GIỚI THIỆU VỀ DHCP
Khái niệm DHCP
Giao thức cấu hình động máy chủ (DHCP) là một giải pháp tự động hóa việc cấu hình địa chỉ IP cho các máy tính trong mạng, giúp giảm thiểu sự can thiệp thủ công vào hệ thống DHCP cung cấp một cơ sở dữ liệu trung tâm để theo dõi và quản lý tất cả các thiết bị trong mạng, với mục tiêu chính là ngăn chặn tình trạng xung đột địa chỉ IP giữa các máy tính khác nhau.
Lịch sử phát triển
DHCP, được định nghĩa lần đầu trong RFC 951, đã thay thế giao thức RARP (Reverse Address Resolution Protocol) nhằm cải thiện khả năng quản lý địa chỉ IP Sự cần thiết phải thay thế RARP bằng BOOT xuất phát từ việc RARP hoạt động ở tầng Data Link, gây khó khăn trong việc triển khai trên nhiều máy chủ BOOTP cho phép một máy chủ BOOT phục vụ cho nhiều Subnet trong mạng cục bộ, giúp tối ưu hóa hiệu suất và giảm thiểu yêu cầu về phần cứng.
Ý nghĩa của DHCP
Dịch vụ DHCP mang lại nhiều lợi ích cho người quản lý mạng, giúp giảm bớt lo lắng về các vấn đề phát sinh từ việc cấu hình thủ công.
DHCP là dịch vụ quan trọng trong quản trị và duy trì mạng TCP/IP, mang lại nhiều lợi ích như tự động cấp phát địa chỉ IP, giảm thiểu lỗi cấu hình và tiết kiệm thời gian cho quản trị viên.
Tập trung quản trị thông tin về cấu hình IP
Cấu hình động các máy
Cấu hình IP cho các máy một cách liền mạch
Loại bỏ khả năng trùng IP giữa 2 máy
Giảm chi phí quản trị và tránh mất thời gian cấu hình thủ công, phù hợp với các máy tính thường xuyên phải di chuyển qua các mạng
Giúp nhà cung cấp có thể tiết kiệm được một lượng lớn địa chỉa IP thật.
Cơ chế hoạt động của DHCP
DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc
DHCP tự động gán lại các địa chỉ IP chưa được sử dụng và cho thuê địa chỉ trong một khoảng thời gian, giúp đảm bảo rằng các địa chỉ này vẫn có thể được sử dụng cho các hệ thống khác Điều này làm giảm khả năng hết địa chỉ IP Hệ thống DHCP cũng tự động gán địa chỉ IP phù hợp với mạng con chứa máy trạm và cho người dùng di động khi họ kết nối vào mạng con của mình.
Trình tự thuê địa chỉ IP DHCP là một giao thức Internet phát triển từ BOOTP, được thiết kế để cấu hình các trạm không đĩa DHCP tận dụng những ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình trong BOOTP, bao gồm khả năng gán địa chỉ IP Điều này cho phép các bộ định tuyến hiện đại không chỉ chuyển tiếp thông điệp BOOTP mà còn có thể chuyển tiếp thông điệp DHCP giữa các mạng con, giúp máy chủ DHCP có khả năng cấp phát địa chỉ IP cho nhiều mạng con khác nhau.
Quá trình đạt được địa chỉ IP được mô tả dưới đây:
Bước 1: Máy trạm khởi động với "địa chỉ IP rỗng" cho phép liên lạc với máy chủ
DHCP hoạt động trên giao thức TCP/IP, gửi một thông điệp chứa địa chỉ MAC và tên máy tính, có thể bao gồm cả địa chỉ IP đã thuê trước đó Máy trạm sẽ phát tán thông điệp này liên tục trên mạng cho đến khi nhận được phản hồi từ máy chủ.
Bước 2: Tất cả các máy chủ DHCP có khả năng nhận thông điệp và cung cấp địa chỉ IP cho máy trạm Nếu máy chủ được cấu hình đúng cho máy trạm, nó sẽ chuẩn bị thông điệp cần thiết.
Thông điệp "chào hàng" của máy chủ DHCP bao gồm địa chỉ MAC của khách hàng, địa chỉ IP chào hàng, mặt nạ mạng con, địa chỉ IP của máy chủ và thời gian cho thuê Địa chỉ chào hàng được đánh dấu là "reserve" (để dành) và được phát tán lên mạng bởi máy chủ DHCP.
Khi khách hàng nhận thông điệp chào hàng và đồng ý với một trong các địa chỉ IP, máy trạm sẽ phát tán thông điệp này để xác nhận việc chấp nhận địa chỉ IP và thông tin về máy chủ DHCP.
