | + | |
| - | • Garantiza que los equipos en la red emplean la información de configuración de red correcta y permite cambiar la configuración de varios equipos de forma centralizada. | + | |
| - | • Permite reestructurar la red y añadir o modificar servicios de red sin tener que acceder a los equipos, simplemente estableciendo la configuración que se mandará a los equipos de la red. | + | |
| - | • Los equipos pueden cambiar de ubicación y conectarse a la red automáticamente. | + | |
| - | A pesar de las ventajas y simplicidad de configuración de un servidor DHCP pueden existir reticencias a su uso que no se corresponden con la realidad. Por ejemplo, puede surgir la duda de si los servidores DHCP producen un exceso de tráfico de difusión. Sin embargo la realidad nos dice que los mensajes de difusión que se envían son mínimos. En la mayoría de los casos estarán limitados a un paquete de difusión enviado por el cliente para descubrir al servidor DHCP, lo que resulta insignificante en el tráfico total de la red. | + | ====== 2. Componentes del servicio DHCP. ====== |
| - | Lo que no resulta recomendable es utilizar DHCP para configurar los servidores que proporcionan servicios de red como servidores de nombres, servidores de correo, etc. Eso es debido a que un fallo en el servidor DHCP podría dejar inutilizados el resto de servicios de la red. | + | |
| - | 4. Componentes | + | DHCP consta de dos componentes: |
| - | El funcionamiento del servicio DHCP está basado en el modelo cliente/servidor y está formado por los siguientes componentes: | + | - Un protocolo que entrega parámetros de configuración específicos de un host de un servidor DHCP al host. |
| - | ■ Servidor DHCP. Asigna la configuración de red a los clientes. | + | - Un mecanismo para reservar direcciones de red para los hosts. |
| - | ■ Clientes DHCP. Realizan peticiones al servidor DHCP y configuran los parámetros TCP/IP con las opciones que recibe del servidor DHCP. | + | |
| - | ■ Protocolo DHCP. Conjunto de normas y reglas en base a las cuales "dialogan" los clientes y los servidores DNS. | + | |
| - | ■ Agentes de retransmisión DHCP. Escuchan peticiones de clientes DHCP y las retransmiten a servidores DHCP ubicados en otras redes. Se utilizan para centralizar la configuración del servicio DHCP en múltiples redes. | + | |
| - | Además, es necesario reseñar que en una red pueden convivir equipos que sean clientes DHCP con otros cuya configuración se haya establecido manualmente. | + | IP requiere la configuración de muchos parámetros dentro del software de implementación del protocolo. Debido a que IP utilizar en muchas clases distintas de hardware de red, no se puede suponer o adivinar que los valores de esos parámetros tienen valores correctos por defecto. El uso de un sistema de asignación de direcciones distribuidas basado en un mecanismo de consulta/defensa, para descubrir direcciones de red que ya están en uso, no garantiza direcciones de red unívocas porque puede que los host no sean siempre capaces de defender sus direcciones de red. |
| - | 5. Asignación | + | Cada equipo de una red TCP/IP debe tener un nombre y una dirección IP únicos. La dirección IP, junto con su máscara de subred relacionada, identifica al equipo host y a la subred a la que está conectado, de modo que al mover un equipo a una subred diferente, se debe cambiar la dirección IP asignada a dicho equipo. DHCP permite asignar dinámicamente una dirección IP a un cliente, a partir de una base de datos de direcciones IP de servidor DHCP de la red local, reduciendo la complejidad y cantidad de trabajo que debe realizar el administrador para reconfigurar los equipos. |
| - | A la hora de analizar las asignaciones de direcciones IP que realiza el Servidor DHCP podemos estudiar diferentes conceptos que nos permiten caracterizarlas. | + | |
| + | DHCP alquila o asigna dinámicamente direcciones IP durante un tiempo, conocido como duración del alquiler, a las estaciones de trabajo, distribuyendo además otros parámetros de configuración entre clientes de red autorizados, tales como la puerta de enlace o el servidor DNS. | ||
| - | 5.1. Tipos de asignación: | + | El servicio DHCP proporciona una configuración de red TCP/IP segura, confiable y sencilla, evitando conflictos de direcciones y ayudando a conservar el uso de las direcciones IP de clientes en la red, para lo cual utiliza un modelo cliente-servidor en el que el servidor DHCP mantiene una administración centralizada de las direcciones IP utilizadas en la red. |
| - | Existen tres tipos de asignaciones a la hora de que un servidor DHCP asigne una configuración a un cliente: | + | |
| - | ■ Asignación manual o estática (Reservas): | + | Si deseamos que a determinados equipos el servidor les sirva siempre la misma dirección IP, podemos llegar a forzar la asignación de la dirección IP deseada a equipos concretos a través de la dirección MAC de su tarjeta de red. Además también pueden excluirse del rango de direcciones IP que va a servir nuestro servidor, aquellas que deseamos que estén asociadas de forma estática a determinados equipos o periféricos de red. |
| - | • Asignar direcciones IP concretas a maquinas concretas. A cada dirección física le corresponde una dirección IP (preasignada "manualmente" por el administrador). | + | |
| - | ■ Asignación dinámica: | + | Si por error algún equipo de la red estuviera configurado con un direccionamiento IP estático del rango gestionado por nuestro servidor DHCP, podría ocurrir que cuando nuestro servidor DHCP alquilase una dirección IP a la estación de trabajo solicitante, dicha dirección IP fuera la que estuviera siendo utilizada por el equipo con direccionamiento estático, provocándose un conflicto de direccionamiento IP; en ese caso el cliente DHCP solicitará otra dirección IP y la probará, hasta que obtenga una dirección IP que no esté asignada actualmente a ningún otro equipo de la red. Por cada conflicto de direcciones IP, el cliente volverá a intentar configurarse automáticamente hasta con 10 direcciones IP. |
| - | • El servidor DHCP elige una dirección de un grupo de direcciones disponibles (definidas por el administrador) (rango/ámbito). | + | |
| - | • Realiza una concesión de la dirección IP al cliente durante un plazo limitado (lease time). | + | |
| - | ■ Asignación automática: | + | Las estaciones de trabajo solicitan al servidor DHCP su dirección IP y demás configuraciones para este protocolo, el cual les va asignando direcciones del rango que sirve, de entre aquellas que le quedan libres. |
| - | • Asignar direcciones IP de forma permanente a máquinas clientes la primera vez que hacen la solicitud al servidor DHCP y hasta que el cliente las libera. | + | |
| - | • La diferencia con la asignación dinámica radica en que en la asignación automática el plazo de concesión es ilimitado. | + | |
| - | • Hay que usar este tipo de asignación con precaución porque si un equipo con una asignación sin caducidad es eliminado y no se notifica al servidor DHCP, su dirección IP no se podría reutilizar. | + | |
| - | A la hora de establecer la política de asignación de direcciones que empleará el servidor DHCP, se suele emplear un política híbrida en la que se combinan la asignación dinámica para la mayoría de los clientes y la asignación manual para determinados clientes "conocidos" y que necesitan tener siempre la misma dirección IP | + | ====== 3. Asignaciones. Tipos. ====== |
| - | Es necesario recordar también que el servicio DHCP no constituye en sí mismo ningún mecanismo de seguridad. Cualquier usuario que tenga acceso a la red podría configurar manualmente su equipo con una dirección IP válida y tener acceso a los recursos de la red. | + | |
