DHCP
Transcrição
DHCP
DHCP: O protocolo de configuração dinâmica de anfitrião (DHCP, Dynamic Host Configuration Protocol) é uma norma de protocolo Internet (IP, Internet Protocol) destinada a simplificar a gestão da configuração IP do anfitrião. A norma DHCP permite a utilização de servidores DHCP como forma de gerir a atribuição dinâmica de endereços IP e outros detalhes relacionados com a configuração para clientes activados por DHCP na rede. Cada computador numa rede TCP/IP tem de ter um endereço IP exclusivo. O endereço IP (em conjunto com a respectiva máscara de sub-rede relacionada) identifica o computador anfitrião e a sub-rede aos quais está ligado. Quando move um computador para uma sub-rede diferente, o endereço IP tem de ser alterado. O DHCP permite-lhe atribuir dinamicamente um endereço IP a um cliente da base de dados de endereços IP do servidor DHCP na rede local: FUNÇÃO DO SERVIDOR DHCP: Os servidores DHCP gerenciam centralmente endereços IP e informações afins, fornecendo-as automaticamente aos clientes. Isso permite que você defina configurações de rede cliente em um servidor, em vez de configurá-las em cada computador clientes. Se você quiser que este computador distribua endereços IP aos clientes, configure-o como um servidor DHCP. FUNCIONAMENTO: Ele pode operar de três formas: automática, dinâmica e manual. Automática, no qual uma quantidade de endereços de IP (dentro de uma faixa) é definida para ser utilizada na rede. Neste caso, sempre que um dos computadores de uma rede solicitar a conexão com ela, um destes IPs será designado para a máquina em questão. Na dinâmica o procedimento é bem parecido com o efetuado pela automática, porém a conexão do computador com determinado IP é limitada por um período de tempo pré-configurado que pode variar conforme desejado pelo administrador da rede. No modo manual o DHCP aloca um endereço de IP conforme o valor de MAC (Medium Access Control) de cada placa de rede de forma que cada computador utilizará apenas este endereço de IP. Utiliza-se este recurso quando é necessário que uma máquina possua um endereço de IP fixo. Como o DHCP possui suporte para diversas lataformas, le traz uma solução eficiente e fornece uma grande ajuda para os administradores de rede. Instalação Então vamos em Start, Administrative Tools e em “Manage your Server”: Por esse utilitário temos como ver de maneira detalhada tudas as funções que o nosso servidor desempenha, como por exemplo se ele é um servidor de aplicativos ( antigo “servidor Web”, ou seja tem o IIS instalado). Agora cliclamos em “Add or Remove a Role”: Depois de clicar, vamos começar o “Configure Your server Wizard” e clicamos em “Next”: O “configure your server wizard” faz uma série de verificações sobre tudos os componentes instalados: Depois das configurações serem detectadas, vamos “Configuration Options” e clicamos em “Custom configurations” e em “Next” Agora em “Server Role”, selecionamos a função que desejamos adicionar, no nosso caso “DHCP Server” e clicamos em “Next”: E novamente em “Next”: O Windows 2003 começa a instalar os componentes e depois que eles forem instalados o Windows começará a configuração do DHCP. Vamos ao “New Scope Wizard”. É nele que vamos configurações as opções para o endereçamento IP e finalizar instalação do nosso DHCP. Então, clicamos em “Next”. Em “Scope Name”, podemos dar um nome ao nosso escopo e colocar um descrição (opcional) ao nosso escopo. Colocaremos o nome de “Scope1″: Em “IP Address Range”, temos que informar a quantidade de endereços Ips que iremos disponibilizar. Para isso, colocamos o primeiro endereço a ser atribuído e o último da faixa de endereços que desejamos disponibilizar. No nosso caso, eu colocarei como endereço inicial 192.168.1.1 e como final 192.168.1.254 . (Isso nos dará 254 endereços IPs disponíveis para alocação nos nossos computadores clientes, ou seja a faixa que eu configurei poderia atender a uma rede que tem até 254 computadores.) E depois clicamos em “Next”: Depois em “Add Exclusions” podemos informar os endereços Ips que serão excluidos da faixa que informamos na etapa anterior. No nosso caso, não iremos exluir nenhum endereço. Então apenas clicamos em “Next”: Em “Lease Duration” podemos informar quanto tempo durará o “Lease” (aluguel) dos endereços IPs alocados. Isso significa que o tempo que configurarmos aqui será o tempo máximo que um computador que recebeu um endereço IP de nosso DHCP poderá ficar com esse endereço IP. O Lease por padrão é de oito dias. Também não iremos alterar essa configuração padrão, então é só clicar em “Next”: Em “Router (Default Gateway)”, informamos o endereço do nosso roteador, que no nosso caso será 192.168.1.1 . E clicamos em “Next”: Depois em “Domain Name and DNS Servers” colocamos o nome de nosso domínio (empresa1.com.br), o nome de nosso servidor DNS e o seu enreço IP. Depois de colocar o endereço IP é só clicar em “Add”, e clicamos em “Next”: Em “WINS Servers” colocamos o nome de nosso servidor WINs e seu endereço IP. Como no nosso caso não temos um servidor WINS, deixaremos essa etapa em branco e clicaremos em “Next”: E por último em “Activate Scope” colocamos a opção “Yes, I want to activate this scope now”. Essa opção deve ser marcada para que após a configuração desse escopo ele já possa ser utilizados por nosso servidor DHCP para fornecer endereços IPs aos computadores de nossa rede. E depois é só clicar em “Next”: E em “Finish”: Pronto, servidor DHCP configurado! SEGURANÇA: ->O DHCP é um protocolo não autenticado. Quando um usuário se conecta à rede, ele não precisa fornecer credenciais para obter uma concessão. Um usuário não autenticado pode, portanto, obter uma concessão para qualquer cliente DHCP sempre que um servidor DHCP estiver disponível para fornecer uma concessão. Quaisquer valores de opção que o servidor DHCP forneça com a concessão, como endereços IP de servidor WINS ou DNS, estarão disponíveis para o usuário não autenticado. Se o cliente DHCP for identificado como membro de uma classe de usuário ou classe de fornecedor, as opções associadas à classe também estarão disponíveis. Usuários mal-intencionados que tenham acesso físico à rede com DHCP podem iniciar um ataque de negação de serviço nos servidores DHCP solicitando várias concessões no servidor, esgotando, assim, o número de concessões disponíveis para outros clientes DHCP. -Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede. -Habilite o log de auditoria para todos os servidores DHCP da rede. Verifique regularmente os arquivos de log de auditoria e monitore-os quando o servidor DHCP receber um número de elevado de solicitações de concessão dos clientes. Os arquivos de log de auditoria fornecem as informações necessárias para rastrear a origem de qualquer ataque feito contra o servidor DHCP. O local padrão dos arquivos de log de auditoria é %windir%\System32\Dhcp. Para obter mais informações, consulte Ativar log do servidor DHCP, Log de auditoria, e Analisando os arquivos de log do servidor. Você também pode verificar o log de eventos do sistema para obter explicações sobre o serviço de servidor DHCP. Quando os clientes que executam o Microsoft® Windows® XP usam pontos de acesso sem fio ou conexões de rede local (LAN) habilitadas para 802.1X, a autenticação ocorre antes que o servidor DHCP atribua uma concessão, fornecendo, assim, maior segurança ao DHCP. ->Os ataques de negação de serviço contra o servidor DNS podem ser feitos através do servidor DHCP. Quando o servidor DHCP estiver configurado para atuar como um servidor proxy DNS para clientes DHCP e para executar atualizações dinâmicas de DNS, um usuário malintencionado poderá executar um ataque de negação de serviço contra os servidores DHCP e DNS sobrecarregando o servidor DHCP de solicitações de concessão. -Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede. -Use os logs de auditoria DHCP, localizados, por padrão, em %windir%\System32\Dhcp, para monitorar as atualizações dinâmicas de DNS realizadas pelo servidor DHCP. ->Os servidores DHCP não-Microsoft não autorizados podem conceder endereços IP a clientes DHCP. Somente os servidores DHCP que executam o Windows 2000 ou Windows Server 2003 podem ser autorizados no Active Directory®. Se um servidor DHCP com Windows 2000 ou Windows Server 2003 descobre que não está autorizado no Active Directory, ele pára de atender a clientes DHCP. Devido a esse recurso de autorização, se