Was ist DHCP (Dynamic Host Configuration Protocol)?

DHCP steht für Dynamic Host Configuration Protocol und ist ein Kommunikationsprotokoll. Es wird verwendet um schnell und automatisch einzigartige IP Adressen an Geräte zuzuweisen, damit sie sich in Netzwerk Services einwählen können. Zusätzlich zu der Zuweisung von IP Adressen bietet DHCP weitere Netzwerkeinstellungen an, inklusive Subnet Masken, default Gateways und DNS Adressen. Dieser Artikel wird genauer erklären, was DHCP und DHCP Server sind und tun, sowie die 4 Stufen des DHCP Prozesses.

 

Warum brauchen wir DHCP?

 

Vielleicht haben Sie noch nie davon gehört, aber wir garantieren Ihnen, dass sie Ihr Leben – falls Sie Computer verwenden – deutlich vereinfacht haben. Damit Computer mit Netzwerken arbeiten können, brauchen sie IP Adressen. Ohne diese Adressen können Daten und Kommunikation nicht klar zugewiesen werden und falsche Daten gehen an die falschen Rezipienten. Daher brauchen alle Maschinen, die sich in ein Netzwerk einwählen, eindeutige IP Adressen. Natürlich könnten wir diese IP Adressen auch händisch bei den Computern eingeben, was für ein Heimnetzwerk sogar noch möglich sein könnte, aber in einem Unternehmen mit hunderten oder tausenden Geräten wird das sehr schnell sehr verwirrend und mühsam.

 

Anstatt dies also alles händisch einzugeben, übernimmt DHCP diese Aufgabe im Hintergrund und weist die Adressen automatisch zu. Das funktioniert über einen DHCP Server, der entweder im Router oder in einem Server in der Unternehmensinfrastruktur zu finden ist. Sobald Sie Ihren Computer also starten, startet sich ein vier-Stufiger Prozess.

 

DHCP Funktionen

 

Weiters bietet DHCP nicht nur die Möglichkeit, sich über die IP-Adresse mit Netzwerk- und Internetressourcen zu verbinden, sondern weist außerdem zusätzlich Netzwerkparameter hinzu, die für die Effizienz und Sicherheit sorgen. Die DHCP-Funktionen sind wie folgt:

 

Subnet Maske

 

IP-Netzwerke verwenden eine Subnetzmaske, um die Hostadresse und die Netzwerkadressenteile einer IP-Adresse zu trennen.

 

DNS Server

 

Übersetzt Domänennamen (atera.com) in IP-Adressen, die durch lange Zahlenfolgen dargestellt werden.

 

Default Gateway

 

Dieses Gateway ist für die Datenübertragung zwischen dem lokalen Netzwerk und dem Internet oder zwischen lokalen Subnetzen verantwortlich.

 

Vier Stufen des DHCP

 

Es gibt 4 Stufen im Prozess die alle im Hintergrund ablaufen, ohne dass Sie oder irgendein anderer User davon etwas merken. Der Prozess verwendet eine Client-Server-Architektur, wo der DHCP Server sowohl Server als auch Client sein kann. Er verwendet UDP Ports dafür wobei der Client den Port 68 und der Server den Port 67 verwenden. Hier sehen Sie wie die vier Stufen des DHCP funktionieren:

 

  • Stufe 1 – DHCP Discover: Sie schalten Ihren PC ein und er braucht eine IP Adresse um sich zum Netzwerk zu verbinden. Also sucht er sofort nach einem DHCP Server.
  • Stufe 2 – DHCP Offer: Der Server wurde gefunden und nun bietet der Server dem Computer eine IP Adresse an.
  • Stufe 3 – DHCP Request: Der Host akzeptiert das Angebot. Wird es mehr als einmal angeboten, gilt die Regel: First come, first serve.
  • Stufe 4 – DHCP Acknowledgement: Die Transaktion ist vollbracht. Der DHCP Server sendet die IP Adresse gemeinsam mit den anderen Daten wie Subnet Mask oder DNS Server zum Host.

