Download - TEMA 2 SERVICIOS DE RED E INTERNET
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
1
TEMA 2 SERVICIOS DE RED E INTERNET
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
2
INDICE 2.1-Configuración automática de red (DHCP). Características. 2.2-Componentes del servicio DHCP 2.3-Asignaciones. Tipos. 2.4-Protocolo DHCP. 2.5-Funcionamiento del servicio DHCP. Tipos de mensajes. 2.6-Parámetros y declaraciones de configuración. 2.7-Servicio DHCP a varias redes. Agente relay DHCP. 2.8-DHCP Failover Protocol. 2.9-Problemas asociados a DHCP. Seguridad. 2.10-BOOTP. 2.11-Comandos utilizados para el funcionamiento del servicio. 2.12-Instalación del servidor DHCP. 2.13-Configuración del cliente DHCP.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
3
2.1-Configuración automática de red (DHCP). Características. DHCP es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.
Sin DHCP, cada dirección IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en un lugar diferente de la red.
2.2-Componentes del servicio DHCP
DHCP consta de dos componentes:
1. Un protocolo que entrega parámetros de configuración específicos de un host de un servidor DHCP al host.
2. Un mecanismo para reservar direcciones de red para los hosts.
IP requiere la configuración de muchos parámetros dentro del software de implementación del protocolo. Debido a que IP utilizar en muchas clases distintas de hardware de red, no se puede suponer o adivinar que los valores de esos parámetros tienen valores correctos por defecto. El uso de un sistema de asignación de direcciones distribuidas basado en un mecanismo de consulta/defensa, para descubrir direcciones de red que ya están en uso, no garantiza direcciones de red unívocas porque puede que los host no sean siempre capaces de defender sus direcciones de red.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
4
2.3-Asignaciones. Tipos.
El protocolo DHCP incluye tres métodos de asignación de direcciones IP:
• Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.
• Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.
• Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.
Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los servidores para reflejar las nuevas direcciones IP mediante el protocolo de actualización de DNS establecido en RFC 2136 (Inglés).
2.4-Protocolo DHCP.
DHCP significa Protocolo de configuración de host dinámico. Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su configuración de red) en forma dinámica (es decir, sin intervención particular). Sólo tiene que especificarle al equipo, mediante DHCP, que encuentre una dirección IP de manera independiente. El objetivo principal es simplificar la administración de la red.
El protocolo DHCP sirve principalmente para distribuir direcciones IP en una red, pero desde sus inicios se diseñó como un complemento del protocolo BOOTP (Protocolo Bootstrap), que se utiliza, por ejemplo, cuando se instala un equipo a través de una red (BOOTP se usa junto con un servidor TFTP donde el cliente encontrará los archivos que se
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
5
cargarán y copiarán en el disco duro). Un servidor DHCP puede devolver parámetros BOOTP o la configuración específica a un determinado host.
2.5-Funcionamiento del servicio DHCP. Tipos de mensajes.
La configuración de DHCP se basa en un fichero de texto, /etc/dhcp.conf que el proceso servidor lee en el inicio. La lectura del fichero de configuración sólo se realiza durante el inicio, nunca cuando ya está en ejecución, por tanto cualquier modificación requiere detener el servicio DHCP y volverlo a iniciar. En este fichero se especifican las características de comportamiento como son el rango de direcciones asignadas, el tiempo de asignación de direcciones, el nombre del dominio, los gateways, etc. DHCP almacena en memoria la lista de direcciones de cada sured que está sirviendo. Cuando se arranca un cliente DHCP le solicita una dirección al servidor, éste busca una dirección disponible y se la asigna. En caso de necesidad, el servidor DHCP también puede asignar direcciones fijas a determinados equipos de la red.
La asignación de los datos TCP/IP al cliente se realiza para un determinado espacio de tiempo que se define en la configuración del servidor. Si no se especifica otro valor, la asignación predeterminada es por un día. También los clientes pueden solicitar datos de una duración especificada, aunque para evitar que un cliente tenga una dirección fija se puede prefijar un tiempo máximo de asignación.
Si tenermos varias subredes en nuestra instalación, también se pueden diferenciar las asignaciones que otorga el servidor DHCP según el interfaz en el que se realice.
Como el servidor DHCP puede pararse y reiniciarse, necesita mantener la lista de direcciones asignadas. El fichero /var/lib/dhcp/dhcpd.leases o /var/state/dhcp/dhcpd.leases mantiene esta lista de asignaciones. Cuando se inicia el servidor, primero lee el fichero de configuración dhcpd.conf, después el fichero dhcpd.leases y marca qué sistemas tienen asignaciones activas.
Protocolo de intercambio de mensajes
Cuando el cliente DHCP arranca resulta evidente que ignora la configuración de red por lo que necesita realizar las primeras comunicaciones mediante mensajes de difusión o
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
6
broadcast. Esta difusión y el resto de las comunicaciones se basa en 8 tipos de mensajes en DHCP:
DHCPDISCOVER: El cliente envía un mensaje de difusión para localizar a los servidores DHCP activos.
