Todo equipamento em uma rede precisar receber um endereço IP, do tipo 192.168.0.53 ou 200.10.43.89. Tanto faz se é uma rede interna ou uma rede com acesso Internet, todos equipamentos precisam de um endereço. Além disso esse endereço tem que ser único (não pode haver dois iguais na mesma rede) e o endereço deve ser compatível com a rede, ou seja, se estou em uma rede onde todas máquinas começam com 192.168.5, não posso usar endereço 200.10.43.89, nem mesmo 192.168.6.2.
Isso também vale para qualquer tipo de acesso: cabeado, Wi-Fi, 3G, 4G, etc. E também vale para qualquer tipo de equipamento que entrar nessas redes: servidor, notebook, roteador, tablet, smartphone, impressora, XBox, Playstation, etc.
Então como um equipamento descobre qual IP ele pode usar em uma rede? A primeira maneira é o usuário configurar esse endereço manualmente e - antigamente - era a maneira mais comum. No entanto a não ser que o usuário tivesse um conhecimento bom de redes, essa estratégia dava muito problema, como você pode imaginar.
Para ajudar, surgiu o DHCP (Dynamic Host Configuration Protoco) que é um protocolo muito simples onde um equipamento novo na rede (ou um equipamento que foi re-iniciado) procura na rede um servidor (o servidor de DHCP) e pega com ele um endereço (e de brinde recebe algumas outras informações importantes, como endereço do roteador, endereço de servidor DNS, etc.).
Assim, quando você configura um computador ou impressora para obter endereço dinamicamente, na verdade você está indicando para ele usar o DHCP para descobrir o endereço dele.
Quem pode ser Servidor de DHCP?
O servidor de DHCP pode ser o roteador (em redes pequenas) ou um servidor de grande porte dedicado (em redes maiores). Eu posso inclusive ter mais de um servidor de DHCP na mesma rede, assim se um falhar o outro toma conta da tarefa.
O grande problema é que qualquer um pode ser servidor DHCP, inclusive um hacker ou um funcionário mal intencionado. Assim o DHCP é também uma fonte de preocupação dentro das redes, porque é muito fácil transformar um notebook em um servidor DHCP.
Problemas de Segurança
Mas qual seria a razão de um hacker querer ajudar uma rede? Se um funcionário criar um servidor de DHCP no desktop dele, que mal ele pode fazer para a rede?
O primeiro problema é que ele pode parar a rede. Imagine que a rede tem endereço 192.168.0 e o servidor de DHCP desse funcionário está entregando endereços da faixa 10.1.1. Qualquer computador, impressora ou equipamento que receber um endereço IP dessa faixa não vai conseguir acessar a rede nem navegar na Internet. Inclusive não é raro usuários fazerem isso mesmo sem querer: um usuário trás de casa um roteador WiFi e espeta na rede para criar uma rede wireless particular (por exemplo, porque ele acha que o WiFi da empresa não é bom). Se o roteador estiver configurado para ser servidor DHCP (por padrão, todos roteadores WiFi saem de fábrica assim), a confusão é garantida. E pode levar dias para o administrador da rede descobrir o que está acontecendo!!!
Mas o principal problema é com gente mal intencionada. Lembra que eu falei acima que o servidor DHCP também fornece o endereço do roteador? Se um funcionário-hacker configura o seu desktop para trabalhar como roteador e como servidor de DHCP, ele pode entregar para a rede não apenas os endereços IP, mas também indicar o roteador é o desktop desse funcionário. Qual o efeito? Todo o tráfego vai passar pelo desktop do hacker! Acesso aos sites, emails, homebanking, etc. Hoje em dia a maioria desse tráfego é criptografado, o que impediria o hacker de ver o conteúdo, mas infelizmente essa proteção não atinge 100% dos programas e aplicações.