DHCP Infographic

Verständnis von DHCP Zeiten

 

Keine IP Adresse gehört einem Computer für immer. Im Gegenteil. Bereits bei der Bereitstellung der IP Adresse schickt der DHCP Server auch ein Ablaufdatum mit. Das erklärt auch, warum Hosts die Adresse entweder aktualisieren müssen oder sie an den DHCP Server zurück schicken. Das kann als unnötige Zusatzaufgabe erscheinen, aber in Wirklichkeit ermöglicht das, dass keine IP Adressen verschwendet werden, wenn ein Computer nicht mehr verwendet wird, kaputt geht oder ausgeschaltet wird.

 

Was sind die Vor und Nachteile von DHCP?

 

Denken wir zuerst an all die Vorteile und warum dieses DHCP Protokoll so hilfreich für IT Profis ist.

 

Vorteile

 

Einerseits ist DHCP sehr einfach zu implementieren. Automatisch zugewiesene IP Adressen bedeuten, dass Sie sich nie Gedanken machen müssen über falsch zugewiesene Adressen, und Sie können viele Ressourcen von Netzwerk Admins sparen, die ansonsten die Adressen manuell zuweisen und warten müssten. Sie müssen sich auch nicht sorgen, dass die IP Adressen dupliziert würden oder Konflikte zwischen IP Adressen entstehen. Wenn eine Veränderung im Netzwerk festgestellt wird, starten die 4 Stufen einfach, sodass auch Laptops oder Mobile Endgeräte jederzeit ins Netzwerk einsteigen oder aussteigen können, und die IPs dennoch immer verfügbar und sicher sind.

 

Zuverlässige Konfiguration der IP-Adresse

 

Sie können nicht zwei Benutzer mit derselben IP-Adresse haben, da dies zu einem Konflikt führen würde, bei dem eines oder beide Geräte keine Verbindung zum Netzwerk herstellen könnten. DHCP eliminiert menschliche Fehler, sodass Adresskonflikte, Konfigurationsfehler oder einfache Tippfehler minimiert werden.

 

Reduziert Netzwerkadministration

 

DHCP bietet eine zentralisierte und automatisierte TCP/IP-Konfiguration. Durch die Bereitstellung eines DHCP-Relay-Agents wird nicht in jedem Subnetz ein DHCP-Server benötigt.

 

Mobilität

 

DHCP handhabt effizient IP-Adressänderungen für Benutzer auf tragbaren Geräten, die sich in kabelgebundenen oder drahtlosen Netzwerken an verschiedene Standorte bewegen.

 

Optimierung der IP-Adresse

 

DHCP weist nicht nur Adressen zu, es nimmt sie auch automatisch zurück und gibt sie an den Pool zurück, wenn sie nicht mehr verwendet werden.

 

Effizientes Change Management

 

DHCP erleichtert es einer Organisation, ihr IP-Adressschema von einem Adressbereich in einen anderen zu ändern. Es ermöglicht den Netzwerkadministratoren, diese Änderungen vorzunehmen, ohne Endbenutzer zu stören.

 

Nachteile

 

Nachteile hingegen sind Sicherheitsrisiken. Beispielsweise, wenn Sie nur einen DHCP Server im Netzwerk haben, und der Server ausfällt, können die Computer nicht auf dieses Netzwerk zugreifen. Das kann verhindert werden, indem ein failsafe installiert wird oder aber mehrere DHCP Server aufgesetzt werden, damit sie sich gegenseitig bei Ausfällen als Backup dienen können.

 

DHCP authentifiziert Clients nicht, bevor IP Adressen angeboten werden. Das heißt, dass grundsätzlich jede neue Maschine oder Computer theoretisch zum Netzwerk hinzugefügt werden kann. Wenn das böswillig verwendet wird, können unauthorisierte Clients das System mit einer Art DDoS Angriff fluten, indem ständig neue IP Adressen angefordert werden um die Leistung zu schwächen oder auf das Netzwerk oder gar sensible Daten Zugriff zu erhalten, wie IPs von DNS Servern.

 

Attacken über MAC-Adressen sind auch möglich. Ein Client würde damit langsam alle verfügbaren Netzadressen an sich binden und somit das Netz für andere, neue Benutzer unbenutzbar machen. Darum nennet man so einen Angriff DHCP Starvation Attack. Darauf aufbauend würden Angreifer außerdem einen eigenen DHCP-Server in das Netz einfügen, sodas der Client Adressen mit manipulierten DNS-Server versorgt.

