Dynamic Host Configuration Protocol
A dinamikus állomáskonfiguráló protokoll (angolul Dynamic Host Configuration Protocol, rövidítve DHCP) egy számítógépes hálózati kommunikációs protokoll.
Az IETF RFC 1541, majd később a 2131 határozza meg.
Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. Ilyen szokott lenni például az IP-cím, hálózati maszk, alapértelmezett átjáró stb.
A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP-kérésekből, és a szerver által adott DHCP-válaszokból áll.
A DHCP-vel dinamikusan oszthatóak ki IP-címek, tehát a hálózatról lecsatlakozó számítógépek IP-címeit megkapják a hálózatra felcsatlakozó számítógépek, ezért hatékonyabban használhatóak ki a szűkebb címtartományok.
3 féle IP-kiosztás lehetséges DHCP-vel:
- kézi (MAC-cím alapján)
- automatikus (DHCP-vel kiadható IP-tartomány megadásával)
- dinamikus (IP-tartomány megadásával, de az IP-címek „újrahasznosításával”)
Biztonság
szerkesztésAmióta a DHCP-szerverek IP-címet és csatlakozást biztosítanak bárkinek, akinek fizikai kapcsolata van a hálózattal, a DHCP megkönnyítette a betöréseket. Amíg a tapasztaltabb támadóknak nem okoz gondot használható IP-cím találása és a többi beállítást kézzel elvégezni, addig az amatőrök a szolgáltatás erőforrásainak lefoglalásával okoznak gondot.
Védelem nélküli, vezeték nélküli hálózat (WLAN) esetén a DHCP bárkinek hozzáférést biztosít a sugárzás hatókörén belül a hálózathoz, beleértve az internethasználatot és azokhoz az adatokhoz való hozzáférést is, amit mások nem védenek. Vezetékes hálózat (LAN) esetén a támadónak fizikai kapcsolatra van szüksége, ahová a betörést nehezebb észrevétlenül kivitelezni.
DHCP és a tűzfal
szerkesztésA tűzfalak általában határozottan korlátozzák a DHCP adatforgalmát. A DHCP client-server specifikációja több különböző esetet ír le, amikor a csomagoknak a 0x00000000 forráscímmel vagy a 0xffffffff célcímmel kell rendelkezniük. Az Anti-spoofing-irányelvet használó tűzfalak gyakran megállítják ezeket a csomagokat. A többközpontú DHCP-szerverek különleges karbantartást és még bonyolultabb kiépítést igényelnek.
A DHCP engedélyezéséhez a rendszergazdáknak különböző típusú csomagok áthaladását kell engedélyezni a szerveroldali tűzfalon. Minden DHCP-csomag UDP-datagramként halad tovább; az összes kliensoldali csomag forrása a 68-as és célja a 67-es port; a szerveroldalon ez pont fordítva. Például egy szerveroldali tűzfalnak engedélyezni kell a következő típusú csomagokat:
* Bejövő csomag a 0.0.0.0 címről vagy dhcp-pool-tól a dhcp-ip felé * Bejövő csomag bármely címről a 255.255.255.255 cím felé * Kimenő csomag a dhcp-ip-től dhcp-pool vagy a 255.255.255.255 cím felé
Ahol a dhcp-ip jelképezi a DHCP-szerver címét, a dhcp-pool pedig amiket a szerver hozzárendelt a kliensekhez.