| - | 5.2. Ámbito | + | Sin DHCP, cada dirección IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en un lugar diferente de la red. |
| - | Se puede definir un ámbito como un agrupamiento administrativo de equipos o clientes de una red que utilizan el servicio DHCP. Dentro del ámbito se reserva un rango de direcciones IP para otorgar a los clientes de dicho ámbito. | + | |
| - | Habitualmente el administrador de red creará un ámbito para cada subred y definirá un rango de direcciones IP para otorgar, una máscara de subred, un tiempo de concesión y otros parámetros adicionales como puerta de enlace, servidores DNS, etc. | + | |
| - | 5.3. Rango | + | La asignación de direcciones IP a los clientes es la tarea más fundamental que realiza un servidor de DHCP. El protocolo DHCP incluye tres métodos de asignación de direcciones IP: |
| - | Es posible definir un rango como un intervalo consecutivo de direcciones IP (Ej.: de 192.168.1.10 a 192.168.1.50) válidas y disponibles para ser concedidas o asignadas equipos clientes DHCP de una red determinada. | + | * Asignación **manual o estática**: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados. El administrador asigna una dirección IP asignada previamente al cliente y DHCP sólo comunica la dirección IP al dispositivo. |
| - | En un servidor DHCP se pueden configurar tantos ámbitos/rangos como sea necesario para el entorno de red | + | * Asignación **automática**: DHCP asigna automáticamente una dirección IP estática permanente a un dispositivo; la dirección es seleccionada de un conjunto de direcciones disponibles. No hay arrendamiento y la dirección se asigna permanentemente al dispositivo. |
| + | * Asignación **dinámica**: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red. DHCP asigna automáticamente una dirección IP dinámica, o arrendada, tomada de un grupo de direcciones IP por un período limitado seleccionado por el servidor o hasta que el cliente informe al servidor de DHCP que ya no necesita la dirección | ||
| - | 5.4. Exclusiones | ||
| - | Un conjunto de direcciones que son excluidas de un rango para no asignarlas a clientes DHCP. | ||
| - | Normalmente se suelen excluir del rango aquellas direcciones IP que corresponden a equipos que necesitan una dirección IP fija, como servidores, routers o Firewalls, y que se configuran manualmente. | ||
| - | 5.5. Reservas | + | ===== 3.1. Método de asignación de DHCP. ===== |
| - | Consiste en la asignación de una dirección IP fija a un equipo, y se suele utilizar para asignar a servidores o PC´s concretos la misma dirección siempre. Es algo similar a configurar manualmente una dirección IP estática pero de forma automática desde el servidor DHCP. | + | |
| - | En este punto es necesario recordar que en una red de área local se identifica al equipo por su dirección física o MAC. | + | - El cliente hace un broadcast de un mensaje DHCPDISCOVER en su subred física. El mensaje DHCPDISCOVER puede incluir algunas opciones como sugerencias de la dirección de red, duración del arrendamiento, etc. |
| + | - Cada servidor puede responder con un mensaje DHCPOFFER que incluye una dirección de red disponible y otras opciones de configuración. | ||
| + | - El cliente recibe uno o más mensaje DHCPOFFER de uno o más servidores. Elige uno basándose en los parámetros de configuración ofertados y hace un broadcast de un mensaje DHCPREQUEST que incluye la opción identificadora del servidor para indicar qué mensaje ha seleccionado. | ||
| + | - Los servidores reciben el broadcast de DHCPREQUEST del cliente. Los servidores no seleccionados utilizan el mensaje como notificación de que el cliente ha declinado su oferta. El servidor seleccionado vincula al cliente al almacenamiento persistente y responde con un mensaje DHCPACK que contiene los parámetros de configuración para el cliente. La combinación de las direcciones hardware y asignada del cliente constituyen un identificador único de su arrendamiento y las usan tanto el cliente como el servidor para identificar cualquier arrendamiento al que se haga referencia en un mensaje DHCP. El campo "your IP address" en los mensaje DHCPACK se rellena con la dirección de red seleccionada. | ||
| + | - El cliente recibe el mensaje DHCPACK con parámetro de configuración. Realiza un chequeo final de estos parámetros, por ejemplo con ARP para la dirección de red asignada, y registra la duración del arrendamiento y el cookie de identificación de éste especificado en el mensaje DHCPACK. En este punto, el cliente está configurado. Si el cliente detecta un problema con los parámetros en el mensaje DHCPACK, envía un mensaje DHCPDECLINE al servidor y reinicia el proceso de configuración.El cliente debería esperar un mínimo de diez segundos antes de reiniciar este proceso para evitar un exceso de tráfico en la red en caso de que se produzca algún bucle. Si el cliente recibe un mensaje, reinicia el proceso de configuración. | ||
| + | - Puede elegir renunciar a su arrendamiento enviando un mensaje DHCPRELEASE al servidor. El cliente especifica el arrendamiento al que renuncia incluyendo sus direcciones hardware y de red. | ||
| - | 5.6. Tiempo de concesión (léase time) | + | {{:sri:t1:diapositivas:diapositiva01.png?500|}} |
| - | El plazo del contrato o concesión es el tiempo en que un cliente DHCP mantiene como propios los datos de configuración que le otorgó un servidor. | + | |
| - | Cada vez que un cliente arranca, cada cierto tiempo o bien cuando se alcanza el límite de la concesión (léase time) el cliente tiene que solicitar su renovación. | + | |
| - | Una vez vencido el plazo del contrato el servidor puede renovar la información del cliente, asignarle otra nueva o extender el plazo manteniendo la misma información | + | |
| - | Esta característica facilita la restructuración de una red de forma transparente al usuario, que simplemente obtendrá una nueva dirección una vez haya finalizado la concesión de la anterior configuración de red | + | |
| - | A la hora de determinar el tiempo de concesión es necesario analizar las características de la red. Por ejemplo en los servidores DHCP de Windows el tiempo de concesión por defecto es de 8 días, pero: | + | |
| - | ■ En una red con IP disponibles y donde la configuración de los clientes raramente cambia el administrador podría incrementar el tiempo de concesión para reducir el tráfico derivado de las solicitudes de renovación por parte de los clientes. Se podría incrementarse el tiempo de concesión a varios meses. | + | |
| - | ■ En una red que tiene un número muy limitado de direcciones IP y donde la configuración de los clientes cambia frecuentemente, o donde los equipos cambian habitualmente de subred. Por ejemplo, si 220 ordenadores comparten 254 direcciones IP sería adecuado reducir el tiempo de concesión a pocos días. | + | |
| - | 6. Servidores DHCP | + | ====== 4. Protocolo DHCP. ====== |
| - | Los servidores DHCP permiten asignar la configuración de red al resto de máquinas presentes en la red (clientes DHCP) cuando estos arrancan o inician sus interfaces de red. Para realizar esta tarea escuchan las peticiones a través del puerto 67/UDP. | + | |
| - | Permiten configurar de forma automática parámetros como los siguientes: | + | El Protocolo de configuración dinámica de host (DHCP) es un estándar de TCP/IP que simplifica la administración de la configuración IP haciéndola automática. |
| - | - Dirección IP. | + | |
| - | - Máscara de subred. | + | |
| - | - Puerta de enlace. | + | |
| - | - Servidores DNS. | + | |
| - | - Nombre DNS. | + | |
| - | - Tiempo máximo de espera de ARP. | + | |
| - | - Servidores POP3. | + | |
| - | - Servidor WINS. | + | |