um usuário mal-intencionado ou sem os conhecimentos necessários instalar um servidor DHCP não autorizado que execute o Windows 2000 ou Windows Server 2003 na rede da organização, o servidor não poderá atribuir concessões incorretas ou conflitantes, configurar clientes DHCP com opções imprecisas ou atrapalhar os serviços da rede. Um software de servidor DHCP não-Microsoft não inclui o recurso de autorização fornecido no DHCP do Windows 2000 e Windows Server 2003. Como os clientes DHCP transmitem mensagens de descoberta de DHCP ao servidor DHCP mais próximo, se um usuário mal-intencionado instalar um servidor não-Microsoft na rede da organização, os clientes DHCP vizinhos receberão concessões incorretas que poderão entrar em conflito com os endereços IP atribuídos a outros clientes DHCP na rede. Além disso, os clientes DHCP que obtêm uma concessão no servidor DHCP não-Microsoft podem ser configurados pelo servidor com informações de opção imprecisas. Isso pode implicar no reencaminhamento do tráfego da rede, fazendo com que a rede funcione de forma inadequada. -Verifique se pessoas não autorizadas não terão acesso físico ou sem fio à rede. ->Restrinja quem pode administrar o serviço DHCP. É necessário que você seja um membro do grupo Administradores ou do grupo Administradores DHCP para administrar servidores DHCP usando o console do DHCP ou os comandos netsh para DHCP. Além disso, somente os membros do grupo Admins. do domínio podem autorizar ou desautorizar um servidor DHCP no Active Directory. Restrinja a participação nesses grupos ao número mínimo de usuários necessário para administrar o servidor. Se houver usuários que necessitem de acesso somente leitura ao console do DHCP, adicione-os ao grupo Usuários DHCP, em vez de adicioná-lo ao grupo Administradores DHCP. Para obter mais informações, consulte grupos DHCP. A base de protocolo DHCP não inclui qualquer mecanismo de autenticação. Por isso, é vulnerável a uma variedade de ataques. Estes ataques se dividem em três categorias principais: -Fornecimento de informações falsas a clientes por servidores DHCP não autorizados. -Acesso aos recursos da rede por clientes não autorizados. -Ataques exaustivos aos recursos da rede advindos de clientes DHCP mal intencionados. Porque o cliente não tem como validar a identidade de um servidor DHCP, servidores DHCP não autorizados podem ser operados em redes, prestação de informações incorrectas aos clientes DHCP. Isso pode servir tanto como um ataque de negação de serviço, impedindo o cliente de ter acesso a conectividade de rede. Porque o servidor DHCP fornece o cliente DHCP com endereços IP do servidor, como o endereço IP de um ou mais servidores DNS, um atacante pode convencer um cliente DHCP para fazer pesquisas através de seu DNS seu próprio servidor DNS, e pode, portanto, fornecer suas próprias respostas a consultas DNS do cliente. Por sua vez, permite que o atacante para redirecionar o tráfego de rede através de si, permitindo-lhe escutar as conexões entre os servidores de rede do cliente e ele entra em contato, ou simplesmente para substituir os servidores de rede com o seu próprio. Porque o servidor DHCP não tem nenhum mecanismo seguro para autenticar o cliente, os clientes podem obter acesso não autorizado aos endereços IP de apresentação de credenciais, tais como identificadores do cliente, que pertencem a outros clientes DHCP. Isso também permite que os clientes DHCP para esgotar o DHCP armazenamento de servidor de endereços IP-, apresentando novas credenciais cada vez que ele pede um endereço, o cliente pode consumir todos os endereços IP disponíveis em um link de rede particular, impedindo outros clientes DHCP da obtenção de serviços. DHCP fornece alguns mecanismos para mitigar esses problemas. O Relé de Agente de Informações extensão protocolo Option (RFC 3046) permite que os operadores de rede para conectar marcas a mensagens DHCP uma vez que estas mensagens chegam na rede de confiança do operador de rede. Esta tag é então usado como um token de autorização para controlar o acesso do cliente aos recursos da rede. Porque o cliente não tem acesso à rede a montante do agente de retransmissão, a falta de autenticação não