Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.
Le protocole DHCP (Dynamic Host Configuration Protocol) est un système permettant d'attribuer des adresses IP (Internet Protocol) à chaque terminal réseau (appelé hôte) sur le réseau d'une organisation. Un hôte peut être un ordinateur de bureau, un ordinateur portable, une tablette, un terminal mobile, un client léger, ou d'autres types de terminaux. Chaque hôte doit disposer d'une adresse IP pour communiquer avec d'autres terminaux sur Internet. Le protocole réseau DHCP attribue les adresses automatiquement, plutôt que d'obliger les administrateurs réseau à effectuer des affectations manuelles. Le DHCP est également responsable de l'attribution automatique de nouvelles adresses IP lorsque les terminaux sont déplacés vers de nouveaux emplacements sur le réseau. En plus des adresses IP, un service DHCP attribue des paramètres de configuration, tels que des adresses DNS (Domain Name System), des masques de sous-réseau et des passerelles par défaut, essentiels aux communications réseau.
Comment le protocole Dynamic Host Configuration Protocol fonctionne-t-il ?
Diagram illustrating how Dynamic Host Configuration Protocol (DHCP) works
Lorsqu'un terminal (également appelé client DHCP) rejoint le réseau, il envoie un message « DHCP Discover » au sous-réseau du réseau, demandant une adresse IP ainsi que d'autres informations de configuration. Lorsque les serveurs DHCP du réseau reçoivent le message de découverte DHCP, ils répondent avec des offres DHCP qui peuvent inclure une adresse IP sélectionnée dans un pool d'adresses IP, ainsi que des paramètres réseau et des informations DHCP, comme les serveurs DNS, le masque de sous-réseau, la passerelle par défaut et la durée du bail d'adresse IP. Bien qu'un client DHCP puisse recevoir plusieurs réponses, il sélectionne uniquement l'une des adresses IP proposées et envoie un message de retour confirmant l'offre qu'il accepte. Le serveur DHCP accuse réception de l'acceptation par un message contenant les détails de la configuration IP finale confirmée, que le client utilise pour configurer son interface réseau. Avec le DHCP, la plupart des clients se voient proposer un bail pour une période spécifique et peuvent renouveler le bail en demandant une extension au serveur. Lorsqu'un client quitte un réseau, il envoie un message de libération DHCP qui indique au serveur que l'adresse IP est désormais libre et peut être réaffectée.
Quels sont les composants du protocole Dynamic Host Configuration Protocol ?
serveur DHCP. Les serveurs DHCP attribuent automatiquement des adresses IP à partir d'un pool d'adresses disponibles aux terminaux qui se connectent à un réseau. Les serveurs DHCP fournissent également des paramètres de configuration réseau supplémentaires, notamment des masques de sous-réseau, des passerelles par défaut et des serveurs DNS.
Client DHCP. Les clients sont des terminaux qui se connectent à un réseau et reçoivent des informations de configuration d'un serveur DHCP. Les clients peuvent être des ordinateurs, des ordinateurs portables, des terminaux mobiles ou tout autre terminal nécessitant une connexion.
Relais DHCP. Les relais DHCP permettent la communication entre les clients et les serveurs DHCP.
Pool d'adresses IP. Il s'agit des ensembles d'adresses IP disponibles pour un serveur DHCP pouvant être allouées aux terminaux.
Sous-réseau. Les sous-réseaux sont des petites parties d'un réseau IP, qui sont réparties pour simplifier la gestion du réseau.
Bail. Les baux correspondent à la durée pendant laquelle l'adresse IP et les informations de configuration reçues d'un serveur DHCP sont valides. Lorsqu'un bail expire, un terminal peut demander un renouvellement au serveur DHCP.
. Les serveurs DHCP peuvent également fournir des informations sur le serveur DNS (Domain Name System) aux clients DHCP, ce qui leur permet de résoudre les noms de domaine des adresses IP.
Passerelle par défaut. Une passerelle par défaut est l'endroit où les paquets sont dirigés lorsqu'une destination se trouve en dehors d'un réseau local.
Quels sont les avantages du protocole Dynamic Host Configuration Protocol ?
Le protocole DHCP permet aux organisations et aux administrateurs réseau les actions suivantes :
Rationaliser la gestion du réseau. Le protocole DHCP réduit la charge de travail des administrateurs réseau en gérant efficacement et automatiquement les affectations d'adresses IP. Le protocole DHCP est particulièrement efficace pour les terminaux qui doivent être mis à jour fréquemment, tels que les téléphones mobiles qui se déplacent d'un emplacement à un autre sur un réseau sans fil.