Cuối cùng, máy chủ DHCP xác nhận toàn bộ quy trình với máy trạm Ban đầu, máy trạm phát tán yêu cầu địa chỉ IP lên mạng, cho phép tất cả các máy chủ DHCP nhận thông điệp này Do đó, có thể có nhiều máy chủ DHCP cùng gửi thông điệp chào hàng Tuy nhiên, máy trạm chỉ chấp nhận một thông điệp chào hàng và sau đó phát tán thông điệp khẳng định lên mạng.
Thông điệp phát tán từ máy chủ DHCP cho phép tất cả các máy chủ DHCP khác nhận diện địa chỉ IP mà máy chủ vừa cho thuê Do đó, các máy chủ DHCP khác sẽ rút lại thông điệp chào hàng của mình và trả lại địa chỉ IP vào vùng địa chỉ, nhằm dành cho khách hàng khác.
Một số thuật ngữ thường dùng trong DHCP
DHCP Client - Máy trạm DHCP: là một thiết bị nối vào mạng và sử dụng giao thức
DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS
Máy chủ DHCP (Dynamic Host Configuration Protocol) là một thiết bị mạng có nhiệm vụ cung cấp thông tin cần thiết cho các máy trạm DHCP khi chúng gửi yêu cầu.
BOOTP Relay Agents - Thiết bị chuyển tiếp BOOTP: là một máy trạm hoặc một router có khả năng chuyển các thông điệp DHCP giữa DHCP Server và DHCP Client
Binding (Nối kết) là tập hợp thông tin cấu hình chứa ít nhất một địa chỉ IP, được sử dụng bởi DHCP Client và được quản lý bởi máy chủ DHCP.
Quá trình tương tác DHCP giữa Client và Server
Sự tương tác giữa DHCP Client và Server thông qua các gói tin:
Hình 1.1 Quá trình tương tác giữa Client và Server Đồ án tốt nghiệp Đại học
Theo đó quá trình tương tác DHCP Client và Server được diễn ra như sau:
Bước 1: Khi máy Client khởi động, máy sẽ gửi Broadcast gói tin
DHCPDISCOVER, yêu cầu một Server phục vụ mình Gói tin này cũng chứa các địa chỉ MAC của Client
Nếu Client không liên lạc được với DHCP Server sau 4 lần truy vấn không thành công, nó sẽ tự động tạo một địa chỉ IP riêng trong dải 192.168.0.0 đến 192.168.255.255 để sử dụng tạm thời Client sẽ phát tín hiệu Broadcast mỗi 5 phút để xin cấp IP từ DHCP Server Đầu tiên, Client gửi gói tin quảng bá DHCP Discover để yêu cầu thông tin cấu hình như IP Address, Subnet Mask, Default Gateway, và Preferred DNS Do chưa có địa chỉ IP, Client sử dụng địa chỉ nguồn 0.0.0.0 và gửi đến địa chỉ Broadcast 255.255.255.255 để gói tin DHCP Discover được quảng bá ra toàn mạng Gói tin này bao gồm địa chỉ MAC của Network Adapter và tên của máy Client để Server nhận diện yêu cầu.
Khi máy Client gửi yêu cầu DHCP Discover, các máy Server trên mạng sẽ nhận tín hiệu này Nếu có khả năng cấp phát địa chỉ IP, các Server sẽ phản hồi bằng cách gửi gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo thông tin về Subnet.
Mask và địa chỉ của Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho Client thuê trong suốt thời gian thương thuyết
Sau khi nhận gói tin DHCP Discover từ Client, nếu có một DHCP Server hợp lệ, nó sẽ phản hồi bằng gói tin DHCP Offer, trong đó chứa địa chỉ IP đề nghị cho thuê trong khoảng thời gian nhất định (mặc định là 8 ngày) Sau 50% thời gian (tức là 4 ngày), nếu Client không sử dụng, địa chỉ IP sẽ tự động bị thu hồi Gói tin này cũng bao gồm địa chỉ MAC của Client, Subnet Mask và địa chỉ IP của DHCP Server Trong thời gian này, Server sẽ không cấp phát địa chỉ IP đã đề nghị cho Client khác.
Bước 3 trong quy trình DHCP là máy Client chọn một trong các lời đề nghị và gửi gói tin DHCP Request để chấp nhận lời đề nghị đó Việc này giúp các Server rút lại những lời đề nghị không được chấp nhận, từ đó có thể cấp phát cho các Client khác.
Máy Client sau khi nhận các gói tin DHCP Offer từ nhiều DHCP Server sẽ chọn một gói tin phù hợp và gửi phản hồi bằng gói tin DHCP Request, bao gồm thông tin về DHCP Server cung cấp địa chỉ Việc này giúp các gói tin không được chấp nhận được rút lại và có thể cấp phát cho Client khác.