DHCPOFFER: El servidor responde al cliente con una oferta de parámetros de configuración conforme a la situación del cliente.
DHCPREQUEST: Respuesta del cliente solicitando los parámetros ofertados, en caso de que el mensaje del servidor haya sido aceptado, rechazando la oferta, si el mensaje del servidor ha sido desestimado o confirmando la solicitud de una dirección IP obtenida anteriormente.
DHCPACK: Mensaje de confirmación y cierre desde el servidor hacia el cliente indicando los parámetros definitivos.
DHCPNACK: Mensaje que informa desde el servidor al cliente de que la dirección IP que solicita no es válida para la subred en la que se encuentra o la dirección IP ya no la puede asignar porque está asignada a otro equipo.
DHCPDECLINE: El cliente informa al servidor de que la dirección está en uso, normalmente porque otro usuario ha asignado esa dirección manualmente.
DHCPRELEASE: El cliente informa al servidor de que ha finalizado el uso de la dirección IP.
DHCPINFORM: El cliente consulta al servidor la configuración local. El cliente ya está configurado cuando envía este mensaje.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
7
2.6-Parámetros y declaraciones de configuración. A continuación veremos los parámetros que podemos aplicar a la configuración de un servidor DHCP: NOTA: Como podemos observar, cada órden o parámetro termina con un punto y coma (;), a excepción de las opciones que necesitan de varios parámetros, que se agrupan entre llaves ({...}). Repasemos a continuación las opciones y parámetros más importantes a nuestra disposición (para un detalle completo de todos los comandos accederemos al manual de configuración dhcp.conf(5) y dhcp-options(5)):
• authoritative - La configuración correcta para la red es la definida en el servidor DHCP. Poner este parámetro al comienzo del archivo de configuración supone que el servidor DHCP reasignará direcciones a los clientes mal configurados por el motivo que sea, incluída una configuración nueva del servidor.
• not authoritative - La función de este parámetro es justo la contraria del anterior. Es decir: la configuración del servidor de DHCP no es concluyente y los clientes mal configurados que sean detectados por el servidor, seguirán con su configuración intacta.
• ignore|allow client-updates - Permite la actualización de las asignaciones (allow) de un cliente a requerimiento de este, o bien las asignaciones se actualizan cuando el servidor así lo requiera (ignore).
• ddns-hostname <nombre> - Por defecto, el servidor DHCP utiliza como nombre para la solicitud el nombre que el cliente tiene asignado a su máquina. Mediante este parámetro se asigna un nombre concreto a una máquina o a todas en general. Por ejemplo, para asignar un nombre a una dirección MAC concreta, utilizaremos el código siguiente:
host "nada" { hardware ethernet 00:60:30:3f:2d:4a; ddns-hostname "nombre_del_host"; }
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
8
Y para asignar, por ejemplo, la dirección MAC como parte del nombre del cliente, podemos usar lo siguiente:
ddns-hostname = binary-to-ascii (16, 8, "-", substring (hardware, 1, 6));
Que devolverá algo como 0-50-56-b-b-b.dhcp.nombre.com.
• ddns-domainname <nombre> - Mediante el uso de este parámetro, se añadirá <nombre> al final del nombre de la máquina cliente, para formar un nombre de dominio totalmente cualificado (FQDN).
• ddns-update-style <tipo> - Define el método de actualización automática de las DNS. Los valores pueden ser ad-hoc, interim y none.
• ddns-updates <on|off> - Activa la actualización DNS mediante los valores asignados por DHCP.
• default-lease-time <duración> - Especifica la cantidad de tiempo, en segundos, que será mantenida una asignación de direcciones, siempre y cuando el cliente no haya especificado algo concreto.
• fixed-address <direcciones> - Esta opción aparece únicamente en una declaración de host. Define las direcciones estática a asignar a un host determinado.
• group - Inicia la declaración de Grupo.
• hardware <tipo dirección> - Especifica el hardware de un cliente BOOTP para que éste sea reconocido por el servidor de DHCP. tipo puede ser ethernet o token-ring y dirección será una serie de octetos hexadecimales inequívocos de la tarjeta (por ejemplo, hardware ethernet 00:50:b3:c5:60:23).
• max-lease-time <duración> - Especifica la cantidad máxima de tiempo, en segundos, que será mantenida una asignación de direcciones. No está sujeta a esta especificación la asignación dinámica BOOTP.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
9
• min-lease-time <duración> - Especifica la cantidad mínima de tiempo, en segundos, que será mantenida una asignación de direcciones.
• one-lease-per-client <on|off> - Cuando la opción se iguala a on y un cliente solicita una asignación de dirección (DHCPREQUEST), el servidor libera de forma automática cualquier otra asignación asociada a dicho cliente. Con esto se supone que si el cliente solicita una nueva asignación es porque ha olvidado que tuviera alguna, luego tiene un sólo interfaz de red. No dándose esta situación entre los clientes no es muy aconsejable el uso de esta opción.
