DHCP

DHCP:
O protocolo de configuração dinâmica de anfitrião (DHCP, Dynamic Host Configuration
Protocol) é uma norma de protocolo Internet (IP, Internet Protocol) destinada a
simplificar a gestão da configuração IP do anfitrião. A norma DHCP permite a utilização
de servidores DHCP como forma de gerir a atribuição dinâmica de endereços IP e
outros detalhes relacionados com a configuração para clientes activados por DHCP na
rede.
Cada computador numa rede TCP/IP tem de ter um endereço IP exclusivo. O endereço
IP (em conjunto com a respectiva máscara de sub-rede relacionada) identifica o
computador anfitrião e a sub-rede aos quais está ligado. Quando move um
computador para uma sub-rede diferente, o endereço IP tem de ser alterado. O DHCP
permite-lhe atribuir dinamicamente um endereço IP a um cliente da base de dados de
endereços IP do servidor DHCP na rede local:
FUNÇÃO DO SERVIDOR DHCP:
Os servidores DHCP gerenciam centralmente endereços IP e informações afins, fornecendo-as
automaticamente aos clientes. Isso permite que você defina configurações de rede cliente em
um servidor, em vez de configurá-las em cada computador clientes. Se você quiser que este
computador distribua endereços IP aos clientes, configure-o como um servidor DHCP.
FUNCIONAMENTO:
Ele pode operar de três formas: automática, dinâmica e manual.
Automática, no qual uma quantidade de endereços de IP (dentro de uma faixa) é
definida para ser utilizada na rede. Neste caso, sempre que um dos computadores de
uma rede solicitar a conexão com ela, um destes IPs será designado para a máquina
em questão.
Na dinâmica o procedimento é bem parecido com o efetuado pela automática, porém
a conexão do computador com determinado IP é limitada por um período de tempo
pré-configurado que pode variar conforme desejado pelo administrador da rede.
No modo manual o DHCP aloca um endereço de IP conforme o valor de MAC (Medium
Access Control) de cada placa de rede de forma que cada computador utilizará apenas
este endereço de IP. Utiliza-se este recurso quando é necessário que uma máquina
possua um endereço de IP fixo. Como o DHCP possui suporte para diversas lataformas,
le traz uma solução eficiente e fornece uma grande ajuda para os administradores de
rede.
Instalação
Então vamos em Start, Administrative Tools e em “Manage your Server”:
Por esse utilitário temos como ver de maneira detalhada tudas as funções que o nosso
servidor desempenha, como por exemplo se ele é um servidor de aplicativos
( antigo “servidor Web”, ou seja tem o IIS instalado). Agora cliclamos em “Add or
Remove a Role”:
Depois de clicar, vamos começar o “Configure Your server Wizard” e clicamos em
“Next”:
O “configure your server wizard” faz uma série de verificações sobre tudos os
componentes instalados:
Depois das configurações serem detectadas, vamos “Configuration Options” e clicamos
em “Custom configurations” e em “Next”
Agora em “Server Role”, selecionamos a função que desejamos adicionar, no nosso
caso “DHCP Server” e clicamos em “Next”:
E novamente em “Next”:
O Windows 2003 começa a instalar os componentes e depois que eles forem
instalados o Windows começará a configuração do DHCP. Vamos ao “New Scope
Wizard”. É nele que vamos configurações as opções para o endereçamento IP e
finalizar instalação do nosso DHCP. Então, clicamos em “Next”.