Hình 1.4 DHCP Request (minh họa)
Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin
DHCPACK là thông điệp xác nhận, thông báo rằng địa chỉ IP, Subnet Mask và thời hạn sử dụng đã được chấp nhận và sẽ chính thức có hiệu lực Bên cạnh đó, máy chủ cũng cung cấp thêm thông tin như địa chỉ Gateway mặc định và địa chỉ DNS Server.
Khi DHCP Server nhận gói tin DHCP Request, nó sẽ phản hồi bằng gói tin DHCP Ack để xác nhận việc cấp phát địa chỉ IP cho DHCP Client Gói tin này không chỉ chứa địa chỉ IP mà còn bao gồm các thông tin cấu hình khác như DNS Server và WINS Server Khi Client nhận được gói tin DHCP Ack, quá trình thuê và cấp phát địa chỉ IP chính thức kết thúc, và địa chỉ IP này sẽ được Client sử dụng.
Hình 1.5 DHCP Acknowledgement (minh họa)
DHCP Relay Agent
1.7.1 Tổng quan về DHCP Relay Agent
DHCP Relay Agent là một máy tính được cấu hình để nhận tín hiệu Broadcast từ DHCP Server ở mạng khác và chuyển tiếp đến các Client trong cùng hệ thống mạng Windows Server 2008 hỗ trợ tính năng này thông qua dịch vụ Routing & Remote Access, giúp chúng ta không cần cài đặt thêm phần mềm mà chỉ cần kích hoạt tính năng Việc sử dụng DHCP Relay Agent mang lại nhiều lợi ích, bao gồm giảm chi phí khi không cần thiết lập một DHCP Server cho mỗi mạng, đồng thời giúp việc bảo trì và quản lý trở nên dễ dàng hơn Cấu hình Router để cho phép tín hiệu Broadcast đi qua có thể gây ra rắc rối trong việc khắc phục sự cố mạng, và lưu lượng tín hiệu Broadcast cao có thể dẫn đến tắc nghẽn hệ thống mạng.
DHCP Relay Agent là một bộ trung chuyển quan trọng giúp chuyển tiếp các yêu cầu DHCP Discover và DHCP Request từ Client đến DHCP Server Nó cho phép Client nhận địa chỉ IP ngay cả khi Client và DHCP Server không nằm trong cùng một Subnet Với vai trò là một thực thể trung gian, DHCP Relay Agent giải quyết vấn đề mà các yêu cầu DHCP thường bị chặn tại Router, đảm bảo sự kết nối hiệu quả giữa DHCP Client và DHCP Server.
Hình 1.6 DHCP Relay Agent (minh họa)
Trong dịch vụ Routing & Remote Access của Windows Server 2008, tính năng DHCP Relay Agent cho phép chúng ta cấu hình mà không cần cài đặt thêm phần mềm, giúp tiết kiệm chi phí và đơn giản hóa hoạt động Việc thiết lập một DHCP Server cho mỗi mạng là không cần thiết và gây khó khăn, trong khi cấu hình Router để tín hiệu Broadcast đi qua có thể dẫn đến rắc rối khi mạng gặp sự cố Hơn nữa, lưu lượng gói tin Broadcast quá lớn có thể gây tắc nghẽn hệ thống mạng.
1.7.2 Cơ chế hoạt động của DHCP Relay Agent Đồ án tốt nghiệp Đại học
Hình 1.7 Client Broadcasts gói tin DHCP Discover trong nội bộ mạng (minh họa)
The DHCP Relay Agent, located on the same network as the client, receives the packet and forwards it to the DHCP Server using a Unicast signal This process is crucial for efficient communication within network configurations, ensuring that clients can obtain IP addresses and other network settings seamlessly.
Hình 1.9 DHCP Server dùng tín hiệu Unicast gửi trả DHCP Relay Agent một gói
Hình 1.10 DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client
(minh họa) Đồ án tốt nghiệp Đại học
Hình 1.11 Sau khi nhận được gói tin DHCP Offer, Client Broadcasts tiếp gói tin
Hình 1.12: DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến
DHCP Server cũng bằng tín hiệu Unicast (minh họa) Đồ án tốt nghiệp Đại học
Hình 1.13: DHCP Server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay
Agent một gói DHCP ACK (minh họa)
Quá trình tiếp nhận, xử lý và chuyển tiếp thông tin của DHCP Relay Agent đã hoàn tất với việc phát gói tin DHCP ACK đến Client, như minh họa trong Hình 1.14.
Kết luận
Trong chương 1, bài viết giới thiệu khái niệm DHCP, vai trò của nó trong hệ thống mạng hiện đại, cơ chế hoạt động của DHCP, cũng như quá trình tương tác giữa Client và Server Ngoài ra, nội dung cũng đề cập đến cách thức hoạt động của DHCP Relay Agent, cung cấp cái nhìn tổng quan về ứng dụng của DHCP trong mạng máy tính.
