Dynamic Host Configuration Protocol

A Wikipédiából, a szabad enciklopédiából

A dinamikus állomáskonfiguráló protokoll (angolul Dynamic Host Configuration Protocol, rövidítve DHCP) egy számítógépes hálózati kommunikációs protokoll.

Az IETF RFC 1541, majd később a 2131 határozza meg.

Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. Ilyen szokott lenni például az IP-cím, hálózati maszk, alapértelmezett átjáró stb.

A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP kérésekből, és a szerver által adott DHCP válaszokból áll.

A DHCP-vel dinamikusan oszthatóak ki IP-címek, tehát a hálózatról lecsatlakozó számítógépek IP-címeit megkapják a hálózatra felcsatlakozó számítógépek, ezért hatékonyabban használhatóak ki a szűkebb címtartományok.

3 féle IP-kiosztás lehetséges DHCP-vel:

  • kézi (MAC cím alapján)
  • automatikus (DHCP-vel kiadható IP-tartomány megadásával)
  • dinamikus (IP-tartomány megadásával, de az IP címek „újrahasznosításával”)

Biztonság[szerkesztés | forrásszöveg szerkesztése]

Amióta a DHCP szerverek IP-címet és csatlakozást biztosítanak bárkinek akinek fizikai kapcsolata van a hálózattal, a DHCP megkönnyítette a betöréseket. Amíg a tapasztaltabb támadóknak nem okoz gondot használható IP-cím találása és a többi beállítást kézzel elvégezni, addig az amatőrök a szolgáltatás erőforrásainak lefoglalásával okoznak gondot.

Védelem nélküli, vezeték nélküli hálózat (WLAN) esetén a DHCP bárkinek hozzáférést biztosít a sugárzás hatókörén belül a hálózathoz, beleértve az internet használatot és azokhoz az adatokhoz való hozzáférést is amit mások nem védenek. Vezetékes hálózat (LAN) esetén a támadónak fizikai kapcsolatra van szüksége, ahová a betörést nehezebb észrevétlenül kivitelezni.

DHCP és a tűzfal[szerkesztés | forrásszöveg szerkesztése]

A tűzfalak általában határozottan korlátozzák a DHCP adatforgalmát. A DHCP client-server specifikációja több különböző esetet ír le, amikor a csomagoknak a 0x00000000 forrás-címmel vagy a 0xffffffff cél-címmel kell rendelkezniük. Az Anti-spoofing irányelvet használó tűzfalak gyakran megállítják ezeket a csomagokat. A többközpontú DHCP serverek különleges karbantartást és még bonyolultabb kiépítést igényelnek.

A DHCP engedélyezéséhez a rendszergazdáknak különböző típusú csomagok áthaladását kell engedélyezni a szerver oldali tűzfalon. Minden DHCP csomag UDP datagramként halad tovább; az összes kliens oldali csomag forrása a 68-as és célja a 67-es port; a szerver oldalon ez pont fordítva. Például egy szerver oldali tűzfalnak engedélyezni kell a következő típusú csomagokat:

   * Bejövő csomag a 0.0.0.0 címről vagy dhcp-pool-tól a dhcp-ip felé
   * Bejövő csomag bármely címről a 255.255.255.255 cím felé
   * Kimenő csomag a dhcp-ip-től dhcp-pool vagy a 255.255.255.255 cím felé

Ahol a dchp-ip jelképez bármely címet, amit a DCHP szerver kioszthat, a dhcp-pool pedig, amiket hozzárendelt kliensekhez.