Dynamic Host Configuration Protocol (DHCP)

Das Kommunikationsprotokoll Dynamic Host Configuration Protocol (DHCP) weist in einem TCP/IP-Netzwerk den angeschlossenen Geräten die Netzwerkkonfiguration zu. Ein DHCP-Server sendet an die DHCP-Clients die nötigen Informationen, um mit dem Netzwerk kommunizieren zu können. Eine manuelle Konfiguration der Netzwerkschnittstelle ist durch das Dynamic Host Configuration Protocol nicht mehr erforderlich. Das Dynamic Host Configuration Protocol nutzt die UDP-Ports 67 und 68.

Folgende Einstellungen werden standardmäßig zugewiesen:

• IP-Adresse
• Netzwerkmaske
• Default-Gateway
• Primärer und sekundärer DNS-Server

Viele weitere Optionen stehen beim Dynamic Host Configuration Protocol zur Verfügung. So kann beispielsweise der Windows Internet Naming Service zur Namensauflösung im lokalen Netzwerk genutzt werden oder auch Proxy-Konfigurationen automatisch an die DHCP-Clients weitergeleitet werden.

Erweiterung von BOOTP

Das Dynamic Host Configuration Protocol ist eine Erweiterung des Bootstrap-Protokolls (BOOTP) und zu diesem auch kompatibel. Bei BOOTP wird einem Netzwerkrechner eine IP-Adresse beim Bootvorgang zugewiesen. So kann ein Betriebssystem aus dem Netzwerk geladen werden. Eine eigene Festplatte ist dabei nicht notwendig.

Anwendung im Heimnetzwerk und bei Internet-Service-Anbietern

Das Dynamic Host Configuration Protocol kommt in unterschiedlich großen Netzwerken zum Einsatz. Internet Service Provider (ISP) weisen den Kunden eine öffentliche IP-Adresse zu. Im Heim- oder Firmennetzwerk kann der Router als DHCP-Server fungieren und versendet die private IP-Adresse.

DHCP-Server

Der Server wird als Hintergrundprozess gestartet und wartet auf Anfragen auf dem UDP-Port 67. Welche Netzwerkkonfigurationsdaten vergeben werden, lässt sich konfigurieren. Die meisten modernen Router verfügen über DHCP. Eine Konfiguration erfolgt hier über das Routermenü. Auch die Betriebssysteme Windows und Linux bringen einen eigenen DHCP-Server mit.

Es wird zwischen drei verschiedenen Betriebsmodi unterschieden:

Manuelle Zuordnung

Bei dem statischen DHCP-Betriebsmodus werden feste IP-Adressen an die einzelnen Geräte verteilt (MAC-Adresse). Die Adresse ist dabei auf unbestimmte Zeit zugeteilt. Dies kann erwünscht sein, wenn ein DHCP-Client unter einer festen Adresse als Server erreichbar sein soll. Auch die Portweiterleitung an einen Client benötigt meist eine feste IP-Adresse.

Automatische Zuordnung

Auf dem DHCP-Server wird ein Bereich von IP-Adressen definiert. Diese werden dann den MAC-Adressen der Clients zugewiesen. Auch bei diesem Verfahren werden die Adressen permanent zugewiesen. Hosts erhalten so immer dieselbe IP-Adresse. Ist der gesamte Adressbereich vergeben, können keine weiteren Geräte ins Netzwerk integriert werden. In der Praxis findet jedoch überwiegend die manuelle und dynamische Zuordnung eine Rolle.

Dynamische Zuordnung

Ein ähnlicher Betriebsmodus wie die automatische Zuordnung. Die IP-Adressen werden bei diesem Modus jedoch nur auf eine bestimmte Zeitdauer verliehen. Läuft die Lease-Zeit (Leihdauer) ab, wird die IP-Adresse wieder frei. Nach erneuter Beantragung kann dieselbe IP-Adresse an das gleiche Gerät oder einen anderen Client im Netzwerk vergeben werden. Die Lease-Dauer kann variabel eingestellt werden. Mit besonderen Regeln können in diesem Modus auch IP-Adressen abhängig von der MAC-Adresse gemacht werden. So kann selbst nach Ablauf der Lease-Zeit auf das Gerät mit der gleichen IP-Adresse zugegriffen werden.

DHCP Relaying

In kleinen Netzwerken mit nur einem IP-Subnetz kommunizieren die Clients direkt mit dem Server. Soll ein DHCP-Server mehrere Subnetze bedienen, kommen DHCP-Relay-Agenten zum Einsatz. Diese leiten die Informationen an die Clients weiter, da diese sonst nicht direkt mit dem DHCP-Server kommunizieren könnten.

Sicherheit von DHCP

Da das übliche Dynamic Host Configuration Protocol über keinen Authentifikationsmechanismus verfügt, ist es anfällig für Angriffe. Da jeder DHCP-Client jeden DHCP-Server akzeptiert, können unautorisierte Rogue-DHCP-Server für Probleme sorgen. Ein Denial-of-Service-Angriff kann so durch eine falsche Netzwerkkonfiguration geschehen. Doch auch ein DSL-Router im Auslieferungszustand mit aktiviertem DHCP-Server kann ein Netzwerk lahmlegen. So kann dieser schneller antworten als der eigentliche Zugangsrouter und die falschen Zugangsdaten übermitteln.
Auch auf die vermeintliche Eindeutigkeit der MAC-Adresse kann sich nicht verlassen werden, da sich mit MAC-Spoofing die Adresse leicht ändern lässt. Um sich vor unberechtigtem Zugriff zu schützen, sollten daher andere Authentifizierungsmechanismen genutzt werden.