| - | Estos parámetros se pueden configurar a distintos niveles. Se pueden establecer a nivel del servidor DHCP, a nivel de ámbito o incluso a nivel de una reserva. | + | DHCP se deriva del protocolo Bootstrap (Bootp). Bootp fue uno de los primero métodos para asignar de forma dinámica direcciones IP a otros equipos (ordenadores, impresoras, etc.) Al ser las redes cada vez más grandes, BootP ya no era adecuado y DHCP fue creado para cubrir nuevas demandas; Ya que es un protocolo diseñado principalmente para ahorrar tiempo gestionando direcciones Ip en una red grande. El servicio DHCP está activo en un servidor donde se centraliza la gestión de las direcciones IP de la red. |
| - | Ejemplos de servidores DHCP son: | + | DHCP permite además configurar parámetros como puede ser, la máscara de subred, la puerta de enlace, los servidores DNS, WINS, etc. |
| - | - ISC DHCP (http://www.isc.org/software/dhcp), utilizado en sistemas Linux/Unix. | + | |
| - | - Servidor DHCP de Microsoft (2003 Server/2008 Server). | + | |
| - | - Servidores DHCP integrados en routers (por ejemplo: IP Easy en routers CISCO y Linksys) | + | |
| - | 7. Clientes DHCP | ||
| - | Los clientes realizan peticiones al servidor DHCP y configuran sus parámetros TCP/IP con las opciones que recibe del servidor DHCP. Para esto utilizan el puerto 68/UDP. Estos clientes DHCP están integrados en Windows, Linux y en otros sistemas operativos. | ||
| - | 8. Tipos de opciones | + | Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su configuración de red) en forma dinámica (es decir, sin intervención particular). Sólo tiene que especificarle al equipo, mediante DHCP, que encuentre una dirección IP de manera independiente. El objetivo principal es simplificar la administración de la red. |
| - | A la hora de establecer los parámetros de configuración que se enviarán a los clientes podemos establecer parámetros a diferentes niveles: | + | |
| - | - Opciones de servidor: Se envían a todos los clientes del servidor DHCP. | + | |
| - | - Opciones de ámbito: Se envían a todos los clientes del ámbito y sobrescriben las opciones de servidor. | + | |
| - | - Opciones de clase: Se envían a los clientes de acuerdo a la clase de cliente a la que pertenecen. | + | |
| - | - Opciones de equipo: Se definen para un equipo concreto mediante una reserva. Este tipo de opciones sobrescriben a cualquiera de las demás. | + | |
| - | 9. Protocolo DHCP | + | El protocolo DHCP sirve principalmente para distribuir direcciones IP en una red, pero desde sus inicios se diseñó como un complemento del protocolo BOOTP (Protocolo Bootstrap), que se utiliza, por ejemplo, cuando se instala un equipo a través de una red (BOOTP se usa junto con un servidor TFTP donde el cliente encontrará los archivos que se cargarán y copiarán en el disco duro). Un servidor DHCP puede devolver parámetros BOOTP o la configuración específica a un determinado host. |
| - | El protocolo DHCP determina el conjunto de normas y reglas en base a las cuales dialogan los clientes y los servidores DHCP. Como el protocolo DHCP fue desarrollado partiendo del protocolo BOOTP, el formato de un mensaje DHCP está basado en un mensaje BOOTP | + | |
| - | El formato de un mensaje DHCP tiene una parte fija que aparece en todos los mensajes, aunque no se utilicen todos los campos y una parte variable (options) donde irán las opciones específicas de DHCP | + | Desde el punto de vista del cliente, DHCP es una extensión del mecanismo BOOTP. Este comportamiento permite a los clientes del BOOTP interoperar con servidores DHCP sin requerir ningún cambio en el software. |
| - | Code: Indica si es solicitud (1) o respuesta (2) | + | |
| - | hwtype: Tipo de hardware. Por ejemplo Ethernet (1) o redes IEEE 802 (6) | + | |
| + | DHCP es un protocolo diseñado principalmente para ahorrar tiempo gestionando direcciones IP en una red grande. El servicio DHCP está activo en un servidor donde se centraliza la gestión de la direcciones IP de la red. Hoy en día, muchos sistemas operativos incluyen este servicio dada su importancia. | ||
| - | La sección opciones contiene información de configuración enviada entre el cliente y el servidor DHCP. Cada opción tiene un option code, que identifica el tipo de opción, un option length, que identifica el tamaño de los datos y un option data, que constituye los datos de la opción. | + | ====== 5. Funcionamiento del servicio DHCP. Tipos de mensajes. ====== |
| - | Cada tipo de mensaje se determina mediante una opción. Por ejemplo un Mensaje DHCPOFFER vendría definido por option code=53, (tipo de opción para establecer el tipo de mensaje) option length=1, option data=2 (dato que indica el mensaje DHCPOFFER). Y así sucesivamente, se irían estableciendo todas las opciones DHCP referidas a ese mensaje. | + | |
| - | 10. Funcionamiento | + | DHCP funciona sobre un servidor central (servidor, estación de trabajo o incluso un PC) el cual asigna direcciones IP a otras máquinas de la red. Este protocolo puede entregar información IP en una LAN o entre varias VLAN. Esta tecnología reduce el trabajo de un administrador, que de otra manera tendría que visitar todos los ordenadores o estaciones de trabajo uno por uno. Para introducir la configuración IP consistente en IP, máscara, gateway, DNS, etc. |
| - | El funcionamiento del servicio DHCP sigue estos pasos: | + | El funcionamiento DHCP se basa en la arquitectura cliente / servidor (como casi todos los servicios de Internet), por lo que debe haber un servidor DHCP (dhcpd) y el cliente DHCP para su funcionamiento. En el caso más simple es un servidor DHCP en la subred a la que el cliente solicite la asignación de dirección IP (y el resto de los parámetros de configuración). |
| - | 1. Cuando un cliente DHCP se conecta a la red envía una solicitud en forma de broadcast a través de la red. | + | |
| - | 2. Todos los servidores alcanzados por la solicitud responden al cliente con sus respectivas propuestas. | + | |
| - | 3. El cliente acepta una de ellas haciéndoselo saber al servidor elegido. | + | |
| - | 4. El servidor le otorga la información requerida (en este mensaje le otorga un plazo de concesión (léase time). | + | |
| - | 5. Esta información se mantiene asociada al cliente mientras éste no desactive su interfaz de red o no expire el plazo del contrato o concesión (léase time). | + | |
| - | 6. Renovaciones: | + | |
| - | - Cada vez que el cliente arranca, cada cierto tiempo o bien cuando se alcanza el límite de la concesión (léase time) el cliente tiene que solicitar su renovación. | + | |
| - | - Una vez vencido el plazo del contrato el servidor puede renovar la información del cliente, asignarle otra nueva o extender el plazo, manteniendo la misma información. | + | |
| - | Vamos a estudiar en más detalle las dos situaciones principales del servicio, la que se produce cuando el cliente quiere obtener una concesión y la que se produce cuando el cliente quiere renovar su concesión. | + | Si no existe un servidor DHCP de la subred se necesitará un agente (normalmente un router) que sabe la dirección del servidor DHCP. |
| - | 10.1. Obtener una concesión | + | El protocolo funciona en los siguientes pasos: |
| - | Partimos de la situación en la que el servidor DHCP está a la escucha de las posibles solicitudes de los clientes. El servidor almacena las posibles direcciones IP a otorgar además del resto de la información (mascaras, DNS, gateways,...). | + | |
| - | A la hora de obtener una concesión por parte de un cliente se suceden cuatro etapas, que reciben su nombre de los tipos de paquete DHCP usados en la comunicación: | + | |
| - | 1. Descubrimiento DHCP (DHCPDISCOVER) | + | * DHCP discover: DHCP Discovery es una solicitud DHCP realizada por un cliente de este protocolo para que el servidor DHCP de dicha red de computadoras le asigne una Dirección IP y otros Parámetros DHCP como la máscara de red o el nombre DNS. |
