Dynamic Host Configuration Protocol

Ez a közzétett változat, ellenőrizve: 2019. szeptember 13.

A dinamikus állomáskonfiguráló protokoll (angolul Dynamic Host Configuration Protocol, rövidítve DHCP) egy számítógépes hálózati kommunikációs protokoll.

Az IETF RFC 1541, majd később a 2131 határozza meg.

Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. Ilyen szokott lenni például az IP-cím, hálózati maszk, alapértelmezett átjáró stb.

A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP-kérésekből, és a szerver által adott DHCP-válaszokból áll.

A DHCP-vel dinamikusan oszthatóak ki IP-címek, tehát a hálózatról lecsatlakozó számítógépek IP-címeit megkapják a hálózatra felcsatlakozó számítógépek, ezért hatékonyabban használhatóak ki a szűkebb címtartományok.

3 féle IP-kiosztás lehetséges DHCP-vel:

  • kézi (MAC-cím alapján)
  • automatikus (DHCP-vel kiadható IP-tartomány megadásával)
  • dinamikus (IP-tartomány megadásával, de az IP-címek „újrahasznosításával”)

Biztonság

szerkesztés

Amióta a DHCP-szerverek IP-címet és csatlakozást biztosítanak bárkinek, akinek fizikai kapcsolata van a hálózattal, a DHCP megkönnyítette a betöréseket. Amíg a tapasztaltabb támadóknak nem okoz gondot használható IP-cím találása és a többi beállítást kézzel elvégezni, addig az amatőrök a szolgáltatás erőforrásainak lefoglalásával okoznak gondot.

Védelem nélküli, vezeték nélküli hálózat (WLAN) esetén a DHCP bárkinek hozzáférést biztosít a sugárzás hatókörén belül a hálózathoz, beleértve az internethasználatot és azokhoz az adatokhoz való hozzáférést is, amit mások nem védenek. Vezetékes hálózat (LAN) esetén a támadónak fizikai kapcsolatra van szüksége, ahová a betörést nehezebb észrevétlenül kivitelezni.

DHCP és a tűzfal

szerkesztés

A tűzfalak általában határozottan korlátozzák a DHCP adatforgalmát. A DHCP client-server specifikációja több különböző esetet ír le, amikor a csomagoknak a 0x00000000 forráscímmel vagy a 0xffffffff célcímmel kell rendelkezniük. Az Anti-spoofing-irányelvet használó tűzfalak gyakran megállítják ezeket a csomagokat. A többközpontú DHCP-szerverek különleges karbantartást és még bonyolultabb kiépítést igényelnek.

A DHCP engedélyezéséhez a rendszergazdáknak különböző típusú csomagok áthaladását kell engedélyezni a szerveroldali tűzfalon. Minden DHCP-csomag UDP-datagramként halad tovább; az összes kliensoldali csomag forrása a 68-as és célja a 67-es port; a szerveroldalon ez pont fordítva. Például egy szerveroldali tűzfalnak engedélyezni kell a következő típusú csomagokat:

   * Bejövő csomag a 0.0.0.0 címről vagy dhcp-pool-tól a dhcp-ip felé
   * Bejövő csomag bármely címről a 255.255.255.255 cím felé
   * Kimenő csomag a dhcp-ip-től dhcp-pool vagy a 255.255.255.255 cím felé

Ahol a dhcp-ip jelképezi a DHCP-szerver címét, a dhcp-pool pedig amiket a szerver hozzárendelt a kliensekhez.