Konfiguracja DHCP i dzielenie łącza Daria Śpiwak Tomasz Łuczak
DHCP (ang. Dynamic Host Configuration Protocol) protokół dynamicznego konfigurowania węzłów Umożliwia uzyskanie od serwera m. in. : 1. IP hosta 2. IP bramy sieciowej 3. adresu serwera DNS 4. maski sieci Od 1993 r. jest standardem IP.
Korzyści z używania DHCP 1. Bezpieczna i wiarygodna konfiguracja – wyeliminowanie błędów człowieka 2. Ograniczona administracja sieci- zautomatyzowana i scentralizowana
Jak działa DHCP Administrator sieci tworzy jeden lub więcej serwerów DHCP, które utrzymują informacje o konfiguracji TCP/IP i udostępniają te informacje klientom DHCP w postaci oferty dzierżawy. Serwer DHCP przechowuje informacje o konfiguracji DHCP w bazie danych, która zawiera: Prawidłowe parametry konfiguracji TCP/IP, dla wszystkich klientów w sieci. Prawidłowe adresy IP, przechowywane w postaci puli udostępnianej dla klientów, jak też adresy zarezerwowane do konfiguracji ręcznej. Czas trwania oferowanej przez serwer dzierżawy – ilość czasu, przez który adres IP może być używany, zanim wymagane będzie odnowienie dzierżawy. Po zaakceptowaniu dzierżawy, klient DHCP otrzymuje: Adres IP, prawidłowy dla sieci, do której się podłącza. Dodatkowe parametry konfiguracji TCP/IP, nazywane opcjami DHCP.
Inicjowanie Stan ten występuje przy pierwszym uruchomieniu komputera klienta z aktywną usługą DHCP, w celu uzyskania dzierżawy adresu od serwera DHCP. W tym stanie klient nie posiada jeszcze adresu IP. Stan ten występuje również, gdy adres żądany przez klienta zostanie mu zakazany, lub gdy poprzednio posiadany adres zostanie zwolniony. W stanie inicjowania adres klienta jest równy 0.0.0.0. Aby otrzymać poprawny adres klient emituje komunikat DHCPDiscover z 68 portu UDP do 67 portu UDP, z adresem źródłowym 0.0.0.0 i adresem docelowym 255.255.255.255 (klient nie zna jeszcze adresu żadnego serwera DHCP). Komunikat DHCPDiscover zawiera adres sprzętowy klienta DHCP i nazwę komputera.
Wybór Następnie klient przechodzi do stanu wyboru, gdzie wybiera DHCPOffer. Każdy serwer DHCP, który odbierze komunikat DHCPDiscover i posiada adres IP do zaoferowania klientowi, odpowiada komunikatem DHCPOffer, wysyłanym z 68 portu UDP do 67 portu UDP. DHCPOffer wysyłany jest sprzętowo, przez emisję IP, ponieważ klient DHCP nie posiada jeszcze poprawnego adresu IP. Serwer DHCP rezerwuje dany adres, aby nie zaoferować go innemu klientowi. Komunikat DHCPOffer zawiera adres IP i odpowiednią maskę podsieci, identyfikator serwera DHCP (jego adres IP) oraz czas trwania dzierżawy. Klient czeka na komunikat DHCPOffer. Jeśli w czasie startu klient nie otrzyma komunikatu DHCPOffer, będzie próbował cztery razy (w odstępach 2, 4, 8 i 16 sekund, plus losowa ilość czasu z przedziału od 0 do 1000 milisekund). Jeśli klient nie otrzyma komunikatu DHCPOffer po czterech próbach, odczeka 5 minut i próbuje dalej, w pięciominutowych odstępach.
Żądanie Po otrzymaniu komunikatu DHCPOffer od serwera, klient przechodzi w stan żądania. Zna on już adres IP, który będzie dzierżawił, więc emituje do wszystkich serwerów komunikat DHCPRequest. Klient musi używać emisji, ponieważ jego adres nie jest mu jeszcze przydzielony. Rysunek 4.7 przedstawia stan żądania. Jeśli adres IP klienta był już wcześniej znany (tzn. komputer został uruchomiony ponownie i próbuje dzierżawić poprzedni adres), to emisję odbierają wszystkie serwery DHCP. Serwer, który może oddać w dzierżawę żądany adres, odpowiada potwierdzająco (DHCPAck) lub negatywnie (DHCPNack). Komunikat DHCPNack pojawia się, gdy adres jest niedostępny, lub klient został fizycznie przeniesiony do innej podsieci, która wymaga innego adresu. Po otrzymaniu komunikatu DHCPNack, klient przechodzi do stanu inicjowania i rozpoczyna proces dzierżawy od nowa. Jeśli klient właśnie otrzymał swój adres w komunikacie DHCPOffer, to odpowiadając, adresuje komunikat DHCPRequest do serwera, od którego pochodzi oferta. Serwer ten odpowiada na żądanie, a pozostałe serwery anulują ofertę, co gwarantuje, że oferowane adresy będą dostępne dla innych klientów.