Em “Scope Name”, podemos dar um nome ao nosso escopo e colocar um descrição
(opcional) ao nosso escopo. Colocaremos o nome de “Scope1″:
Em “IP Address Range”, temos que informar a quantidade de endereços Ips que iremos
disponibilizar. Para isso, colocamos o primeiro endereço a ser atribuído e o último da
faixa de endereços que desejamos disponibilizar. No nosso caso, eu colocarei como
endereço inicial 192.168.1.1 e como final 192.168.1.254 . (Isso nos dará 254 endereços
IPs disponíveis para alocação nos nossos computadores clientes, ou seja a faixa que eu
configurei poderia atender a uma rede que tem até 254 computadores.) E depois
clicamos em “Next”:
Depois em “Add Exclusions” podemos informar os endereços Ips que serão excluidos
da faixa que informamos na etapa anterior. No nosso caso, não iremos exluir nenhum
endereço. Então apenas clicamos em “Next”:
Em “Lease Duration” podemos informar quanto tempo durará o “Lease” (aluguel) dos
endereços IPs alocados. Isso significa que o tempo que configurarmos aqui será o
tempo máximo que um computador que recebeu um endereço IP de nosso DHCP
poderá ficar com esse endereço IP. O Lease por padrão é de oito dias. Também não
iremos alterar essa configuração padrão, então é só clicar em “Next”:
Em “Router (Default Gateway)”, informamos o endereço do nosso roteador, que no
nosso caso será 192.168.1.1 . E clicamos em “Next”:
Depois em “Domain Name and DNS Servers” colocamos o nome de nosso domínio
(empresa1.com.br), o nome de nosso servidor DNS e o seu enreço IP. Depois de
colocar o endereço IP é só clicar em “Add”, e clicamos em “Next”:
Em “WINS Servers” colocamos o nome de nosso servidor WINs e seu endereço IP.
Como no nosso caso não temos um servidor WINS, deixaremos essa etapa em branco
e clicaremos em “Next”:
E por último em “Activate Scope” colocamos a opção “Yes, I want to activate
this scope now”. Essa opção deve ser marcada para que após a configuração desse
escopo ele já possa ser utilizados por nosso servidor DHCP para fornecer endereços IPs
aos computadores de nossa rede. E depois é só clicar em “Next”:
E em “Finish”:
Pronto, servidor DHCP configurado!
SEGURANÇA:
->O DHCP é um protocolo não autenticado.
Quando um usuário se conecta à rede, ele não precisa fornecer credenciais para obter
uma concessão. Um usuário não autenticado pode, portanto, obter uma concessão
para qualquer cliente DHCP sempre que um servidor DHCP estiver disponível para
fornecer uma concessão. Quaisquer valores de opção que o servidor DHCP forneça
com a concessão, como endereços IP de servidor WINS ou DNS, estarão disponíveis
para o usuário não autenticado. Se o cliente DHCP for identificado como membro de
uma classe de usuário ou classe de fornecedor, as opções associadas à classe também
estarão disponíveis.
Usuários mal-intencionados que tenham acesso físico à rede com DHCP podem iniciar
um ataque de negação de serviço nos servidores DHCP solicitando várias concessões
no servidor, esgotando, assim, o número de concessões disponíveis para outros
clientes DHCP.
-Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede.
-Habilite o log de auditoria para todos os servidores DHCP da rede. Verifique
regularmente os arquivos de log de auditoria e monitore-os quando o servidor DHCP
receber um número de elevado de solicitações de concessão dos clientes. Os arquivos
de log de auditoria fornecem as informações necessárias para rastrear a origem de
qualquer ataque feito contra o servidor DHCP. O local padrão dos arquivos de log de
auditoria é %windir%\System32\Dhcp. Para obter mais informações, consulte Ativar
log do servidor DHCP, Log de auditoria, e Analisando os arquivos de log do servidor.
Você também pode verificar o log de eventos do sistema para obter explicações sobre
o serviço de servidor DHCP.
Quando os clientes que executam o Microsoft® Windows® XP usam pontos de acesso
sem fio ou conexões de rede local (LAN) habilitadas para 802.1X, a autenticação ocorre
antes que o servidor DHCP atribua uma concessão, fornecendo, assim, maior
segurança ao DHCP.
->Os ataques de negação de serviço contra o servidor DNS podem ser feitos através do
servidor DHCP.
Quando o servidor DHCP estiver configurado para atuar como um servidor proxy DNS
para clientes DHCP e para executar atualizações dinâmicas de DNS, um usuário malintencionado poderá executar um ataque de negação de serviço contra os servidores
DHCP e DNS sobrecarregando o servidor DHCP de solicitações de concessão.
-Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede.
-Use os logs de auditoria DHCP, localizados, por padrão, em
%windir%\System32\Dhcp, para monitorar as atualizações dinâmicas de DNS
realizadas pelo servidor DHCP.
->Os servidores DHCP não-Microsoft não autorizados podem conceder endereços IP a
clientes DHCP.