• range ip-menor ip-mayor - En una declaración de subred, este parámetro define el rango de direcciones que serán asignadas. Pueden darse dos instrucciones range seguidas del modo:
range 192.168.0.11 192.168.0.100; range 192.168.0.125 192.168.0.210;
• server-identifier <IP> - Identifica la máquina donde se aloja el servidor de DHCP. Su uso se aplica cuando la máquina en cuestión tiene varias direcciones asignadas en un mismo interfaz de red.
• server-name <nombre> - Nombre del servidor que será suministrado al cliente que solicita la asignación.
• shared-network - Declaración de Subred compartida.
• subnet - Declaración de Subred.
• option domain-name <nombre> - Nombre de dominio que usará el cliente en una resolución de nombres vía DNS. Normalmente, será el nombre de dominio que se añadirá al host que realiza la petición de asignación.
• option domain-name-servers <IP, [IP ...]> - Define el nombre de los servidores DNS.
• option finger-server - Define el nombre de los servidores Finger disponibles para el cliente.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
10
• option host-name <nombre> - Especifica el nombre del cliente. Puede ser un nombre cualificado o no, aunque se recomienda que el nombre del dominio se asigne mediante option domain-name. Sólo se asignará el nombre al cliente en el caso de no tener éste asignado ninguno.
• option irc-server <IP, [IP ...]> - Define el nombre de los servidores de IRC disponibles para el cliente.
• option lpr-servers <IP, [IP ...]> - Define una lista de servidores de impresión LPR conforme al estándar RFC 1179. Se listan por orden de preferencia.
• option nds-servers <IP, [IP ...]> - Define una lista de servidores NDS disponibles para el cliente. Se usa en conjunción de option nds-context <nombre>, que establece el nombre de inicio de la red Netware y option-nds-tree-name <nombre>, que especifica el nombre del árbol a usar por el cliente solicitante.
• option netbios-name-servers <IP, [IP ...]> - Especifica un listado con los servidores WINS disponibles para los clientes.
• option nis-servers <IP, [IP ...]> - Define la lista de servidores NIS (Sun Network Information Server) disponibles. Los servidores se listan en orden de preferencia. Para establecer el nombre del dominio NIS, se usará option nis-domain <nombre>.
• option ntp-server <IP, [IP ...]> - Define los servidores horarios de NTP disponibles. Se listan en oreden de preferencia.
• option pop-server <IP, [IP ...]> - Define los servidores de POP3 disponibles, listados en orden de preferencia.
• option routers <IP, [IP ...]> - Se definen una serie de routers (en la práctica, puertas de enlace), listadas en orden de preferencia, disponibles para el acceso al exterior por parte del cliente.
• option smtp-server <IP, [IP ...]> - Define la lista de servidores SMTP disponibles, listados en orden de preferencia.
• option subnet-mask <IP> - Definición de la máscara de subred general.
2.7-Servicio DHCP a varias redes. Agente relay DHCP.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
11
Agente de transmisión DHCP
El Agente de transmisión DHCP (dhcrelay) le permite transmitir las peticiones DHCP y BOOTP desde una subred sin un servidor DHCP a uno o más servidores DHCP en otras subredes.
Cuando un cliente DHCP pide información, el agente de transmisión DHCP reenvía la petición a la lista de servidores DHCP especificada cuando se inicia el agente de transmisión DHCP. Cuando un servidor DHCP devuelve una respuesta, la respuesta puede ser broadcast o unicast en la red que ha enviado la petición original.
El agente de transmisión escucha las peticiones DHCP en todas las interfaces a menos que las interfaces estén especificadas en /etc/sysconfig/dhcrelay con la directiva INTERFACES.
Para iniciar el agente de transmisión DHCP, use el comando service dhcrelay start.
