Consórcio ISC Liberação do servidor DHCP , substituindo o DHCP ISC clássico. Fontes do projeto sob licença , em vez da licença ISC usada anteriormente para ISC DHCP.
O servidor Kea DHCP é baseado em BIND 10 e usando uma arquitetura modular, o que implica dividir a funcionalidade em diferentes processos do processador. O produto inclui uma implementação de servidor completa com suporte aos protocolos DHCPv4 e DHCPv6, capaz de substituir o ISC DHCP. Kea possui ferramentas integradas para atualização dinâmica de zonas DNS (DNS dinâmico), suporta mecanismos para descoberta de servidores, atribuição de endereços, atualização e reconexão, atendimento a solicitações de informações, reserva de endereços para hosts e inicialização PXE. A implementação do DHCPv6 fornece adicionalmente a capacidade de delegar prefixos. Uma API especial é fornecida para interagir com aplicativos externos. É possível atualizar a configuração instantaneamente sem reiniciar o servidor.
Informações sobre endereços alocados e parâmetros do cliente podem ser armazenadas em diferentes tipos de armazenamento - atualmente os backends são fornecidos para armazenamento em arquivos CSV, MySQL DBMS, Apache Cassandra e PostgreSQL. Os parâmetros de reserva de host podem ser especificados em um arquivo de configuração no formato JSON ou como uma tabela no MySQL e PostgreSQL. Inclui a ferramenta perfdhcp para medir o desempenho do servidor DHCP e componentes para coletar estatísticas. Kea demonstra bom desempenho, por exemplo, ao usar o backend MySQL, o servidor pode realizar 1000 atribuições de endereços por segundo (cerca de 4000 pacotes por segundo), e ao usar o backend memfile, o desempenho atinge 7500 atribuições por segundo.
Chave em Kea 1.6:
- Um backend de configuração (CB, Configuration Backend) foi implementado, permitindo gerenciar centralmente as configurações de vários servidores DHCPv4 e DHCPv6. O backend pode ser usado para armazenar a maioria das configurações do Kea, incluindo configurações globais, redes compartilhadas, sub-redes, opções, pools e definições de opções. Em vez de armazenar todas essas configurações em um arquivo de configuração local, elas agora podem ser colocadas em um banco de dados externo. Neste caso, é possível determinar não todas, mas algumas configurações através do CB, sobrepondo parâmetros do banco de dados externo e arquivos de configuração locais (por exemplo, as configurações da interface de rede podem ser deixadas em arquivos locais).
Dos SGBDs para armazenamento de configuração, apenas o MySQL é atualmente suportado (MySQL, PostgreSQL e Cassandra podem ser usados para armazenar bancos de dados de atribuição de endereços (locações), e MySQL e PostgreSQL podem ser usados para reservar hosts). A configuração no banco de dados pode ser alterada por meio de acesso direto ao SGBD ou por meio de bibliotecas de camadas especialmente preparadas que fornecem um conjunto padrão de comandos para gerenciamento de configuração, como adição e exclusão de parâmetros, ligações, opções de DHCP e sub-redes;
- Adicionada uma nova classe de manipulador "DROP" (todos os pacotes associados à classe DROP são descartados imediatamente), que pode ser usada para descartar tráfego indesejado, por exemplo, certos tipos de mensagens DHCP;
- Novos parâmetros max-lease-time e min-lease-time foram adicionados, permitindo determinar o tempo de vida do endereço vinculado ao cliente (lease) não na forma de um valor codificado, mas na forma de um faixa aceitável;
- Compatibilidade aprimorada com dispositivos que não atendem totalmente aos padrões DHCP. Para contornar os problemas, o Kea agora envia informações de tipo de mensagem DHCPv4 bem no início da lista de opções, lida com diferentes representações de nomes de host, reconhece a transmissão de um nome de host vazio e permite que códigos de subopção de 0 a 255 sejam definidos;
- Um soquete de controle separado foi adicionado para o daemon DDNS, através do qual você pode enviar comandos diretamente e fazer alterações na configuração. Os seguintes comandos são suportados: build-report, config-get, config-reload, config-set, config-test, config-write, list-commands, shutdown e version-get;
- Eliminado (CVE-2019-6472, CVE-2019-6473, CVE-2019-6474), que pode ser usado para causar uma negação de serviço (causando a falha dos manipuladores de servidores DHCPv4 e DHCPv6) enviando solicitações com opções e valores incorretos. O maior perigo é o problema , que, se o armazenamento memfile for usado para ligações, torna impossível reiniciar o processo do servidor por conta própria, portanto, a intervenção manual do administrador (limpando o banco de dados de ligação) é necessária para restaurar a operação.
Fonte: opennet.ru