Somente os servidores DHCP que executam o Windows 2000 ou Windows Server 2003
podem ser autorizados no Active Directory®. Se um servidor DHCP com Windows 2000
ou Windows Server 2003 descobre que não está autorizado no Active Directory, ele
pára de atender a clientes DHCP. Devido a esse recurso de autorização, se um usuário
mal-intencionado ou sem os conhecimentos necessários instalar um servidor DHCP
não autorizado que execute o Windows 2000 ou Windows Server 2003 na rede da
organização, o servidor não poderá atribuir concessões incorretas ou conflitantes,
configurar clientes DHCP com opções imprecisas ou atrapalhar os serviços da rede.
Um software de servidor DHCP não-Microsoft não inclui o recurso de autorização
fornecido no DHCP do Windows 2000 e Windows Server 2003. Como os clientes DHCP
transmitem mensagens de descoberta de DHCP ao servidor DHCP mais próximo, se um
usuário mal-intencionado instalar um servidor não-Microsoft na rede da organização,
os clientes DHCP vizinhos receberão concessões incorretas que poderão entrar em
conflito com os endereços IP atribuídos a outros clientes DHCP na rede. Além disso, os
clientes DHCP que obtêm uma concessão no servidor DHCP não-Microsoft podem ser
configurados pelo servidor com informações de opção imprecisas. Isso pode implicar
no reencaminhamento do tráfego da rede, fazendo com que a rede funcione de forma
inadequada.
-Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede.
->Restrinja quem pode administrar o serviço DHCP.
É necessário que você seja um membro do grupo Administradores ou do grupo
Administradores DHCP para administrar servidores DHCP usando o console do DHCP
ou os comandos netsh para DHCP. Além disso, somente os membros do grupo Admins.
do domínio podem autorizar ou desautorizar um servidor DHCP no Active Directory.
Restrinja a participação nesses grupos ao número mínimo de usuários necessário para
administrar o servidor.
Se houver usuários que necessitem de acesso somente leitura ao console do DHCP,
adicione-os ao grupo Usuários DHCP, em vez de adicioná-lo ao grupo Administradores
DHCP. Para obter mais informações, consulte grupos DHCP.
A base de protocolo DHCP não inclui qualquer mecanismo de autenticação. Por isso, é
vulnerável a uma variedade de ataques. Estes ataques se dividem em três categorias
principais:
-Fornecimento de informações falsas a clientes por servidores DHCP não autorizados.
-Acesso aos recursos da rede por clientes não autorizados.
-Ataques exaustivos aos recursos da rede advindos de clientes DHCP mal
intencionados.
Porque o cliente não tem como validar a identidade de um servidor DHCP, servidores
DHCP não autorizados podem ser operados em redes, prestação de informações
incorrectas aos clientes DHCP. Isso pode servir tanto como um ataque de negação de
serviço, impedindo o cliente de ter acesso a conectividade de rede. Porque o servidor
DHCP fornece o cliente DHCP com endereços IP do servidor, como o endereço IP de
um ou mais servidores DNS, um atacante pode convencer um cliente DHCP para fazer
pesquisas através de seu DNS seu próprio servidor DNS, e pode, portanto, fornecer
suas próprias respostas a consultas DNS do cliente. Por sua vez, permite que o
atacante para redirecionar o tráfego de rede através de si, permitindo-lhe escutar as
conexões entre os servidores de rede do cliente e ele entra em contato, ou
simplesmente para substituir os servidores de rede com o seu próprio. Porque o
servidor DHCP não tem nenhum mecanismo seguro para autenticar o cliente, os
clientes podem obter acesso não autorizado aos endereços IP de apresentação de
credenciais, tais como identificadores do cliente, que pertencem a outros clientes
DHCP. Isso também permite que os clientes DHCP para esgotar o DHCP
armazenamento de servidor de endereços IP-, apresentando novas credenciais cada
vez que ele pede um endereço, o cliente pode consumir todos os endereços IP
disponíveis em um link de rede particular, impedindo outros clientes DHCP da
obtenção de serviços. DHCP fornece alguns mecanismos para mitigar esses problemas.
O Relé de Agente de Informações extensão protocolo Option (RFC 3046) permite que
os operadores de rede para conectar marcas a mensagens DHCP uma vez que estas
mensagens chegam na rede de confiança do operador de rede. Esta tag é então usado
como um token de autorização para controlar o acesso do cliente aos recursos da
rede. Porque o cliente não tem acesso à rede a montante do agente de retransmissão,
a falta de autenticação não impede que o operador do servidor DHCP de confiar no
token de autorização.