CÁCH CÀI ĐẶT DHCP
Cài đặt DHCP Server
Tất cả các phiên bản Windows Server từ 2000 trở lên đều hỗ trợ chức năng DHCP Server Trước khi cài đặt dịch vụ DHCP, cần đảm bảo đáp ứng một số yêu cầu nhất định.
+ Server cài đặt DHCP Service phải có IP cố định, đồng thời có Subnet Mask và Defaut Gateway tương ứng
+ Sử dụng User Account có quyền cấu hình trên DHCP Server
+ Một Range (dãy) các địa chỉ IP hợp lệ để cho Client thuê
Các bước cài đặt như sau:
Bước 1: Vào Start > Server Manager > Roles > Add Roles
Hình 2.1 Đồ án tốt nghiệp Đại học
Bước 2: Tích vào DHCP Server > Next
Bước 3: Điền các thông tin vào các ô Parent Domain, Preferred DNS , Alternate DNS > Next
Bước 4: Để mặc định bấm Next Đồ án tốt nghiệp Đại học
Bước 5: Điền các thông tin vào các ô Scope Name, Starting IP…,Ending IP…,
Hình 2.5 Đồ án tốt nghiệp Đại học
Bước 6: Chọn vào Enable DHCPv6 stateless mode for this Server > Next
Bước 7: Điền các thông tin vào các ô Parent Domain, Preferred DNS , Alternate DNS …> Next
Hình 2.7 Đồ án tốt nghiệp Đại học
Bước 8: Bấm Install đề cài đặt
Bước 9: Bấm Close để kết thúc quá trình cài đặt, như vậy DHCP đã được cài đặt thành công
Hình 2.9 Đồ án tốt nghiệp Đại học
Cấu hình các thông số cho DHCP Server
Để cấu hình DHCP Server, chúng ta có thể dùng công cụ MMC, vào Run gõ MMC công cụ sẽ xuất hiện
Bước 1: Vào Run gõ MMC
-Bước 2: Vào File chọn Add/Remove Snap-ins
Hình 2.11 Đồ án tốt nghiệp Đại học
Bước 3: Ở khung bên trái chọn DHCP > Add >
Bước 4: Click chuột phải vào DHCP chọn Add Server, điền đầy đủ thông tin vào ô This Server và bấm OK
Hình 2.13 Đồ án tốt nghiệp Đại học
Bước 5: Click chuột phải vào Ipv4 chọn New Scope
Bước 6: Điền đầy đủ thông tin vào Name và Description > Next
Hình 2.15 Đồ án tốt nghiệp Đại học
Bước 7: Điền khoảng địa chỉ vào Start IP address và End IP address, Length và
Hình 2.16 Bước 8: Điền khoảng địa chỉ loại trừ vào 2 ô Start IP address và End IP address >
Hình 2.17 Đồ án tốt nghiệp Đại học
Bước 10: Để mặc định bấm Next
Hình 2.19 Đồ án tốt nghiệp Đại học
Bước 11: Điền địa chỉ Defaut Gateway > Next
Bước 12: Cấu hình Domain Name and DNS Servers > Next
Hình 2.21 Đồ án tốt nghiệp Đại học
Bước 13: Cấu hình WINS Servers > Next
Bước 14: Để mặc định bấm OK Đồ án tốt nghiệp Đại học
Bước 15: Bấm Finish để kết thúc quá trình cấu hình DHCP Server
Cấp phép cho DHCP
Trong Windows Server, dịch vụ DHCP Server kết hợp với Active Directory để cấp phép cho các DHCP Server Việc một DHCP Server chưa được cấp phép hoạt động trên mạng có thể gây ra sự không ổn định và tin cậy cho hệ thống, do khả năng cấp phát sai địa chỉ hoặc các tùy chọn DHCP như DNS Server, WINS Server, Default Gateway và Domain Name.
Trong mô hình này, giả sử có hai máy chủ chạy dịch vụ DHCP Server (gọi là DHCP Server1 và DHCP Server2) trong một miền nội bộ Tuy nhiên, chỉ có DHCP Server1 được cấp phép hoạt động Khi dịch vụ DHCP trên Server1 được kích hoạt, nó sẽ kiểm tra quyền hạn của mình bằng cách gửi yêu cầu đến Domain Controller để xác nhận xem có được phép cấp phát địa chỉ IP động cho miền nội bộ hay không.
Khi DHCP Server1 gửi yêu cầu kiểm tra đến Domain Controller, hệ thống sẽ xác minh quyền hoạt động dịch vụ DHCP của Server1 để cung cấp địa chỉ IP động cho các DHCP Client trong nội bộ Domain Ngược lại, Server2 cũng yêu cầu kiểm tra từ Domain Controller sau khi khởi động dịch vụ DHCP, nhưng do không được cấp phép, Server2 không thể cung cấp địa chỉ IP động mặc dù dịch vụ đã được khởi động.
