Tema 2 (DHCP).pdf

Full Transcript

Servicios de red e
internet
Tema 2: configuración
automática de red (DHCP)

Tema 2. Características de DHCP
• DHCP es la sigla de Dinamic Host
Configuration Protocol, o Protocolo de
configuración dinámica de hosts.
• Es el servicio de configuración
automática de red, más extendido en
las redes TCP/IP.

2

Tema 2. Características de DHCP
• DHCP es un protocolo de capa de aplicación.
• Está basado en el modelo cliente-servidor
• Está diseñado para implementar un servicio
de configuración automática de redes
TCP/IP.
• Su función principal es configurar
automáticamente los equipos de una red,
evitando que el administrador configure
manualmente los parámetros TCP/IP en
cada equipo.
3

Tema 2. Desventajas de la
configuración manual
• La configuración de red (dirección IP,
mascara de subred, servidores DNS,
puerta de enlace, etc.), se introduce
manualmente en cada equipo, lo que
aumenta las tareas de administración
de la red.
• Riesgo de introducir una
configuración incorrecta, que dé lugar
a problemas de comunicación.
4

Tema 2. Desventajas de la
configuración manual
• Necesario volver a modificar la
configuración de red de:
– Un equipo, si éste cambia de ubicación y
se conecta a una subred diferente. Esta
situación es frecuente en redes
inalámbricas, porque los equipos
portátiles suelen conectarse a diferentes
subredes.
– Todos los equipos, si la red crece y es
necesario reestructurar la misma.
5

Tema 2. Ventajas de la configuración
automática
• El servidor suministra automáticamente
la configuración a los equipos,
disminuyendo el trabajo a realizar por el
administrador.
• Nuevos equipos se pueden conectar a la
red sin necesidad de intervención del
administrador.
• Garantiza que los equipos en la red,
emplean la configuración de red correcta.
6

Tema 2. Ventajas de la configuración
automática
• Permite añadir o modificar servicios de red
sin acceder a los equipos, simplemente
estableciendo la configuración que se
mandará a los equipos de la red.
• No es necesario volver a modificar la
configuración de red:
– Si un equipo cambia de ubicación, y se
conecta a otra subred diferente.
– Si la red crece y es necesario reestructurar la
misma.
7

Tema 2. Riesgos de usar DHCP
• No es recomendable utilizar DHCP
para configurar los servidores que
proporcionan servicios de red, como
servidores de nombres, servidores de
correo, etc.
• Eso es debido a que un fallo en el
servidor DHCP, podría dejar
inutilizados los servicios de la red.
8

Tema 2. Componentes de DHCP
• Servidor DHCP. Asigna la
configuración de red a los clientes.
• Clientes DHCP. Hacen peticiones al
servidor DHCP, y configuran los
parámetros TCP/IP con las opciones
que recibe del servidor DHCP.

9

Tema 2. Componentes de DHCP
• Protocolo DHCP. Conjunto de normas
y reglas, mediante las que "dialogan"
los clientes y los servidores DHCP.
• Agentes de retransmisión DHCP.
Escuchan peticiones de clientes DHCP
y las retransmiten a servidores DHCP
ubicados en otras redes. Se utilizan
para centralizar la configuración del
servicio DHCP en múltiples redes.
10

Tema 2. Componentes de DHCP

11

Tema 2. Asignaciones de direcciones
• Un servidor DHCP puede hacer tres
tipos de asignación a un equipo
cliente:
– Asignación manual o estática.
• También se llama reserva.
• El administrador de redes, da
manualmente las direcciones IP, a la/s
maquina/s elegida/s.
• A cada dirección física (dirección MAC) de
las máquinas, le corresponde una dirección
IP.
12

Tema 2. Asignaciones de direcciones
• Tipos de asignación (continuación):
– Asignación dinámica:
• También se llama rango o ámbito.
• El servidor DHCP da automáticamente
direcciones IP, de entre varias direcciones
de un rango o ámbito.
• El administrador de redes crea
manualmente el rango o ámbito.
• La concesión de direcciones a los clientes,
tiene un plazo limitado (lease time).
13