2.8- DHCP Failover Protocol. DHCP Failover Protocol es un protocolo diseñado para permitir que una copia de seguridad del servidor DHCP pueda hacerse cargo del servidor principal, si el servidor principal está fuera de la red por cualquier razón. Puede utilizar la conmutación por error de DHCP para configurar dos servidores DHCP para funcionar como un par redundante. Los escenarios de conmutación por error Hay tres escenarios de conmutación por error de base: • Conmutación por error simple-Un servidor que actúa como principal y su socio que actúa como copia de seguridad. • Conmutación por error de back office de red que el servidor de copia de seguridad misma. • Dos fallos simétricos-servidores que actúan como principal y de reserva para sí. Conmutación por error simple Conmutación por error simple consiste en un servidor principal y un par de copia de seguridad de servidor único (ver Figura 16-1 ). En el ejemplo, un servidor principal tiene tres ámbitos que se deben configurar de forma idéntica en copia de seguridad del servidor B.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
12
Ejemplo de conmutación por error simple
Las ventajas de la conmutación por error simple en los otros escenarios son los siguientes: • Es el más fácil de manejar como la red de los cambios-Es totalmente compatible con la interfaz de usuario Web para que los cambios en la configuración del servidor principal se propagan automáticamente al servidor de copia de seguridad. • Proporciona los mayores beneficios de rendimiento. • Sólo es necesario establecer las propiedades de conmutación por error a nivel de servidor y no preocuparse de los ámbitos. Ejemplo de conmutación por error de Back Office
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
13
Una ventaja de la conmutación por error de back office en los otros escenarios es que se reduce el número de servidores gestionados. Sin embargo, la conmutación por error simple sigue siendo recomendable, ya que en la conmutación por error de administración: • El servidor de copia de seguridad debe ser de un tamaño para manejar la suma de las configuraciones. • Cambios en cualquiera de los servidores principales se deben duplicar en el servidor de copia de seguridad. • La mayor complejidad de la gestión de la configuración puede reducir sustancialmente la disponibilidad real de la configuración. Conmutación por error simétrico Conmutación por error simétrico consiste en servidores que actúan como copias de seguridad de unos a otros (ver Figura 16-3 ). Este escenario es muy complicado en el que no puede haber una variación en valores de atributos alcance entre los servidores, o la relación no funcionará correctamente.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
14
Ejemplo de conmutación por error simétrico La desventaja de conmutación por error simétrico en los otros escenarios es que, al tiempo que reduce el número de servidores, hay poco o ningún beneficio de rendimiento. Un servidor de copia de seguridad opera en un 40% del servidor principal para mantener su base de datos de arrendamiento sincronizados. Si los servidores de uno al otro, una parte de su capacidad de procesamiento va a esta tarea, con menos capacidad disponible para los clientes de servicio. Por otra parte, debido a que cada ámbito debe ser configurado individualmente, conmutación por error simétrico es más propenso a errores de configuración. Debido a estas desventajas importantes, conmutación por error simple es el método recomendado Configuración de conmutación por error para servidores DHCP y Alcances Puede utilizar la Red de Registro interfaz de usuario web o la CLI para configurar DHCP pares de conmutación por error. Los tipos de opciones de configuración con el apoyo de la gestión de los pares conmutación por error del servidor son: • Propiedades de la política y las opciones de DHCP, incluyendo opciones específicas del proveedor • Propiedades del servidor DHCP • Propiedades del ámbito y los rangos • Reservas • Clientes y el cliente las clases- • Etiquetas alcance de selección • Extensiones
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
15
2.9-Problemas asociados a DHCP. Seguridad. Es importante seguir las prácticas recomendadas para utilizar los servidores DHCP en una red.
A continuación encontrará los problemas de seguridad conocidos para DHCP y los protocolos relacionados:
• DHCP es un protocolo no autenticado.
Cuando un usuario se conecta a una red no necesita proporcionar credenciales para
obtener una concesión. Por tanto, es posible que un usuario no autenticado obtenga
una concesión para cualquier cliente DHCP siempre que haya un servidor DHCP
disponible para proporcionarla. Así, el usuario no autenticado podrá disponer de todos
los valores de opción que el servidor DHCP proporcione con la concesión, como la
dirección IP del servidor WINS o del servidor DNS. Si el cliente DHCP se identifica
como miembro de una clase de usuario o de una clase de proveedor también dispondrá
de las opciones asociadas a dicha clase.
Esto permite que usuarios malintencionados que tengan acceso físico a una red
habilitada para DHCP puedan realizar un ataque de denegación de servicio en los
servidores DHCP si solicitan muchas concesiones al servidor, lo que reduciría el
número de concesiones disponibles para otros clientes DHCP.
Recomendaciones:
• Asegúrese de que las personas no autorizadas no puedan obtener acceso físico
o inalámbrico a la red.
• Habilite el registro de auditoría en todos los servidores DHCP de la red.
Compruebe periódicamente los archivos de registro de auditoría y supervíselos si el
servidor DHCP recibe de los clientes un número de solicitudes de concesión
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
16
inusualmente alto. En los archivos de registro de auditoría encontrará la
información necesaria para localizar el origen de cualquier ataque realizado contra
el servidor DHCP. La ubicación predeterminada de los registros de auditoría de es
%windir%\System32\Dhcp. Para obtener más información, vea Para habilitar el
registro del servidor DHCP, Registro de auditoría y Analizar archivos de registro
de servidor. En el registro de sucesos del sistema también puede buscar
información que explique el estado del servicio Servidor DHCP.
Nota
Si los clientes que ejecutan Microsoft® Windows® XP utilizan conmutadores de red de área local (LAN) habilitados para 802.1X o puntos de acceso inalámbrico la autenticación se produce antes de que el servidor DHCP asigne una concesión, por lo que aumenta la seguridad de DHCP.
