Post on 04-Apr-2018
transcript
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
Module 6: Implementing Dynamic Host Configuration Protocol Course Outline (continued)
------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------
Actualizacion dinamica de DNS:
Cada host en el dominio tiene un registro tipo A en el servidor DNS del dominio
LON-CL1 = 192.168.12.100
Si la ip cambia (el preriodo de alquiler por de fecto en el servidor DNS es 8 dias), el registro DNS se actualiza automaticamente.
LON-CL1 = 192.168.9.102 -> Actualiza DNS
Podemos usar tambien el DHCP como un metodo de mejorar la seguridad en la red. DHCP puede combinarse con NAP (Network
Access Protection= si el host no cumple con los requisitos de seguridad (firewall, actualizaciones, antivirus, etc… el dhcp no le
asigna una direccion ip o le asigna una ip dentro de otro rango para mantenerlo aislado)
Proceso de asignacion de una IP por DHCP:
1- Enviar un paquete DHCP-Discover en difusion a (todos) ip 255.255.255.255 (FF:FF:FF:FF:FF:FF)
2- Todos los servidores DHCP que reciben el Discover envian al cliente un paquete DHCP-Offer
Que tambien va en difusion ya que el cliente tampoco tiene ip
3- El cliente recibe una o varias ofertas y selecciona una (la primera que recibe). Informa al servidor DHCP con un DHCP-
Request.
4- Si la oferta sigue estando disponible, el servidor DHCP envia al cliente un DHCP-ACK (Acknowledge) acuse de recibo
5- El cliente ya puede usar la ip
6- Si el servidor DHCP ya no tenias disponible la oferta, envia al cliente un DHCP-NKAC (NoAcknowledge) No acuse de
recibo
Al usar difusiones, el servidor DHCP y el cliente deben estar en el mismo segmento de red (mismo switch)
Si no es posible tener un DHCP en cada switch, podemos usar un servicio como DHCP Relay que transforma las difusiones en
unicast
La IP se entrega al cliente por un periiodo llamado Lease (alquiler), que por defecto son 8 dias para dispositivos conectado por
cable.
Un host pide la renovacion de la ip por primera vez cuando ha pasado el 50% del periodo de alquiler. Si no le responde lo
reintenta al 75%, si no, al 87,5 y si no le responde al 100%. Si pasado el 100% el DHCP no le renueva la ip, el cliente la libera y
pide otra.
Podemos forzar la liberacion y la peticion de otra ip
Ipconfig /release –> el DHCP la añade a la pila de ip disponibles para entregarla de nuevo
Ipconfig /renew -> solicita una nueva ip
Politicas DHCP ENTRA SEGURO
En LON-DC1
192.168.8.1-11.255
Ethernet0: 192.168.10.10 (si llega en difusion sabe que esta en su red y le da ip de su rango)
192.168.12.0
Ethernet0: si le llega de un unicast busca la ip de origen para entregar ips de ese rango (ip origen: 192.168.12.x desde el servidor
dhcp relay)
Vamos a montar el DHCP relay en el LON-RTR por que tiene una tarjeta de red en esa subred
Eliges la interfaz que este en la red que necesitas escuchar las peticiones dhcp
Ahora le decimos a donde mandar los paquetes de dhcp
Microsoft message analyzer: es el sucesor de Network monitor es un analizador de paquetes o sniffer en la misma categoria que
wireshark
Por defecto una tarjeta de red solo procesa los paquetes que van dirigidos a ella (su MAC) o en difusion.
Si la direcciona mac de destino es diferente a la de la NIC, es ignorado.
Un analizador de paquetes modifica el comportamiento de la nic para que funcione en “modo promiscuo”.
La tarjeta procesa todos los paquetes que le lleguen, independientemente de la MAC de destino.
Solo se utilizan para diagnostico de errores cuando otras herramientas no nos han dado la informacion necesaria.
Por ejemplo:
-comprobar si un servidor DHCP esta enviando paquetes
-comprobar si el proceso de autentificacion se completa
LON-SVR1----------------
|
-------------------------||---------LON-RTR
| vmnet2
LON-DC1-----------------
Ejemplo de captura de ping
Cuando el type es 8 significa que es un ping filtrar por tipo de paquete es muy util para eliminar ruido en la captura
Ejercicio: estamos teniendo problemas con el servidor DHCP y queremos analizar si la secuencia de paqietes que se
intercambian es correcta
DHCPdiscover -> DHCPoffer -> DHCPRequest -> ACK
Configurar la tarjeta de red de LON-SRV1 para que obtenga una IP dinamica desde LON-DC1 y capturar ese intercambio
Para que solo muestre paquetes del modulo DHCP
driver Wireshark: LibPCACP (WinPCAP) drivers libres
driver Microsoft message analyzer: NDIS
Conceptos de enrutamiento:
Todo hosts almacena una tabla de enrutamiento, donde tiene indicado a las redes a las que sabe llegar y como se llega a ellas.