Outro ramal, autenticação para DHCP mensagens (RFC 3118), fornece um mecanismo
para autenticação de mensagens DHCP. Infelizmente RFC 3118 não viu a adopção
generalizada por causa dos problemas de gerenciamento de chaves para um grande
número de clientes DHCP.
Sistemas Operacionais
A segurança tem se tornado um dos principais focos no desenvolvimento de aplicações
em geral. O crescimento do número de incidentes de segurança, entretanto,
demonstra que os esforços estão sendo insuficientes para conter o avanço dos
hackers. O sistema operacional livre e de código aberto GNU/Linux vem se tornando
melhor em ambientes Desktops a cada ano, mas em termos de servidores, ele tem
sido um candidato muito forte desde o final da década de 90. Com a sua popularidade,
entretanto, ele passa a se tornar um alvo rentável para criminosos que desejem invadir
servidores Linux e utilizá-los para envio de spam, pornografia, fraudes, dentre outras
coisas. Quando você é um usuário de computador, a segurança é um grande
problema. Os desenvolvedores de sistemas operacionais sabem que a segurança do
sistema também é importante. É por isso que todos os sistemas operacionais possuem
recursos internos de segurança que o tornam seguros para ambas navegar na Internet,
bem como manter os usuários não autorizados longe de utilizar o computador. O
sistema operacional permite o acesso a uma série de recursos, direta ou
indiretamente, tais como arquivos em um disco local, chamadas de sistema
privilegiado, informações pessoais sobre usuários, e os serviços oferecidos pelos
programas em execução no sistema. O sistema operacional é capaz de distinguir entre
alguns solicitantes desses recursos que estão autorizados – ou permitidos – para
acessar o recurso, e outros que não sejam autorizados – ou proibidos. Enquanto alguns
sistemas podem simplesmente distinguir entre privilegiados e não privilegiados, os
sistemas têm geralmente uma forma de identidade solicitante como um nome de
usuário. Além de permitir / negar em seu modelo de segurança, um sistema
operacional com um nível elevado de segurança também oferece opções de auditoria.
Estas medidas permitirão rastreamento de pedidos de acesso a recursos como “quem
tem de ler este arquivo?”. Segurança do sistema operacional pode ser dividida em
duas subseções com relação a solicitantes: Segurança Interna – um programa já em
execução. Em alguns sistemas, um programa uma vez que está funcionando, não há
limitações. No entanto, mais comumente, o programa tem uma identidade que se
mantém e é utilizado para verificar todos os seus pedidos de recursos. Segurança
Externa – um novo pedido de fora do computador, como um log-in em um console
conectado ou algum tipo de conexão de rede. Para estabelecer a identidade, pode
haver um processo de autenticação. Muitas vezes um nome de usuário deve ser citado
e cada usuário pode ter uma senha. Outros métodos de autenticação, como cartões
magnéticos ou de dados biométricos poderão ser utilizados. Em alguns casos,
especialmente com as conexões de uma rede, os recursos podem ser acessados sem
autenticação. Segurança do sistema operacional tem sido uma preocupação por causa
de dados altamente confidenciais, realizada em computadores de natureza pessoal,
comerciais e até militares. É por isso que os programadores de sistema operacional
dão atenção especial à segurança dos sistemas operacionais que estão desenvolvendo.
Eles querem garantir que todos os dados contidos em um sistema dedicado são
mantidos privados e só é permitirem serem vistos por aqueles que estão autorizados a
fazê-lo. Aprenda a utilizar o Linux através da shell (linha de comando). Cada camada de
software que você acrescenta ao seu sistema operacional para torná-lo mais simples
de se utilizar estará, na verdade, acrescentando mais vulnerabilidades que poderão ser
exploradas por crackers de forma que eles possam ganhar acesso ao mesmo, além de
diminuir a seu desempenho. Com os passos seguintes, assume-se que você possui
alguma familiaridade com a shell do Linux. Utilizando o lsof ou alguma ferramenta
similar, descubra em quais portas o seu computador está escutando ou recebendo
conexões.