| - | El cliente DHCP difunde por broadcast un paquete DHCPDISCOVER para localizar un servidor DHCP | + | * DHCP offer: DHCP Offer es el paquete de respuesta del Servidor DHCP a un cliente DHCP ante su petición de la asignación de los Parámetros DHCP. Para ello involucra su dirección MAC (Media Access Control). |
| - | El mensaje DHCPDISCOVER tiene las siguientes características: | + | * DHCP request: El cliente selecciona la configuración de los paquetes recibidos de DHCP Offer. Una vez más, el cliente solicita una dirección IP específica que indicó el servidor. |
| - | - Puerto destino 67 | + | * DHCP ACK: Cuando el servidor DHCP recibe el mensaje DHCPREQUEST del cliente, se inicia la fase final del proceso de configuración. Esta fase implica el reconocimiento DHCPACK el envío de un paquete al cliente. Este paquete incluye el arrendamiento de duración y cualquier otra información de configuración que el cliente pueda tener solicitada. En este punto, la configuración TCP / IP proceso se ha completado. El servidor reconoce la solicitud y la envía acuse de recibo al cliente. El sistema en su conjunto espera que el cliente para configurar su interfaz de red con las opciones suministradas. El servidor DHCP responde a la DHCPREQUEST con un DHCPACK, completando así el ciclo de iniciación. La dirección origen es la dirección IP del servidor de DHCP y la dirección de destino es todavía 255.255.255.255. El campo YIADDR contiene la dirección del cliente, y los campos CHADDR y DHCP: Client Identifier campos son la dirección física de la tarjeta de red en el cliente. La sección de opciones del DHCP identifica el paquete como un ACK. |
| - | - Puerto origen 68 | + | * DHCP Release:Si los clientes envían una petición al servidor DHCP para liberar su dirección IP. Como los clientes generalmente no de broadcast. El router puede ser configurado para redireccionar los paquetes DHCP a un servidor DHCP en una subred diferente. La implementación cliente crea un paquete UDP (Protocolo de Datagramas de Usuario según siglas en inglés) con destino 255.255.255.255 y requiere también su última dirección IP conocida, aunque esto no es necesario y puede llegar a ser ignorado por el servidor esto da origen a errores del sistema. |
| - | - Dirección IP origen: 0.0.0.0 | + | * DHCP Inform: El cliente envía una petición al servidor de DHCP: para solicitar más información que la que el servidor ha enviado con el DHCPACK original; o para repetir los datos para un uso particular - por ejemplo; los browsers usan DHCP Inform para obtener la configuración de los proxies a través de WPAD. Dichas peticiones no hacen que el servidor de DHCP refresque el tiempo de vencimiento de IP en su base de datos. |
| - | - Dirección IP destino: 255.255.255.255 | + | |
| - | - Lleva un identificador de transacción | + | |
| - | - Incluye la dirección MAC del cliente. | + | |
| - | 2 Oferta DHCP (DHCPOFFER) | + | {{:sri:t1:diapositivas:diapositiva02.png?500|}} |
| - | Los servidores responden a la petición con DHCPOFFER. Donde ofrecen una dirección IP al cliente (basándose en la información que han recibido), máscara de red, tiempo de concesión. | + | {{:sri:t1:diapositivas:diapositiva03.png?500|}} |
| - | Cada servidor DHCP de respuesta reserva la dirección IP propuesta para no ofrecerla a otro cliente DHCP antes de que el cliente que realizó la solicitud la acepte. | + | |
| - | 3. Solicitud DHCP (DHCPREQUEST) | + | ====== 6. Parámetros y declaraciones de configuración. ====== |
| - | El cliente recibe una o más ofertas de servidores y elige la "mejor" (por tiempo de respuesta, por IP, etc.). Normalmente elige la primera. | + | |
| - | Difunde (por broadcast) un mensaje DHCPREQUEST, poniendo el nombre del servidor elegido en uno de los campos de opciones (ID del servidor). | + | |
| - | Si el cliente no recibe mensajes DHCPOFFER, expira la petición y reenvía un nuevo mensaje DHCPDISCOVER. | + | |
| - | 4. Reconocimiento DHCP (DHCPACK) o reconocimiento negativo DHCP (DHCPNAK) | + | Un servidor DHCP puede proveer de una configuración opcional al dispositivo cliente. Dichas opciones están definidas en RFC 2132 Lista de opciones configurables: |
| - | Si el mensaje DHCPREQUEST no contiene su dirección, el servidor considera su oferta rechazada. | + | |
| - | Si contiene su dirección, envía un mensaje: | + | |
| - | ■ DHCPACK si la dirección IP aún está disponible. | + | |
| - | ■ DHCPNAK si ya no lo está disponible o no es válida. | + | |
| - | Si el cliente recibe el DHCPACK, puede usar la dirección IP. | + | * Dirección del servidor DNS |
| - | ■ El cliente debe verificar que la dirección IP es válida y no está duplicada. | + | * Nombre DNS |
| - | • Si es válida, el cliente se inicializa con los datos suministrados por el servidor DHCP. | + | * Puerta de enlace de la dirección IP |
| - | • Si encuentra un problema con la dirección asignada, envía un DHCPDECLINE al servidor y vuelve al paso 1 (DHCPDISCOVER). | + | * Dirección de Publicación Masiva (broadcast address) |
| + | * Máscara de subred | ||
| + | * Tiempo máximo de espera del ARP (Protocolo de Resolución de Direcciones según siglas en inglés) | ||
| + | * MTU (Unidad de Transferencia Máxima según siglas en inglés) para la interfaz | ||
| + | * Servidores NIS (Servicio de Información de Red según siglas en inglés) | ||
| + | * Dominios NIS | ||
| + | * Servidores NTP (Protocolo de Tiempo de Red según siglas en inglés)) | ||
| + | * Servidor SMTP | ||
| + | * Servidor TFTP | ||
| + | * Nombre del servidor WINS | ||
| - | Si recibe el DHCPNAK, libera la dirección IP y vuelve al paso 1 (DHCPDISCOVER). | + | El primer paso al configurar un servidor DHCP es crear el archivo de configuración que almacena la información de red para los clientes. Se pueden declarar opciones globales para todos los clientes, o bien opciones para cada sistema cliente. Este archivo es: dhcpd.conf |
| - | ¿Qué ocurre si el servidor DHCP no está disponible? | + | El archivo de configuración puede contener tabulaciones o líneas en blanco adicionales para facilitar el formato. Las palabras clave no distinguen entre mayúsculas y minúsculas, y las líneas que empiezan con una almohadilla o símbolo numeral (#) se consideran comentarios. El archivo de configuración dhcpd.conf posee dos tipos de información: |
| - | Si el servidor DHCP no está disponible los equipos de la red no podrán obtener una concesión. Para evitar este problema puede resultar conveniente tener más de un servidor DHCP funcionando simultáneamente. De esta forma aumentaría la fiabilidad del servicio DHCP en la red. | + | |
| - | ¿Qué ocurre si un equipo con una concesión activa cambia de subred? | + | |
| - | Si el equipo con una concesión de dirección IP 192.168.3.1 cambiara a la subred 192.168.1.0, al ser iniciado mandaría la petición de confirmación al servidor DHCP. Este comprobaría que el mensaje viene de la red 192.168.1.0 por lo que contestaría al equipo indicándole que su dirección IP es inválida. El equipo ante esta respuesta mandaría una petición al servidor DHCP para obtener una nueva concesión válida. | + | |
| + | * Parámetros — establece cómo se realiza una tarea, si debe llevarse a cabo una tarea o las opciones de configuración de red que se enviarán al cliente. | ||
| + | * Declaraciones — describen la topología de la red, describen los clientes, proporcionan direcciones para los clientes o aplican un grupo de parámetros a un grupo de declaraciones. Algunos parámetros deben empezar con la palabra clave option. | ||
| - | 10.2. Renovar una concesión | + | Algunas opciones configuran DHCP y los parámetros definen valores no opcionales o que controlan el comportamiento del servidor DHCP. |
