DHCP: cosa si nasconde dietro al Dynamic Host Con­fi­gu­ra­tion Protocol

Con­net­te­re di­spo­si­ti­vi con un network TCP/IP già in uso è ormai un gioco da ragazzi: se una volta l’indirizzo IP andava digitato carattere per carattere e inserito ma­nual­men­te nei diversi sistemi, al giorno d’oggi la gestione degli indirizzi avviene in maniera del tutto au­to­ma­ti­ca. Se gli hardware di co­mu­ni­ca­zio­ne come i router, gli hub o gli switch sono in grado di assegnare au­to­ma­ti­ca­men­te un indirizzo per­so­na­liz­za­to ai di­spo­si­ti­vi in cerca di con­nes­sio­ne per poi in­te­grar­li nella rete, è tutto merito del Dynamic Host Con­fi­gu­ra­tion Protocol (DHCP).

Il Dynamic Host Con­fi­gu­ra­tion Protocol è un’im­ple­men­ta­zio­ne del Bootstrap Protocol (BOOTP), svi­lup­pa­to nel 1985, il quale serviva per la con­nes­sio­ne di di­spo­si­ti­vi semplici come terminali e work­sta­tion prive di disco rigido con un boot server. Questi di­spo­si­ti­vi col­le­ga­va­no poi il proprio sistema operativo tramite il server. Il DHCP è stato svi­lup­pa­to come soluzione per reti più estese e computer portatili e compensa il BOOTP sia con la capacità di as­se­gna­zio­ne au­to­ma­ti­ca di indirizzi di rete riu­ti­liz­za­bi­li sia con pos­si­bi­li­tà ag­giun­ti­ve di con­fi­gu­ra­zio­ne.

Dopo le prime de­fi­ni­zio­ni del pro­to­col­lo negli RFC 1531 e 1541 (entrambe avvenute nel 1993), la spe­ci­fi­ca­zio­ne standard de­fi­ni­ti­va è stata ef­fet­tua­ta nel 1997 con l’RFC 2131. La Internet Assigned Numbers Authority (IANA) assegnò al pro­to­col­lo di co­mu­ni­ca­zio­ne le porte UDP 67 e 68 (per IPv6: porte 546 e 547), che sono previsti anche per il pro­to­col­lo Bootstrap.

L’as­se­gna­zio­ne di indirizzo con DHCP funziona secondo il principio “client-server”: i di­spo­si­ti­vi alla ricerca di con­nes­sio­ne ri­chie­do­no la con­fi­gu­ra­zio­ne dell’indirizzo IP da un server DHCP, che a sua volta attinge a un database dove sono dati tutti i parametri della rete da impostare. Fra le altre cose, questo server, che è un com­po­nen­te di ogni moderno router ADSL, è in grado di assegnare al client le seguenti im­po­sta­zio­ni con l’aiuto delle in­for­ma­zio­ni del database:

• Indirizzo IP univoco
• Subnet mask
• Standard Gateway
• Server DNS
• Con­fi­gu­ra­zio­ne proxy tramite WPAD (Web Proxy Auto-Discovery Protocol)

L’as­se­gna­zio­ne au­to­ma­ti­ca dell’indirizzo tramite il Dynamic Host Con­fi­gu­ra­tion Protocol avviene in quattro passaggi in suc­ces­sio­ne:

