iraklizh Posted June 11, 2021 Posted June 11, 2021 (edited) Добрый вечер, сегодня замучила следюущая проблемма: каждые 10 мин проверяется нет ли в сети чужих DHCP-серваков.. к сожалению сеть одноранговая, мой DHCP настроен на роутере Микротик (bridge) в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно... в терминале получаю уведомление что dhcp,critical,error dhcp alert on bridge1: discovered unknown dhcp server, mac C8:3A:35:26:66:68, ip 192.168.0.1...а моя адресация это 173.16.0.0/20 и в фаирволе и в фильтрах bridge прописывал chain input/forward source ip 192.168.0.1 мас source port 68 dest port 67 action=drop, пакеты видит а остановить не может... что предпринять в данном случае (планируется завести нормальные аксцес свичи) но что сейчас можно сделать? поднять правила на самый верх в файрволе? не отрубит весь траффик? Edited June 11, 2021 by iraklizh Вставить ник Quote
mixtery Posted June 11, 2021 Posted June 11, 2021 /ip firewall filter add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop Вставить ник Quote
lugoblin Posted June 12, 2021 Posted June 12, 2021 6 hours ago, iraklizh said: в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое. Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него. А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться. Вставить ник Quote
iraklizh Posted June 12, 2021 Author Posted June 12, 2021 (edited) 6 hours ago, mixtery said: /ip firewall filter add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop у меня прописано это правило, но каждые 10 мин DHCP Allert сообшает что обнаружен вражеский dhcp. 2 hours ago, lugoblin said: Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое. Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него. А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться. в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp..определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму... У меня в dhcp delay ничего не указанно, все по умолчанию.. Может вдобавок указать опцию always broadcast? Edited June 12, 2021 by iraklizh Вставить ник Quote
lugoblin Posted June 12, 2021 Posted June 12, 2021 12 hours ago, iraklizh said: в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp.. Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет... Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки. 12 hours ago, iraklizh said: определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации. В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича. Вставить ник Quote
iraklizh Posted June 13, 2021 Author Posted June 13, 2021 13 hours ago, lugoblin said: Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет... Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки. Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации. В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича. Согласен, какой год прощу хотябы микротовские свичи... кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке? ( не хочется менять порты на каждом свиче чтоб подключатся по winbox) Вставить ник Quote
lugoblin Posted June 14, 2021 Posted June 14, 2021 21 hours ago, iraklizh said: кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке? ( не хочется менять порты на каждом свиче чтоб подключатся по winbox) Очень разнообразная. В общем случае, если админить извне без VPN, что угодно, не только сетевое оборудование, то коннектиться через тщательно борнированный Jump Host, по SSH с ключами. В случае Микротиков, админить по SSH или HTTPS а не через Winbox, и по IP а не через Ethernet. Jump Host должен уметь проброс портов по SSH. 21 hours ago, iraklizh said: Согласен, какой год прощу хотябы микротовские свичи... В письменном виде, обращаясь к Лицу Принимающему Решения, чётко сформулируйте текущую проблему, её причины, наносимый ущерб и перспективы повторения если не прининять превентивных мер. Обозначте план и стоимость решения, только коррективными мерами (сходить ногами, пожонглировать кабелями, неудобства для остальных клиентов, перспектива рецидива и т.д.), и используя превенивные меры (заменить свич на минимально управляемый, всех мигрировать, остальные мероприятия провести програмно). Есть подозрение, что стоимость второго варианта не будет существенно выше. Вставить ник Quote
iraklizh Posted June 14, 2021 Author Posted June 14, 2021 Спасибо, у вас это культурно, у круаных провов тоже более-менее а эта филькина контора еще ... хотя я тоже набираюсь опыта понемногу. Скажите я не работал с микротовскими свичами, как вы их оцениваете в виде свичей доступа пойдут? Вставить ник Quote
iraklizh Posted June 14, 2021 Author Posted June 14, 2021 Я как то к винбоксу привык, правда я меняю порт, но лутше по https? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.