• El servidor DHCP permite realizar ataques por denegación de servicio contra el
servidor DNS.
Cuando el servidor DHCP está configurado para actuar como servidor proxy DNS
para los clientes DHCP y para realizar actualizaciones dinámicas de DNS existe la
posibilidad de que un usuario malintencionado realice un ataque por denegación de
servicio contra el servidor DHCP y el servidor DNS simultáneamente, inundando el
servidor DHCP con solicitudes de concesiones.
Recomendaciones:
• Asegúrese de que las personas no autorizadas no puedan obtener acceso físico
o inalámbrico a la red.
• Utilice los registros de auditoría de DHCP, que se encuentran de manera
predeterminada en %windir%\System32\Dhcp, para supervisar las actualizaciones
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
17
dinámicas de DNS realizadas por el servidor DHCP. Para la actualización dinámica
del DNS se utilizan los siguientes Id. de suceso:
Id. de suceso Suceso de DHCP
30 Solicitud de actualización dinámica del DNS realizada al servidor DNS
31 Error en la actualización dinámica de DNS
32 Actualización dinámica de DNS correcta • La dirección IP del cliente DHCP se incluye en el registro de auditoría de
DHCP, lo que permite descubrir el origen del ataque por denegación de servicio.
Para obtener más información, vea Analizar archivos de registro de servidor y
Registro de auditoría.
• Servidores DHCP no autorizados que no sean de Microsoft pueden conceder
direcciones IP a clientes DHCP.
Únicamente los servidores DHCP que utilicen Windows 2000 o Windows Server 2003
pueden obtener autorización en Active Directory®. Si un servidor DHCP que utiliza
Windows 2000 o Windows Server 2003 descubre que no está autorizado en Active
Directory, deja de prestar servicio a los clientes DHCP. Gracias a esta característica
de autorización, si un usuario malintencionado instala en la red de la organización un
servidor no autorizado que utilice Windows 2000 o Windows Server 2003, el
servidor no podrá asignar concesiones incorrectas ni conflictivas, configurar clientes
DHCP con opciones incorrectas o interrumpir los servicios de red.
El software de servidor DHCP que no es de Microsoft no incluye la característica de
autorización incluida en el DHCP de Windows 2000 y Windows Server 2003. Como los
clientes DHCP difunden los mensajes de descubrimiento DHCP al servidor DHCP más
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
18
próximo, si un usuario malintencionado instala un servidor DHCP que no sea de
Microsoft en la red de la organización los clientes DHCP cercanos recibirán
concesiones incorrectas que podrían estar en conflicto con las direcciones IP
asignadas a otros clientes DHCP de la red. Además, el servidor DHCP que no es de
Microsoft podría configurar con información de opciones incorrecta a los clientes
DHCP a los que otorgue una concesión. Esto podría modificar el enrutamiento del
tráfico de la red y hacer que ésta no funcionase correctamente.
Recomendación:
• Asegúrese de que las personas no autorizadas no puedan obtener acceso físico
o inalámbrico a la red.
Recomendaciones adicionales
Antes de instalar y configurar DHCP en una red, tenga en cuenta la posibilidad de:
• Restringir los usuarios que pueden administrar el servicio DHCP.
Deberá ser miembro del grupo Administradores o del grupo Administradores DHCP
para administrar servidores DHCP mediante la consola de DHCP o los Comandos
Netsh para DHCP. Asimismo, solamente los miembros del grupo Administradores de
dominio pueden autorizar o desautorizar un servidor DHCP en Active Directory.
Debería restringir la pertenencia a estos grupos al número mínimo de usuarios
necesarios para administrar el servidor.
Si hay usuarios que necesitan acceso de sólo lectura a la consola de DHCP, agréguelos
al grupo Usuarios DHCP en lugar de al grupo Administradores DHCP. Para obtener
más información, vea Grupos DHCP.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
19
2.10-BOOTP.
BOOTP y DHCP
El protocolo de arranque (BOOTP) es un protocolo de configuración de host desarrollado antes que DHCP. DHCP supone una mejora con respecto a BOOTP y resuelve determinadas limitaciones que tenía BOOTP como servicio de configuración de host. En RFC 951 se define BOOTP.
Similitudes entre BOOTP y DHCP
Debido a la relación existente entre BOOTP y DHCP, ambos protocolos comparten ciertas características. Entre los elementos comunes se incluye:
• La estructura de formato que usa cada uno para intercambiar mensajes entre el
servidor y los clientes
BOOTP y DHCP usan mensajes de solicitud (enviados por los clientes) y mensajes de
respuesta (enviados por los servidores) prácticamente idénticos. Los mensajes de
estos protocolos usan un único datagrama del Protocolo de datagramas de usuario
(UDP) de 576 bytes para delimitar cada mensaje del protocolo. Los encabezados de
los mensajes son iguales tanto para BOOTP como para DHCP con una excepción: el
campo de encabezado del mensaje final se emplea para transportar datos opcionales.
