Consorzio ISC Rilascio del server DHCP , sostituendo il classico DHCP ISC. Fonti del progetto sotto licenza , invece della licenza ISC precedentemente utilizzata per ISC DHCP.
Il server DHCP Kea è basato su BIND 10 e utilizzando un'architettura modulare, che implica la divisione delle funzionalità in diversi processi del processore. Il prodotto include un'implementazione server completa con supporto per i protocolli DHCPv4 e DHCPv6, in grado di sostituire ISC DHCP. Kea dispone di strumenti integrati per l'aggiornamento dinamico delle zone DNS (Dynamic DNS), supporta meccanismi per il rilevamento dei server, l'assegnazione degli indirizzi, l'aggiornamento e la riconnessione, la gestione delle richieste di informazioni, la prenotazione degli indirizzi per gli host e l'avvio PXE. L'implementazione DHCPv6 fornisce inoltre la possibilità di delegare prefissi. Viene fornita un'API speciale per interagire con applicazioni esterne. È possibile aggiornare la configurazione al volo senza riavviare il server.
Le informazioni sugli indirizzi allocati e sui parametri del client possono essere archiviate in diversi tipi di archiviazione: attualmente i backend sono forniti per l'archiviazione in file CSV, DBMS MySQL, Apache Cassandra e PostgreSQL. I parametri di prenotazione dell'host possono essere specificati in un file di configurazione in formato JSON o come tabella in MySQL e PostgreSQL. Include lo strumento perfdhcp per misurare le prestazioni del server DHCP e componenti per la raccolta di statistiche. Kea dimostra buone prestazioni, ad esempio, quando si utilizza il backend MySQL, il server può eseguire 1000 assegnazioni di indirizzi al secondo (circa 4000 pacchetti al secondo) e quando si utilizza il backend memfile, le prestazioni raggiungono 7500 assegnazioni al secondo.
Chiave in Kea 1.6:
- È stato implementato un backend di configurazione (CB, Configuration Backend) che consente di gestire centralmente le impostazioni di diversi server DHCPv4 e DHCPv6. Il backend può essere utilizzato per archiviare la maggior parte delle impostazioni Kea, incluse impostazioni globali, reti condivise, sottoreti, opzioni, pool e definizioni di opzioni. Invece di archiviare tutte queste impostazioni in un file di configurazione locale, ora possono essere inserite in un database esterno. In questo caso, è possibile determinare non tutte, ma alcune delle impostazioni tramite CB, sovrapponendo parametri dal database esterno e dai file di configurazione locale (ad esempio, le impostazioni dell'interfaccia di rete possono essere lasciate nei file locali).
Dei DBMS per l'archiviazione della configurazione, attualmente è supportato solo MySQL (MySQL, PostgreSQL e Cassandra possono essere utilizzati per archiviare database di assegnazione di indirizzi (leas) e MySQL e PostgreSQL possono essere utilizzati per prenotare host). La configurazione nel database può essere modificata sia tramite accesso diretto al DBMS sia tramite librerie di layer appositamente predisposte che forniscono un set standard di comandi per la gestione della configurazione, come aggiunta e cancellazione di parametri, bind, opzioni DHCP e sottoreti;
- Aggiunta una nuova classe di gestione "DROP" (tutti i pacchetti associati alla classe DROP vengono immediatamente eliminati), che può essere utilizzata per eliminare il traffico indesiderato, ad esempio alcuni tipi di messaggi DHCP;
- Sono stati aggiunti nuovi parametri max-lease-time e min-lease-time che consentono di determinare la durata dell'indirizzo vincolato al client (lease) non sotto forma di valore hardcoded, ma sotto forma di intervallo accettabile;
- Compatibilità migliorata con i dispositivi che non sono completamente conformi agli standard DHCP. Per risolvere i problemi, Kea ora invia informazioni sul tipo di messaggio DHCPv4 all'inizio dell'elenco delle opzioni, gestisce diverse rappresentazioni dei nomi host, riconosce la trasmissione di un nome host vuoto e consente la definizione dei codici di subopzione da 0 a 255;
- È stato aggiunto un socket di controllo separato per il demone DDNS, attraverso il quale è possibile inviare direttamente comandi e apportare modifiche alla configurazione. Sono supportati i seguenti comandi: build-report, config-get, config-reload, config-set, config-test, config-write, list-commands, shutdown e version-get;
- Eliminato (CVE-2019-6472, CVE-2019-6473, CVE-2019-6474), che può essere utilizzato per causare un rifiuto di servizio (causando l'arresto anomalo dei gestori di server DHCPv4 e DHCPv6) inviando richieste con opzioni e valori errati. Il pericolo più grande è il problema , che, se utilizzato per l'archiviazione di file mem per i collegamenti, rende impossibile riavviare autonomamente il processo del server, quindi è necessario l'intervento manuale da parte dell'amministratore (pulizia del database di collegamento) per ripristinare il funzionamento.
Fonte: opennet.ru