Zabezpečení DHCP

Protokol DHCP neumožňuje ve své nativní podobě nijak omezit nebo odfiltrovat klienty, kteří dostanou nebo nedostanou přidělenou IP adresu. To nepochybně otvírá doširoka dveře všem potenciálním záškodníkům, kterým vzniká prostor pro MitM nebo DoS útoky na samotné DHCP nebo dokonce DNS servery v organizaci

Pominu-li ochranu kryptováním DNS (z. B. DNSSEC), lze použít nějaký nástroj, který umožní nad DHCP postavit filtr. Takový filtr umožní tvorbu white- nebo black-listů MAC adres. Není to sice ideální ochrana (podvrhnout MAC není zase tak velký problém, nicméně to již představuje poměrně sofistikovanou činnost – nám jde v tuto chvíli hlavně v rychlém bloku neznámých zařízení v síti), ale pro účely prvotní blokace postačující. V principu filtr funguje tak, že nepošle odpověď (DHCPOFFER) na broadcast paket vyslaný klientem (DHCPDISCOVER). Více o principu fungování DHCP ve starším článku zde.

Naštěstí pro Windows 2003/2008 DHCP servery existuje nástroj, callout knihovna, která požadovanou funkci umí (http://www.sizledcore.com/2009/09/how-to-secure-a-dhcp-server-in-windows/). K celému řešení je přibalen .rtf manuál, který je snadno pochopitelný. Proto k tomu pouze obecný komentář/princip:

  • instalace .msi balíčku
  • tvorba cest k definičnímu a logovacím souborům (používám C:\DHCP a C:\DHCP\LOGS – vše budou plain-text soubory)
  • úprava cest k definičnímu a logovacím souborům v registrech
  • plnění white-listu (řeším exportem do .csv z DHCP management console a úpravou .csv jen na MAC adresy)
  • restart služby „DHCP server“
Je dobré si uvědomit rozsahy, s jakými máme možnost pracovat – odečíst rezervované rozsahy IP adres a rezervované solo IP adresy. Je dobré také myslet na to, že pokud již konkrétní zařízení nebudeme používat, bezpečné je ho odmazat z white-listu. Při každé změně v definičním souboru nebo registrech je třeba restartovat službu „DHCP server“.
Ať slouží 🙂