If DHCP Server2 is not authorized, the DHCP Services will log an error in the System Log, which can be accessed through Administrative Tools/Event Log Ultimately, the DHCP Client will request an IP address from DHCP Server1.
Chứng thực DHCP trong Active Directory
Trong môi trường Domain, máy tính Windows Server 2008 chạy nhiều dịch vụ DHCP cần được chứng thực qua Active Directory để đảm bảo hoạt động ổn định và an toàn cho mạng Việc chứng thực này ngăn chặn các Server không được cấp phép gây ảnh hưởng đến mạng Chỉ những Windows Server 2008 đã được chứng thực mới có quyền hoạt động trên mạng Nếu một nhân viên cài đặt dịch vụ DHCP với thông tin TCP/IP không chính xác, DHCP Server đó sẽ không hoạt động do không được quản trị mạng cho phép, từ đó không gây ảnh hưởng đến hệ thống mạng.
Các DHCP Server hoạt động trên các hệ điều hành như Windows NT, UNIX không yêu cầu chứng thực Đặc biệt, nếu máy Windows Server 2008 làm DHCP Server không nằm trong một Domain, cũng không cần chứng thực trong Active Directory Để thực hiện chứng thực một DHCP Server, người dùng có thể sử dụng công cụ quản trị DHCP bằng cách nhấp chuột phải vào Server cần chứng thực và chọn "Authorize".
Hình 2.25: Chứng thực trong DHCP Server
Cấu hình cho Client sử dụng IP động
To configure your network connection, open the Properties of the Network Connection, then navigate to the Properties of Internet Protocol (TCP/IP) In the dialog box that appears, select the General tab and choose "Obtain an IP address automatically." If you wish to assign a DNS Server address via DHCP Server, select "Obtain DNS Server Address automatically."
Hình 2.26 Đồ án tốt nghiệp Đại học
Trên Client, cấu hình Obtain IP xong, chúng ta thực hiện nhanh bằng cách sử dụng lệnh ipconfig/renew trong cmd để xin cấu hình IP mới
Khách hàng cần thời gian để tìm và yêu cầu địa chỉ IP từ máy chủ DHCP Cuối cùng, để xác nhận cấu hình IP sau khi được cấp phát, chúng ta sử dụng lệnh ipconfig/all.
Hình 2.28 Đồ án tốt nghiệp Đại học
Cấu hình DHCP Options, Scope Option và Reservation
Để cấu hình DHCP Reservations, bạn cần lấy địa chỉ MAC của một Client và tạo một Reservation mới Mục đích của Reservations là để cấp phát địa chỉ IP cố định cho một Client cụ thể Ví dụ, nếu nhân viên 1 sử dụng laptop với địa chỉ MAC 00c29d30bfc, Admin có thể cấu hình để nhân viên này luôn nhận địa chỉ IP 192.168.1.1 từ DHCP Server, với DNS Server chỉ định là 192.168.1.2 Để thực hiện điều này trên một máy đơn lẻ, Admin có thể sử dụng chức năng Reservation trên DHCP Server Console.
Hình 2.29 Cấu hình các tham số trong cửa sổ Reservation Đồ án tốt nghiệp Đại học
Để cấp phát địa chỉ IP cho Client, cần điền chính xác địa chỉ MAC Address mà không có khoảng trắng hay dấu gạch ngang Sau đó, Admin cần cấu hình PC Reservation để chỉ định trực tiếp đến DNS của ISP với địa chỉ 192.168.1.2, tức là thiết lập các tùy chọn ReservationOptions cho PC này.
ReservationOptions nếu không cấu hình, PC được cấp Reservationsẽ sử dụng Scope và DHCP Options
Hình 2.32 Đồ án tốt nghiệp Đại học
Chọn các tùy chọn cần cấu hình riêng cho Client và điền thông số tương ứng Theo yêu cầu, Admin chỉ cần cấu hình DNS chỉ định về địa chỉ 192.168.1.1.
Trong phần Options của Reservations, có thể thấy DNS Server đã được thay đổi cùng với biểu tượng, trong khi các thành phần khác như Router và DNS Domain Name vẫn giữ nguyên Những Options không được cấu hình trong Reservations sẽ được lấy từ Scope Options Để hiểu rõ hơn, chúng ta có thể quan sát Scope Options, vì chúng được sử dụng chung cho tất cả các Client trong Scope.
Hình 2.34 Đồ án tốt nghiệp Đại học
Kiểm tra lại quá trình đặt chỗ (Reservation) bằng cách phát hành (Release) và gia hạn (Renew) địa chỉ IP mới trên máy tính có địa chỉ MAC 00c29d30bfc Nếu cấu hình IP nhận được là 192.168.1.99 và DNS được chỉ định là ISP 192.168.1.2, thì điều này là chính xác.
