------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

Module 6: Implementing Dynamic Host Configuration Protocol Course Outline (continued)

------------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------------

Actualizacion dinamica de DNS:

Cada host en el dominio tiene un registro tipo A en el servidor DNS del dominio

LON-CL1 = 192.168.12.100

Si la ip cambia (el preriodo de alquiler por de fecto en el servidor DNS es 8 dias), el registro DNS se actualiza automaticamente.

LON-CL1 = 192.168.9.102 -> Actualiza DNS

Podemos usar tambien el DHCP como un metodo de mejorar la seguridad en la red. DHCP puede combinarse con NAP (Network

Access Protection= si el host no cumple con los requisitos de seguridad (firewall, actualizaciones, antivirus, etc… el dhcp no le

asigna una direccion ip o le asigna una ip dentro de otro rango para mantenerlo aislado)

Proceso de asignacion de una IP por DHCP:

1- Enviar un paquete DHCP-Discover en difusion a (todos) ip 255.255.255.255 (FF:FF:FF:FF:FF:FF)

2- Todos los servidores DHCP que reciben el Discover envian al cliente un paquete DHCP-Offer

Que tambien va en difusion ya que el cliente tampoco tiene ip

3- El cliente recibe una o varias ofertas y selecciona una (la primera que recibe). Informa al servidor DHCP con un DHCP-

Request.

4- Si la oferta sigue estando disponible, el servidor DHCP envia al cliente un DHCP-ACK (Acknowledge) acuse de recibo

5- El cliente ya puede usar la ip

6- Si el servidor DHCP ya no tenias disponible la oferta, envia al cliente un DHCP-NKAC (NoAcknowledge) No acuse de

recibo

Al usar difusiones, el servidor DHCP y el cliente deben estar en el mismo segmento de red (mismo switch)

Si no es posible tener un DHCP en cada switch, podemos usar un servicio como DHCP Relay que transforma las difusiones en

unicast

La IP se entrega al cliente por un periiodo llamado Lease (alquiler), que por defecto son 8 dias para dispositivos conectado por

cable.

Un host pide la renovacion de la ip por primera vez cuando ha pasado el 50% del periodo de alquiler. Si no le responde lo

reintenta al 75%, si no, al 87,5 y si no le responde al 100%. Si pasado el 100% el DHCP no le renueva la ip, el cliente la libera y

pide otra.

Podemos forzar la liberacion y la peticion de otra ip

Ipconfig /release –> el DHCP la añade a la pila de ip disponibles para entregarla de nuevo

Ipconfig /renew -> solicita una nueva ip

Politicas DHCP ENTRA SEGURO

En LON-DC1

Aquí aparecen los DHCP autorizados

LON-DC1 (DHCP)

192.168.8.1-11.255

Ethernet0: 192.168.10.10 (si llega en difusion sabe que esta en su red y le da ip de su rango)

192.168.12.0

Ethernet0: si le llega de un unicast busca la ip de origen para entregar ips de ese rango (ip origen: 192.168.12.x desde el servidor

dhcp relay)

Vamos a montar el DHCP relay en el LON-RTR por que tiene una tarjeta de red en esa subred

Eliges la interfaz que este en la red que necesitas escuchar las peticiones dhcp

Ahora le decimos a donde mandar los paquetes de dhcp

Microsoft message analyzer: es el sucesor de Network monitor es un analizador de paquetes o sniffer en la misma categoria que

wireshark

Por defecto una tarjeta de red solo procesa los paquetes que van dirigidos a ella (su MAC) o en difusion.

Si la direcciona mac de destino es diferente a la de la NIC, es ignorado.

Un analizador de paquetes modifica el comportamiento de la nic para que funcione en “modo promiscuo”.

La tarjeta procesa todos los paquetes que le lleguen, independientemente de la MAC de destino.

Solo se utilizan para diagnostico de errores cuando otras herramientas no nos han dado la informacion necesaria.

Por ejemplo:

-comprobar si un servidor DHCP esta enviando paquetes

-comprobar si el proceso de autentificacion se completa

LON-SVR1----------------

|

-------------------------||---------LON-RTR

| vmnet2

LON-DC1-----------------

Ejemplo de captura de ping

Cuando el type es 8 significa que es un ping filtrar por tipo de paquete es muy util para eliminar ruido en la captura

Ejercicio: estamos teniendo problemas con el servidor DHCP y queremos analizar si la secuencia de paqietes que se

intercambian es correcta

DHCPdiscover -> DHCPoffer -> DHCPRequest -> ACK

Configurar la tarjeta de red de LON-SRV1 para que obtenga una IP dinamica desde LON-DC1 y capturar ese intercambio

Para que solo muestre paquetes del modulo DHCP

driver Wireshark: LibPCACP (WinPCAP) drivers libres

driver Microsoft message analyzer: NDIS

Conceptos de enrutamiento:

Todo hosts almacena una tabla de enrutamiento, donde tiene indicado a las redes a las que sabe llegar y como se llega a ellas.