1. Per co­min­cia­re il client invia un pacchetto DH­CP­DI­SCO­VER con l’indirizzo di de­sti­na­zio­ne 255.255.255.255 e l’indirizzo sorgente 0.0.0.0. Con questo co­sid­det­to “broadcast”, il client contatta tutti i par­te­ci­pan­ti alla rete per poter lo­ca­liz­za­re i server DHCP di­spo­ni­bi­li e per in­for­mar­li della richiesta di indirizzo. Nella migliore delle ipotesi c’è un unico server cosicché non si vengano a creare com­pli­ca­zio­ni durante l’as­se­gna­zio­ne.
2. Suc­ces­si­va­men­te tutti i server DHCP raggiunti, i quali sono attivi sulla porta 67 in attesa di richieste in entrata, ri­spon­do­no al broadcast con un pacchetto DHCPOFFER. Lo stesso contiene un possibile indirizzo IP libero e l’indirizzo MAC del client, oltre che la subnet mask e l’indirizzo IP e l’ID del server.
3. Il client DHCP sceglie poi i dati di indirizzo de­si­de­ra­ti tra quelli ottenuti e informa il server cor­ri­spon­den­te tramite DH­C­PRE­QUE­ST. Anche tutti gli altri server ricevono questo messaggio e sono quindi al corrente del fatto che la scelta è stata fatta a favore di un altro rap­pre­sen­tan­te. Oltre a ciò il client richiede al server l’ese­cu­zio­ne dei dati offerti. Il DH­C­PRE­QUE­ST serve anche per con­fer­ma­re i parametri ottenuti già in un momento pre­ce­den­te.
4. Per finire il server conferma i parametri TCP/IP e li trasmette un’altra volta al client, anche se lo fa per mezzo di un pacchetto DHCPACK (DHCP ac­k­no­w­led­ged, “ri­co­no­sciu­to”). Questo contiene in­di­ca­zio­ni ag­giun­ti­ve, come ad esempio riguardo al server DNS, SMTP o POP3. Il client DHCP salva quindi tutti i dati ottenuti a livello locale e si connette a tutte le reti. Se il server non ha più alcun indirizzo a di­spo­si­zio­ne o se il ri­spet­ti­vo indirizzo IP è stato assegnato a un altro client, allora ri­spon­de­rà con DHCPNAK (DHCP not ac­k­no­w­led­ged, “non ri­co­no­sciu­to”).

L’indirizzo assegnato au­to­ma­ti­ca­men­te viene salvato in com­bi­na­zio­ne con l’indirizzo MAC all’interno del database del server, facendo in modo che la con­fi­gu­ra­zio­ne rimanga co­stan­te­men­te attiva. Il di­spo­si­ti­vo sta­bi­li­sce la con­nes­sio­ne con la rete sempre con l’indirizzo che gli è stato assegnato, il quale è bloccato per gli altri client. Ciò ha purtroppo anche lo svan­tag­gio che i nuovi client DHCP non ottengono alcun indirizzo se l’intero spazio di in­di­riz­za­men­to è già stato assegnato; ciò avviene anche se alcuni degli IP non sono più uti­liz­za­ti at­ti­va­men­te. Per questo motivo sono de­ci­sa­men­te più diffusi gli IP dinamici e, in casi specifici l’as­se­gna­zio­ne manuale tramite server DHCP, che verrà ap­pro­fon­di­ta nel seguente paragrafo.

Il problema di uno spazio di in­di­riz­za­men­to com­ple­ta­men­te occupato è piuttosto im­pro­ba­bi­le nell’utilizzo dell’as­se­gna­zio­ne dinamica. In teoria questo pro­ce­di­men­to è quasi com­ple­ta­men­te simile all’as­se­gna­zio­ne au­to­ma­ti­ca, tuttavia esiste una piccola ma so­stan­zia­le dif­fe­ren­za: le con­fi­gu­ra­zio­ni IP trasmesse dal server DHCP, infatti, non sono valide per un tempo il­li­mi­ta­to, bensì sono munite di un lease time (“tempo di lease”) definito dall’am­mi­ni­stra­to­re.

Questa in­di­ca­zio­ne rap­pre­sen­ta l’in­ter­val­lo di tempo a di­spo­si­zio­ne del di­spo­si­ti­vo perché possa attingere alla rete con il ri­spet­ti­vo indirizzo IP. Prima che decorra il termine di questa finestra di tempo, i client conformi allo standard devono ri­chie­de­re un pro­lun­ga­men­to inviando nuo­va­men­te un pacchetto DH­C­PRE­QUE­ST. Se questo rimane escluso, non si arriva al co­sid­det­to refresh DHCP e il server sblocca l’indirizzo in questione ren­den­do­lo di nuovo di­spo­ni­bi­le.