Kết luận
Cơ chế hoạt động của DHCP
DHCP, hay Giao thức cấu hình động máy chủ, là một giao thức phát triển từ BOOTP (Bootstrap Protocol), cho phép cấu hình máy trạm khởi động mà không cần sử dụng đĩa cứng BOOTP thực hiện các nhiệm vụ quan trọng trong quá trình khởi động và cấu hình mạng cho các thiết bị.
+ Tìm kiếm địa chỉ IP cho chính nó
+ Tìm IP của BOOTP Server
+ Nạp một File khởi động từ Server vào bộ nhớ
DHCP tận dụng lợi thế của giao thức truyền tin và các kỹ thuật cấu hình được định nghĩa trong BOOTP, cho phép tìm kiếm và gán địa chỉ IP cho nhiều mạng con Giao thức này hoạt động theo mô hình Client/Server.
Theo đó, quá trình tương tác giữa DHCP Client và Server diễn ra thông qua các gói tin:
- DHCP Acknowledgement Đồ án tốt nghiệp Đại học
QUẢN LÝ DỊCH VỤ DHCP
Quản lý Database của DHCP Server
DHCP là dịch vụ quan trọng trong hệ thống mạng, vì sự cố với DHCP Server có thể làm tê liệt toàn bộ mạng do mất khả năng kết nối Vì vậy, việc sao lưu và phục hồi DHCP Server là rất cần thiết Thông tin về địa chỉ IP cấp phát và IP Reservation được lưu trữ trong các tệp cơ sở dữ liệu của DHCP Đường dẫn mặc định để lưu trữ cơ sở dữ liệu là: %SystemRoot%\System32.
\ DHCP directory Các File quan trọng được sử dụng trong DHCP như sau:
• Dhcp.mdb : File Database chính của DHCP Server
• J50.log : transaction log dùng khôi phục transaction trong trường hợp DHCP Server gặp sự cố
• Res1.log : File đăng kí dành riêng cho DHCP Server
• Res2.log : File đăng kí dành riêng cho DHCP Server
File Tmp.edb là tệp hoạt động tạm thời của DHCP Server, trong khi thư mục Backup tại đường dẫn %SystemRoot%\System32\DHCP chứa thông tin sao lưu cho cấu hình và cơ sở dữ liệu DHCP, với việc tự động sao lưu mỗi 60 phút Khi có thay đổi trong hệ thống mạng hoặc sau khi phục hồi dữ liệu DHCP, quá trình đồng bộ dữ liệu có thể không kịp thời, dẫn đến sai sót Để khắc phục, cần thực hiện đồng bộ hóa trên hệ thống, trong đó dịch vụ DHCP sẽ tổng hợp thông tin từ Registry và cơ sở dữ liệu để đảm bảo chính xác các thông số cấu hình hiện tại, điều này có thể được quan sát trong Console quản lý.
Sao lưu phục hồi dịch vụ DHCP
- Vào Start > Run gõ dhcpmgmt.msc
- Chuột phải vào DHCP Server > Chọn Backup
Hình 3.2 Đồ án tốt nghiệp Đại học
- Chỉ đường dẫn để lưu trữ Database của DHCP Server > OK
- Bấm OK để kết thúc quá trình Backup
- Vào Start > Run gõ dhcpmgmt.msc
Hình 3.4 Đồ án tốt nghiệp Đại học
- Chuột phải vào DHCP Server > chọn Restore
- Chỉ đường dẫn đến thư mục đã Backup DHCP trước đó > OK
Hình 3.6 Đồ án tốt nghiệp Đại học
- Hệ thống sẽ yêu cầu stop và sau đó sẽ restart lại dịch vụ DHCP > OK
- Chờ hệ thống DHCP Restore lại
- Quá trình Restore đã thành công
Hình 3.9 Đồ án tốt nghiệp Đại học
- Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile All Scopes để đồng bộ hóa giữa Database và Registry
- Đến đây công việc khôi phục Database trên DHCP đã hoàn thành
Hình 3.11 Đồ án tốt nghiệp Đại học
Giám sát quá trình hoạt động của DHCP
Cài đặt cấu hình dịch vụ DHCP là yếu tố quan trọng trong giải pháp mạng, đặc biệt trong môi trường làm việc động và thường xuyên thay đổi Việc theo dõi hoạt động của dịch vụ DHCP là cần thiết để ngăn chặn các sự cố có thể xảy ra trong hệ thống mạng Đối với Windows Server 2008, cơ sở dữ liệu của DHCP được lưu trữ theo đường dẫn mặc định.
