Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 62 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
62
Dung lượng
2,38 MB
Nội dung
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP HCM KHOA CÔNG NGHỆ THÔNG TIN - - TÊN NHÓM: 404 NOT FOUND TÊN ĐỀ TÀI: Chủ đề Triển khai quản lý dịch vụ DHCP BÀI TẬP DỰ ÁN MƠN: MẠNG MÁY TÍNH TP HCM, NĂM 2022 TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP HCM KHOA CÔNG NGHỆ THÔNG TIN - - TÊN NHÓM: 404 NOT FOUND TÊN ĐỀ TÀI: Triển khai quản lý dịch vụ DHCP BÀI TẬP NHÓM CUỐI KỲ MƠN: MẠNG MÁY TÍNH GVHD: Lớp danh nghĩa: 12DHTH01 TKB thức: Thứ 7, tiết 4-6 NHĨM THỰC HIỆN: Nguyễn Ngọc Quân - 2001210779 Phạm Thị Yến Nhi - 2001210713 Hà Phong Phú - 2001190736 TP HCM, NĂM 2022 Họ tên Nguyễn Ngọc Quân Hà Phong Phú Phạm Thị Yến Nhi BẢNG ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN CƠNG VIỆC NHĨM MỤC LỤC 1.Giới thiệu dịch vụ DHCP .1 2.Cơ chế hoạt dộng DHCP Cơ chế tự động refresh lại thời gian đăng ký (lease time) .5 DHCP Replay Agent ? Cài đặt cấu hình DHCP window 12 Phân biệt khác level server, scope, class reserved client dịch vụ DHCP 42 Backup Database DHCP 45 Restore Database DHCP 47 10 Các kiểu cơng xảy DHCP 51 11 Bảo mật cho DHCP Server 54 Mở đầu Ngày nay, phát triển công nghệ thông tin diễn mạnh mẽ, máy tính cần thiết phải kết nối với để thực công việc nội liên kết quan, xí nghiệp, cộng đồng người lại với nhau, phục vụ đời sống người hiệu cao Mà giao thức TCP/IP giao thức truyền thống cài đặt giao thức mà Internet hầu hết mạng máy tính thương mại chạy Các máy tính mạng nhận nhờ vào địa IP mà trước người quản trị mạng phải gán cho máy tính Mỗi thiết bị mạng sở TCP/IP phải có địa IP để truy cáp mạng sử dụng tài nguyên DHCP tập trung việc quản lý địa IP máy tính trung tâm chạy chương trinh DHCP Mặc dù gán địa IP vĩnh viễn cho máy tính mạng, DHCP cho phép gán tự động Để khách nhận địa IP từ máy chủ DHCP, ta khai báo cấu hình để khách "nhận địa tự động từ máy chủ" Tùy chọn xuất vùng khai báo câu hình TCP/IP đa số hệ điều hành Một tùy chọn thiết lập, khách "thuê" địa IP từ máy chủ DHCP lúc Phải có máy chủ DHCP mạng Sau cài đặt DHCP, ta tạo phạm vi DHCP (scope), vùng chứa địa IP máy chủ, máy chủ cung cấp địa IP vùng DHCP thuận lợi lớn người điều hành mạng Nó làm yên tâm vấn đề phát sinh phải khai báo cấu hình thủ cơng DHCP tự động quản lý địa IP loại bỏ lỗi làm liên lạc Nó tự động gán lại địa chưa sử dụng DHCP cho th địa khồng thời gian, có nghĩa địa dùng cho hệ thống khác, ta bị hết địa DHCP tự động gán địa IP thích hợp với mạng chứa trạm Cũng vậy, DHCP tự động gán địa cho người dùng di động mạng họ kết nối DHCP (Dynamic Host Configuration Protocol) 1.Giới thiệu dịch vụ DHCP DHCP viết tắt từ cụm từ Dynamic Host Configuration Protocol (có nghĩa Giao thức cấu hình máy chủ) DHCP có nhiệm vụ giúp quản lý nhanh, tự động tập trung việc phân phối địa IP bên mạng Ngồi DHCP cịn giúp đưa thơng tin đến thiết bị hợp lý việc cấu hình subnet mask hay cổng mặc định Giao thức DHCP cung cấp địa IP cho phép truy cập vào internet Đặc biệt, mục đích quan trọng tránh trường hợp hai máy tính khác lại sử dụng địa IP 2.Cơ chế hoạt dộng DHCP Giao thức DHCP làm việc theo mơ hình client/server Theo đó, q trình tương tác DHCP client server diễn theo bước sau : a IP lease request b IP lease offer c IP lease selection d IP lease acknowledgement Có thể tóm tắt bước sau : IP Lease Request Đầu tiên, client broadcast message tên DHCP DISCOVER, client lúc chưa có địa IP dùng