2º ASIR / Servicios de red e Internet (SERI)

UD2. Instalación de servicios de configuración dinámica de sistemas: DHCP (Dynamic

Host Configuration Protocol o Protocolo de Configuración Dinámica de Host)
 DHCP es un protocolo de Red de tipo Cliente/Servidor de Capa de Aplicación cuya función es realizar la
configuración de red automática de equipos clientes dentro de la arquitectura TCP/IP. El Servidor mantiene
una lista de direcciones IP dinámicas disponibles y se las va asignando a los clientes durante un tiempo
limitado conforme se producen Peticiones o Solicitudes, según van venciendo las concesiones éstas se
pueden renovar o liberar definitivamente y por tanto pasar a estar nuevamente disponibles para nuevos
clientes DHCP.

 Su utilización tiene muchas ventajas como facilitar la tarea administrativa del administrador de redes, mayor
flexibilidad en la movilidad de clientes entre distintas redes, los cambios de configuraciones se realizan más
cómodamente.
 Como inconvenientes, se puede plantear la generación de paquetes por difusión o broadcast, pero sin
embargo éstos son mínimos limitados al que envía el Cliente para descubrir los Servidores DHCP alcanzables
en el dominio de difusión.
 Sin embargo, no resulta recomendable para la configuración de equipos de Servidor, ya que un fallo en el
Servidor DHCP podría dejar a éstos inutilizados.
 Existe una Tecnología que puede ser útil para mantener la conectividad en redes pequeñas ante el fallo del
Servidor DHCP, basada en zeroconf.org:
o APIPA (Direccionamiento Privado Automático del Protocolo de Internet) es un protocolo que utilizan
los sistemas que funcionan bajo Windows para obtener la configuración de red cuando el sistema
está configurado para obtener una dirección dinámicamente y al iniciar éste no encuentra un
servidor DHCP .
 Este protocolo asigna una dirección IP en el rango 169.254.0.1 - 169.254.255.254/16
o Otras implementaciones de esta tecnología son:
 El demonio Avahi en Linux "avahi-autoipd" busca recursos de la red y se conecta a ellos
automáticamente. El demonio Avahi facilita compartir archivos e impresoras, y actúa
como un servidor DHCP y DNS.
 Y Bonjour para Apple.

 Los puertos de escucha de DHCPv4 son:

o Servidor: 67 /UDP
o Cliente: 68 / UDP
 Los puertos de escucha de DHCPv6 son:
o Servidor: 547 /UDP
o Cliente: 548 / UDP
 TCP Puertos en Servicio Failover
o Servidor 647 /TCP
 El funcionamiento del Servicio DHCP está basado en el
Modelo Cliente / Servidor y está formado por los
siguientes componentes:
 Servidor DHCP
 Cliente DHCP
 Protocolo DHCP

 Agentes de retransmisión DHCP. Escuchan peticiones de clientes DHCP y las retransmiten a servidores
DHCP ubicados en otras redes. Se utilizan para centralizar la configuración del servicio DHCP en múltiples
redes.

 En una misma red es posible que convivan equipos configurados de forma Dinámica y otros de forma
Estática.
 Si un mismo equipo tiene configurado un direccionamiento estático y dinámico, los parámetros estáticos
sobrescriben los dinámicos.
1
 Tipos de asignación por el Servidor DHCP
Existen 3 tipos de asignaciones DHCP de un Servidor a un Cliente:
1. Asignación manual o estática (Reservas). Consiste en asignar direcciones IP concretas a maquinas
concretas. A cada dirección física (MAC) le corresponde una dirección IP preasignada por el
Administrador de redes.

2. Asignación dinámica. El Servidor elige una dirección de un grupo de direcciones disponibles

(rango/ámbito). Realiza una concesión de la dirección IP al cliente durante un plazo limitado (lease
time)

3. Asignación automática. Asigna direcciones IP de forma permanente a máquinas cliente la primera vez
que hacen la solicitud al servidor DHCP y hasta que el cliente las libera.
En este caso, el plazo de concesión es ilimitado, a diferencia de las dinámicas.

