Dynamic Host Configuration Protocol (1)

Elgüc Yusifbəyli 2010/05/25 Windows Server 4 Comments

Windows  Server 2008 üzərində DHCP Xidmətinin Sazlanması.

Bu məqaləmizdə Windows  Server 2008 üzərində DHCP xidmətinin sazlamamışdan öncə DHCP-nin çalışma mexanizmasından danışacağıq. Bildiyimiz kimi şəbəkədəki kompüterlər bir-biri ilə əlaqə saxalayarkən ip adreslərindən istfadə edirlər.Bu İP adreslərini kompüterlərə biz ya Static olaraq yəni əllə daxil edirik və yaxud  Dynamic olaraq yəni kompüterlər öz İP adreslərini  Dynamic İP adresi paylayan bir serverdən (DHCP) əldə edirlər.DHCP  xidmətinin  bizim üçün nə yararları var ?
1.    IP Adresləri avtomatik olaraq kompüterlərə paylanır.
2.    Uzaq kompüterdəki İP adreslərini kompüter  yanına gedərək dəyişməyə ehtiyac yoxdur.
3.    Böyük şəbəkələrdə İP toqquşmalarının qarşısı alınmış olur.
4.    Şirkət içərisində tez-tez yerini dəyişən komputerlər üçün İP dəyişmə çətinliyini aradan qaldırır.
5.    Wins, Gateway, Dns və s. kimi məlumatları birbaşa Server üzərindən daxil etmək imkanı yaradır.
DHCP –xidmətini aktivləşdirmədən öncə, DHCP-nin hansı məntiqlə çalışmasına nəzər salaq.DHCP Server və DHCP Client-lər arasında İP alış-verişi dörd addımda gerçəkləşdirir.

1.DHCP Discovery

2.DHCP Offer

3.DHCP Request

4.DHCP Acknowledgment

1.    DHCP Discovery – Şəbəkəyə daxil olmuş yeni kompüter bir İP adresi axtaraşına çıxar. DHCP Discovery paketi broadcast olaraq (255.255.255.255, FF:FF:FF:FF:FF:FF) şəbəkəyə göndərilir.


2.    Bu paketləri alan DHCP Server  DHCP Offer –lə bu paketə cavab verərək ip adresi, subnet mask və icarə müddəti kimi informasiyaları həmin kompüterə göndərir.

3.    İP –  istəyi üçün  müraciət  etmiş kompüter DHCP Offer-ə DHCP Request –lə cavab verir. Bu cavabdan sonra DHCP Server – həmin kompüterə təklif etdiyi İP- adresini icarə müddəti boyunca  öz məlumat bazasına qeydiyyat edir.

4.    Bunun ardından  DHCP Server  İP –  istəyi üçün  müraciət  etmiş kompüterə əməliyyatın uğurla başa çatdığına dair cavab paketi olaraq DHCP Acknowledgment (ACK) – paketini gönədərir.

Bu paketlə birlikdə İP –  istəyi üçün  müraciət  etmiş kompüterə əgər varsa Gateway, DNS , Wins və s. kimi informasiyalar son olaraq çatdırılmış olur.Əgər əməliyyat uğurlu nəticələnməsə DHCP Server ACK yerinə NACK(Negative Acknowledgment) paketini həmin kompüterə göndərir və yuxarıda sadaladığımız əməliyyatlar yenidən başlamış olur.

Bildiyimiz kimi DHCP Server  İP adreslərini müəyyən olunmuş müddətə  görə  kompüterlərə icarəyə verir.Bu müddət bitdikdən sonra icarəyə verilmiş ip adresləri başqa ip adresləri ilə əvəz olunur və yaxud icarə müddəti yenilənir. Bunun necə baş verdiyinə nəzər salaq.

Misal: Biz DHCP Serverdə İP adreslərinin icarə müddətini 10 gun olaraq nizamladıq. Bu 10 günün 50 %-i (5 gün) tamamlandığında İP-ni icarəyə götürmüş kompüter DHCP Server-ə  icarə müddətinin uzadılmasına dair bir istək paketi (DHCP Request)  göndərir.

Normalda bu istək paketi DHCP Server tərəfindən cavablandırılır (DHCP ACK ) və icarə müddəti uzadılır.