•
ns003:~# lsof -i
•
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
•
named 17829 root 4u IPv6 12689530 UDP *:34327
•
named 17829 root 6u IPv4 12689531 UDP *:34329
•
named 17829 root 20u IPv4 12689526 UDP ns003.unternet.net:domain
•
named 17829 root 21u IPv4 12689527 TCP ns003.unternet.net:domain (LISTEN)
•
named 17829 root 22u IPv4 12689528 UDP 209.40.205.146:domain
•
named 17829 root 23u IPv4 12689529 TCP 209.40.205.146:domain (LISTEN)
•
lighttpd 17841 www-data 4u IPv4 12689564 TCP *:www (LISTEN)
•
sshd 17860 root 3u IPv6 12689580 TCP *:ssh (LISTEN)
•
sshd 17880 root 3u IPv6 12689629 TCP *:8899 (LISTEN)
•
sshd 30435 root 4u IPv6 74368139 TCP 209.40.205.146:8899->dsl-189-130-1220.prod-infinitum.com.mx:3262 (ESTABLISHED)
Em caso de dúvidas, corte-o fora! Desligue qualquer serviço desnecessário ou
desconhecido utilizando as ferramentas apropriadas para a sua distribuição Linux, tal
como update-rc.d em sistemas Debian ou, em alguns casos, editando os arquivos
/etc/inetd.conf ou /etc/xinetd,d/*. Juntamente com isto, remova qualquer aplicativo
que o seu provedor de servidores tenha adicionado para administração do sistema, tal
como o Plesk. Não permita logins como root em sua porta primária de sshd, 22
(setando PermitRootLogin como "no"). Muitas ferramentas de brute-force automáticas
executam ataques tentando-se logar como root via ssh nesta porta. Configure uma
porta secundária para o ssh para acesso como root que só funcione através de chaves
compartilhadas, desabilitando o uso de senhas: Copie o arquivo sshd_config para
root_sshd_config e modifique os seguintes itens no novo arquivo: Mude a porta. Onde
tem Port, modifique de 22 para algum outro valor - por exemplo, 8899 (não utilize
essa, é apenas um exemplo). Mude a opção de permitir o login como root. Onde tem
PermitRootLogin, modifique de "no" para "yes". (Você deveria deixar no apenas no
caso da porta 22) Adicione a linha AllowUsers root, caso já não exista. Caso exista,
modifique-a para que permita apenas login de usuário root nesta porta. Descomete a
linha ChanllengeResponseAuthentication no. Caso já esteja descomentada, certifiquese de que ela diz "no" ao invés de "yes".
Teste este comando:
•
sshd -D -f /etc/ssh/root_sshd_config
veja se funciona corretamente -- tente logar a partir de outro computador (você
deverá já ter setado a autenticação e as chaves
entre ambas as máquinas) utilizando:
•
ssh -p8899 [email protected]
caso positivo, pressione control-C no shell onde digitou o comando (sshd) de forma a
parar o daemon sshd, e em seguida adicione o seguinte ao final do arquivo
/etc/inittab:
•
rssh:2345:respawn:sshd -D -f /etc/ssh/root_sshd_config
Reinicie o init: # init q Isto irá executar o seu root ssh daemon como um processo em
background, reiniciando-o automaticamente em caso de falha. Cheque seus arquivos
de log regularmente para ver quais os tipos de ataques que estão sendo executados
contra o seu servidor./var/log/auth ou /var/log/auth.log são locais comuns para se
achar tentativas de logins:
•
Jan 18 10:48:46 ns003 sshd[23829]: Illegal user rosa from ::ffff:58.29.238.252
•
Jan 18 10:48:49 ns003 sshd[23833]: Illegal user rosemarie from
::ffff:58.29.238.252
•
Jan 18 10:48:51 ns003 sshd[23838]: Illegal user ruth from ::ffff:58.29.238.252
•
Jan 18 10:48:54 ns003 sshd[23840]: Illegal user sabine from ::ffff:58.29.238.252
•
Jan 18 10:48:57 ns003 sshd[23845]: Illegal user sandra from ::ffff:58.29.238.252
Atualize regularmente o sistema operacional de seu servidor para receber as correções
de segurança. No Debian: apt-get upgrade Monitore as novidades sobre
vulnerabilidades no http://www.securityfocus.com/ e em outros sites relacionados.
Tente instalar o grsecurity, SELinux, AppArmour e/ou PaX. Problemas da Segurança
Computadores que são muitos protegidos, as vezes não conseguimos nem mexermos
direito. Assim devemos definir o que vai ser protegido. Mas nunca devemos deixar o
nosso sistema sem proteção.