Tema 2. Asignaciones de direcciones
• Tipos de asignación (continuación):
– Asignación automática:
• Es como la asignación dinámica, pero en la
asignación automática el plazo de concesión
es ilimitado.
• La asignación comienza cuando las máquinas
cliente hacen la solicitud al servidor DHCP, y
termina cuando el cliente libera la dirección.
• Usar con precaución: si un equipo es
eliminado de la red y no se notifica al servidor
DHCP, su dirección IP no se podría reutilizar.
14

Tema 2. Asignaciones de direcciones
• ¿Qué tipo de asignación elegir?
Se
suelen
utilizar
simultáneamente:

dos

tipos,

– Asignación dinámica, para la mayoría de los
clientes.
– Asignación manual, para los clientes conocidos,
que necesitan tener siempre la misma dirección
IP (servidores web, servidores de correo,
servidores DNS, servidores DHCP, servidores de
aplicaciones, servidores de claves, etc.).
15

Tema 2. Ámbito
• Es una sala, departamento,
habitación, cuarto, planta, piso, u
otra agrupación física, lógica o
administrativa, que recibirá un rango
de direcciones IP, que están
disponibles sólo para los clientes o
máquinas de dicha agrupación.

16

Tema 2. Ámbito
• Normalmente, el administrador de
red:
– Crea un ámbito para cada subred.
– Para cada ámbito, establece un rango
de direcciones IP, una máscara de
subred, un tiempo de concesión, una
puerta de enlace, servidores DNS, etc.

17

Tema 2. Rango
• Al configurar un servidor DHCP, el
administrador de red puede definir
un intervalo o rango de direcciones
IP.
• Ejemplo de rango: de 192.168.1.10 a
192.168.1.50.

18

Tema 2. Rango
• El servidor DHCP, concederá las
direcciones IP de un rango, a equipos
cliente de una red determinada.
• El administrador de red, puede
configurar el servidor DHCP, tantos
rangos como sean necesarios.

19

Tema 2. Exclusión
• El administrador de red, puede configurar
el servidor DHCP, para que éste no
conceda determinadas direcciones IP,
incluso si éstas pertenecen a un rango.
• Se suelen excluir del rango, las
direcciones IP de equipos que necesitan
una dirección IP fija, como servidores,
routers o cortafuegos, y que se
configuran manualmente.
20

Tema 2. Reserva
• El administrador de red, puede configurar
el servidor DHCP, para que éste conceda
siempre la misma IP a un equipo (IP fija).
• Una reserva es como una IP estática, pero
la asignación no la hace manualmente el
administrador de red, sino el servidor
DHCP automáticamente.
• Para hacer la reserva, el servidor DHCP
necesita conocer la dirección física o MAC
del equipo al que hacer la reserva.
21

Tema 2. Tiempo de concesión
• Es el tiempo en que un cliente DHCP,
conserva la configuración que le otorgó
un servidor DHCP.
• Cuando el tiempo de concesión termina,
el cliente debe solicitar otra configuración
de red al servidor DHCP. Esto ocurre
cuando:
a.El cliente arranca.
b.Cuando se alcanza el límite de la concesión
(lease time).
22

Tema 2. Tiempo de concesión
• Cuando termina el plazo de
concesión, el servidor DHCP puede:
a.Asignar al cliente otra configuración de
red nueva.
b.Extender el plazo de concesión, para
mantener la misma configuración de
red.

23

Tema 2. Tiempo de concesión
• El tiempo de concesión sirve para evitar que
los equipos se apropien indefinidamente de
direcciones IP. Si por cualquier motivo, estos
equipos abandonan la red, sus direcciones IP
deben estar disponibles para otras máquinas.
Por tanto, el tiempo de concesión facilita al
administrador de red el mantenimiento de las
redes.
• En los servidores DHCP de Windows, el tiempo
de concesión por defecto es de ocho días.
24

Tema 2. Tiempo de concesión
• El tiempo de concesión debe ser de
muchos días o meses, si:
– La red tiene muchas direcciones IP
disponibles.
– La configuración de red de los clientes
cambia poco.
– Ejemplo: red con 254 direcciones IP
disponibles, y con 30 ordenadores
conectados a esa red.
25

Tema 2. Tiempo de concesión
• El tiempo de concesión debe ser de
pocos días, si:
– La red tiene pocas direcciones IP
disponibles.
– La configuración de red de los clientes
cambia frecuentemente, o los equipos
cambian habitualmente de subred.
– Ejemplo: red con 254 direcciones IP
disponibles, y con 220 ordenadores
conectados a esa red.
26