Dùng các File Log theo dõi sự hoạt động hàng ngày Các File Log ghi nhận mỗi 24h:
Khi DHCP Server vừa khởi động hoặc qua ngày mới (sau 12h đêm) DHCP Server sẽ ghi nhận sự kiện mới lên File Log Có 2 trường hợp xảy ra :
Nếu File Log đang có cũ hơn 24h thì DHCP Server sẽ ghi đè lên dữ liệu này
Nếu File Log ghi nhận sự kiện chưa quá 24h thì DHCP Server sẽ ghi nối tiếp
Sau khi bắt đầu ghi nhận dữ liệu, cần kiểm tra xem các File Log đã được kích hoạt hay chưa, đồng thời theo dõi sự tăng đột biến về dung lượng của chúng Ngoài ra, cần xác minh chính xác ngày giờ hệ thống và đảm bảo dung lượng ổ cứng đủ để lưu trữ File Log.
Ở trạng thái mặc định thì các File Log chỉ lưu 50 sự kiện
Nếu dung lượng ổ cứng không đủ nhu cầu tối thiểu là 20Mb thì các File Log dừng lại không ghi tiếp
Trong Registry, quy định rằng các File Log không được ghi quá 1/7 dung lượng trống trên Server, tức là không quá 10Mb nếu dung lượng Server là 70Mb Khi đạt đến giới hạn này, DHCP Server sẽ tự động đóng các File Log hiện có và từ chối ghi nhận các sự kiện tiếp theo.
Mỗi sự kiện trong log đều được gán một mã số (ID number) riêng biệt Dưới đây là một số ID sự kiện phổ biến trong hệ thống log của DHCP.
Event ID 1037 (Information): cho biết DHCP Server đã xóa sạch cơ sở dữ liệu
Event ID 1044 (Information): cho biết DHCP Server được ủy quyền (authorized) để có thể cung cấp địa chỉ IP cho Client
Sự kiện ID 1042 (Cảnh báo) cho biết rằng dịch vụ DHCP đang hoạt động trên hệ thống đã phát hiện sự tồn tại của một dịch vụ DHCP khác trên mạng, điều này có nghĩa là có hai máy tính cùng chạy dịch vụ DHCP trong cùng một hệ thống.
Event ID 1056 (Warning): cho biết dịch vụ DHCP được chạy trên máy chủ Domain Controller nhưng nó không được cấu hình để cập nhật DNS động
Sự kiện ID 1046 (Lỗi) cho biết rằng dịch vụ DHCP trên máy chủ này chưa được ủy quyền để cung cấp địa chỉ IP động cho các Client.
Kết luận
Tất cả các phiên bản Windows Server từ 2000 trở lên đều có thể làm một DHCP
Server Trước khi tiến hành cài đặt dịch vụ DHCP, ta phải bảo đảm một vài yêu cầu sau đây:
Server cài đặt DHCP Service phải có IP cố định (static IP) đồng thời có subnet mask và Defaut Gateway tương ứng
Sử dụng User Account có quyền cấu hình trên DHCP Server
Một Range (dãy) các địa chỉ IP hợp lệ để cho Client thuê (Lease)
Trước khi một DHCP Server có thể cấp phát địa chỉ IP cho DHCP Client, chúng ta cần cấp phép (hay ủy quyền) cho nó Việc cấp phép này giúp ngăn chặn các DHCP Server không hợp lệ, hay còn gọi là DHCP giả mạo, cung cấp địa chỉ IP cho các Client trong nội bộ Domain Để thực hiện quy trình này, người dùng cần đăng nhập bằng tài khoản thuộc nhóm Enterprise Admins.
Sau khi cấu hình trên Windows Server 2008, chúng ta có thể nâng cấp lên Windows Server 2012 hoặc phiên bản cao hơn trong tương lai, nhằm hỗ trợ nhiều ứng dụng hơn.
BẢO MẬT TRONG DHCP
Bảo mật cơ bản trong DHCP
Bảo mật về mặt vật lý cho các máy chủ DHCP (physically secure)
Nên sử dụng hệ thống File NTFS để lưu trữ dữ liệu hệ thống
Triển khai và ứng dụng các giải pháp Anti-virus mạnh cho hệ thống
Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows
Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc gỡ bỏ đi
Thực hiện việc quản lý DHCP với User có quyền hạn tối thiểu nhất
DHCP Server phải được đặt phía sau Firewall
Đóng tất cả các Port không sử dụng đến
Để tăng thêm tính bảo mật cho DHCP Server, ta có thể sử dụng VPN Tunnel để bảo mật Traffic DHCP
Sử dụng filter MAC Address
Giám sát hoạt động của DHCP bằng cách xem qua các File Log và xem thông tin thống kê của hệ thống trên DHCP Server.