impede que o operador do servidor DHCP de confiar no token de autorização. Outro ramal, autenticação para DHCP mensagens (RFC 3118), fornece um mecanismo para autenticação de mensagens DHCP. Infelizmente RFC 3118 não viu a adopção generalizada por causa dos problemas de gerenciamento de chaves para um grande número de clientes DHCP. Sistemas Operacionais A segurança tem se tornado um dos principais focos no desenvolvimento de aplicações em geral. O crescimento do número de incidentes de segurança, entretanto, demonstra que os esforços estão sendo insuficientes para conter o avanço dos hackers. O sistema operacional livre e de código aberto GNU/Linux vem se tornando melhor em ambientes Desktops a cada ano, mas em termos de servidores, ele tem sido um candidato muito forte desde o final da década de 90. Com a sua popularidade, entretanto, ele passa a se tornar um alvo rentável para criminosos que desejem invadir servidores Linux e utilizá-los para envio de spam, pornografia, fraudes, dentre outras coisas. Quando você é um usuário de computador, a segurança é um grande problema. Os desenvolvedores de sistemas operacionais sabem que a segurança do sistema também é importante. É por isso que todos os sistemas operacionais possuem recursos internos de segurança que o tornam seguros para ambas navegar na Internet, bem como manter os usuários não autorizados longe de utilizar o computador. O sistema operacional permite o acesso a uma série de recursos, direta ou indiretamente, tais como arquivos em um disco local, chamadas de sistema privilegiado, informações pessoais sobre usuários, e os serviços oferecidos pelos programas em execução no sistema. O sistema operacional é capaz de distinguir entre alguns solicitantes desses recursos que estão autorizados – ou permitidos – para acessar o recurso, e outros que não sejam autorizados – ou proibidos. Enquanto alguns sistemas podem simplesmente distinguir entre privilegiados e não privilegiados, os sistemas têm geralmente uma forma de identidade solicitante como um nome de usuário. Além de permitir / negar em seu modelo de segurança, um sistema operacional com um nível elevado de segurança também oferece opções de auditoria. Estas medidas permitirão rastreamento de pedidos de acesso a recursos como “quem tem de ler este arquivo?”. Segurança do sistema operacional pode ser dividida em duas subseções com relação a solicitantes: Segurança Interna – um programa já em execução. Em alguns sistemas, um programa uma vez que está funcionando, não há limitações. No entanto, mais comumente, o programa tem uma identidade que se mantém e é utilizado para verificar todos os seus pedidos de recursos. Segurança Externa – um novo pedido de fora do computador, como um log-in em um console conectado ou algum tipo de conexão de rede. Para estabelecer a identidade, pode haver um processo de autenticação. Muitas vezes um nome de usuário deve ser citado e cada usuário pode ter uma senha. Outros métodos de autenticação, como cartões magnéticos ou de dados biométricos poderão ser utilizados. Em alguns casos, especialmente com as conexões de uma rede, os recursos podem ser acessados sem autenticação. Segurança do sistema operacional tem sido uma preocupação por causa de dados altamente confidenciais, realizada em computadores de natureza pessoal, comerciais e até militares. É por isso que os programadores de sistema operacional dão atenção especial à segurança dos sistemas operacionais que estão desenvolvendo. Eles querem garantir que todos os dados contidos em um sistema dedicado são mantidos privados e só é permitirem serem vistos por aqueles que estão autorizados a fazê-lo. Aprenda a utilizar o Linux através da shell (linha de comando). Cada camada de software que você acrescenta ao seu sistema operacional para torná-lo mais simples de se utilizar estará, na verdade, acrescentando mais vulnerabilidades que poderão ser exploradas por crackers de forma que eles possam ganhar acesso ao mesmo, além de diminuir a seu desempenho. Com os passos seguintes, assume-se que você possui alguma familiaridade com a shell do Linux. Utilizando o lsof ou alguma ferramenta similar, descubra em quais portas o seu computador está escutando