Optimiser les adresses IP. La possibilité de réutiliser les adresses IP réduit le nombre total d'adresses requises pour un réseau.
Simplifier la gestion des changements. Le protocole DHCP permet aux entreprises de modifier les schémas d'adresses IP d'une plage d'adresses à une autre sans perturber les utilisateurs finaux.
Minimiser les erreurs. Le DHCP centralise et automatise la gestion des adresses IP, réduisant ainsi les risques que deux terminaux reçoivent la même adresse ou qu'un terminal reçoive une adresse incorrecte.
Quelles sont les menaces pour le DHCP ?
Le protocole Dynamic Host Configuration Protocol est sensible à plusieurs vulnérabilités importantes.
Serveurs DHCP indésirables. Les serveurs DHCP indésirables sont des terminaux non autorisés qui offrent des services DHCP malveillants aux clients, y compris des adresses IP incorrectes ou conflictuelles, des masques de sous-réseau, des passerelles ou des serveurs DNS. Les serveurs indésirables peuvent entraîner un déni de service (DoS) , une interruption du réseau ou un routage inexact, et ils peuvent être impliqués dans des attaques de type « machine-in-the-middle ».
Attaques de type « machine-in-the-middle ». Les serveurs DHCP peuvent être exposés aux attaques de type « machine-in-the-middle », où des acteurs malveillants interceptent et relaient des messages entre deux parties.
Famine DHCP. Une attaque par famine envoie un grand nombre de requêtes DHCP avec des adresses MAC usurpées pour épuiser le pool d'adresses IP disponibles. Il en résulte un déni de service, où les clients réseau légitimes peuvent ne pas être en mesure d'obtenir des adresses IP ou d'accéder au réseau.
Usurpation. Lors d'une attaque par usurpation DHCP, les pirates interceptent et modifient les messages DHCP pour modifier les adresses IP, rediriger le trafic réseau, voler des données sensibles ou mener des attaques de type « machine-in-the-middle ».
Attaques par relais. Les agents de relais DHCP sont des terminaux qui transmettent des messages DHCP entre différents segments du réseau. Dans les attaques par relais DHCP, les pirates peuvent contourner les contrôles de sécurité d'un serveur DHCP en utilisant un agent de relais DHCP compromis pour injecter des messages DHCP malveillants ou accéder à des segments restreints du réseau.
Vulnérabilités des scripts. Les opérations DHCP peuvent être automatisées et personnalisées à l'aide de scripts. Lorsque ces scripts ne sont pas écrits ou testés correctement, ils peuvent contenir des erreurs ou des portes dérobées susceptibles de compromettre la sécurité des serveurs DHCP.
Quelles sont les meilleures pratiques en matière de sécurité DHCP ?
Pour renforcer la sécurité du réseau, les administrateurs réseau peuvent adopter une approche multicouche lors de la protection des systèmes Dynamic Host Configuration Protocol contre les menaces.
L'authentification et le contrôle d'accès pour les serveurs et les clients DHCP arrêtent les serveurs DHCP indésirables et garantissent que seuls les clients autorisés peuvent recevoir des adresses IP.
Les pare-feux peuvent surveiller et filtrer le trafic, et protéger le serveur DHCP contre les accès non autorisés ou les attaques.
La journalisation permet aux administrateurs de surveiller les performances des serveurs DHCP et d'identifier les comportements suspects ou les anomalies.
L'application de correctifs et la mise à jour des serveurs peuvent aider à prévenir les attaques exploitant les vulnérabilités.
Le chiffrement des données limite les violations de données et empêche les écoutes.
La surveillance DHCP filtre les messages DHCP indésirables.
Les pare-feux DNS bloquent les domaines ou les adresses IP malveillants.
FAQ
L'attribution d'adresses IP est une étape essentielle pour permettre aux terminaux réseau de communiquer à l'aide du protocole TCP/IP (Transmission Control Protocol/Internet Protocol) standard. Le protocole DHCP rend le processus plus facile et plus efficace en attribuant automatiquement des adresses IP et en récupérant les adresses des terminaux qui ont quitté le réseau. Cela réduit la charge de travail des administrateurs réseau tout en améliorant la précision des affectations d'adresses IP.
Avec le DHCP dynamique, les terminaux louent une adresse IP pendant un certain temps plutôt que de posséder des adresses IP de manière permanente. Les attributions d'adresses IP statiques sont permanentes et réservées aux terminaux tels que les serveurs Web et les commutateurs.