DHCP (Dynamic Host Configuration Protocol)
Transcription
DHCP (Dynamic Host Configuration Protocol)
DHCP (Dynamic Host Configuration Protocol) [ IMAGE MANQUANTE ] Il offre un service permettant de distribuer automatiquement (dynamiquement) une configuration des paramètres IP aux stations qui en feraient la demande sur le réseau. Les principaux paramètres fournis sont : ADRESSE IP / MASQUE DE SOUS-RESEAU / PASSERELLE / DNS / BAIL (durée) FONCTIONNEMENT : [ IMAGE MANQUANTE ] 1ère étape : Quand un poste dépourvu de configuration IP démarre et se connecte au réseau, il envoie une trame appelée DHCP DISCOVER ; celle-ci a pour but de trouver sur le réseau un serveur DHCP. N’ayant aucune connaissance de l’existence éventuelle de ces serveurs DHCP, et encore moins de leurs adresses IP, cette trame est envoyée en BROADCAST (255.255.255.255). Cependant, ce poste, pour envoyer ce Broadcast, retiendra provisoirement comme adresse IP 0.0.0.0. 2ème étape : Le(s) serveur(s) DHCP qui réceptionne(ent) le DHCP DISCOVER va/vont répondre en émettant une trame appelée DHCP OFFER ; cette trame contient une proposition de configuration IP. En principe, le poste « client » accepte la première offre soumise. 3ème étape : Pour signifier que le poste « client » accepte l’offre, il diffuse une trame sur le réseau appelée DHCP REQUEST ; celle-ci est également un BROADCAST car elle a pour fonction d’informer tous les serveurs DHCP, qu’il accepte l’offre acceptée. 4ème étape : Le serveur DHCP choisi envoie alors une confirmation de bail appelée DHCP ACK ; à partir de là, l’adresse proposée au poste « client » est marquée « utilisée/occupée », et ne sera donc plus proposée à un autre client. ________ Dans un serveur DHCP, on a également la possibilité de : - Déclarer des exclusions d’adresse : va par exemple permettre, dans une plage représentant un réseau, d’exclure une sous-plage d’adresse correspondant aux adresses des serveurs, ou des routeurs, qui ne doivent évidemment pas être proposées aux clients. - Déclarer des réservations d’adresse : va permettre d’indiquer au serveur DHCP de distribuer toujours telles adresses IP à telles adresses MAC. Remarque : les ports d’écoute utilisés par le protocole DHCP sont le port 67 et 68. NOTION DE RELAI (DHCP RELAY) : Pour réaliser ce service, le serveur DHCP est configuré avec une plage d’adresse à distribuer. Dans cette plage, il mémorise les adresses déjà utilisées, ainsi que les adresses récemment utilisées et associées à telle ou telle adresse MAC. Quand il attribue une configuration, celle-ci n’est valable que pour une durée limitée. Mais dans le fonctionnement énoncé ci-dessus, un problème se pose : Si le serveur DHCP se trouve derrière un routeur, sachant que les broadcast ne sont pas transmis au-delà des routeurs, le DHCP DISCOVER d’un client ne sera alors jamais entendu. Pour palier à ce problème, il faudra alors déclarer des relais DHCP sur le réseau qui seront alors habilités à faire suivre les trames broadcast du protocole DHCP. Exemple de risque : DHCP Snoop : Le protocole DHCP a connu et connait encore son lot d’attaque, dont le fleuron est le DHCP SNOOPING. Il s’agit d’une attaque qui consiste à connecter au réseau un serveur DHCP PIRATE qui doit être en capacité de distribuer des adresses IP avant le DHCP officiel. L’un des objectifs de cette attaque est que le DHCP PIRATE fournisse au client une passerelle qui correspond à l’adresse IP du poste pirate. Munie d’analyseur de trame et de paquet, le pirate est alors en capacité de consulter, voir même modifier le trafic des clients avant de le rediriger vers la passerelle officielle. Pour faire face à cette attaque, CISCO a prévu une parade au niveau des commutateurs qui consiste tout simplement à designer des ports comme étant seuls habilités à émettre et recevoir des trames DHCP (exclusion).