Əgər bu istək paketi cavabsız qalarsa  İP-ni icarəyə götürmüş kompüter icarə müddətinin 87,5 % -ində yenidən istək göndərir və bu istəkdə cavabsız qalarsa artıq həmin kompüter öz icarə müddətini tamamladıqda üzərindəki İP adresini ataraq yenidən broadcast vasitəsilə ona İP adresi verəcək DHCP serverin axtarışına çıxar. Gələcək məqaləmizdə DHCP  xidmətinin necə sazlandığına nəzər yetirəcəyik. Beləliklə DHCP-nin  çalışma mexanizmasında öyrənmiş olduq. Başqa bir məqalədə görüşmək  diləyilə. Elgüc Yusifbəyli
_____________
MCT
Müəllif hüquqları qorunur.


Baxılıb :5768

Tags

4 comments

  1. Dost
    2010/05/25 at 10:17 pm

    Təşəkkürlər Gözəl məlumata görə Elgüc qardaş.
    Bu məqalə ilə bağlı bir neçə security related sualım var
    1:)Klient-server və server klient tipli udp zaproslarda(discover-offer-request-Acknowledgment ) prinsipində hər
    hansı autentifasiya istifadə olunurmu?
    Yəni mümkün olan haldırmı ki sizcə Spoof etmək paketləri(Xüsusilə daxildən: Məsələn hər hansı
    zərərli proqram təminatı ilə network yoluxubsa lakin DHCP konfiqurasiyada hər hansı gözə görünən dəyişiklik yoxdursa) amma
    spoof olsun?
    Halbuki sniferlərlə UDP dump-da spoof olunma açıq aşkar görülür.
    2) İnternal tipli udp flood da mükündürmü ki, UDP 67 və 68 porlarına arasıkəsilmədən crafted paket göndərməklə bütün şəbəkəni DOS
    (Denial Of Service) etmək .?
    3)Global şəbəkədən hər hansı bəd-niyyətli təsir oluna bilərmiki nəticəsi bütün networkün konfiqurasiyasını spoof etsin ?
    Yoxsa Çıxış yolu yalnız Brandmauerlər və NİPS ? HİPSlərdir?
    Və əgər bu tipli hallardan 1 və ya bir neçəsi mövcud olarsa (nəzəri cəhətdən belə) DHCP nə kimi qorunma funsiyalarına malikdir?
    Təşəkkür edirəm Elgüc qardaş və etdiyin paylaşımların tayı-bərabəri yoxdur həqiqətən də.
    Çox sağ ol.

  2. Elgüc Yusifbəyli
    2010/05/26 at 11:40 am

    Salam .Çox sagolun suallar üçün.Gözəl məsələlərə toxunmsunuz.Bunlara qarsidaki movuzalarda yer verilcek.Securty məqalələrimizdə NİPS və HİPS haqqında mövzularımız olacaq.

    1997 ci ildən bəri DHCP atacklara qarşı açıqdır.Amma bunların qarşısını almamız mümkündür. DHCP Atack metodlari əsasən iki cür qələmə verilir.Yalanaçı DHCP Server kimi özünü göstərmək və Mac adresnin dəyşərək DHCP hovuzundakı İPləri bitirərək, DHCP-ni istfadəsiz hala gətirmək.

    1.DCHP-də kimilik səviyyəsində Authentication metodu yoxdur.Spoof mümkündür.
    http://www.ietf.org/rfc/rfc3118.txt – DHCP- paketlərinin Authentication olunması haqqında rəsmi qaynaq.
    Misal: Özünün mac adresini sürətli dəyişərək DHCP – dən İP almaq üçün istək göndərir.Nəticədə DHCP hovuzu dolaraq DHCP Server istifadə olunmaz hala düşür.
    2.İnternal tipli dos atack mümkündür.
    3. Əgər Qlobal Şəbəkədən söhbət gedirsə İlk işimiz İPS cihazlarından istfadə etməkdir.Əgər söhbət daxili şəbəkəni yararsız hala salmaqdan gedirsə həmin şəxs bizm daxili şəbəkəmizdə oturmalıdr yəni eyni broadcast domanidə olmalıdır.Qlobal Şəbəkədən Dos Atack edən şəxs ancaq sənin qlobal xəttinə zərər yetirə bilər.

    Həllər
    1.DHCPOFFER ve DHCPACK ancaq DHCP server tərəfindən göndərilir. DHCP Spoofing (DHCP Snooping), ARP Spoofing (Dynamic ARP Inspection) atacklarına qarşı switchlər ,vlanlar səviyyəsində mövcud həllər var.
    – Port Security (maksimum mac adresi təyin etmək)
    – Yalançı DHCP Serverin şəbəkənizdə hərəkətini məhdudlaşdırmaq üçün. Switchlər üzərində DHCP Snooping – aktivləşdirmək.
    2. Windows Server 2000 dən bu tərəfə Active Directory mövcud olan qurumlarda DHCP xidmətinin çalışması üçün Active Directoryaya tanıdılması gərəklidir.Bunu səbəbi şəbəkəyə 2 ci DHCP Server daxil olanda onun şəbəkədə işləməsinə əngəl olacaqdır.İstər .bsd istər Windowslar üzərindəki loglarladan dhcp atackları təyin etmək mümkündür.
    3.Əgər şəbəkənizin Snif olunmasını istəmirsinizsə İPSec-dən istifadə edə bilərsiniz.
    4.Antiviruslar üzərindədə artıq bu növ atackların qarşısını almaq üçün bəzi kiçik yeniliklər var.