| - | El proceso de renovación de concesiones es resultado del valor del periodo de concesión (lease time). Este valor garantiza que DHCP mantiene la información de direcciones IP y que los clientes actualizan o renuevan regularmente sus datos de configuración de direcciones IP | + | |
| - | Los clientes intentan renovar su concesión: | + | |
| - | - Cuando se inician (se reinicia la maquina o el interfaz de red) para asegurarse de que pueden usar la dirección IP que tenían anteriormente y si no es así solicitar otra. | + | |
| - | - Antes de que finalice el período de concesión para garantizar que la información de configuración está actualizada. Los clientes DHCP intentan renovar su concesión a intervalos específicos para garantizar que la información de configuración está actualizada. | + | |
| - | - Por defecto un cliente DHCP intenta renovar su concesión a la mitad del plazo de concesión, aunque este parámetro se puede configurar. | + | |
| - | - Si no lo consigue, al finalizar el plazo libera la dirección IP. | + | |
| - | Renovación manual. La concesión se puede renovar manualmente en el cliente. Se realizan dos pasos para renovar una concesión: | + | |
| - | 1. El cliente DHCP difunde un DHCPREQUEST con la opción Requested IP address (la dirección previamente asignada). | + | |
| - | 2. El servidor DHCP correspondiente devuelve DHCPACK o DHCPNAK. | + | |
| - | ¿Qué ocurre si un equipo se retira de la red? | + | Los parámetros (incluidas las opciones) declarados antes de una sección encerrada entre paréntesis ({ }) se consideran parámetros globales. Los parámetros globales se aplican a todas las secciones situadas debajo de ellos. |
| - | El servidor DHCP cuando detecte que ha caducado la concesión que tenía ese equipo y no ha recibido ninguna petición de renovación simplemente liberará esa dirección para poder asignarla a próximas peticiones. | + | El fichero dhcpd.conf se compone de un conjunto de declaraciones que hacen referencia a máquinas y a subredes. Esto se entenderá mejor mediante el siguiente ejemplo: |
| + | |||
| + | option domain-name "ejemplo.com"; | ||
| + | Esta opción especifica el dominio que se proporciona a los clientes | ||
| + | y que dichos clientes utilizan como dominio de búsqueda por defecto. | ||
| + | option domain-name-servers 192.168.4.100; | ||
| + | especifica la lista de servidores de DNS (seperados por comas) que deben utilizar los clientes. | ||
| + | option subnet-mask 255.255.255.0; | ||
| + | La máscara de red que se proporciona a los clientes. | ||
| + | |||
| + | default-lease-time 3600; | ||
| + | Un cliente puede solicitar un determinado tiempo de vida para el préstamo. En caso contrario el servidor asigna un tiempo de vida por defecto mediante este valor (expresado en segundos). | ||
| + | max-lease-time 86400; | ||
| + | Este es el máximo tiempo que el servidor puede utilizar para realizar préstamos a los clientes | ||
| + | ddns-update-style none; | ||
| + | Esta opción especifica si el servidor de DHCP debe intentar actualizar el servidor de DNS cuando se acepta o se libera un préstamo | ||
| + | |||
| + | subnet 192.168.4.0 netmask 255.255.255.0 { | ||
| + | range 192.168.4.129 192.168.4.254; | ||
| + | indica qué direcciones IP se pueden utilizar para ser prestadas a los clientes que las soliciten | ||
| + | option routers 192.168.4.1; | ||
| + | Declara cúal es la pasarela por defecto que se proporcionará a los clientes | ||
| + | } | ||
| + | |||
| + | host mailhost { | ||
| + | hardware ethernet 02:03:04:05:06:07; | ||
| + | Especifica la dirección MAC de una máquina | ||
| + | fixed-address mailhost.ejemplo.com; | ||
| + | Especifica que la máquina cliente debería obtener siempre la misma dirección IP. Recuerde que se puede utilizar un nombre de máquina para esto ya que el servidor de DHCP resolverá el nombre por sí mismo antes de devolver la información al cliente. | ||
| + | } | ||
| + | |||
| + | Estructura del archivo dhcpd.conf: | ||
| + | Parámetros globales: | ||
| + | Significado de los parámetros: | ||
| + | * authoritative – indica que el servidor DHCP esta autorizado para delegar IP's en esa red. | ||
| + | * lease-file-name – indica el nombre del archivo donde se almacena la tabla de las IP asignadas (/var/lib/dhcp3/dhcpd.conf) | ||
| + | * server-identifier – indica al servidor cual es el interface por el cual debe escuchar. | ||
| + | * default-lease-time – tiempo de validez en segundos de la IP asignada. | ||
| + | * max-lease-time – tiempo limite de concesión de la IP, por si pide una indefinida. | ||
| + | * option subnet-mask – indica la mascara de red general a asignar | ||
| + | * option broadcast address – indica la direccion de broadcast a asignar | ||
| + | * option domain-name-servers – indica la lista de servidores DNS a asignar | ||
| + | * option domain-name – indica el nombre de dominio a asignar | ||
| + | * dns-update-style – indica el metodo de actualizacion dinamica en el servidor DNS con los valores de IP asignados | ||
| + | ====== | ||
| + | 7. Servidor DHCP a varias redes. Agente relay DHCP. ====== | ||
| - | ¿Qué tiempo de concesión será el adecuado? | + | El Agente Relay DHCP es una equipo o router configurado para escuchar broadcast DHCP/BOOTP de clientes DHCP y reenviar esos mensajes a los DCHP Servers en diferentes subredes. DHCP/BOOTP Relay Agents es parte de los estándares DHCP y BOOTP, y funciona según los documentos estándar Request for Comments (RFCs) que describen el diseño del protocolo y el comportamiento relacionado. Los clientes DHCP utilizan broadcasts para obtener el lease del DHCP Server. |
| - | Establecer los tiempos de concesión de las asignaciones dependerá de las características de los equipos que las utilicen. Por ejemplo, si tenemos una red en el aula a la que se conectan con portátiles de forma inalámbrica cada día, sería suficiente concesiones de 12 horas, lo que permitiría liberar direcciones al término de cada jornada. Para los equipos de sobremesa del departamento de informática, que no se reponen frecuentemente, una concesión de 30 días podría ser adecuado. | + | Los Routers normalmente no pasan broadcasts excepto que estén configurados específicamente para dejarlos pasar. Por lo tanto, sin configuración adicional, los DHCP Servers solo proveen direcciones IP a clientes en su subred local. Para que se puedan asignar direcciones a clientes en otros segmentos, se debe configurar la red para que los DHCP broadcasts puedan llegar desde el cliente al DCHP Server. Esto se puede hacer de dos maneras: configurando los routers que conectan las subnets para dejar pasar DHCP broadcasts, o configurando Agente Relay DHCP. |
| - | ¿Que ocurre al reiniciar un equipo? | ||
| - | Cuando se reinicia un equipo que ha obtenido la concesión y esta no ha caducado todavía, el equipo cliente mandará un mensaje al servidor DHCP para confirmar si su configuración de red es válida. El servidor DHCP comprueba que la concesión es válida y está activa. Si es así, extiende el tiempo de concesión al valor establecido por defecto. Al recibir el mensaje de confirmación del servidor DHCP el equipo cliente podrá seguir utilizando la red con su configuración de red. | + | {{:sri:t1:diapositivas:diapositiva04.png?500|}} |
| + | ===== 7.1. Cómo funciona El Agente Relay DHCP. ===== | ||
| - | En el caso de que el servidor DHCP no estuviera disponible, el equipo cliente mantendrá activa su configuración hasta que termine el periodo de concesión. | ||
| - | 10.3. Liberar una concesión | + | {{:sri:t1:diapositivas:diapositiva05.png?500|}} |
| - | El cliente puede devolver la dirección al servidor DHCP que se la concedió antes de que finalice el plazo de concesión, mediante DHCPRELEASE. Esta situación se podría dar cuando queremos cambiar el equipo de subred y queremos que la dirección IP que tenía asignada quede liberada inmediatamente. | + | |
