[iraklizh]

Добрый вечер, сегодня замучила следюущая проблемма: каждые 10 мин проверяется нет ли в сети чужих DHCP-серваков.. к сожалению сеть одноранговая, мой DHCP настроен на роутере Микротик (bridge) в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно... в терминале получаю уведомление что    dhcp,critical,error dhcp alert on bridge1: discovered unknown dhcp server, mac C8:3A:35:26:66:68, ip 192.168.0.1...а моя адресация это 173.16.0.0/20

и в фаирволе и в фильтрах bridge прописывал chain input/forward source ip 192.168.0.1 мас source port 68 dest port 67 action=drop, пакеты видит а остановить не может... что предпринять в данном случае (планируется завести нормальные аксцес свичи) но что сейчас можно сделать? поднять правила на самый верх в файрволе? не отрубит весь траффик?

Изменено 11 июня, 2021 пользователем iraklizh

[mixtery]

/ip firewall filter
add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop

[lugoblin]

6 hours ago, iraklizh said:

в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно

Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое.

 

Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него.

 

А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться.

 

 

[iraklizh]

6 hours ago, mixtery said:

/ip firewall filter
add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop

у меня прописано это правило, но каждые 10 мин DHCP Allert сообшает что обнаружен вражеский dhcp.

 

2 hours ago, lugoblin said:

Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое.

 

Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него.

 

А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться.

 

 

в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp..определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму... У меня в dhcp delay ничего не указанно, все по умолчанию..

Может вдобавок указать опцию always broadcast?

 

Изменено 12 июня, 2021 пользователем iraklizh

[lugoblin]

12 hours ago, iraklizh said:

в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp..

Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет...

Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки.

 

12 hours ago, iraklizh said:

определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму

Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации.

 

В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича.

 

[iraklizh]

13 hours ago, lugoblin said:

Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет...

Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки.

 

Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации.

 

В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича.

 

Согласен, какой год прощу хотябы микротовские свичи... кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке?

( не хочется менять порты на каждом свиче чтоб подключатся по winbox)

[lugoblin]

21 hours ago, iraklizh said:

кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке?

( не хочется менять порты на каждом свиче чтоб подключатся по winbox)

Очень разнообразная.
В общем случае, если админить извне без VPN, что угодно, не только сетевое оборудование, то коннектиться через тщательно борнированный Jump Host, по SSH с ключами.

В случае Микротиков, админить по SSH или HTTPS а не через Winbox, и по IP а не через Ethernet. Jump Host должен уметь проброс портов по SSH.

 

 

21 hours ago, iraklizh said:

Согласен, какой год прощу хотябы микротовские свичи...

В письменном виде, обращаясь к Лицу Принимающему Решения, чётко сформулируйте текущую проблему, её причины, наносимый ущерб и перспективы повторения если не прининять превентивных мер.

Обозначте план и стоимость решения, только коррективными мерами (сходить ногами, пожонглировать кабелями, неудобства для остальных клиентов, перспектива рецидива и т.д.), и используя превенивные меры (заменить свич на минимально управляемый, всех мигрировать, остальные мероприятия провести програмно). Есть подозрение, что стоимость второго варианта не будет существенно выше.

 

[iraklizh]

Спасибо, у вас это культурно, у круаных провов тоже более-менее а эта филькина контора еще ... хотя я тоже набираюсь опыта понемногу. Скажите я не работал с микротовскими свичами, как вы их оцениваете в виде свичей доступа пойдут? 

[iraklizh]

Я как то к винбоксу привык, правда я меняю порт, но лутше по https?