Bezpečnosť > Nezaradené
Ako chranit DHCP?
Skoro vsetci zakaznici ku ktorym chodim maju, koli vlastnej pohode, nahodenu sluzbu DHCP. Tato sluzba zabezpecuje dynamicke pridelovanie IP adries pre stroje, ktore o to poziadaju. Zvycajne maju zakaznici jeden DHCP server pre lokalnu siet. Podme sa vsak pozriet ako by sa tato sluzba dala spravit dostupnou aj v pripade vypadku aktualneho DHCP servera.
DHCP
DHCP je Dynamic Host Configuration Protocol. Co v preklade je protokol pre dynamicku konfiguraciu hostov/pocitacov. Sluzbou DHCP vieme "natlacit" rozne konfiguracie nasim klientom. Ale 95% ludi sluzbu DHCP pouziva len na pridelovanie IP adries a dalsich TCP nastaveni (ako su default GW, DNS, WINS,...).
Priklad
Firma ma IP rozsah 10.0.0.0 s maskou 255.255.255.0. Ich DNS a WINS servery maju IP adresu 10.0.0.10 a 10.0.0.11. Default gateway maju 10.0.0.1.
Mali by v LAN sieti 10.0.0.0/24 nakonfigurovany jeden DHCP server, ktory by rozdaval IP adresy z daneho rozsahu a ponukal hore uvedene nastavenia DNS a WINS.
Taktiez sa v DHCP nastaveniach definuje ako dlho ma DHCP server pozicat TCP/IP nastavenia svojim klientom. Nastavme to na 3 dni.
Pri nedostupnosti sluzby zalezi kedy vznikne. Ak nie je dostupna sluzba rano, ked vacsina pouzivatelov startuje svoje pocitace, tak je velky problem, pretoze ak pocitace nedostanu spravne, ak vobec nejake, TCP/IP nastavenia, nemozu komunikovat v sieti. Ak vsak tento vypadok nastane cez pracovny den, ked je mala pravdepodobnost restartovania pocitacov, tak sa nic vazne nestane*.
*stretol som sa u jedneho zakaznika, ze mal nastaveny cas vypozicky na 1 minutu a tam bol problem aj pocas dna :-) Ale kto by si to takto nastavil? :-)
Riesenia:
1) Dva DHCP servery s rozdelenym IP rozsahom
V nasom pripade by sme spravili dva DHCP servery na LAN sieti a jeden by rozdaval IP rozsah 10.0.0.1-10.0.0.127 a druhy 10.0.0.128-10.0.0.254 (samozrejme vynimky pre pevne stanovene IP adresy a rezervacie nerozpisujem). Toto je v celku lahke nasadit, ale su tu nevyhody:
- Pri vypadku jedneho servera by muselo byt zabezpecene, ze polovica IP rozsahu pokryje celu firmu, co je vacsinou problem.
- Tato konfiguracia zvysuje traffic na sieti, kedze pri DHCP requeste na sieti (je to b-cast) odpovedaju oba servery a ktoreho odpoved pride prva ku pouzivatelskemu pocitacu, tak tu si zoberie.
2) DHCP Cluster
Je mozne na Windows Failover Clustering rozbehat DHCP sluzbu ako klastrovanu, ale toto je drahe riesenie, kedze na to potrebujete minimalne 2x Enterprise Windows licenciu.
3) Dva DHCP servery Active/Stand-by
V tejto konfiguracii mate dva DHCP servery ako je to v pripade 1), ale s tym rozdielom, ze na oboch serveroch su nainstalovane DHCP sluzby. Na jednom je server nakonfigurovany a aktivny s celym IP rozsahom. Na druhom je sluzba DHCP prepnuta do Manual a vypnuta. Na aktivnom DHCP servery pravidelne bezi skript:
netsh dhcp server export \\Secondary_DHCP\C$\DHCPReplication\DHCPDB.dump all
Tento skript odkopiruje celu konfiguraciu DHCP z aktivneho servera na pasivny DHCP server (Secondary_DHCP). Je moznost spravit, pri pouziti aplikacii tretich stran, aj test na DHCP odozvy na sieti a tak to dotiahnut este vyssie :-) Podla mna je lepsie o probleme vediet a nasledne mat nan riesenie pripravene, ako o probleme vobec nevediet a spoliehat sa na automatiku.
Na neaktivnom DHCP servery mame pripraveny skript, ktory v pripade potreby:
- zapne DHCP sluzbu
- vymaze, ak existuje, DHCP nastavenia
- importne DHCP nastavenia
net start dhcpserver netsh dhcp server delete scope 10.0.0.0 DHCPFULLFORCE netsh dhcp server import C:\DHCPReplication\DHCPDB.dump all
Podla mna toto riesenie ma vyhody na ostatnymi:
- je to lacne riesenie
- je to jednoduche riesenie
- pri vypadku nie je riesena len polovica IP rozsahu
Dufam, ze toto niekomu pomoze a ak mate dalsie otazky, mozeme hodit rec v diskusiach.
Pekny den prajem,
|