| - | 10.4. Actualizar parámetros de configuración | + | El DHCP Relay Agent soporta el proceso Lease Generation entre el cliente DHCP y el DHCP Server, cuando se separan por un router. Esto habilita al cliente DHCP para recibir una dirección IP del DHCP Server. Los siguientes pasos describen el funcionamiento del Agente Relay DHCP: |
| - | Finalmente, es conveniente recordar que el servidor DHCP permite actualizar los parámetros de configuración de los equipos de la red cada vez que dichos equipos contacten con él. Por ejemplo, si cambia la dirección IP de un servidor DNS en la red esta se actualizará a los equipos clientes cuando contacten con el servidor, para obtener una concesión, para renovar una concesión o cuando remiden. | + | 1. El cliente DHCP envía un paquete broadcast DHCPDISCOVER. |
| + | 2. El DHCP Relay Agent, desde la subnet del cliente, reenvía el mensaje DHCPDISCOVER al DHCP Server usando unicast. | ||
| + | 3. El DHCP Server usa unicast para enviar el mensaje DHCPOFFER al DHCP Relay Agent. | ||
| + | 4. El DHCP Relay Agent envía un paquete broadcast DHCPOFFER al cliente DHCP en su subnet. | ||
| + | 5. El cliente DHCP envía un paquete broadcast DHCPREQUEST. | ||
| + | 6. El DHCP Relay Agent, desde la subnet del cliente, reenvía el mensaje DHCPREQUEST al DHCP Server, usando unicast. | ||
| + | 7. El DHCP Server usa unicast para enviar el mensaje DHCPACK al DHCP Relay Agent. | ||
| + | 8. El DHCP Relay Agent envía un paquete broadcast DHCPACK al cliente DHCP en su subnet. | ||
| - | 11. Tipos de mensajes DHCP | + | ====== 8. DHCP failover Protocol. ====== |
| - | A continuación se enumeran los mensajes DHCP utilizados habitualmente: | + | |
| - | ■ DHCPDISCOVER. Mensaje de broadcast de un cliente para detectar los servidores DHCP existentes. | + | |
| - | ■ DHCPOFFER. Mensaje de un servidor hacia un cliente con una oferta de configuración (respuesta a un DHCPDISCOVER). | + | |
| - | ■ DHCPREQUEST: Mensaje encapsulado en una trama de difusión que va de un cliente a un servidor para: | + | |
| - | Aceptar la oferta de un servidor determinado y rechazar las otras | + | DHCP Failover Protocol es un protocolo diseñado para permitir que una copia de seguridad del servidor DHCP para hacerse cargo de un servidor principal, si el servidor principal se toma fuera de la red por cualquier razón. |
| - | Confirmar la exactitud de la información asignada antes del reinicio del sistema. | + | |
| - | Extender el contrato de una dirección IP determinada. | + | |
| - | ■ DHCPPACK: Mensaje del servidor hacia un cliente para enviarle la configuración asignada excluyendo la dirección IP que ya fue aceptada. | + | Puede utilizar la conmutación por error de DHCP para configurar dos servidores DHCP para que funcionen como un par redundante. |
| - | ■ DHCPNAK: Mensaje del servidor al cliente para indicar que la dirección que tiene asignada es incorrecta (por ejemplo, cuando él cliente cambia de subred) o que el contrato ha expirado. | + | |
| - | ■ DHCPDECLINE. Mensaje del cliente para el servidor indicando que ha encontrado un problema con la dirección IP que le ha sido asignada. | + | |
| - | ■ DHCPRELEASE. Mensaje del cliente para el servidor para indicar que renuncia a la dirección otorgada y cancela lo que queda del contrato establecido anteriormente. | + | |
| - | ■ DHCPINFORM. Mensaje del cliente para pedir más información de la que el servidor le ha enviado con DHCPACK. | + | |
| - | 12. Varios servidores independientes DHCP | + | Los escenarios de conmutación por error Hay tres escenarios de conmutación por error de base: |
| - | En una misma red pueden coexistir varios servidores DHCP. Por ejemplo, se podrían configurar dos servidores DHCP en una red si se quiere mayor tolerancia a errores. | + | * conmutación por error simple: servidor que actúa como principal y su socio que actúa como copia de seguridad. |
| - | Cuando se produce esta situación los servidores DHCP no se comunican entre ellos para saber qué direcciones IP debe asignar cada uno. Es responsabilidad de los administradores que sus configuraciones sean independientes y consistentes, de manera que no puedan asignar la misma dirección IP a dos ordenadores distintos. Para ello, basta que los rangos de direcciones IP que puedan proporcionar no tengan direcciones comunes, o si las tienen, que estas sean direcciones reservadas. | + | * conmutación por error Back office: de red que el servidor de copia de seguridad misma. |
| - | Cuando existen varios servidores DHCP independientes trabajando simultáneamente, después de emitir un mensaje DHCPDISCOVER el cliente recibirá varios mensajes ofreciéndole diferentes configuraciones TCP/IP. El cliente utilizará la primera que reciba e indicará en el mensaje DHCPREQUEST el servidor que ha elegido. Este mensaje se transmitirá a todos los servidores DHCP, con lo que el servidor elegido realiza la concesión y el resto libera las direcciones IP propuestas al cliente. | + | * conmutación por error simétrica: servidores que actúan como principal y de reserva para sí. |
| + | ====== | ||
| + | 9. Problemas asociados a DHCP. Seguridad. ====== | ||
| - | 13. Dar servicio a varias redes | + | Los principales problemas asociados a la seguridad de DHCP son: |
| - | Para que un servidor DHCP pueda atender a una red física (mismo dominio de difusión) tiene que estar conectado a esa red física. Si se dispone de varias redes interconectadas por routers en las que se quiere configurar el servicio DHCP tenemos dos opciones | + | * DHCP es un protocolo no autenticado. |
| - | - Configurar un servidor DHCP en cada subred. | + | Cuando un usuario se conecta a una red no necesita proporcionar credenciales para obtener una concesión. Por tanto, es posible que un usuario no autenticado obtenga una concesión para cualquier cliente DHCP siempre que haya un servidor DHCP disponible para proporcionarla. Así, el usuario no autenticado podrá disponer de todos los valores de opción que el servidor DHCP proporcione con la concesión, como la dirección IP del servidor WINS o del servidor DNS. Si el cliente DHCP se identifica como miembro de una clase de usuario o de una clase de proveedor también dispondrá de las opciones asociadas a dicha clase. Esto permite que usuarios malintencionados que tengan acceso físico a una red habilitada para DHCP puedan realizar un ataque de denegación de servicio en los servidores DHCP si solicitan muchas concesiones al servidor, lo que reduciría el número de concesiones disponibles para otros clientes DHCP. |
| - | - Configurar un servidor DHCP desde una ubicación centralizada a varias subredes. | + | |
| - | 13.1. Un servidor DHCP en cada red | + | Recomendaciones: |
| - | Esta opción supone un aumento del trabajo administrativo y del equipamiento necesario, ya que habrá que ubicar un servidor DHCP en cada subred individual. | + | * Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red. |
| + | * Habilite el registro de auditoría en todos los servidores DHCP de la red. Compruebe periódicamente los archivos de registro de auditoría y supervíselos si el servidor DHCP recibe de los clientes un número de solicitudes de concesión inusualmente alto. En los archivos de registro de auditoría encontrará la información necesaria para localizar el origen de cualquier ataque realizado contra el servidor DHCP. La ubicación predeterminada de los registros de auditoría de es %windir%\System32\Dhcp. | ||
| - | 13.2. Un servidor DHCP centralizado | ||
| - | Si se quiere mantener un único servidor DHCP centralizado podríamos contemplar varias opciones: | ||
| - | ■ Conectar el servidor directamente a dichas redes. | ||