Tema 2. Servidor DHCP
• El servidor DHCP permiten asignar la
configuración de red al resto de
máquinas presentes en la red
(clientes DHCP) cuando estos
arrancan o inician sus interfaces de
red.
• Para realizar esta tarea, los clientes
escuchan las peticiones a través del
puerto 67 UDP.
27

Tema 2. Servidor DHCP
• El servidor DHCP permiten configurar de forma automática,
parámetros como:
– Dirección IP.
– Máscara de subred.
– Puerta de enlace
– Servidores DNS.
– Nombre de host.
– Tiempo de espera de ARP.
– Servidores POP3.
– Servidor WINS.
– Etc.

• Estos parámetros se pueden configurar a distintos niveles. Se
pueden establecer a nivel del servidor DHCP, a nivel de ámbito o
incluso a nivel de una reserva.
28

Tema 2. Servidor DHCP
• Ejemplos de servidores DHCP son:
– ISC DHCP
(http://www.isc.org/software/dhcp),
utilizado en sistemas Linux/Unix.
– Servidor DHCP de Microsoft (2003
Server/2008 Server):
– Servidores DHCP integrados en routers
(por ejemplo: IP Easy en routers CISCO y
Linksys).
29

Tema 2. Cliente DHCP
• Los clientes son equipos informáticos,
que hacen peticiones al servidor DHCP,
y reciben de éste su configuración de
red TCP/IP.
• Para realizar esta tarea, los clientes
envían las peticiones a través del
puerto 68 UDP.
• Los clientes DHCP están integrados en
Windows, Linux y en otros sistemas.
30

Tema 2. Protocolo DHCP
• Conjunto de normas y reglas,
mediante las cuales dialogan los
clientes y los servidores DHCP.
• Se basa en el protocolo BOOTP, así
que los mensajes DHCP se parecen a
los mensajes BOOTP.

31

Tema 2. Protocolo DHCP
• Desde que un equipo se conecta a la red, hasta que recibe la
configuración de red (los parámetros TC/IP), ocurren estas fases:
1. El cliente se conecta a la red, y envía una solicitud de IP en forma de
difusión (broadcast) a través de la red. Esta solicitud es un mensaje
DHCPDISCOVER.
2. Los servidores alcanzados por la solicitud, responden al cliente con sus
respectivas propuestas. Cada propuesta es un mensaje DHCPOFFER.
Si el cliente no recibe mensajes DHCPOFFER, expira la petición y
reenvía un nuevo mensaje DHCPDISCOVER.
3. El cliente acepta una de las propuestas, haciéndoselo saber al servidor
elegido mediante un mensaje DHCPREQUEST.
4. El servidor aceptado puede:
a. Otorgar la IP y demás información, mediante un mensaje DHCPACK.
b. Denegar la IP, porque otro cliente ya la ha pedido. Esta denegación la hace
mediante un mensaje DHCPNAK.

32

Tema 2. Protocolo DHCP
• ¿Qué ocurre si un equipo con una concesión activa cambia de
subred? Pongamos el caso de una máquina con una concesión
de dirección IP 192.168.3.1/24, que cambiara a la subred
192.168.1.0/24. Entonces:
– Al ser encendido, el cliente mandaría petición de confirmación al
servidor DHCP.
– El servidor DHCP comprobaría que el mensaje viene de la red
192.168.1.0, por lo que contestaría al cliente indicándole que su
dirección IP es inválida.
– El cliente, ante esta respuesta mandaría una petición al servidor DHCP
para obtener una nueva concesión válida (mensaje DHCPDISCOVER).