    Əgər qaranlıq qalan yerlər varsa.Əlavə qeydlər edin zəhmət olmasa.Mümkün olsa suallar üçün İTBilikbazasi.net -dən yararlanın.

    Uğurlar

    Hörmətlə

    Elgüc Yusifbəyli
    __________________
    MCT

  3. Dost
    2010/05/26 at 3:11 pm

    Təşəkkür edirəm Elgüc qardaş.Ətraflı şəkildə anlatmısınız.
    Həmçinin RFC3118-ə görə də təşəkkürlər.Bu mənə əsas prinsipi qavramağa daha da kömək etdi.
    Birdə mən belə başa düşdüm ki, DHCPOFFER və DHCPACK etibarlı sayıla bilər.Yalnız gərək klient tərəfdən
    göndərilən paketlərə DHCPDiscovery və DHCPRequest illegal paketlərə filtrasiya olunsun.Xüsusən də paketdə CHADDR(Client Hardware adres)
    zənnimcə yazısına (MAC) və UDP Src=0.0.0.0 sPort=68 <=Ilkin DISCOVER request source ip adresi spoof olmalıdır ki, Man in Middle tipli attack baş tutsun.
    Amma zənnimcə DOS tipli attackdə bu tipli filtrasiya kömək etməyəcək və sizin dediklərinizdə də bu öz təstiqini tapır.

    Proof of concept:
    http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

    DHCP offer
    When a DHCP server receives an IP lease request from a client,
    it reserves an IP address for the client and extends an IP lease offer by sending a DHCPOFFER message to the client.
    This message contains the client's MAC address, the IP address that the server is offering, the subnet mask, the lease duration,
    and the IP address of the DHCP server making the offer.
    The server determines the configuration based on the client's hardware address as specified in the CHADDR (Client Hardware Address) field.
    Here the server, 192.168.1.1, specifies the IP address in the YIADDR (Your IP Address) field.

    Sizə Dərin Minnətdarlığımı bildirirəm.Sadəcə DHCP arxitekturası çoxdan idi ki, marağımı cəlb edirdi və Şükürlər olsun ki, sizin saytınızda bu suallara cavabımı tapdım.
    Hörmətlə

  4. Elgüc Yusifbəyli
    2010/05/27 at 9:36 am

    Sizinlə razıyam.DHCPOFFER ve DHCPACK paketlərinə toxunmaqda məqsədim odur ki, İP istəyində müraciət edən kompüterə bu cavabalar gedir.Əgər spoof olunacaqsa onda həmin kompüter aldadılır və ip adresləri yalançı DHCP serverdən əldə olunur.Əgər üstə sadaladığım təhlükəsizlik tədbirlərini görsək 99.999 % qaranti vermək olar ki, sizin misal gətirdiyiniz məsələlər baş verməyəcək.Bunun üçündə şəbəkədə nə qədər inkşaf etmiş avadanlıqlar istifadə etshən o qədər də sabitlik və təhlükəsizlik əldə etmiş olacaqsan.Mən də sizə minnətdaram gözəl suallardan sonra mənim dediklərimlə qalmayib özünüz geniş şəkildə gedib birdaha araşdırmısınız bu məsələni.Əsl inkşaf budur.

Leave a Reply

Your email address will not be published.

   Saytımızın məqsədi Azərbaycanda İT sahəsindəki informasiya çatışmazlığının aradan qaldırılmasına dəstək olmaqdır.Sayt könüllü şəkildə xidmət göstərir.
   Saytda istifadə olunan praktiki materillar laboratoriya şəraitində və müəyyən təcrübə əsasında hazırlanır.
   Saytdakı materilları sisteminizdə tətbiq etmədən öncə sınaqdan keçirilməsi tövsiyə olunur.
   Saytda yazılan informasiyların müəllif icazəsi olmadan digər saytlarda yayımlanması qəti qadağandır.
   Saytın müəllif hüquqları Yusifbəyli.com və Texnologiya Azərbaycan Qrupuna aiddir.
İrad və təkliflərinizi bizə yazmağı unutmayın.