| - | ■ Que los enrutadores que interconectan las redes tengan la capacidad de retransmitir los mensajes del protocolo DHCP entre dichas redes. | ||
| - | ■ Instalar un agente de retransmisión DHCP en un equipo y configurarlo para escuchar los mensajes de difusión utilizados por DHCP y redirigirlos a un servidor DHCP específico. | ||
| - | ¿Qué ocurre si el servidor DHCP recibe peticiones de varias subredes? | ||
| - | Sí el servidor DHCP está atendiendo a diferentes subredes de la empresa, cuando reciba la petición identificará que subred proviene para poder darle un dirección IP valida para esa subred. Si tenemos diferentes ámbitos para las distintas subredes el servidor elegirá una dirección IP sin usar del ámbito que corresponda con esa subred. | + | * El servidor DHCP permite realizar ataques por denegación de servicio contra el servidor DNS. Cuando el servidor DHCP está configurado para actuar como servidor proxy DNS para los clientes DHCP y para realizar actualizaciones dinámicas de DNS existe la posibilidad de que un usuario malintencionado realice un ataque por denegación de servicio contra el servidor DHCP y el servidor DNS simultáneamente, inundando el servidor DHCP con solicitudes de concesiones. |
| - | 14. Agentes de retransmisión DHCP | + | Recomendaciones: |
| - | Un agente de retransmisión (relay agent) DHCP es escuchar difusiones DHCP procedentes de clientes DHCP procedentes de clientes DHCP y, a continuación, retransmitir dichos mensajes a los servidores DHCP ubicados en distintas redes. | + | |
| - | Existen dos tipos de agentes de retransmisión DHCP, aquellos que están integrados en routers y aquellos que funcionan en servidores. | + | * Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red. |
| + | * Utilice los registros de auditoría de DHCP, que se encuentran de manera predeterminada en %windir%\System32\Dhcp, para supervisar las actualizaciones dinámicas de DNS realizadas por el servidor DHCP. | ||
| - | Como el proceso de generación de concesiones DHCP se base en las difusiones, si el servidor DHCP y el cliente DHCP están separados por un enrutador que no reenvía las difusiones DHCP, el proceso de generación de concesiones DHCP no podrá realizar y el cliente DHCP no recibirá la concesión de dirección IP del servidor DHCP | + | A continuación, se enumeran las amenazas comunes a los servidores DHCP: |
| - | Para solventar este problema, el agente de retransmisión DHCP permite que se lleve a cabo el proceso de generación de concesiones entre el cliente DHCP y el servidor DHCP cuando ambos están separados por un enrutador. | + | |
| - | El funcionamiento es el siguiente: | + | |
| - | 1. El cliente DHCP difunde un paquete DHCPDISCOVER, | + | |
| - | 2. El agente de retransmisión DHCP de la subred del cliente reenvía el mensaje DHCPDISCOVER al servidor DHCP mediante unidifusión. | + | |
| - | 3. El servidor DHCP emplea unidifusión para enviar un DHCPOFFER al agente DHCP. | + | |
| - | 4. El agente DHCP difunde el paquete DHCPOFFER a la subred del cliente DHCP. | + | |
| - | 5. El cliente DHCP difunde un paquete DHCPREQUEST. | + | |
| - | 6. El agente DHCP de la subred del cliente reenvía el mensaje DHCPREQUEST al servidor DHCP mediante unidifusión. | + | |
| - | 7. El servidor DHCP emplea la unidifusión para enviar un mensaje DHCPACK al agente DHCP. | + | |
| - | 8. El agente DHCP difunde el paquete DHCPACK a la subred del cliente DHCP. | + | |
| - | El inconveniente de esta opción radica en que cada subred a la que sea necesario dar servicio DHCP necesitará de un servidor que funcione como agente de retransmisión. | + | * Un usuario no autorizado podría iniciar un ataque de denegación de servicio (DoS) basado en solicitar y obtener un gran número de direcciones IP. |
| + | * Se puede lanzar un ataque de denegación de servicio (DoS) a través de un usuario no autorizado, realizando un gran número de actualizaciones de DNS dinámico a través del servidor DHCP. | ||
| + | * Un usuario no autorizado podría utilizar un servidor DHCP para proporcionar direcciones IP incorrectas a sus clientes DHCP. | ||
| + | * Si se realiza la asignación de direcciones IP DNS e IP WINS a través del servidor DHCP, la probabilidad de que un usuario no autorizado pueda acceder información sobre el servidor, para luego utilizarla para atacar a los servidores DNS y servidores WINS es elevada. | ||
| - | La segunda opción consistirá en utilizar routers que tengan integrado un agente de retransmisión DHCP. Estos routers tendrán que ser adecuadamente configurados para que retransmitan los paquetes DCHP intercambiados entre cliente y servidor. | + | A continuación, se enumeran algunas medidas básicas de seguridad para garantizar la función de servidor DHCP: |
| - | En la siguiente imagen se ilustra el funcionamiento de un servidor DHCP configurado para dar servicio a una red compuesta por 3 subredes interconectadas por un router. El servidor DHCP dará una configuración de red adecuada al segmento de red al que está conectado el equipo que efectúa la petición. | + | |
| - | Cuando un equipo es conectado por primera vez a la red 192.168.3.0 lanzará un mensaje de difusión para localizar en la red un servidor DHCP. El Servidor DHCP escuchará este mensaje y contestará al quipo con una configuración de red adecuada, actuando el router como agente de retransmisión entre los dos equipos conectados a subredes distintas. Gracias a la información añadida por el router al mensaje inicial, el servidor DHCP sabrá las características de la subred de donde procede el mensaje | + | * Asegurar de forma física la habitación o sala donde se encuentran los servidores DHCP. |
| - | 15. DHCP Failover Protocol | + | * Se deben utilizar sistemas de archivos NTFS para proteger los datos del sistema. |
| - | Cuando dos servidores DHCP trabajan en la misma red ambos mantienen una base de datos con sus concesiones y el estado de las mismas. Para evitar que una misma dirección IP sea asignada por ambos servidores, una solución consiste que ambos trabajen con distintos rangos de direcciones. Si ambos servidores quieren trabajar con el mismo rango de direcciones es necesario que puedan sincronizar sus bases de datos de concesiones. El protocolo DHCP Failover Protocol permite esta intercomunicación entre dos servidores DHCP que dan servicio a la misma red | + | * Aplicar y mantener una solución de protección antivirus. |
| - | Por ejemplo en Windows Server 2008 R2 ha sido incluida esta funcionalidad, permitiendo que dos servidores DHCP puedan sincronizar la información de sus concesiones. Un servidor será designado servidor primario DHCP y otro servidor secundario DHCP. Cuando un equipo solicita su configuración IP, por defecto, el servidor primario le responderá. En caso de que este servidor falle será cuando el servidor secundario proporcione la configuración IP al equipo cliente. En esta configuración el servidor secundario, no otorga concesiones y solo recibe actualizaciones de servidor primario. Cuando detecta que no puede comunicarse con el servidor primario será cuando se active como servidor DHCP | + | * La instalación de parches de software deberán instalarse de forma periódica. |
| - | + | * Sólo deberá instalarse aquel software que provenga de fuentes de confianza. | |
| - | Este protocolo también se puede utilizar para realizar un balanceo de carga, de manera que el trabajo se reparta entre los servidores primario y secundario. En esta configuración ambos servidores contestarían a las peticiones de los clientes, lo que permitirá hacer frente a gran número de peticiones en un corto periodo de tiempo. | + | * Todos los servicios y aplicaciones que no se están utilizando en los servidores DHCP deberán desinstalarse. |
