Fondamentaux
DHCP
DHCP attribue automatiquement une configuration réseau aux appareils qui rejoignent un réseau : adresse IP, masque, passerelle, serveurs DNS et parfois d'autres options.
Pourquoi DHCP existe
Sans DHCP, chaque poste devrait être configuré manuellement. Dans un réseau réel, ce serait lent, fragile et difficile à maintenir.
Ordinateur
↓
Serveur DHCP
↓
Adresse IP : 192.168.1.100
Masque : 255.255.255.0
Passerelle : 192.168.1.1
DNS : 1.1.1.1
Un serveur DHCP distribue généralement des adresses depuis une plage appelée pool. Il peut aussi réserver une adresse précise pour une machine connue, souvent à partir de son adresse MAC.
Notions importantes
| Notion | Description |
|---|---|
| Bail | Durée pendant laquelle l'adresse est attribuée |
| Pool | Plage d'adresses distribuables |
| Réservation | Adresse réservée à un équipement précis |
| Option DHCP | Information supplémentaire envoyée au client |
Options fréquentes :
- passerelle par défaut
- serveurs DNS
- nom de domaine local
- serveur NTP
- serveur de démarrage réseau
Le processus DORA
| Étape | Description |
|---|---|
| Discover | Le client cherche un serveur DHCP |
| Offer | Le serveur propose une configuration |
| Request | Le client demande l'adresse proposée |
| Acknowledgment | Le serveur valide l'attribution |
Les ports utilisés sont UDP 67 côté serveur et UDP 68 côté client.
Client Serveur DHCP
│ Discover │
│──────────────────►│
│ Offer │
│◄──────────────────│
│ Request │
│──────────────────►│
│ Acknowledgment │
│◄──────────────────│
Vérifier sa configuration
ip addr
ip route
cat /etc/resolv.conf
nmcli device show
Ces commandes permettent de vérifier l'adresse locale, la passerelle et les DNS reçus.
Risques de sécurité
Rogue DHCP
Un faux serveur DHCP peut fournir une fausse passerelle ou un faux DNS. Cela peut rediriger le trafic, faciliter l'interception ou perturber le réseau.
Épuisement DHCP
Un attaquant peut tenter de consommer toutes les adresses disponibles pour empêcher de nouveaux appareils d'obtenir une configuration.
Mauvaise segmentation
Si tous les postes reçoivent une configuration depuis le même réseau, un incident peut se propager plus facilement. Les réseaux utilisateurs, invités, serveurs et administration doivent être séparés quand c'est possible.
Bonnes pratiques
- n'autoriser que les serveurs DHCP légitimes
- surveiller les équipements inconnus
- activer DHCP Snooping sur les commutateurs compatibles
- réserver des adresses pour les équipements critiques
- segmenter les réseaux utilisateurs, invités et administration
- conserver des journaux DHCP exploitables
- documenter les plages et réservations
À retenir
DHCP ne donne pas seulement une adresse IP. Il influence aussi la passerelle, le DNS et donc le chemin pris par le trafic.