 

DHCP wird für IPv6 in RFC 3315, dem sogenannten Dynamic Host Configuration Protocol for IPv6 (DHCPv6). Entweder wird der Prozess getrennt oder zusammen mit der in RFC2462 abgebildeten IPv6 Stateless Address Autoconfiguration benutzt.

 

Hier finden Sie mehr Informationen über DHCP Angriffe.

 

Sicherung von DHCP

 

Durch die Abwesenheit einer Authentifizierung in der Verwendung von DHCP Protokollen, ist es umso wichtiger starke physische und kabellose Sicherheitsprotokolle rund um das DHCP aufzubauen um das Netzwerk zu schützen. Das können Sie folgendermaßen tun:

 

  • Zugriffsbeschränkungen: Verwenden Sie strenge IAM Regelungen in Bezug auf wer Zugriff zu dem Netzwerk erhalten darf und blockieren Sie jeden, der vor diesen Regelungen nicht besteht.
  • Audit Logging: Stellen Sie sicher, dass Sie alle Aktivitäten im Netzwerk genau loggen, damit Sie möglichst früh Anzeichen von missbräuchlicher Verwendung erkennen können.
  • Admin Zugriff: Zugang zu Netsh Commands oder der DHCP Konsole sollte nur wenigen Personen gegeben werden und nur, wenn diese Personen diese Zugriffe auch wirklich benötigen.
  • Physische Sicherheit: Stellen Sie starke Sicherheitsprozesse her, um jede nicht authorisierte Person daran zu hindern, unbefugt Zugang zu Servern oder Routern zu erhalten.

 

Statische Vergabe vs. DHCP

 

IP Adressen können mittels DHCP-Server vergeben werden, oder statisch. Bei der Statischen Vergabe braucht es keinen Server zur Verwaltung, da sämtliche Hosts eine fixe IP-Adresse erhalten. Meist wird diese in den Systemeinstellungen der Rechner festgelegt. Diese Methode empfiehlt sich allerdings nur bei kleinen Netzwerken, da die statische Vergabe sonst rasch zu Chaos führen kann. Bei der statischen Vergabe fehlt eine zentrale Verwaltung aller IP-Adressen, sodass hier sehr leicht Fehler passieren können, wie zum Beispiel die doppelte Verwendung ein und derselben IP-Adresse.

 

Dieser Fall ist vergleichbar mit einer Telefonnummer, die zwei Personen gleichzeitig haben. Damit wird es sehr schwierig die Kommunikation zwischen den betroffenen Clients herzustellen, da häufig Verwirrung darüber herrscht, welcher der beiden Clients der „richtige“ Adressat ist. Dazu kommt, dass dieses Problem gerade in größeren Netzwerken nur sehr schwer festzustellen ist und damit die Behebung deutlich erschwert wird. Gerade in diesen Fällen sind DHCP Server eine praktische Alternative. Diese Server werden zentral verwaltet, sodass die IP Adressen an einem Ort gesammelt werden und damit beispielsweise Doppelbelegungen sehr leicht erkannt werden können. Probleme treten nur noch dann auf, wenn Clients den Server ignorieren und stattdessen selbst eine IP Adresse wählen. Dann kann es wieder zu Doppelbelegungen kommen.

 

Dadurch sind DHCP Server kein 100 Prozentiger Schutz gegen Doppelbelegungen – insbesondere bei falsch konfigurierten Clients – falls keine Kontrollabfrage erfolgt, die sicherstellt, dass IP-Adressen im Netzwerk tatsächlich unique sind. Daher ist es wichtig, dass die Netzwerkadmins stets die Konfigurationen der einzelnen Geräte prüfen. Ganz besonders wichtig ist das bei mobilen Geräten, also Smartphones oder Tablets. Daher empfiehlt sich die Verwendung eines DHCP Servers mit einer dynamischen Netzwerkkonfiguration und die Aktivierung der dynamischen Konfiguration auf sämtlichen Endgeräten, die an dem Netzwerk teilhaben möchten.

 

Wir hoffen, dass dieser Artikel über DHCP für Sie hilfreich war und einen guten ersten Überblick über das Thema gegeben hat: Was es ist, wie es funktioniert und wie Sie es als IT Profi oder Managed Service Provider am besten zu Ihrem Vorteil nutzen können!

Erleben Sie Atera in Aktion

Unsere RMM-, PSA- und Remote Access-Lösung wird ihre Arbeitsweise als MSP komplett umkrempeln.