Para evitar esse tipo de problema, alguns switches Ethernet podem ser configurados para identificar quando um servidor de DHCP surge "magicamente" na rede, bloqueando automaticamente a porta desse usuário-hacker e avisando imediatamente o administrador da rede. Apesar desse ser hoje um dia um recurso comum até mesmo em switches de baixo custo, poucos administradores de rede habilitam porque não sabem que ele existe e nem estão cientes dos riscos.
Isso também vale para qualquer tipo de acesso: cabeado, Wi-Fi, 3G, 4G, etc. E também vale para qualquer tipo de equipamento que entrar nessas redes: servidor, notebook, roteador, tablet, smartphone, impressora, XBox, Playstation, etc.
Então como um equipamento descobre qual IP ele pode usar em uma rede? A primeira maneira é o usuário configurar esse endereço manualmente e - antigamente - era a maneira mais comum. No entanto a não ser que o usuário tivesse um conhecimento bom de redes, essa estratégia dava muito problema, como você pode imaginar.
Para ajudar, surgiu o DHCP (Dynamic Host Configuration Protoco) que é um protocolo muito simples onde um equipamento novo na rede (ou um equipamento que foi re-iniciado) procura na rede um servidor (o servidor de DHCP) e pega com ele um endereço (e de brinde recebe algumas outras informações importantes, como endereço do roteador, endereço de servidor DNS, etc.).
Assim, quando você configura um computador ou impressora para obter endereço dinamicamente, na verdade você está indicando para ele usar o DHCP para descobrir o endereço dele.
Quem pode ser Servidor de DHCP?
O servidor de DHCP pode ser o roteador (em redes pequenas) ou um servidor de grande porte dedicado (em redes maiores). Eu posso inclusive ter mais de um servidor de DHCP na mesma rede, assim se um falhar o outro toma conta da tarefa.
O grande problema é que qualquer um pode ser servidor DHCP, inclusive um hacker ou um funcionário mal intencionado. Assim o DHCP é também uma fonte de preocupação dentro das redes, porque é muito fácil transformar um notebook em um servidor DHCP.
Problemas de Segurança
Mas qual seria a razão de um hacker querer ajudar uma rede? Se um funcionário criar um servidor de DHCP no desktop dele, que mal ele pode fazer para a rede?
O primeiro problema é que ele pode parar a rede. Imagine que a rede tem endereço 192.168.0 e o servidor de DHCP desse funcionário está entregando endereços da faixa 10.1.1. Qualquer computador, impressora ou equipamento que receber um endereço IP dessa faixa não vai conseguir acessar a rede nem navegar na Internet. Inclusive não é raro usuários fazerem isso mesmo sem querer: um usuário trás de casa um roteador WiFi e espeta na rede para criar uma rede wireless particular (por exemplo, porque ele acha que o WiFi da empresa não é bom). Se o roteador estiver configurado para ser servidor DHCP (por padrão, todos roteadores WiFi saem de fábrica assim), a confusão é garantida. E pode levar dias para o administrador da rede descobrir o que está acontecendo!!!
Mas o principal problema é com gente mal intencionada. Lembra que eu falei acima que o servidor DHCP também fornece o endereço do roteador? Se um funcionário-hacker configura o seu desktop para trabalhar como roteador e como servidor de DHCP, ele pode entregar para a rede não apenas os endereços IP, mas também indicar o roteador é o desktop desse funcionário. Qual o efeito? Todo o tráfego vai passar pelo desktop do hacker! Acesso aos sites, emails, homebanking, etc. Hoje em dia a maioria desse tráfego é criptografado, o que impediria o hacker de ver o conteúdo, mas infelizmente essa proteção não atinge 100% dos programas e aplicações.
Para evitar esse tipo de problema, alguns switches Ethernet podem ser configurados para identificar quando um servidor de DHCP surge "magicamente" na rede, bloqueando automaticamente a porta desse usuário-hacker e avisando imediatamente o administrador da rede. Apesar desse ser hoje um dia um recurso comum até mesmo em switches de baixo custo, poucos administradores de rede habilitam porque não sabem que ele existe e nem estão cientes dos riscos.
Comentários