En el caso de BOOTP, este campo opcional se denomina el área específica del
proveedor y está limitado a 64 octetos. En DHCP, esta área se denomina el campo de
opciones y puede transportar hasta 312 octetos de información sobre opciones de
DHCP.
• Uso de puertos UDP conocidos para la comunicación cliente-servidor
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
20
Tanto BOOTP como DHCP emplean los mismos puertos de protocolo reservados para
enviar y recibir mensajes entre servidores y clientes. Los servidores BOOTP y DHCP
usan el puerto UDP 67 para escuchar y recibir mensajes de solicitud de los clientes.
Los clientes BOOTP y DHCP suelen reservar el puerto UDP 68 para aceptar
respuestas de mensajes de un servidor BOOTP o de un servidor DHCP.
Puesto que los mensajes de DHCP y BOOTP usan tipos de formato y estructuras de
paquete prácticamente idénticos, y como normalmente emplean los mismos puertos de
servicio conocidos, los programas agentes de retransmisión BOOTP o DHCP suelen
considerar que los mensajes BOOTP y DHCP son básicamente del mismo tipo, sin
diferenciarlos.
• Distribución de direcciones IP como parte integral del servicio de configuración
Aunque tanto BOOTP como DHCP asignan direcciones IP a los clientes durante el
inicio, emplean distintos métodos de asignación. BOOTP suele realizar la asignación
fija de una única dirección IP para cada cliente, reservando de forma permanente
esta dirección en la base de datos del servidor BOOTP. DHCP normalmente realiza
una asignación dinámica por concesión de las direcciones IP disponibles, reservando
cada dirección de un cliente DHCP temporalmente en la base de datos del servidor
DHCP.
Diferencias entre BOOTP y DHCP
Hay algunas diferencias importantes en la forma en que BOOTP y DHCP realizan la configuración de host. En la tabla siguiente se comparan y contrastan las características
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
21
diferentes de los dos protocolos.
BOOTP DHCP
Diseñado antes que DHCP. Diseñado después que BOOTP.
Pensado para configurar estaciones de trabajo sin disco con capacidades de arranque limitadas.
Pensado para configurar equipos conectados en red que cambian de ubicación con frecuencia (como portátiles) que disponen de discos duros locales y capacidades completas de arranque.
BOOTP dinámico tiene una expiración predeterminada de 30 días para las concesiones de direcciones IP.
DHCP tiene una expiración predeterminada de ocho días para las concesiones de direcciones IP.
Admite un número limitado de parámetros de configuración de clientes denominados extensiones del proveedor.
Admite un conjunto mayor y extensible de parámetros de configuración de clientes denominados opciones.
Describe un proceso de configuración de arranque en dos fases, de la manera siguiente:
• Los clientes se ponen en
contacto con los servidores
BOOTP para realizar la
determinación de las direcciones
y la selección del nombre del
archivo de arranque.
• Los clientes se ponen en
Describe un proceso de configuración de arranque de una sola fase donde un cliente DHCP negocia con un servidor DHCP para determinar su dirección IP y obtener cualquier otro detalle de configuración inicial que se necesite para el funcionamiento de la red.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
22
contacto con los servidores del
Protocolo trivial de transferencia
de archivos (TFTP) para realizar
la transferencia de archivos de
su imagen de arranque.
Los clientes BOOTP no reenlazan ni renuevan la configuración con el servidor BOOTP salvo cuando se reinicia el sistema.
Los clientes DHCP no necesitan un reinicio del sistema para reenlazar o renovar la configuración con el servidor DHCP. En su lugar, los clientes entran automáticamente en un estado de reenlace a intervalos establecidos para renovar la asignación de sus direcciones concedidas con el servidor DHCP. Este proceso tiene lugar en segundo plano y es transparente para el usuario.
2.11-Comandos utilizados para el funcionamiento del servicio. En la tabla siguiente se enumeran los comandos que se pueden utilizar para gestionar DHCP en la red.
Orden Descripción
dhtadm Se emplea para efectuar cambios en las opciones y macros de dhcptab. Este comando resulta útil en secuencias creadas para automatizar los cambios en la información DHCP. Utilice dhtadm con la opción -P y redirija la salida al comando grep para buscar de forma rápida valores específicos de opciones en la tabla dhcptab.
pntadm Se utiliza para efectuar cambios en las tablas de red DHCP que asignan ID de cliente a direcciones IP y, de foram opcional, asocian información de configuración con direcciones IP.
dhcpconfig Se usa para configurar y desconfigurar servidors DHCP y agentes de reenvío BOOTP. También se utiliza para convertir a un formato de almacén de datos distinto y para
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
23
Orden Descripción
importar y exportar datos de configuración DHCP.