• Este proceso funcionaría siempre y cuando el enrutador,
tuviera la capacidad de reenviar los mensajes del protocolo
DHCP.
33

Tema 2. Protocolo DHCP

34

Tema 2. Disponibilidad del servicio
DHCP
• Si el servidor DHCP no está
disponible, los equipos de la red no
podrán obtener una concesión.
• Para evitar este problema, puede ser
útil tener más de un servidor DHCP
funcionando simultáneamente. De
esta forma aumentaría la
disponibilidad del servicio DHCP en
la red.
35

Tema 2. Renovación de concesión
• De vez en cuando, el cliente debe enviar al servidor DHCP
una solicitud de renovación de concesión, para que el
servidor DHCP le dé la misma u otra configuración TCP/IP.
• El cliente envía la solicitud de renovación de concesión
(mensaje DHCPREQUEST):
a. Cada vez que el cliente se vuelve a encender.
¿Por qué cada vez que una máquina se enciende, debe solicitar
su dirección IP, aunque ésta se le haya concedido durante un
tiempo prolongado? Puede suceder que un equipo encendido,
pida la dirección IP de un equipo que está apagado. En este
caso, aunque el equipo apagado tenga concedida la dirección
durante un tiempo, pierde su dirección IP porque está inactivo, y
esta dirección IP se concede al equipo encendido que la ha
pedido.

36

Tema 2. Renovación de concesión
• El cliente envía la solicitud de renovación de
concesión (continuación):
b. A intervalos de tiempo regulares o, en su defecto, a la
mitad del plazo de concesión. Se solicita regularmente
(antes de que finalice la concesión), para garantizar
que la configuración de red está actualizada.
c. Cuando termina la concesión.

• Cuando el servidor DHCP renueva la concesión,
puede:
a.Asignar al cliente otra configuración de red nueva.
b.Extender el plazo de concesión, para mantener la misma
configuración de red.
37

Tema 2. Renovación de concesión
• ¿Qué tiempo de concesión será el
adecuado? Depende de las características
de los equipos:
a. Si a la red de un aula o biblioteca, se
conectan portátiles de forma inalámbrica
cada día, sería suficiente concesiones de 12
horas, lo que permitiría liberar direcciones al
término de cada jornada.
b. Si a la red de una oficina, se conectan
ordenadores de sobremesa, una concesión de
30 días podría ser adecuada.
38

Tema 2. Renovación de concesión
• En Windows o Linux, podemos liberar
una concesión mediante el comando
ipconfig /renew.

39

Tema 2. Liberar una concesión
• El cliente puede rechazar su dirección IP al
servidor DHCP que se la concedió, antes de que
finalice el plazo de concesión.
• Para ello envía un mensaje DHCPRELEASE.
• Esta situación se podría dar cuando:
– El equipo cambia de subred.
– Queremos que la IP quede liberada inmediatamente.
– Etc.

• En Windows o Linux, podemos liberar una
concesión mediante el comando ipconfig
/release.
40

Tema 2. Renovación de concesión
• Más información en
http://www.tcpipguide.com/free/t_DH
CPGeneralOperationandClientFiniteSt
ateMachine.htm
.

41

Tema 2. Varios servidores DHCP
• En una misma red puede haber varios
servidores DHCP.
• Esto aumenta la tolerancia a errores, y
la disponibilidad del servicio DHCP.
• Problema: si los servidores DHCP no se
comunican entre sí, entonces no
saben qué direcciones IP debe asignar
cada uno.
42

Tema 2. Varios servidores DHCP
• Cuando los servidores DHCP no se comunican
entre sí, el administrador de red debe hacer que
las configuraciones de los servidores, sean
independientes y consistentes, de manera que no
puedan asignar la misma dirección IP a dos
ordenadores distintos. Para ello, el administrador
de red debe asignar a cada servidor DHCP, un
rango de direcciones IP:
a. Sin direcciones comunes.
b. Con direcciones comunes, pero con direcciones IP
reservadas. Ejemplo: de uno de los rangos se tomarán
solo direcciones pares, y del otro direcciones impares.
43

Tema 2. Protocolo DHCP
• Cuando hay varios servidores DHCP
independientes, y el cliente envía un mensaje
DHCPDISCOVER para solicitar una dirección IP:
– El cliente recibirá varios mensajes, ofreciéndole
diferentes configuraciones TCP/IP.
– El cliente utilizará la primera que reciba, e indicará
en el mensaje DHCPREQUEST el servidor que ha
elegido. Este mensaje se transmitirá a todos los
servidores DHCP, con lo que el servidor elegido
realiza la concesión, y el resto libera las
direcciones IP propuestas al cliente.