ou recebendo conexões. • ns003:~# lsof -i • COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME • named 17829 root 4u IPv6 12689530 UDP *:34327 • named 17829 root 6u IPv4 12689531 UDP *:34329 • named 17829 root 20u IPv4 12689526 UDP ns003.unternet.net:domain • named 17829 root 21u IPv4 12689527 TCP ns003.unternet.net:domain (LISTEN) • named 17829 root 22u IPv4 12689528 UDP 209.40.205.146:domain • named 17829 root 23u IPv4 12689529 TCP 209.40.205.146:domain (LISTEN) • lighttpd 17841 www-data 4u IPv4 12689564 TCP *:www (LISTEN) • sshd 17860 root 3u IPv6 12689580 TCP *:ssh (LISTEN) • sshd 17880 root 3u IPv6 12689629 TCP *:8899 (LISTEN) • sshd 30435 root 4u IPv6 74368139 TCP 209.40.205.146:8899->dsl-189-130-1220.prod-infinitum.com.mx:3262 (ESTABLISHED) Em caso de dúvidas, corte-o fora! Desligue qualquer serviço desnecessário ou desconhecido utilizando as ferramentas apropriadas para a sua distribuição Linux, tal como update-rc.d em sistemas Debian ou, em alguns casos, editando os arquivos /etc/inetd.conf ou /etc/xinetd,d/*. Juntamente com isto, remova qualquer aplicativo que o seu provedor de servidores tenha adicionado para administração do sistema, tal como o Plesk. Não permita logins como root em sua porta primária de sshd, 22 (setando PermitRootLogin como "no"). Muitas ferramentas de brute-force automáticas executam ataques tentando-se logar como root via ssh nesta porta. Configure uma porta secundária para o ssh para acesso como root que só funcione através de chaves compartilhadas, desabilitando o uso de senhas: Copie o arquivo sshd_config para root_sshd_config e modifique os seguintes itens no novo arquivo: Mude a porta. Onde tem Port, modifique de 22 para algum outro valor - por exemplo, 8899 (não utilize essa, é apenas um exemplo). Mude a opção de permitir o login como root. Onde tem PermitRootLogin, modifique de "no" para "yes". (Você deveria deixar no apenas no caso da porta 22) Adicione a linha AllowUsers root, caso já não exista. Caso exista, modifique-a para que permita apenas login de usuário root nesta porta. Descomete a linha ChanllengeResponseAuthentication no. Caso já esteja descomentada, certifiquese de que ela diz "no" ao invés de "yes". Teste este comando: • sshd -D -f /etc/ssh/root_sshd_config veja se funciona corretamente -- tente logar a partir de outro computador (você deverá já ter setado a autenticação e as chaves entre ambas as máquinas) utilizando: • ssh -p8899 [email protected] caso positivo, pressione control-C no shell onde digitou o comando (sshd) de forma a parar o daemon sshd, e em seguida adicione o seguinte ao final do arquivo /etc/inittab: • rssh:2345:respawn:sshd -D -f /etc/ssh/root_sshd_config Reinicie o init: # init q Isto irá executar o seu root ssh daemon como um processo em background, reiniciando-o automaticamente em caso de falha. Cheque seus arquivos de log regularmente para ver quais os tipos de ataques que estão sendo executados contra o seu servidor./var/log/auth ou /var/log/auth.log são locais comuns para se achar tentativas de logins: • Jan 18 10:48:46 ns003 sshd[23829]: Illegal user rosa from ::ffff:58.29.238.252 • Jan 18 10:48:49 ns003 sshd[23833]: Illegal user rosemarie from ::ffff:58.29.238.252 • Jan 18 10:48:51 ns003 sshd[23838]: Illegal user ruth from ::ffff:58.29.238.252 • Jan 18 10:48:54 ns003 sshd[23840]: Illegal user sabine from ::ffff:58.29.238.252 • Jan 18 10:48:57 ns003 sshd[23845]: Illegal user sandra from ::ffff:58.29.238.252 Atualize regularmente o sistema operacional de seu servidor para receber as correções de segurança. No Debian: apt-get upgrade Monitore as novidades sobre vulnerabilidades no http://www.securityfocus.com/ e em outros sites relacionados. Tente instalar o grsecurity, SELinux, AppArmour e/ou PaX. Problemas da Segurança Computadores que são muitos protegidos, as vezes não conseguimos nem mexermos direito. Assim devemos definir o que vai ser protegido. Mas nunca devemos deixar o nosso sistema sem proteção.
Documentos relacionados
05/04/2011
Por esse utilitário temos como ver de maneira detalhada todas as funções que o nosso servidor desempenha, como por exemplo se ele é um servidor de aplicativos ( antigo "servidor ervidor Web", ou s...
Leia mais