DHCP Relay Deep Dive und Cluster

Wie kommen die IPs in andere Netzbereiche?

DHCP-Requests werden üblicherweise im Broadcast versendet, das heißt der Request erreicht alle Teilnehmer seines (Sub-)Netzes (also known as Broadcast-Domäne), jedoch keine für die ein Routing-Prozess gestartet werden müsste.

DHCP kann auf Grund des Broadcasts nicht über ein Netzgrenze hinweg kommunizieren. Sobald das Client-Netz und der DHCP-Server voneinander getrennt sind können keine IPs vergeben werden, da die Requests, der DHCP-Discover, nicht den Server erreichen. Wenn man seine Netze z.B. mit VLANs trennt, muss man sowas bedenken. Man kann auf dem Router, der die Netze verbindet, einen DHCP Server implementiert, was aber eine unsaubere Lösung ist.

Die eleganteste Lösung für das Problem ist ein DHCP Relay Agent oder auch IP Helper wie ihn Cisco nennt. Der IP Helper hat dann die Funktion, den ankommenden Broadcast zu einem Unicast umzuwandeln und die Kommunikation mit dem DHCP Server zu übernehmen. Der DHCP Relay wird an der äußersten Layer3 Komponente implementiert.

Du möchtest eine professionelle & individuelle Beratung?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest

Wie implementiere ich ein DHCP Relay?

DHCP Dynamic Host Configuration Protocol Relay

In dem oberen Beispiel ist der DHCP-Server in Netz C und versorgt dieses mit IP Adressen. Die IPHelper in Netz A und B übernehmen die Kommunikation für die Clients mit dem DHCP Server.

Man kann den Relay Agent auch direkt in den Netzen implementieren zum Beispiel auf einem Windows Server mit Routing- und RAS-Diensten.

Der DHCP Server muss nicht direkt an den Router mit dem Relay-Agent angeschlossen sein, aber die Netzwerkschnittstelle auf der der IP Helper läuft muss den DHCP Server erreichen können. Wenn also eine Firewall dazwischen ist, müssen auch die Ports 67 und 68 UDP freigegeben werden. Natürlich benötig man pro Netz einen eigenen IP-Bereich, sonst können die Netze nicht miteinander kommunizieren.

Ausfallsicherheit

Seit Windows Server 2012 ist es sehr einfach mehrere DHCP-Server miteinander zu Clustern, das heißt, dass zwei oder mehrere DHCP Server sich 100% des Adressraumes teilen und die Leases (IP-Adressen) in die Netze verteilen.

Jeder Server des Clusters braucht einen eigenen IP Helper in den anderen Netzen. Man kann auch als Relay-Agent eine Netz-Broadcastadresse eintragen, aber dafür muss das Cluster im gleichen Netzwerk sein und der IP Helper muss einen Broadcast in das Netz senden können.

Das Cluster kann als Fail-Over oder Loadbalancer konfiguriert werden. Wenn der Lastenausgleichsmodus gewählt wird, muss die prozentuale Verteilung der IPs pro Server mit Konfiguriert werden. Durch das Cluster muss man keine Aufteilung des DHCP Bereichs bei zwei Servern im gleichen Netzwerk konfigurieren.

Verbessere jetzt die Sicherheit Deines IT-Systems!
Von uns erhältst Du eine ausführliche Beratung!
Jetzt kontaktieren

Zusammengefasst

  • IP Helper oder auch Relay Agent dient als „Vermittler“ für den DHCP Verkehr.

  • Firewalls müssen den Relay-Verkehr zulassen. Die Quell-IP ändert sich in dem Paket, was zu beachten ist, beim Regel erstellen.

  • Um effizient zwei oder mehrere DHCP Server im gleichen Netzwerk zu betreiben, sollte man sie Clustern. Dadurch, dass die Server nicht mehr im gleichen Netzwerksegment sind, dauert die Kommunikation etwas länger und ein potenzieller Angreifer kann mit einem Rogue DHCP schneller antworten. Schutzmaßnahmen wie DHCP Snooping sollten daher Standard sein.

  • Bis zu einer gewissen Größe oder auch in speziellen Bereichen wie Server Netzen ist es besser IPs statisch zu vergeben, anstatt einen DHCP Server zu nutzen.
ANDERE BEITRÄGE
LLMNR Poisoning Header Knowledge Base
LLMNR Poisoning

Was ist LLMNR und warum ist das “Vergiften” dieser Pakete so gravierend? Um den LLMNR-Poisoning Angriff zu erklären gehen wir zunächst

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.