ISC-consortium Release van DHCP-server , ter vervanging van de klassieke ISC DHCP. Projectbronnen onder licentie , in plaats van de ISC-licentie die eerder werd gebruikt voor ISC DHCP.
Kea DHCP-server is gebaseerd op BIND 10 en gebruikmakend van een modulaire architectuur, wat inhoudt dat de functionaliteit in verschillende processorprocessen wordt verdeeld. Het product bevat een volledig uitgeruste serverimplementatie met ondersteuning voor DHCPv4- en DHCPv6-protocollen, die ISC DHCP kan vervangen. Kea heeft ingebouwde tools voor het dynamisch updaten van DNS-zones (Dynamic DNS), ondersteunt mechanismen voor serverdetectie, adrestoewijzing, updaten en opnieuw verbinden, het onderhouden van informatieverzoeken, het reserveren van adressen voor hosts en het opstarten van PXE. De DHCPv6-implementatie biedt bovendien de mogelijkheid om voorvoegsels te delegeren. Er is een speciale API beschikbaar voor interactie met externe applicaties. Het is mogelijk om de configuratie direct bij te werken zonder de server opnieuw op te starten.
Informatie over toegewezen adressen en clientparameters kan worden opgeslagen in verschillende soorten opslag. Momenteel zijn er backends beschikbaar voor opslag in CSV-bestanden, MySQL DBMS, Apache Cassandra en PostgreSQL. Hostreserveringsparameters kunnen worden opgegeven in een configuratiebestand in JSON-formaat of als tabel in MySQL en PostgreSQL. Het bevat de perfdhcp-tool voor het meten van de prestaties van de DHCP-server en componenten voor het verzamelen van statistieken. Kea laat goede prestaties zien: bij gebruik van de MySQL-backend kan de server bijvoorbeeld 1000 adrestoewijzingen per seconde uitvoeren (ongeveer 4000 pakketten per seconde), en bij gebruik van de memfile-backend bereiken de prestaties 7500 toewijzingen per seconde.
Toets in Kea 1.6:
- Er is een configuratie-backend (CB, Configuration Backend) geïmplementeerd, waarmee u de instellingen van meerdere DHCPv4- en DHCPv6-servers centraal kunt beheren. De backend kan worden gebruikt om de meeste Kea-instellingen op te slaan, inclusief algemene instellingen, gedeelde netwerken, subnetten, opties, pools en optiedefinities. In plaats van al deze instellingen op te slaan in een lokaal configuratiebestand, kunnen ze nu in een externe database worden geplaatst. In dit geval is het mogelijk om niet alle, maar enkele van de instellingen te bepalen via CB, waarbij parameters uit de externe database en lokale configuratiebestanden worden overlapt (de netwerkinterface-instellingen kunnen bijvoorbeeld in lokale bestanden blijven staan).
Van de DBMS'en voor het opslaan van configuraties wordt momenteel alleen MySQL ondersteund (MySQL, PostgreSQL en Cassandra kunnen worden gebruikt om databases voor adrestoewijzing (leases) op te slaan, en MySQL en PostgreSQL kunnen worden gebruikt om hosts te reserveren). De configuratie in de database kan worden gewijzigd via directe toegang tot het DBMS of via speciaal voorbereide laagbibliotheken die een standaardset opdrachten bieden voor configuratiebeheer, zoals het toevoegen en verwijderen van parameters, bindingen, DHCP-opties en subnetten;
- Een nieuwe "DROP"-handlerklasse toegevoegd (alle pakketten die aan de DROP-klasse zijn gekoppeld, worden onmiddellijk verwijderd), die kan worden gebruikt om ongewenst verkeer, bijvoorbeeld bepaalde typen DHCP-berichten, te verwijderen;
- Er zijn nieuwe parameters max-lease-time en min-lease-time toegevoegd, waardoor u de levensduur van het adres dat aan de klant (lease) gebonden is, kunt bepalen, niet in de vorm van een hardgecodeerde waarde, maar in de vorm van een acceptabel bereik;
- Verbeterde compatibiliteit met apparaten die niet volledig voldoen aan de DHCP-standaarden. Om deze problemen te omzeilen, verzendt Kea nu DHCPv4-berichttype-informatie helemaal aan het begin van de optielijst, verwerkt verschillende representaties van hostnamen, herkent de verzending van een lege hostnaam en staat toe dat suboptiecodes 0 tot en met 255 worden gedefinieerd;
- Voor de DDNS-daemon is een aparte control socket toegevoegd, waarmee je direct opdrachten kunt versturen en configuratiewijzigingen kunt doorvoeren. De volgende opdrachten worden ondersteund: build-report, config-get, config-reload, config-set, config-test, config-write, list-commands, shutdown enversion-get;
- geëlimineerd (CVE-2019-6472, CVE-2019-6473, CVE-2019-6474), die kan worden gebruikt om een Denial of Service te veroorzaken (waardoor de DHCPv4- en DHCPv6-serverhandlers crashen) door verzoeken met onjuiste opties en waarden te verzenden. Het grootste gevaar is het probleem , wat, wanneer het wordt gebruikt voor memfile-opslag voor bindingen, het onmogelijk maakt om het serverproces zelfstandig opnieuw te starten, dus handmatige tussenkomst van de beheerder (het opschonen van de bindingsdatabase) is vereist om de werking te herstellen.
Bron: opennet.ru