44

Tema 2. Protocolo DHCP

45

Tema 2. Dar servicio a varias redes
• Para que un servidor DHCP pueda atender a
una red física (mismo dominio de difusión),
tiene que estar conectado a esa red física.
• Si se dispone de varias redes
interconectadas por routers, en las que se
quiere configurar el servicio DHCP tenemos
dos opciones:
– Configurar un servidor DHCP en cada subred.
– Configurar un servidor DHCP, desde una
ubicación centralizada a varias subredes.
46

Tema 2. Dar servicio a varias redes
• Si configuramos un servidor DHCP en
cada subred:
– El administrador de red tendrá más
carga de trabajo.
– Habrá más coste para pagar el
equipamiento necesario, pues habrá que
ubicar un servidor DHCP en cada subred
individual.

47

Tema 2. Dar servicio a varias redes
• Si configuramos un servidor DHCP
centralizado, podemos conectar el servidor:
a. Simultáneamente a todas las redes.
b. A una de las redes, y que los enrutadores que
las interconectan, se encarguen de
retransmitir los mensajes DHCP entre dichas
redes.
c. A una de las redes, e instalar un agente de
retransmisión DHCP en algún equipo, si los
enrutadores no pueden retransmitir los
mensajes DHCP entre dichas redes.
48

Tema 2. Dar servicio a varias redes
• Cuando un servidor DHCP recibe
peticiones de varias subredes, el
servidor DHCP identifica de qué
subred proviene cada petición, para
poder dar una dirección IP válida
para cada subred.

49

Tema 2. Dar servicio a varias redes
• Un agente de retransmisión DHCP (relay
agent), es un equipo o enrutador
configurado para escuchar difusiones
DHCP, procedentes de clientes DHCP y, a
continuación, retransmitir dichos mensajes
a los servidores DHCP ubicados en
distintas redes.
• Hay dos tipos de agentes de retransmisión:
– Aquellos que funcionan en servidores.
– Aquéllos que están integrados en routers.
50

Tema 2. Dar servicio a varias redes

51

Tema 2. Dar servicio a varias redes

52

Tema 2. Dar servicio a varias redes
• Si el servidor DHCP y el cliente DHCP
están separados por un enrutador que no
reenvía las difusiones DHCP, la concesión
DHCP no podrá realizarse, y el cliente
DHCP no recibirá ninguna dirección IP del
servidor DHCP.
• Para solventar este problema, el agente
de retransmisión DHCP conecta el cliente
DHCP y el servidor DHCP, cuando ambos
están separados por un enrutador.
53

Tema 2. Seguridad
• El servicio DHCP es crucial para el
funcionamiento de una red TCP/IP.
• Sin embargo, este protocolo no incluye
ningún mecanismo de autentificación,
por lo que es vulnerable a varios
ataques:
– Suplantación del servidor DHCP (DHCP
spoofing). Servidores no autorizados podrían
suplantar al servidor DHCP autorizado, para
dar información falsa a los clientes.
54

Tema 2. Seguridad
• Ataques (continuación):
– Denegación de servicio:
1. Un cliente no autorizado solicita una dirección
IP al servidor DHCP.
2. Una vez concedida, el cliente no autorizado
cambia su dirección MAC para pedir una nueva
dirección IP, y así sucesivamente, hasta agotar
el rango de direcciones disponibles.
3. Resultado: se agota el rango de direcciones a
asignar, y los demás clientes autorizados no
pueden obtener una configuración de red.
55

Tema 2. Seguridad
• Ataques (continuación):
– "Hombre de en medio" (man-in-themiddle):
1. Un cliente no autorizado responde a un
cliente que busca un servidor DHCP, y
otorgarle una dirección IP válida, pero darle
como puerta de enlace su propia dirección IP.
2. El cliente autorizado manda los paquetes al
atacante, que después de procesarlos los
reenvía al router para que el cliente no se dé
cuenta del ataque.
56

Tema 2. Seguridad
• Para proteger al sistema de estos ataques,
podemos tomar varias medidas:
– Activar la función DHCP snooping, de los
conmutadores (switch) de la red local. Esta
función bloquea todos los mensajes DHCP, que
no lleguen por el puerto 68 UDP.
Con esta medida se pueden prevenir los ataques
de "hombre en medio" y DHCP spoofing.
– Acceder a los ficheros de logs de los servidores
DHCP, para auditar las posibles peticiones no
autorizadas.
57