DHCP (Dynamic Host Configuration Protocol)

DHCP (Dynamic Host Configuration
Protocol)
[ IMAGE MANQUANTE ]
Il offre un service permettant de distribuer automatiquement (dynamiquement) une configuration des paramètres
IP aux stations qui en feraient la demande sur le réseau.
Les principaux paramètres fournis sont :
ADRESSE IP / MASQUE DE SOUS-RESEAU / PASSERELLE / DNS / BAIL (durée)
FONCTIONNEMENT :
[ IMAGE MANQUANTE ]
1ère étape :
Quand un poste dépourvu de configuration IP démarre et se connecte au réseau, il envoie une trame appelée
DHCP DISCOVER ; celle-ci a pour but de trouver sur le réseau un serveur DHCP.
N’ayant aucune connaissance de l’existence éventuelle de ces serveurs DHCP, et encore moins de leurs
adresses IP,
cette trame est envoyée en BROADCAST (255.255.255.255).
Cependant, ce poste, pour envoyer ce Broadcast, retiendra provisoirement comme adresse IP 0.0.0.0.
2ème étape :
Le(s) serveur(s) DHCP qui réceptionne(ent) le DHCP DISCOVER va/vont répondre en émettant une trame
appelée
DHCP OFFER ; cette trame contient une proposition de configuration IP.
En principe, le poste « client » accepte la première offre soumise.
3ème étape :
Pour signifier que le poste « client » accepte l’offre, il diffuse une trame sur le réseau appelée DHCP REQUEST ;
celle-ci est également un BROADCAST car elle a pour fonction d’informer tous les serveurs DHCP, qu’il accepte
l’offre acceptée.
4ème étape :
Le serveur DHCP choisi envoie alors une confirmation de bail appelée DHCP ACK ; à partir de là, l’adresse
proposée au poste « client » est marquée « utilisée/occupée », et ne sera donc plus proposée à un autre client.
________
Dans un serveur DHCP, on a également la possibilité de :
- Déclarer des exclusions d’adresse : va par exemple permettre, dans une plage représentant un réseau,
d’exclure une sous-plage d’adresse correspondant aux adresses des serveurs, ou des routeurs, qui ne
doivent évidemment pas être proposées aux clients.
- Déclarer des réservations d’adresse : va permettre d’indiquer au serveur DHCP de distribuer toujours
telles adresses IP à telles adresses MAC.
Remarque : les ports d’écoute utilisés par le protocole DHCP sont le port 67 et 68.
NOTION DE RELAI (DHCP RELAY) :
Pour réaliser ce service, le serveur DHCP est configuré avec une plage d’adresse à distribuer.
Dans cette plage, il mémorise les adresses déjà utilisées, ainsi que les adresses récemment utilisées et
associées à telle ou telle adresse MAC.
Quand il attribue une configuration, celle-ci n’est valable que pour une durée limitée.
Mais dans le fonctionnement énoncé ci-dessus, un problème se pose :
Si le serveur DHCP se trouve derrière un routeur, sachant que les broadcast ne sont pas transmis au-delà des
routeurs,
le DHCP DISCOVER d’un client ne sera alors jamais entendu.
Pour palier à ce problème, il faudra alors déclarer des relais DHCP sur le réseau qui seront alors habilités à faire
suivre les trames broadcast du protocole DHCP.
Exemple de risque : DHCP Snoop :
Le protocole DHCP a connu et connait encore son lot d’attaque, dont le fleuron est le DHCP SNOOPING.
Il s’agit d’une attaque qui consiste à connecter au réseau un serveur DHCP PIRATE qui doit être en capacité de
distribuer des adresses IP avant le DHCP officiel.
L’un des objectifs de cette attaque est que le DHCP PIRATE fournisse au client une passerelle qui correspond à
l’adresse IP du poste pirate. Munie d’analyseur de trame et de paquet, le pirate est alors en capacité de
consulter, voir même modifier le trafic des clients avant de le rediriger vers la passerelle officielle.
Pour faire face à cette attaque, CISCO a prévu une parade au niveau des commutateurs qui consiste tout
simplement à designer des ports comme étant seuls habilités à émettre et recevoir des trames DHCP (exclusion).