DNS E DHCP
INTRODUO
DNS a sigla em ingls para Domain Name System (Sistema de Nomes e Domnios, em
portugus), responsvel por descodificar os nomes dos domnios dos sites que as pessoas
digitam nos navegadores web em nmeros IP.
DHCP (Dynamic Host Configuration Protocol) uma sigla usada no meio informtico que
significa Protocolo de Configurao Dinmica de Endereos de Rede. Atravs do DHCP
possvel fazer uma configurao automtica e dinmica de computadores que estejam ligados
a uma rede TCP/IP.
Neste trabalho de mbito cientfico abordarei detalhadamente acerca desses dois protocolos.
DNS
O Domain Name System (DNS) um sistema de gerenciamento de nomes hierrquico e
distribudo para computadores, servios ou qualquer recurso conectado Internet ou em uma
rede privada. Ele baseia-se em nomes hierrquicos e permite a inscrio de vrios dados
digitados alm do nome do host e seu IP. Em virtude do banco de dados de DNS ser
distribudo, seu tamanho ilimitado e o desempenho no degrada tanto quando se adiciona
mais servidores nele. Este tipo de servidor usa como porta padroa 53. A implementao do
DNS-Berkeley, foi desenvolvido originalmente para o sistema operacional BSD UNIX 4.3.
A
implementao
do
Servidor
de
DNS Microsoft se
tornou
parte
do
sistema
operacional Windows NT na verso Server 4.0. O DNS passou a ser o servio de resoluo de
nomes padro a partir do Windows 2000 Server como a maioria das implementaes de DNS
teve suas razes nas RFCs 882 e 883, e foi atualizado nas RFCs 1034 e 1035.
O servidor DNS traduz nomes para os endereos IP e endereos IP para nomes respectivos, e
permitindo a localizao de hosts em um domnio determinado. Num sistema livre o servio
implementado pelo software BIND. Esse servio geralmente se encontra localizado no
servidor DNS primrio.
O servidor DNS secundrio uma espcie de cpia de segurana do servidor DNS primrio.
Assim, ele se torna parte necessria para quem que usar a internet de uma forma mais fcil e
evita que hackers roubem seus dados pessoais.
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet no funcionaria. Destes,
dez esto localizados nos Estados Unidos da Amrica, um na sia e dois na Europa. Para
Aumentar a base instalada destes servidores, foram criadas rplicas localizadas por todo o
mundo.
Ou seja, os servidores de diretrios responsveis por prover informaes como nomes e
endereos das mquinas so normalmente chamados servidores de nomes. Na Internet, os
servios de nomes usado o DNS, que apresenta uma arquitetura cliente/servidor, podendo
envolver vrios servidores DNS na resposta a uma consulta.
VISO GERAL
Um recurso da internet, por exemplo um site da Web, pode ser identificado de duas maneiras:
pelo seu nome de domnio, por exemplo, www.wikipedia.org ou pelo endereo de IP dos
equipamentos que o hospedam (por exemplo, 208.80.152.130 o IP associado ao domnio
www.wikipedia.org. Endereos de IP so usados pela camada de rede para determinar a
localizao fsica e virtual do equipamento. Nomes de domnio, porm, so
mais mnemnicos para o usurio e empresas. ento necessrio um mecanismo para traduzir
um nome de domnio em um endereo IP. Esta a principal funo do DNS.
Ocasionalmente, presume-se que o DNS serve apenas o objetivo de mapear nomes
de hosts da Internet a dados e mapear endereos para nomes de host. Isso no correto, o
DNS um banco de dados hierrquico (ainda que limitado), e pode armazenar quase qualquer
tipo de dados, para praticamente qualquer finalidade.
HIERARQUIA
Devido ao tamanho da internet, armazenar todos os pares domnio - endereo IP em um nico
servidor DNS seria invivel, por questes de escalabilidade que incluem:
Confiabilidade: se o nico servidor de DNS falhasse, o servio se tornaria indisponvel
para o mundo inteiro.
Distncia: grande parte dos usurios estaria muito distante do servidor, onde quer que
ele fosse instalado, gerando grandes atrasos para resolver pedidos DNS.
SERVIDORES DNS
Os servidores DNS se dividem nas seguintes categorias:
Cada servidor de domnio de topo conhece os endereos dos servidores autoritativos que
pertencem quele domnio de topo, ou o endereo de algum servidor DNS intermedirio que
conhece um servidor autoritativo.
Com essas trs classes de servidores, j possvel resolver qualquer requisio DNS. Basta
fazer uma requisio a um servidor raiz, que retornar o endereo do servidor de topo
responsvel. Ento repete-se a requisio para o servidor de topo, que retornar o endereo do
servidor autitativo ou algum intermedirio. Repete-se a requisio aos servidores
intermedirios (se houver) at obter o endereo do servidor autoritativo, que finalmente
retornar o endereo IP do domnio desejado.