Un host puede tener varias tarjetas de red, o en una tarjeta de red puede tener varias direcciones ip (Ipv4 o Ipv6). Por cada
direccion ip tendra una seccion en la tabla de enrutamiento.
Comandos para ver la tabla de enrutamiento por MSDOS
Netstat –r es lo mismo que route print
La metrica es para elegir si tenemos 2 rutas iguales la que tenga menor metrica es la elegida
La 0.0.0.0 es la puerta de enlace
Route print -4 muestra solo Ipv4
Route print -6 Muestra solo Ipv6
Comandos para ver la tabla de enrutamiento por Powershell
Get-NetRoute
Ejercicio:
Vamos a crear una ruta estatica en LON-RTR de alumno 1 para que llegue a LON-RTR de alumno 1
Lo que se hace es indicar con una ruta estatica el siguiente salto del paquete
En CMD de alumno 1 en LON-RTR:
Route add -p 192.168.8.0 mask 255.255.252.0 172.xxx.0.1
En CMD de alumno 2 en LON-RTR:
Route add -p 192.169.8.0 mask 255.255.252.0 172.xxx.0.2
Esto hace que las peticiones desde 192.168 para 192.169 se envian a 172.104.0.2
-p para que sea persistente si no se borrara al reiniciar
Para eliminar ruta en CMD:
Route delete 192.169.8.0 mask 255.255.252.0 172.104.0.2
Para crear la ruta en powershell:
Powershell de alumno 1 en LON-RTR
New-NetRoute -DestinationPrefix "192.168.8.0/22" -NextHop 172.xxx.0.1 –InterfaceIndex 12
Powershell de alumno 2 en LON-RTR
New-NetRoute -DestinationPrefix "192.169.8.0/22" -NextHop 172.xxx.0.2 –InterfaceIndex 12
Para obtener –InterfaceIndex Get-NetAdapter
Elimina todas las rutas
Remove-NetRoute
Elimina todas las rutas que apunten a la ip elegida
Remove-NetRoute -NextHop 172.104.0.2
Eliminar ruta especifica
Remove-NetRoute -DestinationPrefix "192.169.8.0/22" -NextHop 172.104.0.2 –InterfaceIndex 12
Set-NetRoute para cambiar la metrica no sirve para cambiar la ip de salto
Cuanto menor sea la metrica mayor preferencia para usar esa ruta
Set-NetRoute -DestinationPrefix "192.168.8.0/22" -RouteMetric 100 -InterfaceIndex 12
Administracion de la BBDD del DHCP
En los j50log se apuntan las cosas que se van a hacer
En el dhcp.mdb se apuntan las cosas que ya estan hechas
Cuando realizas una consolidacion se genera en el temp.edb
Jetpack: aplicación para compactar BBDD de un dchp
Backup de un DHCP
Se hace backup no solo para no perder los ambitos si no para no perder la lista de ips entregadas (leases)
Automaticamente cada 60 minutos crea una copia de seguridad
Reconciliacion: es para comprobar que el registro (donde se almacenan los cambios antes de ir a la bbdd) y la base de datos del
dchp tienen los mismo datos.
Crear backup no se puede copiar y pegar directamente
El 802.1X permite pedir autentificacion a nivel del switch o router wifi
es el propio switch o router el que pide la autentificacion para entrar en la red
para evitar que alguien meta un dhcp en la red
dhcp snooping y dhcp guard a nivel de switch
se pueden configurar los puertos del router y detecta si en un puerto de cliente envia un dhcp offer lo bloquea
automaticamente y solo deja que envien dhcp offers el dhcp que configures en el switch
Grupos de control de DHCP
Adatum.com 015 nombre del dominio añade el dominio a cualquier nombre de equipo automaticamente Ejemplo al
poner lon-dc1 automaticamente lo combierte a lon-dc1.adatum.com
192.168.10.10 006 servidor dns
Aprenderse 003 puerta de enlace
006 servidor dns
015 nombre del dominio