Blog

Servidores: IPs estáticas o reservas DHCP

Servidores: IPs estáticas o reservas DHCP

Estos días he tenido una conversación interesante con un compañero de trabajo. Discutíamos la posibilidad de cambiar direcciones IP estáticas a reservas DHCP en servidores. Recalco que son reservas, por lo que la dirección nunca cambia. Antes de nada, en mi entorno tenemos bastantes máquinas que actúan como servidores, intercambiando archivos a través de comparticiones de Windows. Podríamos discutir sobre la idoneidad de este sistema, pero ése es otro tema. El caso es que hay muchas que utilizan este método (sobre 30). Veamos pos y contras:
  • Ventajas:
  • Centralización: DHCP permite la configuración de IP, puerta de enlace, sufijos de dominio, servidores DNS y servidores de tiempo, entre otros campos. Gestionaremos todos desde el servidor DHCP, en lugar de ir máquina por máquina.
  • Inconvenientes:
  • Único punto de fallo: si cae el servidor DHCP, los servidores perderán la conectividad.
  • Seguridad: alguien podría plantar un servidor de DHCP falso, asignando configuraciones distintas. Esto no es ninguna broma porque podría ser la puerta a otros ataques como DNS hijacking.
  • Orden de encendido de máquinas: primero el servidor DHCP.
Creo que las ventajas son bastante atractivas. Es interesante resaltar que DHCP no se restringe a direcciones IP , sino que también puede informar sobre otros campos esenciales (DHCP options), como la puerta de enlace y servidores DNS. Veamos los inconvenientes. Al centralizar, también concentramos todos los puntos de fallo. Sin embargo, esto no tiene por qué ser un problema si tenemos un servidor DHCP de respaldo. Otros servicios como DNS suelen estar configurados así. En cualquier caso, podemos poner lease times altos, del orden de días, que nos permitan solventar el problema con tranquilidad antes de perder la conectividad. El problema del servidor DHCP falso se puede solucionar «aislando» a nivel de capa 2. Para ello, crearíamos una subred separada (subnetting), donde estaría el servidor DHCP. Cualquier petición DHCP quedará contenida en ella. El discovery packet tiene como dirección mac de destino la mac de broadcast. Se difunde por todos los ordenadores de la red, pero no pasa a otras redes. Cualquier elemento malicioso externo a la red no podrá enviar una respuesta. El orden de encendido de las máquinas es importante. Si, por ejemplo, hay un corte de luz, la primera que habría que arrancar sería el servidor DHCP. De lo contrario, tendremos que ir una por una haciendo ipconfig /release e ipconfig /renew (en el caso de Windows). DHCP especifica un mensaje FORCERENEW para evitar precisamente esto, pero Windows no lo tiene implementado y por tanto lo ignora. Si finalmente optamos por las reservas DHCP, tenemos que establecer excepciones para máquinas que no pueden configurarse por este método, como servidores DNS, controladores de dominio y clusters (la dirección que representa al cluster, no la de los nodos individuales). Desafortunadamente, no puedo decantarme por una opción u otra. Me da la impresión de que dependerá de cada entorno. Desde luego, si tenemos pocos servidores (digamos que menos de 10), no parece merecer la pena montar un servidor DHCP. Sin embargo, si hay más, y con planes de expansión, la cosa cambia. También facilita las gestión en el caso de un cambio en la red (subred, puerta de enlace). Investigando este tema en Internet, parecía que la mayoría elegía direcciones estáticas. Creo que, en general, es o bien porque tienen pocos servidores, o bien porque no quieren asumir las complicaciones que conllevan las reservas DHCP: servidor DHCP de respaldo y subred adicional. Aparte, pueden haber casos con necesidades de seguridad extremas, como bancos, donde incluso se tenga en cuenta el acceso físico a la red.