Как не дать в сети возникнуть левому DHCP?
-
lexalex83
- Сообщения: 65
- Зарегистрирован: 29 апр 2017, 12:18
Собственно, сабж.. Как не дать злоумышленнику или какому нибудь д-линку который есть в сети и у которого с какогото перепуга слетел конфиг врубить свой дхцп и начать раздавать левые адреса?
на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
-
mafijs
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Это наверно целый комплекс мер:
а) не давать физически попасть в сеть (ограничения портов, виланы, блокировка)
б) привязать МАК и IP, ограничить в ответах ARP на чужие МАКи
в) сделать оповещение о чужом DHCP (есть в микротике штатно)
P.S.
По Вам и Вашим вопросам уже можно книгу начинать печатать: "100 Почему или Как в сетевых технологиях - от админа"
Всё же надо теорию изучать/переодически прочитывать снова. Некоторые вопросы у Вас очень такие, как бы
корректно сказать - как будто исходят от обычного пользователя"
а) не давать физически попасть в сеть (ограничения портов, виланы, блокировка)
б) привязать МАК и IP, ограничить в ответах ARP на чужие МАКи
в) сделать оповещение о чужом DHCP (есть в микротике штатно)
P.S.
По Вам и Вашим вопросам уже можно книгу начинать печатать: "100 Почему или Как в сетевых технологиях - от админа"
Всё же надо теорию изучать/переодически прочитывать снова. Некоторые вопросы у Вас очень такие, как бы
корректно сказать - как будто исходят от обычного пользователя"
-
lexalex83
- Сообщения: 65
- Зарегистрирован: 29 апр 2017, 12:18
б) привязать МАК и IP, ограничить в ответах ARP на чужие МАКи
ну вот это я знаю как сделать, типа dynamic ARP inspection
ну вот это я знаю как сделать, типа dynamic ARP inspection
на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Vlad-2 писал(а):в) сделать оповещение о чужом DHCP (есть в микротике штатно)
Vlad-2, а расскажите об этом по-подробнее? Речь про Authoritative???
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
gmx писал(а):Vlad-2 писал(а):в) сделать оповещение о чужом DHCP (есть в микротике штатно)
Vlad-2, а расскажите об этом по-подробнее? Речь про Authoritative???
Да всё просто, не сильно круто, но так, поиграться есть над чем.
В настройках DHCP Server'а, последняя закладка - "Alerts" - вот там всё это настраивается.
То есть я там создал Профиль-Алерт (один профиль на один DHCP), указал свой бридж (бриджы)
ну или интерфейс(ы) - на котором(ах) работает(ют) DHCP сервера, там же можно
указать ряд других параметров и написать скрипт/команды в случаи чего делать.
Я так, всего лишь игрался, но если микротик видит на том интерфейсе, который указан для Алертов,
то в логах появляется запись об интерфейсе, МАКе и адресе этого чужого DHCP (точно не помню).
В любом случаи - можно увидеть, была ли попытка запуска DHCP чужого!
Так что штатно есть уведомление и поиск чужеродного DHCP.
(надеюсь было интересно, а если знали,то сорри)
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Нет, не знал. Спасибо за разъяснение.
Не устаю удивляться микротику. Колоссальные возможности.
Не устаю удивляться микротику. Колоссальные возможности.