MELHORIA E PERFOMANCE
Dois recursos so usados em conjunto para reduzir a quantidade de requisies que os
servidores raiz devem tratar e a quantidade de requisies feitas para resolver cada consulta:
Cache:Toda vez que um servidor retorna o resultado de uma requisio para a qual ele
no autoridade (o que pode acontecer no mtodo de resoluo recursivo), ele
armazena temporariamente aquele registro. Se, dentro do tempo de vida do registro,
alguma requisio igual for feita, ele pode retornar o resultado sem a necessidade de
uma nova consulta. Note que isso pode provocar inconsistncia, j que se um domnio
mudar de endereo durante o tempo de vida do cache, o registro estar desatualizado.
Apenas o servidor autoritativo tem a garantia de ter a informao correta. possvel
exigir na mensagem de requisio DNS que a resposta seja dada pelo servidor
autoritativo.
DHCP
O DHCP, Dynamic Host Configuration Protocol (Protocolo de configurao dinmica de
host), um protocolo de servio TCP/IP que oferece configurao dinmica de terminais,
com concesso de endereos IP de host, Mscara de sub-rede, Default Gateway (Gateway
Padro), Nmero IP de um ou mais servidores DNS, Nmero IP de um ou mais servidores
WINS e Sufixos de pesquisa do DNS. Este protocolo o sucessor do BOOTP que, embora
mais simples, tornou-se limitado para as exigncias atuais. O DHCP surgiu como padro em
Outubro de 1993.
FUNCIONAMENTO BSICO
DHCP opera da seguinte forma:
Um cliente envia um pacote UDP em broadcast (destinado a todas as mquinas) com
uma requisio DHCP (para a porta 67);
Os servidores DHCP que capturarem este pacote iro responder (se o cliente se
enquadrar numa srie de critrios) para a porta 68 do Host solicitante com um pacote com
configuraes onde constar, pelo menos, um endereo IP, umamscara de rede e outros
dados opcionais, como o gateway, servidores de DNS, etc...
SEGURANA DO DHCP
A base de protocolo DHCP no inclui qualquer mecanismo de autenticao. Por isso,
vulnervel a uma variedade de ataques. Estes ataques se dividem em trs categorias
principais:
Porque o cliente no tem como validar a identidade de um servidor DHCP, servidores DHCP
no autorizados podem ser operados em redes, prestao de informaes incorrectas aos
clientes DHCP. Isso pode servir tanto como um ataque de negao de servio, impedindo o
cliente de ter acesso a conectividade de rede. Porque o servidor DHCP fornece o cliente
DHCP com endereos IP do servidor, como o endereo IP de um ou mais servidores DNS, um
atacante pode convencer um cliente DHCP para fazer pesquisas atravs de seu DNS seu
prprio servidor DNS, e pode, portanto, fornecer suas prprias respostas a consultas DNS do
cliente. Por sua vez, permite que o atacante para redirecionar o trfego de rede atravs de si,
permitindo-lhe escutar as conexes entre os servidores de rede do cliente e ele entra em
contato, ou simplesmente para substituir os servidores de rede com o seu prprio. Porque o
servidor DHCP no tem nenhum mecanismo seguro para autenticar o cliente, os clientes
podem obter acesso no autorizado aos endereos IP de apresentao de credenciais, tais
como identificadores do cliente, que pertencem a outros clientes DHCP. Isso tambm permite
que os clientes DHCP para esgotar o DHCP armazenamento de servidor de endereos IP-,
apresentando novas credenciais cada vez que ele pede um endereo, o cliente pode consumir
todos os endereos IP disponveis em um link de rede particular, impedindo outros clientes
DHCP da obteno de servios. DHCP fornece alguns mecanismos para mitigar esses
problemas.
O Rel de Agente de Informaes extenso protocolo Option (RFC 3046) permite que os
operadores de rede para conectar marcas a mensagens DHCP uma vez que estas mensagens
chegam na rede de confiana do operador de rede. Esta tag ento usado como um token de
autorizao para controlar o acesso do cliente aos recursos da rede. Porque o cliente no tem
acesso rede a montante do agente de retransmisso, a falta de autenticao no impede que o
operador do servidor DHCP de confiar no token de autorizao.
Outro ramal, autenticao para DHCP mensagens (RFC 3118), fornece um mecanismo para
autenticao de mensagens DHCP. Infelizmente RFC 3118 no viu a adopo generalizada
por causa dos problemas de gerenciamento de chaves para um grande nmero de clientes
DHCP.