in.dhcpd Daemon del servidor DHCP. El daemon se inicia al iniciarse el sistema. No es conveniente iniciar el daemon del servidor directamente. Utilice DHCP Manager, el comando svcadm o dhcpconfig para iniciar y detener el daemon. El daemon solo se debe llamar directamente para ejecutar el servidor en modo de depuración y para resolver problemas.
dhcpmgr DHCP Manager, una interfaz gráfica de usuario (GUI) que se utiliza para la configuración y gestión del servicio DHCP. DHCP Manager es la herramienta recomendada para gestionar DHCP de Oracle Solaris.
ifconfig Se utiliza en el inicio del sistema para asignar direcciones IP a interfaces de red, configurar parámetros de red o ambas funciones. En un cliente DHCP de Oracle Solaris, ifconfig inicia DHCP para obtener los parámetros (incluida la dirección IP) necesarios para configurar una interfaz de red.
dhcpinfo Lo utilizan las secuencias de inicio de los sistemas cliente de Oracle Solaris para obtener información (como el nombre de host) para el daemon del cliente DHCP, dhcpagent. También se puede utilizar dhcpinfo en secuencias o en la línea de comandos para obtener valores de parámetros específicos.
snoop Se utiliza para capturar y mostrar el contenido de paquetes que circulan por la red. snoop resulta útil para resolver problemas del servicio DHCP.
dhcpagent El daemon del cliente DHCP, que implementa el extrremo cliente del protocolo DHCP.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
24
2.12-Instalación del servidor DHCP.
Para configurar un servidor DHCP, modifique el archivo de configuración /etc/dhcpd.conf.
DHCP también usa el archivo /var/lib/dhcp/dhcpd.leases para almacenar la base de datos de los clientes
Archivo de configuración
El primer paso al configurar un servidor DHCP es crear el archivo de configuración que almacena la información de red para los clientes. Se pueden declarar opciones globales para todos los clientes, o bien opciones para cada sistema cliente.
El archivo de configuración puede contener tabulaciones o líneas en blanco adicionales para facilitar el formato. Las palabras clave no distinguen entre mayúsculas y minúsculas, y las líneas que empiezan con una almohadilla o símbolo numeral (#) se consideran comentarios.
Hay dos tipos de esquemas de actualización DNS implementados actualmente — el modo de actualización DNS ad-hoc y el modo de actualización intermedio de boceto de interacción DHCP-DNS. Si y cuando estos dos son aceptados como parte del proceso estándar de IETF, habrá un tercer modo — el método estándar de actualización DNS. El servidor DHCP tiene que estar configurado para usar uno de estos dos esquemas actuales. La versión 3.0b2pl11 y las versiones anteriores usaban el modo ad-hoc, pero ya no se usan. Si quiere conservar el mismo comportamiento, añada la siguiente línea al inicio del archivo de configuración: file:
ddns-update-style ad-hoc;
Para usar el modo recomendado, añada la siguiente línea al inicio del archivo de configuración:
ddns-update-style interim;
Lea la página man de dhcpd.conf para más detalles sobre los diferentes modos.
El archivo de configuración posee dos tipos de información:
• Parámetros — establece cómo se realiza una tarea, si debe llevarse a cabo una tarea o las opciones de configuración de red que se enviarán al cliente.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
25
• Declaraciones — describen la topología de la red, describen los clientes, proporcionan direcciones para los clientes o aplican un grupo de parámetros a un grupo de declaraciones.
Algunos parámetros deben empezar con la palabra clave option. Algunas opciones configuran DHCP y los parámetros definen valores no opcionales o que controlan el comportamiento del servidor DHCP.
Los parámetros (incluidas las opciones) declarados antes de una sección encerrada entre paréntesis ({ }) se consideran parámetros globales. Los parámetros globales se aplican a todas las secciones situadas debajo de ellos.
Importante
Si cambia el archivo de configuración, los cambios no se aplicarán hasta reiniciar el demonio DHCP con el comando service dhcpd restart.
las opciones routers, subnet-mask, domain-name, domain-name-servers, y time-offset son usadas para cualquier sentencia host declarada debajo de ellas.
Aparte de la configuración standard también se puede declarar una subnet. Debe incluir una declaración subnet para cada subred en la red. Si no lo hace, el servidor DHCP no podrá arrancarse.
En este ejemplo, hay opciones globales para cada cliente DHCP en la subred y un range declarado. A los clientes se les asigna una dirección IP dentro del range.
subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.254; option subnet-mask 255.255.255.0; option domain-name "example.com"; option domain-name-servers 192.168.1.1;
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
26
option time-offset -18000; # Eastern Standard Time range 192.168.1.10 192.168.1.100; }
Ejemplo de declaración de Subred
Todas las subredes que comparten la misma red física deben especificarse dentro de una declaración shared-network. Los parámetros dentro de shared-network pero fuera del cerco de las declaraciones subnet se consideran parámetros globales. El nombre de shared-network debe ser el título descriptivo de la red, como, por ejemplo, test-lab, para describir todas las subredes en un entorno de laboratorio de pruebas.