Mentre agli am­mi­ni­stra­to­ri non viene richiesto alcun lavoro sia nella variante di as­se­gna­zio­ne au­to­ma­ti­ca che in quella dinamica, la si­tua­zio­ne è ribaltata per quanto riguarda l’as­se­gna­zio­ne manuale dell’indirizzo. Infatti, in questo pro­ce­di­men­to che si definisce anche come DHCP statico, gli indirizzi IP di­spo­ni­bi­li si assegnano a de­ter­mi­na­ti indirizzi MAC con l’aiuto del server DHCP. In questo caso non c’è una scadenza di tempo da ri­spet­ta­re.

Per via dell’elevato sforzo richiesto per la gestione, che in fin dei conti va a con­trad­di­re il senso e la funzione del Dynamic Host Con­fi­gu­ra­tion Protocol, questa tipologia di as­se­gna­zio­ne risulta utile solo per po­chis­si­mi scenari di ap­pli­ca­zio­ne. Gli IP statici sono infatti in­di­spen­sa­bi­li ad esempio se sul relativo computer sono hostati servizi di server che devono essere rag­giun­gi­bi­li in qualsiasi momento da altri par­te­ci­pan­ti alla rete. Ma anche per il port for­war­ding è im­por­tan­te che l’indirizzo IP rimanga invariato.

Affinché gli indirizzi IP forniti dai client possano essere assegnati ai propri nomi di dominio com­ple­ta­men­te qua­li­fi­ca­ti (FQDN, Fully Qualified Domain Name), un server DNS deve occuparsi della ri­so­lu­zio­ne dei nomi. Se vengono cambiati un indirizzo o un nome host già inserito, allora il name server necessita di un ag­gior­na­men­to. Per gli indirizzi IP che variano con­ti­nua­men­te, i quali risultano dall’as­se­gna­zio­ne dinamica tramite un server DHCP, l’ese­cu­zio­ne manuale com­por­te­reb­be un impegno non in­dif­fe­ren­te non solo per l’am­mi­ni­stra­to­re, ma anche per l’utente che vorrebbe con­net­ter­si a Internet da casa con i propri di­spo­si­ti­vi. Il fatto che entrambi non siano obbligati ad af­fron­ta­re l’ag­gior­na­men­to anche nella versione manuale di as­se­gna­zio­ne, lo devono ai server DHCP che si occupano dello scambio di in­for­ma­zio­ni e di fornire gli ag­gior­na­men­ti al server DNS, non appena viene assegnato un nuovo indirizzo IP.