Ámbito y Rango
 Se puede definir un ámbito como un agrupamiento administrativo de equipos o clientes de una red que
utilizan el servicio DHCP.
Dentro de ese ámbito se reserva un Rango de direcciones IP para otorgar a los clientes de dicho ámbito,
Ej.: 192.168.1.100 a 192.168.1.200
 Normalmente, el administrador de red creará un ámbito para cada subred y los parámetros de
configuración de red para los clientes.
 En un mismo servidor DHCP se pueden configurar
tantos ámbitos y rangos como sea necesario.

Exclusiones
 Un conjunto de direcciones pueden ser excluidas de
un rango para no asignarlas a clientes DHCP.
 Normalmente se suelen excluir del rango aquellas
direcciones IP que corresponden a equipos que
precisan de una dirección IP fija como Servidores,
Routers o Firewalls y que se configuraran
manualmente de forma Estática.

Reservas
 Consiste en la asignación de una dirección IP fija a una dirección MAC de un host, y se suele asignar a
aquellos host con Recursos Compartidos que precisan de su localización por los Clientes, como
Servidores de Aplicaciones, Impresoras, NAS, etc, para que siempre tengan la misma dirección IP. De
forma que cuando un host con una dirección MAC reservada solicite un alquiler al Servidor DHCP,
siempre obtendrá la misma dirección IP. (Es algo parecido a configurarlo manualmente, pero en este caso
dependiendo del Servidor DHCP para su configuración).

Tiempo de concesión (lease time)

 El plazo del contrato, concesión o alquiler es el tiempo durante que un cliente DHCP mantiene como
propios los datos de configuración de Red que le otorgó el Servidor.
 Cada vez que el cliente arranca, cada cierto tiempo o bien cuando se alcanza el límite de la concesión el
cliente tiene que solicitar su renovación.
 Una vez vencido el tiempo, el Servidor puede renovar la información del cliente, asignarle otra nueva o
extender el plazo manteniendo la misma información.
 En servidores DHCP de Windows el tiempo de concesión por defecto es de 8 días, pero en una red con un
gran número de direcciones IP disponibles y donde la configuración raramente cambia, el administrador
puede ampliar el tiempo de concesión y así reducir el tráfico derivado de las solicitudes de renovación
por parte de los clientes.

2
 Servidores DHCP
 El servidor escucha por defecto en el puerto 67/UDP en DHCPv4 y 547/UDP en DHCPv6
 Los parámetros que puede configurar de forma automática:

 Dirección IP
 Máscara de subred
 Puerta de enlace
 DNS
 Nombre de dominio DNS
 Tiempo máximo de espera de ARP
 Servidores POP3
 Servidor WINS
 etc
Ejemplos de Servidores DHCP
 ISC DHCP (https://www.isc.org/dhcp/)
 Microsoft Server 2012/2019 (https://www.microsoft.com/es-es/cloud-platform/windows-server-
comparison)
 Servidores DHCP integrados en routers (IP Easy en routers CISCO y Linksys)
 Distribuciones Linux (Zentyal, IPCop, pfsense, etc)

Clientes DHCP
 El cliente escucha por defecto en el puerto 68/UDP.
 Estos clientes vienen integrados por defecto, en los sistemas Windows / Linux / Apple
IPv4
Acción Clientes Windows Clientes Linux
Consultar dirección IP ipconfig /all ifconfig
ip add show
Liberar dirección IP concedida ipconfig /release dhclient -r
Solicitar renovación DHCP ipconfig /renew dhclient

IPv6
Acción Clientes Windows Clientes Linux
Consultar dirección IP ipconfig /all ifconfig
ip add
Liberar dirección IP concedida ipconfig /release6 dhclient -v -r -6
Solicitar renovación DHCP ipconfig /renew6 dhclient -v -6

Protocolo DHCP

 Está basado en el protocolo BOOTP.