Một số kiểu tấn công và cách ngăn chặn
Hiện nay, nhiều dịch vụ DNS và DHCP không được bảo mật, tạo điều kiện cho hacker tấn công các máy chủ Do đó, việc hiểu biết và ngăn chặn các kiểu tấn công này là vô cùng quan trọng Dưới đây là một số kiểu tấn công mà hacker có thể thực hiện.
4.2.1 Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP Server có thể cấp cho Client
Hình 4.1 Kiểu tấn công “vét cạn” (minh họa) Đồ án tốt nghiệp Đại học
Khi DHCP Server nhận yêu cầu từ Client, nó sẽ cấp phát một địa chỉ IP trong dải IP cho phép Tuy nhiên, do thiếu cơ chế xác thực, dịch vụ này dễ bị tấn công, dẫn đến nguy cơ ngưng trệ trên DHCP Server.
Kẻ tấn công có thể thực hiện tấn công từ chối dịch vụ DHCP bằng cách gửi nhiều yêu cầu DHCP Request với các địa chỉ MAC thay đổi liên tục đến DHCP Server Khi nhận được các yêu cầu này, DHCP Server sẽ cấp phát địa chỉ IP cho mỗi yêu cầu, dẫn đến việc chiếm hết số lượng địa chỉ IP có sẵn Hệ quả là các yêu cầu hợp lệ từ Client không thể nhận được địa chỉ IP, khiến dịch vụ DHCP không còn khả năng phục vụ cho người dùng mới Tấn công này rất dễ thực hiện và chỉ cần một lượng thời gian và băng thông nhỏ.
Để khắc phục kiểu tấn công vét cạn dịch vụ DHCP, người dùng có thể sử dụng các Switch bảo mật của Cisco, giúp giới hạn số lượng MAC Address trên mỗi Port Nếu số lượng MAC Address vượt quá quy định trong thời gian nhất định, Port sẽ tự động Shutdown Thời gian phục hồi hoạt động của Port phụ thuộc vào giá trị mặc định hoặc cấu hình của quản trị mạng.
4.2.2 Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo
Hình 4.2 Kiểu tấn công Man-in-the-middle Đồ án tốt nghiệp Đại học
Dịch vụ DHCP không yêu cầu chứng thực chứng thực trong quá trình cấp phát IP cho Client và
1 Đầu tiên, kẻ tấn công xây dựng một DHCP giả mạo với đầy đủ các thông số để cấp cho Client
2 Khi một DHCP Client broadcast một gói tin DHCP Discovery, cả hai DHCP hợp lệ và DHCP giả mạo cùng gửi gói tin DHCP Offer đến Client
3 Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại Do đó để chắc chắn rằng Client sẽ nhận được gói tin do DHCP Server giả mạo cấp, kẻ tấn công thường tiến hành tấn công từ chối dịch vụ theo kiểu “vét cạn” đối với DHCP Server thật
4 Trong gói tin Response đến Client, địa chỉ Default Gateway lại chỉ về máy tính cho kẻ tấn công kiểm soát
5 Sau đó, khi nào Client gửi gói tin cho mạng bên ngoài (thường là Internet) Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo và nội dung bên trong bị xem trộm
Sau khi xem trộm nội dung, gói tin sẽ được chuyển tiếp đến Default Gateway thật Tuy nhiên, nhược điểm của phương thức tấn công này là kẻ tấn công chỉ có khả năng xem trộm gói tin theo chiều từ Client gửi đi, trong khi chiều ngược lại từ bên ngoài gửi đến Client hoàn toàn không được phát hiện.
4.3.3 Tấn công theo kiểu DNS Redirect bằng cách sử dụng DHCP Server giả mạo Đồ án tốt nghiệp Đại học
Cách tấn công man-in-the-middle rất phổ biến, trong đó kẻ tấn công giả mạo DHCP Server để cung cấp địa chỉ IP của một DNS Server giả DNS Server này chứa thông tin phân giải tên đã bị nhiễm độc và được kiểm soát bởi kẻ tấn công Khi người dùng cố gắng truy cập vào địa chỉ của First Place - Your First Place on the Internet, DNS Server giả mạo sẽ chuyển hướng họ đến một website giả với địa chỉ 99.99.99.99 Website giả này được thiết kế giống hệt trang thật, cho phép kẻ tấn công thu thập thông tin nhạy cảm như User ID và Password Sau khi nhận được thông tin, website giả sẽ thông báo đăng nhập không thành công và chuyển hướng người dùng trở lại trang web thật của First Place.
Kết luận
Trong chương 4, chúng ta đã khám phá các phương pháp bảo mật cơ bản trong DHCP, các hình thức tấn công và biện pháp ngăn chặn hacker xâm nhập vào dịch vụ Do đó, việc đảm bảo an toàn cho dịch vụ DHCP Server là vô cùng quan trọng.