Un punto debole del Dynamic Host Con­fi­gu­ra­tion Protocol è quello di essere fa­cil­men­te ma­ni­po­la­bi­le: siccome il client contatta tutti i po­ten­zia­li server DHCP, per gli hacker è ad esempio possibile far entrare in gioco un proprio rap­pre­sen­tan­te se avete accesso alla rete in questione. Un tale server rogue (in italiano: malvagio) DHCP tenta di essere più veloce del server vero e proprio con la sua risposta alla richiesta di con­nes­sio­ne del client. In caso di successo esso trasmette parametri ma­ni­po­la­ti o inu­ti­liz­za­bi­li. Per esempio in questo modo può avviare attacchi di Denial of Service sulla rete: può farlo senza tra­smet­te­re un gateway, o in al­ter­na­ti­va as­se­gnan­do ad ogni client una propria sottorete oppure ri­spon­den­do, infine, a tutte le richieste con lo stesso indirizzo IP. Uno scenario ancora più dram­ma­ti­co, ma comunque ve­ro­si­mi­le, sarebbe il tentativo di in­fil­tra­re un router estraneo con l’aiuto di un falso gateway e di false in­di­ca­zio­ni DNS: esso registra il traffico dati del client o può persino rein­di­riz­zar­li. Di­ver­sa­men­te dalla prima di tipologia di attacco nominata, un attacco Man in the Middle non ha lo scopo di fare col­las­sa­re la rete, bensì quello di estra­po­la­re dati sensibili come in­for­ma­zio­ni bancarie, password o indirizzi. A pre­scin­de­re dalla tipologia di attacco, in ogni caso gli estranei ne­ces­si­ta­no un accesso diretto alla rete per ap­pro­fit­ta­re in maniera illecita del pro­to­col­lo DHCP. Se però ri­spet­ta­te le misure pre­ven­ti­ve ne­ces­sa­rie, potete be­ne­fi­cia­re dei vantaggi del pro­to­col­lo di co­mu­ni­ca­zio­ne senza dover temere simili attacchi. Come re­spon­sa­bi­le di una rete locale più grande, la pro­te­zio­ne completa da tentativi di attacco esterni e interni, come anche la costante sor­ve­glian­za di tutti i processi di rete con tool come Nagios, do­vreb­be­ro essere la vostra priorità. Nel nostro articolo della Digital Guide IONOS sul tema della sicurezza della rete Wi-Fi vi forniamo ulteriori in­for­ma­zio­ni sulle opzioni che avete a di­spo­si­zio­ne per pro­teg­ge­re le vostre reti senza fili.

Chi entra a far parte di una rete locale o Wi-Fi con il proprio di­spo­si­ti­vo, come è normale che sia attinge au­to­ma­ti­ca­men­te al Dynamic Host Con­fi­gu­ra­tion Protocol senza dover applicare dei cam­bia­men­ti alle im­po­sta­zio­ni di rete. I computer con i sistemi Windows di Microsoft, ad esempio, fungono da tempo in maniera pre­de­fi­ni­ta da client DHCP, il quale fornisce au­to­ma­ti­ca­men­te il proprio indirizzo IP. Secondo lo standard si tratta della versione dinamica di as­se­gna­zio­ne in cui le con­fi­gu­ra­zio­ni devono essere re­go­lar­men­te pro­lun­ga­te o nuo­va­men­te assegnate dopo la scadenza del tempo. Se è attiva la relativa im­po­sta­zio­ne del server DHCP, nelle reti locali può avvenire che entri in azione l’as­se­gna­zio­ne au­to­ma­ti­ca di in­for­ma­zio­ni di indirizzo fisse.   

Nel caso in cui esa­mi­na­ste le im­po­sta­zio­ni attuali dell’as­se­gna­zio­ne dell’indirizzo o di­sat­ti­va­ste il DHCP e in­ten­de­ste passare alla variante manuale, potete farlo seguendo i passaggi che il­lu­stre­re­mo a breve; l’unico pre­re­qui­si­to è disporre dei permessi da am­mi­ni­stra­to­re.

• Se avete in­ten­zio­ne di di­sat­ti­va­re il DHCP, allora a questo punto dovreste assegnare in ogni caso un indirizzo IP fisso e una subnet mask (di default 255.255.255.0). Potete definire lo spazio di in­di­riz­za­men­to per l’IP nelle im­po­sta­zio­ni del server DHCP, che potete trovare ad esempio tramite l’in­ter­fac­cia utente del vostro router, sempre che questo funga anche da server. Qui potete anche di­sat­ti­va­re il server DHCP e quindi l’as­se­gna­zio­ne di indirizzo tramite il pro­to­col­lo.

• Per di­sat­ti­va­re il DHCP è nuo­va­men­te ne­ces­sa­rio applicare le relative im­po­sta­zio­ni sul server uti­liz­za­to.

• Per di­sat­ti­va­re il DHCP su Windows 10 dovete ri­chia­ma­re l’in­ter­fac­cia del vostro server DHCP e procedere ad applicare le relative im­po­sta­zio­ni.