Wiązanie Na komunikat DHCPRequest serwer odpowiada komunikatem DHCPAck. Komunikat zawiera potwierdzenie dzierżawy dla wynegocjowanego adresu IP i wszelkie opcje DHCP skonfigurowane przez administratora. Komunikat DHCPAck wysyłany jest poprzez emisję IP. Po odebraniu komunikatu DHCPAck, klient kończy inicjowanie TCP/IP. Jest teraz uznawany za podłączonego do sieci i może używać TCP/IP. Adres IP pozostaje przydzielony klientowi, dopóki klient sam go nie zwolni, lub nie upłynie czas dzierżawy i serwer jej nie anuluje.
- klient wysyła DHCPREQUEST ( 192.168.1.100 ) ODNAWIANIE DHCP Przydział IP=192.168.1.100 na czas 120 min. Zegary T1 = 60 min T2 =105 min T1 = 0 min T2 = 45 min : - klient wysyła DHCPREQUEST ( 192.168.1.100 ) Odbiór DHCPACK Brak DHCPACK Reset T1 i T2 Odbiór DHCPACK Brak DHCPACK Klient wysyła DHCPDISCOVER
NAT - tłumaczenie adresów sieciowych Działanie NAT (ang. Network Address Translation) polega na maskowaniu wszystkich adresów IP w sieci LAN. Dokładniej rzecz ujmując wszystkie jednostki wewnątrz sieci są reprezentowane na zewnątrz przez jeden adres IP, czyli najczęściej w imieniu całej sieci LAN występuje router (działa w imieniu, stanowiąc zewnętrzny węzeł sieci). Rozważmy hipotetyczny model sieci przedstawiony na rysunku pierwszym Punktem stanowiącym element łączący sieć LAN z Internetem jest router - 01. Jak widać na rysunku ma on uruchomioną funkcję maskowania adresów IP (ang. IP-masquerading). Sieć firmy ma przydzielony routowalny adres IP: 212.51.219.114, który jest utożsamiany z interfejsem drugim routera (np. ATM / Frame Relay). Wewnątrz sieci LAN wszystkie jednostki, łącznie z serwerami, maja przydzielone adresy klasy C z puli nierutowalnej. Co się dzieje, kiedy stacja - 02 chce skorzystać z Internetu? Z perspektywy zwykłego użytkownika wystarczy otworzyć zwykłą przeglądarkę internetową. Tak też się dzieje, jednakże z chwilą wpisania adresu (http:// lub IP) stacja druga kieruje "żądanie dostępu do Internetu" na adres bramy internetowej sieci LAN. W naszym przypadku bramę stanowi interfejs pierwszy routera - 01 (interfejs powinien także mieć własny adres IP np.: 10.0.0.1). Dla wszystkich stacji znajdujących się wewnątrz sieci LAN dostęp do Internetu oznacza nawiązanie połączenia z bramą internetową (routerem - 01=[1]). Co się dzieje dalej? Router z NAT przesyła dalej ramkę nadesłana ze stacji 192.0.0.2 maskując adres IP stacji nadającej, w taki sposób aby ramka wychodząca była reprezentowana przez adres 212.51.219.114. Ramka, która dotrze już do adresata ma wpisany adres nadawcy utożsamiany z adresem interfejsu drugiego routera - 01 i dlatego odpowiedź jest kierowana prosto na adres IP: 212.51.219.114. Następnie, router rozszyfrowuje wiadomość, do której stacji wewnętrznej ma wysłać ramkę. Uruchamianie funkcji NAT stanowi jeden z podstawowych elementów realizacji strategii bezpieczeństwa sieci LAN. Jest to bardzo przydatny element z racji, iż potencjalni włamywacze nie wiedzą ile jest (i jakich) stacji w sieci. Trudniej jest także ustalić konstrukcję infrastruktury informatycznej.
ICS Internet Connection Sharing
ICS Internet Connection Sharing Używa NAT Współpracuje m.in. z : DSL ISDN Dial-up Systemy MS Windows od wersji 98 posiadają dołączone oprogramowanie ICS Inne programy: WinGate WinProxy
Maskowanie IP- masquerade - NAT w którym router ma zmienny adres IP - Jeśli na podłączonym do Internetu Linux-ie jest włączone maskowanie, to komputery łączące się z nim (czy to w tej samej sieci czy też przez modem) mogą także połączyć się z Internetem, pomimo iż nie mają swojego oficjalnego numeru IP. - złamanie sytemu maskowania jest trudniejsze od złamania dobrego firewalla opartego na filtrowaniu pakietów
Routing - “trasowanie” Cel routingu – optymalnie dostarczyć pakiet do celu Pakiety zawierają adres nadawcy i odbiorcy Router przekazuje pakiet dalej zgodnie z tablicą routingu Przy przekazaniu obniża wartość pola TTL ( Time To Live ) o 1
Iptables- co to jest? - W linuxie konfiguracja firewall'a odbywa się za pomocą narzędzia iptables - Iptables jest filtrem rozpoznającym stan połączenia ( podejmuje decyzję uwzględniając dane dotyczące wcześniejszych pakietów) - Program iptables zostaje więc wywołany z poziomu skryptu lub linii poleceń, ustawia, kasuje lub listuje daną regułę postępowania z pakietami i kończy działanie.