| - | Trabajar con dos servidores sincronizados permite una fácil recuperación ante el fallo en alguno de los dos servidores. Si se pierden los datos de un servidor, el otro mantendrá su copia sincronizada con la que poder seguir funcionando con normalidad. | + | * Se deberán realizar tareas administrativas en el servidor DHCP con el menor nivel de privilegios posible. |
| + | * Los servidores DHCP deberán ubicarse detrás de un firewall. | ||
| + | * Se deberán cerrar todos los puertos abiertos no utilizados. | ||
| + | * A fin de garantizar el buen funcionamiento del servidor DHCP, se pueden utilizar túneles VPN para garantizar su tráfico. | ||
| + | * Se deberá supervisar la actividad de DHCP mediante la revisión de los registros y la visualización de la información estadística que proporciona el servidor. | ||
| + | |||
| + | ====== 10. BOOTP. ====== | ||
| + | |||
| + | BOOTP son las siglas de Bootstrap Protocol. Es un protocolo de red UDP utilizado por los clientes de red para obtener su dirección IP automáticamente. | ||
| - | 16. Seguridad | + | Normalmente se realiza en el proceso de arranque de los ordenadores o del sistema operativo. |
| - | El servicio DHCP puede ser un servicio vital para el funcionamiento de una red TCP/IP, sin embargo, este protocolo no incluye ningún mecanismo de autentificación, lo que produce que sea vulnerable a diferentes tipos de ataques: | + | |
| - | - Suplantación del servidor DHCP. Servidores no autorizados podrían proporcionar información falsa a los clientes suplantando al servidor DHCP autorizado (DHCP spoofing). | + | |
| - | - Denegación de servicio. Una técnica empleada consiste en agotar el rango de direcciones a asignar para así evitar que un cliente pueda obtener una configuración de red. El proceso es el siguiente, un cliente no autorizado solicita una dirección IP al servidor DHCP y una vez, concedida cambia su dirección MAC para pedir una nueva dirección IP y así sucesivamente hasta agotar el rango de direcciones posibles | + | |
| - | - "Hombre de en medio". Un cliente no autorizado puede responder a un cliente que busca un servidor DHCP y otorgarle una dirección IP válida, pero darle como puerta de enlace su propia dirección IP. De esta forma, el cliente manda los paquetes al atacante, que después de procesarlos los reenvía al router para que el cliente no se de cuenta del ataque Este tipo de ataque tiene más posibilidades de éxito cuando el servidor DHCP está alejado de los clientes. | + | |
| - | - Clientes no autorizados podrían acceder a los recursos configurando manualmente su interfaz de red. | + | |
| - | - Clientes no autorizados podrían realizar ataques para intentar congestionar al servidor DHCP. | + | |
| - | En las redes de área local se pueden configurar los switches para protegerse de estos ataques mediante DHCP snooping. Tras activar esta función en el switch se declara de confianza el puerto por el que genera respuestas el servidor DHCP autorizado, siendo todos los demás puertos no fiables. Si llegaran mensajes de otros servidores DHCP por cualquier otro puerto estos serían rechazados. De esta forma se pueden resolver los problemas de "hombre en medio" y DHCP spoofing. | + | |
| - | También es interesante acceder a los ficheros de logs de los servidores DHCP para auditar posibles peticiones no autorizadas. | + | Originalmente está definido en el RFC 951. Este protocolo permite a los ordenadores sin disco obtener una dirección IP antes de cargar un sistema operativo avanzado. |
| - | 17. BOOTP | + | Históricamente ha sido utilizado por las estaciones de trabajo sin disco basadas en UNIX (las cuales también obtenían la localización de su imagen de arranque mediante este protocolo) y también por empresas para introducir una instalación preconfigurada de Windows en PC recién comprados (típicamente en un entorno de red Windows NT). |
| - | El protocolo BOOTP (Boot Strap Protocol) constituye un primer intento de configuración automática de red. Este protocolo de la capa de aplicación funciona sobre UDP y se puede considerar como un antecedente de DHCP. Al igual que este, está basado en el modelo cliente/servidor y sigue este funcionamiento: | + | |
| - | - Cuando una maquina arranca no conoce su direccionamiento IP ni a qué dirección solicitar dicha información, por lo que envía un mensaje con dirección IP destino la dirección de difusión limitada (255.255.255.255) | + | |
| - | - En la red existirá un servidor BOOTP que responderá a las peticiones. Este servidor BOOTP mirará sus tablas para asignar a esta dirección física de red una dirección IP determinada y compone el mensaje de respuesta donde también envía la máscara de subred, dirección del router... | + | |
| - | - A la hora de responder al mensaje empleará la dirección de difusión IP (aunque el servidor conozca la dirección que se le va a asignar a la máquina que realizó la petición) | + | |
| - | - La maquina que está a la espera de la información recupera el mensaje y configura su dirección IP, mascara, etc. | + | |
| - | Como resumen, podemos afirmar que BOOTP se basa en un protocolo estático de configuración fundamentado en una tabla estática establecida de antemano y en donde las asociaciones direcciones físicas-direcciones IP se establecen previamente y manualmente por el administrador. | + | |
| - | Al ser las redes cada vez más grandes BOOTP no parece el protocolo más adecuado mientras de DHCP si que puede cubrir estas nuevas demandas. Sin embargo, la arquitectura cliente/servidor de DHCP y el formato de los mensajes que se intercambian en DHCP están basados en BOOTP. | + | |
| + | Originalmente requería el uso de un disquete de arranque para establecer las conexiones de red iniciales, pero el protocolo se integró en la BIOS de algunas tarjetas de red (como la 3c905c) y en muchas placas base modernas para permitir el arranque directo desde la red. | ||
| + | DHCP es un protocolo basado en BOOTP, más avanzado, pero más difícil de implementar. Muchos servidores DHCP también ofrecen soporte BOOTP. Bootp el predecesor del protocolo DHCP y comparte con éste algunas características funcionales. | ||
| + | BOOTP es una manera de descargar configuraciones de dirección e inicio para estaciones de trabajo sin disco. Una estación de trabajo sin disco no tiene unidad de disco duro ni sistema operativo. Por ejemplo, muchos sistemas de cajas registradoras automatizadas de los supermercados son estaciones de trabajo sin disco. Tanto DHCP como BOOTP se basan en la relación cliente/servidor y utilizan los puertos UDP 67 y 68. Estos puertos todavía se conocen como puertos BOOTP. El proceso BOOTP involucra los siguientes pasos: 1. El cliente determina su propia dirección de hardware; esta dirección está normalmente en una ROM en el hardware. 2. Un cliente BOOTP envía su dirección hardware en un datagrama UDP al servidor. Si el cliente sabe su dirección IP y/o la dirección del servidor, debería usarlos, pero en general los clientes BOOTP no tienen datos de configuración IP del todo. Si el cliente no sabe su propia dirección IP, usa 0.0.0.0. Si el cliente no sabe la dirección IP del servidor, usa la dirección broadcast limitada (255.255.255.255). El número de puerto UDP es el 67. 3. El servidor recibe el datagrama y busca la dirección hardware del cliente en su fichero de configuración, que contiene la dirección IP del cliente. El servidor rellena los campos restantes en el datagrama UDP y lo devuelve al cliente usando el puerto UDP 68. 4. Cuando recibe la respuesta, el cliente BOOTP grabará su propia dirección IP (permitiendo que responda a las peticiones ARP) y comenzará el proceso de bootstrapping | ||
sri/t1.1506950996.txt.gz · Última modificación: 2019/01/04 13:23 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