Su funcionamiento es el siguiente:
 Cuando un cliente DHCP se conecta a la red envía una solicitud en forma de Broadcast o Difusión a través
de la red a la que pertenece.
 Todos los servidores alcanzados por la solicitud responden al cliente con sus respectivas propuestas.
 El Cliente acepta una de ellas haciéndoselo saber al Servidor elegido.
 El Servidor elegido otorga la información de configuración de red previamente gestionada por el
administrador de la red junto al tiempo de concesión (lease time).
 Esta información se mantiene asociada a dicho cliente mientras éste no desactive su interfaz de red o no
expire el plazo del contrato o concesión.
 La renovación de la concesión de la configuración de red puede implicar una nueva configuración, bien
mantener la misma configuración o bien una extensión del plazo. Y se puede producir cuando:
o El cliente arranca
o Cada cierto tiempo o bien cuando se alcanza el límite de la concesión.

3
btener una concesión
La situación de partida, es que tenemos un Servidor DHCP configurado para ofrecer ya información de
red a los clientes y tenemos un equipo cliente configurado por DCHP.
El dialogo de paquetes que se produce para la configuración DHCP del cliente lo vemos en el siguiente
esquema:

Etapas y mensajes DHCP que se generan en el dialogo:

1. Descubrimiento DHCP
(DHCPDISCOVERY). Enviado por el
cliente para detectar Servidores DHCP
2. Oferta DHCP (DHCPOFFER). Enviado
por el/los Servidor/es que reciben el
paquete anterior del cliente. Si el
cliente no recibe mensajes tipo
DHCPOFFER, expira la petición y
reenvía un nuevo mensaje
DHCPDISCOVERY.
3. Solicitud DHCP (DHCPREQUEST). El
cliente de todas las ofertas recibidas
anteriormente elige normalmente la
primera que le llega, para ello, envía un
paquete por broadcast tipo
DHCPREQUEST, poniendo el nombre
(ID) del servidor elegido. Si el servidor
al leer el paquete ve que no contiene
su dirección considera su oferta
rechazada.
4. Reconocimiento positivo DHCP
(DHCPACK) o negativo (DHCPNAK).
 El servidor envía un paquete
DHCPACK, si la dirección IP que le
ofreció aún está disponible.
 Y un paquete DHCPNAK en caso
contrario.
Si el cliente recibe el paquete DHCPACK, deberá comprobar que ésta es válida y no está
duplicada.
Si es válida, el cliente se inicializa con la configuración dada por el Servidor.
Si es inválida, el cliente envía un paquete DHCPDECLINE al Servidor y vuelve al paso 1.
El cliente puede liberar por su cuenta una concesión enviando un paquete DHCPRELEASE, bien por
ejemplo, si cambiamos el equipo de subred o bien, si la forzamos a liberarla de forma manual.
4
Otros casos:

DHCPREQUEST:
Anteriormente, hemos visto que este paquete lo envía el Cliente al Servidor para solicitar parámetros ya
enviados (con DHCPOFFER) por un servidor y declinar otras ofertas de otros servidores, pero también se
envia este tipo de mensaje para:
- Confirmar la dirección válida, por ejemplo trás reiniciar la máquina.
- Renovar el tiempo de validez de una dirección IP en particular.

Varios Servidores DHCP en una misma red

En una misma red pueden coexistir varios servidores DHCP, por ejemplo, para ofrecer una mayor
Tolerancia a Fallos y así ofrecer una Alta Disponibilidad.
Cuando elegimos esta opción los Servidores DHCP no se comunican entre ellos (1) para establecer
criterios de configuración, sino que es el Administrador de red quien configura dichos Servidores de
forma independiente y consistente, basta con ofrecer rangos de IPs distintos en cada Servidor.
Dialogo gráfico entre un cliente DHCP y varios Servidores DHCP:

(1) Existe el protocolo DHCP Failover

Protocol implementado por ejemplo en
Windows Server, que permite crear una base
de datos de peticiones común sincronizando
un mismo Rango de IPs entre 2 Servidores
DHCP distintos que dan servicio a la misma
red.
- Un servidor DHCP será designado como
primario (este otorga las peticiones) y el otro
como secundario (actuará cuando si falla el
primario).
- Este modelo también puede emplearse
como Balanceo de carga, para repartirse el
trabajo entre los 2 servidores

5
 Dar servicio a varias subredes
Hasta ahora hemos contemplado solo la posibilidad de que uno o varios Servidores pudieran atender
peticiones clientes DHCP de una única subred.