địa source(nguồn) 0.0.0.0 client khơng biết địa DHCP server nên gửi đến địa broadcast 255.255.255.255 Lúc gói tin DHCPDISCOVER broadcast lên tồn mạng Gói tin chứa địa MAC (Media Access Control - địa mà network adapter (card mạng) nhà sản xuất cấp cho mã số để phân biệt card mạng với nhau) đồng thời chứa computer name máy client để DHCP server biết client gởi yêu cầu đến IP Lease Offer Nếu có DHCP hợp lệ (nghĩa cấp địa IP cho client) nhận gói tin DHCPDISCOVER client trả lời lại gói tin DHCPOFFER, gói tin kèm theo thông tin sau: + MAC address client + Một IP address cấp cho (offer IP address) + Một subnet mask + Thời gian thuê (mặc định ngày) + Địa IP DHCP cấp IP cho client Lúc DHCP server giữ lại IP offer (cấp) cho client để khơng cấp cho DHCP client khác DHCP client chờ vài giây cho offer, khơng nhận offer rebroadcast (broadcast gói DHCPDISCOVER) khoảng thời gian 2-, 4-, 8- 16- giây, bao gồm khoảng thời gian ngẫu nhiên từ 1000 mili giây Nếu DHCP client không nhận offer sau lần yêu cầu, sử dụng địa IP khoảng 169.254.0.1 đến 169.254.255.254 với subnet mask 255.255.0.0 Nó sử dụng số khoảng IP việc giúp DHCP client mạng khơng có DHCP server thấy DHCP client tiếp tục cố gắng tìm kiếm DHCP server sau phút IP Lease Selection DHCP client nhận gói tin DHCPOFFER phản hồi broadcast lại gói DHCPREQUEST để chấp nhận offer DHCPREQUEST bao gồm thông tin DHCP server cấp địa cho Sau đó, tấc DHCP server khác rút lại offer (trường hợp mạng có nhiều DHCP server) giữ lại IP address cho yêu cầu xin IP address khác IP Lease Acknowledgement DHCP server nhận DHCPREQUEST gởi trả lại DHCP client DHCPACK biết chấp nhận cho DHCP client thuê IP address Gói tin bao gồm địa IP thơng tin cấu hình khác (DNS server, WINS server ) Khi DHCP client nhận DHCPACK có nghĩa kết thúc q trình "tìm kiếm xin sỏ" (Tấc việc trao đổi thông tin DHCP server DHCP client sử dụng UDP port 67 68 (User Datagram Protocol) Một vài switch không cho phép gói tin trao đổi theo kiểu broadcast qua, bạn cần phải config switch để broadcast qua port Cơ chế tự động refresh lại thời gian đăng ký (lease time) Bây ta coi DHCP client đăng ký IP address Theo mặc định DHCP server IP lease có ngày Nếu theo mặc định (8 ngày) DHCP client sau khoảng thời gian 50% (tức ngày) tự động xin lại IP address với DHCP mà xin ban đầu Nó DHCP client lúc gởi gởi DHCPREQUEST trực tiếp (unicast) đến DHCP server mà xin ban đầu + Scope level : option khai báo cấp độ scope áp đặt tới tất DHCP client riêng scope mà thôi, scope khác không chịu ảnh hưởng Đây option có độ ưu tiên cao option cấp độ server level 43 + Class level : Các option khai báo cấp độ class level áp đặt tới thành viên class Độ ưu tiên option cao option cấp độ scope level 44 + Reversed client level : Các option cấp độ áp đặt đến DHCP client mà Đây option có độ ưu tiên cao Nó ghi đè tất option khác có conflict (xung đột level) xảy Backup Database DHCP Vào Start Run gõ lệnh dhcpmgmt.msc Chuột phải vào DHCP Server > Chọn Backup Chỉ đường dẫn để lưu trữ Database DHCP Server 46 Nhấn OK để hoàn tất backup Restore Database DHCP Vào Start > Run gõ lệnh dhcpmgmt.msc Chuột phải vào DHCP Server > chọn Restore 47 Chỉ đường dẫn đến thư mục backup dhcp trước Chọn OK 48 Hệ thống yêu cầu stop sau restart lại dịch vụ DHCP > OK 49 Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile All Scopes để đồng hóa Database Registry Đến công việc khôi phục Database DHCP hồn thành 10 Các kiểu cơng xảy DHCP Như biết, hầu hết dịch vụ DNS DHCP