Un host puede tener varias tarjetas de red, o en una tarjeta de red puede tener varias direcciones ip (Ipv4 o Ipv6). Por cada

direccion ip tendra una seccion en la tabla de enrutamiento.

Comandos para ver la tabla de enrutamiento por MSDOS

Netstat –r es lo mismo que route print

La metrica es para elegir si tenemos 2 rutas iguales la que tenga menor metrica es la elegida

La 0.0.0.0 es la puerta de enlace

Route print -4 muestra solo Ipv4

Route print -6 Muestra solo Ipv6

Comandos para ver la tabla de enrutamiento por Powershell

Get-NetRoute

Ejercicio:

Vamos a crear una ruta estatica en LON-RTR de alumno 1 para que llegue a LON-RTR de alumno 1

Lo que se hace es indicar con una ruta estatica el siguiente salto del paquete

En CMD de alumno 1 en LON-RTR:

Route add -p 192.168.8.0 mask 255.255.252.0 172.xxx.0.1

En CMD de alumno 2 en LON-RTR:

Route add -p 192.169.8.0 mask 255.255.252.0 172.xxx.0.2

Esto hace que las peticiones desde 192.168 para 192.169 se envian a 172.104.0.2

-p para que sea persistente si no se borrara al reiniciar

Para eliminar ruta en CMD:

Route delete 192.169.8.0 mask 255.255.252.0 172.104.0.2

Para crear la ruta en powershell:

Powershell de alumno 1 en LON-RTR

New-NetRoute -DestinationPrefix "192.168.8.0/22" -NextHop 172.xxx.0.1 –InterfaceIndex 12

Powershell de alumno 2 en LON-RTR

New-NetRoute -DestinationPrefix "192.169.8.0/22" -NextHop 172.xxx.0.2 –InterfaceIndex 12

Para obtener –InterfaceIndex Get-NetAdapter

Elimina todas las rutas

Remove-NetRoute

Elimina todas las rutas que apunten a la ip elegida

Remove-NetRoute -NextHop 172.104.0.2

Eliminar ruta especifica

Remove-NetRoute -DestinationPrefix "192.169.8.0/22" -NextHop 172.104.0.2 –InterfaceIndex 12

Set-NetRoute para cambiar la metrica no sirve para cambiar la ip de salto

Cuanto menor sea la metrica mayor preferencia para usar esa ruta

Set-NetRoute -DestinationPrefix "192.168.8.0/22" -RouteMetric 100 -InterfaceIndex 12

Administracion de la BBDD del DHCP

En los j50log se apuntan las cosas que se van a hacer

En el dhcp.mdb se apuntan las cosas que ya estan hechas

Cuando realizas una consolidacion se genera en el temp.edb

Jetpack: aplicación para compactar BBDD de un dchp

Backup de un DHCP

Se hace backup no solo para no perder los ambitos si no para no perder la lista de ips entregadas (leases)

Automaticamente cada 60 minutos crea una copia de seguridad

Reconciliacion: es para comprobar que el registro (donde se almacenan los cambios antes de ir a la bbdd) y la base de datos del

dchp tienen los mismo datos.

Crear backup no se puede copiar y pegar directamente

Opciones para reconciliar en la consola del DHCP

Seguridad en dhcp

El 802.1X permite pedir autentificacion a nivel del switch o router wifi

es el propio switch o router el que pide la autentificacion para entrar en la red

para evitar que alguien meta un dhcp en la red

dhcp snooping y dhcp guard a nivel de switch

se pueden configurar los puertos del router y detecta si en un puerto de cliente envia un dhcp offer lo bloquea

automaticamente y solo deja que envien dhcp offers el dhcp que configures en el switch

Grupos de control de DHCP

Ver estadisticas

Adatum.com 015 nombre del dominio añade el dominio a cualquier nombre de equipo automaticamente Ejemplo al

poner lon-dc1 automaticamente lo combierte a lon-dc1.adatum.com

192.168.10.10 006 servidor dns

Aprenderse 003 puerta de enlace

006 servidor dns

015 nombre del dominio