 Si se dispone de varias redes interconectadas por Routers en las que se quiere configurar el servicio DHCP
tenemos 2 opciones:
o Configurar un DHCP en cada subred. Esta opción implica un aumento del trabajo administrativo y
del equipamiento necesario ya que habrá que colocar un Servidor DHCP en cada subred.

o Configurar un Servidor DHCP desde una ubicación centralizada a varias subredes .

Un servidor centralizado
Tenemos varias opciones de configuración:

 Conectar el servidor directamente a las distintas redes según figura:

 Que los enrutadores/routers que interconectan las redes tengan la capacidad de retransmitir los
paquetes del protocolo DHCP entre dichas redes, habilitando el encaminamiento necesario en sus tablas
de rutas.
 Instalar un Agente de retransmisión (relay agent) DHCP en algún equipo y configurarlo para escuchar los
paquetes de difusión utilizados por el protocolo DHCP y redirigirlos a un servidor DHCP específico, según
figura:

6
  En este caso, un único Servidor DHCP está atendiendo diferentes subredes de la empresa, de forma
que cuando reciba una petición cliente identificará de qué subred proviene para poder darle una
dirección IP válida para esa subred. Si tenemos diferentes ámbitos para las distintas subredes el
servidor elegirá una dirección sin usar del ámbito que corresponda con esa subred.

Agentes de retransmisión DHCP (DHCP relay agent)

Un Relay Agent es un software que se instala en un equipo o enrutador configurado para escuchar
difusiones DHCP procedentes de clientes DHCP y, a continuación, retransmitir dichos mensajes a los
Servidores DHCP ubicados en distintas redes.

 Existen 2 tipos de relay agent:

 Aquellos que funcionan en Servidores. De forma que se necesita de un Servidor que
funcione como relay agent.

 Aquellos que están integrados en Routers. Estos routers deberán ser adecuadamente
configurados para que retransmitan los paquetes DHCP intercambiados entre cliente y
servidor, serán los routers en este caso quienes actúen como relay agent.

7
Formato del mensaje DHCPv4 (Cabecera)

Código Operación: Indica si es Solicitud (1) o Respuesta(2)

Tipo de Hardware: Ej, Ethernet o redes IEEE 802
Longitud: De la dirección MAC
Saltos
Identificador de transacción: para relacionar peticiones y respuestas
Tiempo: tº en sg desde que se inicio el proceso
Indicador/flags: El bit más significativo de este campo se utiliza como flag de difusión

8
DHCP v6

https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6-solution/
whitepaper_c11-689821.html

Seguridad

La utilización de un Servidor DHCP conlleva muchas ventajas, sin embargo, al no llevar ningún mecanismo
de autentificación hace que sea vulnerable a diferentes tipos de ataques:

 Suplantación del servidor DHCP (DHCP spoofing ). Servidores no autorizados podrían proporcionar
información falsa a los clientes suplantando al servidor autorizado.

 Denegación de servicio. Esta técnica consiste en agotar el rango de direcciones a asignar para así evitar
que un cliente pueda obtener una configuración de red. El proceso es el siguiente, un cliente no
autorizado solicita una IP al servidor DHCP y una vez concedida cambia su dirección MAC para pedir una
nueva, y así sucesivamente hasta agotar el rango de IPs disponibles.

 Hombre en medio (man in the middle) .Un cliente no autorizado puede responder a un cliente que busca
un Servidor DHCP y otorgarle una dirección IP válida, pero darle como puerta de enlace su propia
dirección IP. De esta forma, el cliente manda los paquetes al atacante.

En las LANs se pueden configurar los switches para protegerse de estos ataques mediante DHCP
snooping. Tras activar esta función, se declara de confianza el puerto por el que genera respuestas el
servidor DHCP autorizado, siendo todos los demás puertos no fiables.