mặc định không bảo mật Lợi dụng điều này, attacker tiến hành công máy chủ chạy dịch vụ DNS DHCP Đối với dịch vụ DHCP kiểu cơng mà attacker thực : Tấn cơng từ chối dịch vụ cách “vét cạn” tất giá trị mà DHCP cấp cho client Khi DHCP Server nhận DHCP request từ client, DHCP Server cung cấp cho client địa IP nằm dãy IP mà phép cấp Vì khơng có chế chứng thực q trình này, attacker dễ dàng cơng làm ngưng dịch vụ DHCP Server Attacker thực việc cách gửi lượng lớn DHCP request với giá trị MAC address thay đổi liên tục đến DHCP Server Khi DHCP Server nhận request với MAC address khác nhau, DHCP cấp giá trị IP ứng với request Vì số lượng địa IP có giới hạn nên cần lượng request tương đối attacker đăng ký hết số lượng IP DHCP Kết request hợp lệ client không DHCP Server cung cấp IP lúc dịch vụ DHCP khơng cịn phục vụ cho người đến sau Đây kiểu công từ chối dịch vụ DHCP dễ dàng mà attacker thực Điều đáng nói kẻ cơng cần thời gian bandwidth thực việc công Tuy nhiên, kiểu cơng khắc phục cách sử dụng switch có tính bảo mật Cisco Các switch giới hạn số lượng MAC address sử dụng port Mục đích để ngăn chặn việc khoản thời gian giới hạn, port có nhiều MAC address phép sử dụng Nếu vượt qua quy định này, port shutdown lặp tức Thời gian để port hoạt động lại tùy thuộc vào giá trị mặc định người quản trị mạng thiết lặp Bằng cách này, thiết bị ngưng kiểu công vét cạn dịch vụ DHCP Tấn công theo kiểu Man-in-the-middle việc sử dụng DHCP Server giả mạo Như biết, DHCP không yêu cầu chứng thực trình cấp phát IP cho client DHCP client khơng biết địa IP DHCP Server trình xin cấp IP Lợi dụng việc này, attacker xây dựng DHCP Server giả mạo (Rogue DHCP Server), mục đích cung cấp địa Default Gateway giả mạo (địa IP attacker máy tính đặt kiểm sốt attacker) cho DHCP client Việc cho phép attacker xem trộm nội dung gói tin Các bước tiến hành sau : Đầu tiên, attacker xây dựng DHCP giả mạo với đầy đủ thông số để cấp cho client Khi DHCP client broadcast gói tin DHCPDISCOVERY, hai DHCP hợp lệ DHCP giả mạo gửi gói tin DHCPOFFER đến client Client tiếp nhận gói tin đến trước, gói tin DHCP Server hợp lệ đến trước q trình cơng theo dạng thất bại Do để chắn client nhận gói tin DHCP Server giả mạo cấp, attacker thường tiến hành công từ chối dịch vụ theo kiểu “vét cạn” DHCP Server thật Trong gói tin response đến client, địa Default Gateway lại máy tính cho attacker kiểm sốt Sau đó, client gửi gói tin cho mạng bên ngồi (thường internet) Gói tin chuyển tiếp đến cho máy tính có địa Default Gateway giả mạo nội dung bên bị xem trộm Sau xem trộm nội dung, gói tin forward đến Default Gateway thật Nhưng khuyết điểm kiểu cơng là, attacker xem trộm gói tin theo chiều từ client gửi mà thơi, chiều ngược lại từ bên ngồi gửi đến client attacker hồn tồn khơng biết Để khắc phục kiểu công này, thiết bị switch Cisco cung cấp tính bảo mật dành cho DHCP Tính gọi DHCP snooping, cách cho kết nối đến DHCP port định mà Các port gọi trusted port, có port cho phép gói tin DHCP response hoạt động Port người quản trị mạng kết nối đến DHCP Server thật mạng Mục đích ngăn chặn khơng cho DHCP giả mạo hoạt động port lại Tấn công theo kiểu DNS redirect cách sử dụng DHCP Server giả mạo Đây kiểu công thơng dụng phương pháp man-in-the-middle Thay giả mạo địa Default Gateway, DHCP Server giả mạo cung cấp địa IP DNS Server giả Trên DNS Server chứa thông tin phân giải tên bị “nhiễm bẩn” (DNS Server nằm kiểm soát attacker) 11 Bảo mật cho DHCP Server Bảo mật mặt vật lý cho máy chủ DHCP (physically secure) Nên sử dụng hệ thống file NTFS để lưu trữ liệu hệ thống Triển khai ứng dụng giải pháp anti-virus mạnh cho hệ thống Thường xuyên cập nhật vá lỗi cho phần mềm Windows Các dịch vụ hay phần mềm khơng sử dụng nên xóa uninstall Thực việc quản lý DHCP với user có quyền hạn tối thiểu DHCP Server phải đặt phía sau firewall Đóng tất port khơng sử dụng đến - Để tăng thêm tính bảo mật cho DHCP Server, bạn sử dụng VPN tunnel để bảo mật traffic DHCP Sử dụng filter MAC Address - Giám sát hoạt động DHCP cách xem qua file log xem thông tin thống kê hệ thống DHCP Server 12 Sử dụng Event Viewer để giám sát hoạt động DHCP Bạn sử dụng công cụ Event Viewer nằm thư mục Administrative Tools để giám sát hoạt động DHCP Event Viewer lưu trữ kiện system, application security Tất kiện giám sát hoạt động DHCP ghi nhận security log Các thông tin ghi nhận hoạt động dịch vụ DHCP DHCP Server, ví dụ DHCP Server start stop vào lúc nào, dãy IP cấp cho client gần cạn kiệt vào lúc nào, database DHCP bị lỗi vào lúc Mỗi kiện log đánh mã số (ID number) riêng biệt với Sau vài ID kiện thường gặp system log DHCP : Event ID 1037 (Information): cho biết DHCP Server xóa sở liệu Event ID 1044 (Information): cho biết DHCP Server ủy quyền (authorized) để cung cấp địa IP cho client Event ID 1042 (Warning): cho biết dịch vụ DHCP chạy hệ thống phát có dịch vụ DHCP khác chạy mạng (tức có máy tính chạy dịch vụ DHCP hệ thống) Event ID 1056 (Warning): cho biết dịch vụ DHCP chạy máy chủ Domain Controller khơng cấu hình để cập nhật DNS động Event ID 1046 (Error): cho biết dịch vụ DHCP chạy Server chưa ủy quyền (authorized) để cung cấp IP động cho client 13 Các vấn đề cần lưu ý dịch vụ DHCP Có trường hợp Client tự cài dịch vụ DHCP hệ thống mạng(DHCP Server giả mạo) điều gây ảnh hưởng đến Client muốn cấp IP nằm xa vị trí DHCP Server thật Do tính hiệu xin cấp địa IP Broadcast nên có trường hợp Client nhận khơng thông số IP DHCP Server giả mạo cấp Bạn cần rà sốt kỹ hệ thống mạng - Các thiết bị phần cứng Router ADSL,Wireless có khả cấp địa IP, cần tắt chức cấp IP động thiết bị trước đưa vào sử dụng - Chỉ có thành viên nhóm DHCP Administrators cấu hình sử đung tính dịch vụ DHCP Chỉ cần cung cấp đủ quyền cho đối tượng liên quan đến quản lý trì hoạt động dịch vụ KÊT LUÂN Với cần thiết DHCP trên, đề tài DHCP server làm sáng tỏ ý nghĩa việc dùng DHCP server vấn đề dịch vụ DHCP server, chế hoạt động cách cài đặt lıru phục hồi hay bảo mật dịch vụ DHCP Chúng em xin chân thành cảm ơn trình hướng dẫn, giảng dạy, giúp đỡ nhiệt tình thầy Phạm Tuấn Khiêm giúp chúng em hoàn thành đề tài 5 Do kiến thức cịn hạn chế nên đề tài khơng tránh khỏi sai sót, đầy đủ dịch vụ DHCP sever Chúng em hi vọng qua đề tài chúng em hiểu rõ mạng máy tính nói chung dịch vụ DHCP nói riêng TAI LIÊU THAM KHAO [1] http://www.nhatnghe.com/ [2] http://www.thegioimang.org [3] Quản trị Windows Server 2003 ... người quản trị mạng phải gán cho máy tính Mỗi thiết bị mạng sở TCP/IP phải có địa IP để truy cáp mạng sử dụng tài nguyên DHCP tập trung việc quản lý địa IP máy tính trung tâm chạy chương trinh DHCP. .. IP từ máy chủ DHCP lúc Phải có máy chủ DHCP mạng Sau cài đặt DHCP, ta tạo phạm vi DHCP (scope), vùng chứa địa IP máy chủ, máy chủ cung cấp địa IP vùng DHCP thuận lợi lớn người điều hành mạng Nó... CÔNG NGHỆ THÔNG TIN - - TÊN NHÓM: 404 NOT FOUND TÊN ĐỀ TÀI: Triển khai quản lý dịch vụ DHCP BÀI TẬP NHÓM CUỐI KỲ MƠN: MẠNG MÁY TÍNH GVHD: Lớp danh nghĩa: 12DHTH01 TKB thức: Thứ 7, tiết