shared-network name { option domain-name "test.redhat.com"; option domain-name-servers ns1.redhat.com, ns2.redhat.com; option routers 192.168.1.254; more parameters for EXAMPLE shared-network subnet 192.168.1.0 netmask 255.255.255.0 { parameters for subnet range 192.168.1.1 192.168.1.31; } subnet 192.168.1.32 netmask 255.255.255.0 { parameters for subnet range 192.168.1.33 192.168.1.63; } }
Ejemplo de declaración de red compartida
la declaración group puede utilizarse para aplicar parámetros globales a un grupo de declaraciones. Por ejemplo, puede agrupar redes compartidas, subredes, hosts u otros grupos.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
27
group { option routers 192.168.1.254; option subnet-mask 255.255.255.0; option domain-name "example.com"; option domain-name-servers 192.168.1.1; option time-offset -18000; # Eastern Standard Time host apex { option host-name "apex.example.com"; hardware ethernet 00:A0:78:8E:9E:AA; fixed-address 192.168.1.4; } host raleigh { option host-name "raleigh.example.com"; hardware ethernet 00:A1:DD:74:C3:F2; fixed-address 192.168.1.6; } }
Declaración de Group
Declara un tiempo de arrendamiento por defecto, un tiempo de arrendamiento máximo y los valores de configuración de red para los clientes. Este ejemplo asigna una dirección IP en el range 192.168.1.10 y 192.168.1.100 a los sistemas clientes.
default-lease-time 600; max-lease-time 7200; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option routers 192.168.1.254;
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
28
option domain-name-servers 192.168.1.1, 192.168.1.2; option domain-name "example.com"; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.10 192.168.1.100; }
Parámetro Range (Rango)
Para asignar una dirección IP a un cliente según la dirección MAC de la tarjeta de interfaz de red, use el parámetro hardware ethernet dentro de la declaración host. La declaración host apex especifica que la interfaz de red con una dirección MAC 00:A0:78:8E:9E:AA siempre recibe la dirección IP 192.168.1.4.
Tenga en cuenta que también puede usar el parámetro opcional host-name para asignar un nombre host al cliente.
host apex { option host-name "apex.example.com"; hardware ethernet 00:A0:78:8E:9E:AA; fixed-address 192.168.1.4; }
2.13-Configuración del cliente DHCP.
El primer paso al configurar un cliente DHCP es asegurarse de que el kernel reconoce la tarjeta de la interfaz de red. La mayoría de las tarjetas se reconocen durante el proceso de instalación y el sistema se configura para utilizar el módulo de kernel correcto para la tarjeta. Si instala una tarjeta después de la instalación, la aplicación Kudzu debería reconocerla y solicitarle por la configuracióndel módulo del kernel correspondiente para ésta. Asegúrese de comprobar la Lista de compatibilidad de hardware disponible en http://hardware.redhat.com/hcl/. Si el programa de instalación o la aplicación Kudzu no configuran la tarjeta de red y sabe qué módulo de kernel debe cargarse para ella
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
29
Para configurar un cliente DHCP manualmente, debe modificar el archivo /etc/sysconfig/network para habilitar redes y el uso del archivo de configuración para cada dispositivo de red en el directorio /etc/sysconfig/network-scripts. En este directorio, cada dispositivo debería tener un archivo de configuración llamado ifcfg-eth0 donde eth0 es el nombre del dispositivo de red.
El archivo /etc/sysconfig/network debería contener la línea siguiente:
NETWORKING=yes
Si quiere que se inicie la red en el momento de arranque debe asegurarse de que la variable NETWORKING esté colocada a yes.
El archivo /etc/sysconfig/network-scripts/ifcfg-eth0 debería contener las líneas siguientes:
DEVICE=eth0 BOOTPROTO=dhcp ONBOOT=yes
Necesita un archivo de configuración para cada dispositivo que desee configurar para el uso de DHCP.
Otras opciones para el script de la red incluyen:
• DHCP_HOSTNAME — Utilice esta opción solamente si el servidor DHCP requiere que el cliente especifique un nombre de host antes de recibir una dirección IP. (El demonio del servidor DHCP en Red Hat Enterprise Linux no soporta esta característica.)
• PEERDNS=<answer>, donde <answer> es uno de los siguientes:
o yes — Modifica /etc/resolv.conf con información desde el servidor. Si se está usando DHCP, entonces yes es el valor por defecto.
o no — No modifica /etc/resolv.conf.
Conceptos Tema 2
Antonio Quevedo Bueno
Servicios de Red e Internet
30
• SRCADDR=<address>, donde <address> es la dirección IP fuente especificada para los paquetes salientes.
• USERCTL=<answer>, donde <answer> es uno de los siguientes:
o yes — Los usuarios que no sean root pueden modificar este dispositivo.
o no — Los usuarios no root no tienen derecho a controlar este dispositivo.