[chetkiyparen]

Добрый день!

Имеется схема провайдер - микротик - сеть на тупых свичах, авторизация на микротике только через РРРОЕ

 

В сети начали замечать какой-то сторонний DHCP сервер 192.168.137.1, причем у людей, которые даже понятия не имеют что такое DHCP и сами рррое настроить порой не могут. На их компе стот айпишник в настройках сетевой карты именно 192.168.137.1 и никакого стороннего ПО, но с их компа идет раздача адресов по DHCP 192.168.137.0/24 и в итоге получается, что через их подключение к интернету(рррое до микротика) сидят другие, кто в сети.

 

Причину так и не могу пока установить откуда на сетевках берется этот адрес, может вирусня какую-то ловят....

 

Но хотелось бы избавится от этой проблемы средствами микротика. Возможно ли это сделать и как? Кроме идеи поднять на микротике DHCP сервер, чтобы клиенты получали от него адреса, но это не дает гарантии, что они не получат адреса от вышеуказанного сервера. Какие есть идеи, кроме как ставить управляемые коммутаторы?

[Negator]

решения кроме управляемыхкоммутаторов нет.

Разве что найти этот сторонний сервер и отключить от сети.

[chetkiyparen]

нашел и отключил, появился снова на другом уже компе, причем человек также далек от сетевых настроек, поэтому не могу понять что может вызывать это...

[Negator]

роутер который подключен вам в сеть как LAN так и WAN портом.

[s.lobanov]

ну например некоторые voip/3play-железяки имеют dhcp-сервер на wan. да полно такого добра

[chetkiyparen]

роутер который подключен вам в сеть как LAN так и WAN портом.

 

я прежде всего на это и подумал, но тут оба случая и без роутеров!

 

оба обычные компы, никакого стороннего железа и софта не было.

 

если ставить управляемые коммутаторы, то я так понимаю данную проблему можно решить только изоляцией портов или еще есть какие идеи?

Edited October 11, 2012 by chetkiyparen

[server801]

Сетку перевести в другой диапазон адресов

[chetkiyparen]

а в сетке нет никакого диапазона по дефолту, адреса раздаются только при авторизации через рррое 10.10.1.0/24

[eill]

это включенный "общий доступ к сетевому подключению" в windows 7, ЕМНИП. В XP он делает dhcp на 192.168.0.1.

 

бороться только заменой свитчей на умные, да.

[st_re]

 

если ставить управляемые коммутаторы, то я так понимаю данную проблему можно решить только изоляцией портов или еще есть какие идеи?

 

Следующим этапом Вам поставят pppoe сервер и соберут пароли... Ставить достаточно умные коммутаторы, чтобы запретить acl все, кроме клиентского pppoe ну или таки да, изоляция портов.

[chetkiyparen]

это включенный "общий доступ к сетевому подключению" в windows 7, ЕМНИП. В XP он делает dhcp на 192.168.0.1.

 

бороться только заменой свитчей на умные, да.

 

а можно более подробнее на эту тему?

[chetkiyparen]

Пока в голову пришло только две идеи для создания помех в работе этого левого DHCP:

 

- выставить на локальном интерфейсе микротика такой же айпишник, как у левого DHCP

- включить на микротике свой DHCP-сервер, и таким образом мешать левому DHCP

 

Но эти методы неизвестно помогут ли...

 

Если микротик ничего сделать не может в плане блокировки левого DHCP, т.к. сеть на тупых свичах, то возможно ли как-то удаленно мониторить появление этого левого DHCP-сервера в сети?

 

Поднял рртр, захожу снаружи, но при авторнизации уже адрес получаешь и соответственно никакой другой адресации в сети уже не получишь... возможно ли на самом микротике, как в ip dhcp leases смотреть наличии маков, с которых идет раздача адресов, т.е. использоать микротик в качестве мониторинга dhcp-client ?

Edited October 11, 2012 by chetkiyparen

[d10r]

Есть такая штука Подавление DHCP серверов

[chetkiyparen]

У меня RB, поэтому ставить на него какое-то дополнительное ПО нет возможности...

 

По логики вещей пришел к выводу, что если самим микротиком нельзя убить левые dhcp-сервера, то должна быть возможность определить того, кто подянл этот DHCP.

 

Сами левые dhcp впринципе не мешали бы в сети, если не раздавали в него инет со всеми вытекающими последствиями, и тут инет может быть двух видов:

1. интернет, взятый клиентом от самого микротика через рррое

2. сторонний интернет, который клиент запустил в сеть через DHCP, взяв его от какого-то стороннего провайдера

 

Для определения левого DHCP с помощью микротика:

 

1. включил DHCP client, отключил use peer DNS, NTP

2. Микротик получил адрес от левого DHCP-сервера, информация об айпишник и маке сервера укзано теперь в ip arp

3. В случае интернета первого случая(взятый клиентом от самого микротика через рррое) можно сравнить мак левого dhcp с маками авторизованных на микротике клиентов.

 

В ip arp у меня мак только левого dhcp, маки авторизовнных через рррое клиентов там не отображаются, но они есть отображаются в логах при авторизации клиентов на рррое-сервере микротика(инфа 3-5 строк от каждого клиента), так вот для нахождения вредителя хочу использовать маки в логах при авторизации через рррое!

В логах такой инофрмации 100 строк, которых нехватает для поиска, думаю увеличить их до 1000. Как это лучше сделать и куда их писать там нужно?

Edited October 12, 2012 by chetkiyparen

[Negator]

По логики вещей пришел к выводу, что если самим микротиком нельзя убить левые dhcp-сервера, то должна быть возможность определить того, кто подянл этот DHCP.

набери на винде arp -a и увидишь мак этого сервера.

Дальше иди по сети и отключай кусками пока не найдешь нужное.

[NiTr0]

Есть такая штука Подавление DHCP серверов

Роутеры - да, глушит. Винду - нет, она шибко умная, отказывается отвечать а потом снова начинает раздавать...

 

Бороться - либо управляемое железо, либо - детектирование левых серверов и попытка их гашения, + уведомление юзера о проблеме с предложением ее решения либо, в случае отказа/нерешения в срок - отключение учетки до устранения. Первое - устранение проблемы, второе - борьба с последствиями малой кровью.

[chetkiyparen]

По логики вещей пришел к выводу, что если самим микротиком нельзя убить левые dhcp-сервера, то должна быть возможность определить того, кто подянл этот DHCP.

набери на винде arp -a и увидишь мак этого сервера.

Дальше иди по сети и отключай кусками пока не найдешь нужное.

это я знаю, так собственно и нашел два раза, но обнаружил я левые DHCP, когда сам в этой локалке был, а сеть удаленная и далеко не каждый день там бываю, даже не каждую неделю, поэтому нужно удаленно подключившись к микротику определить источник проблем, т.е. мак-адрес левого DHCP. Но как уже говорил 100 строк логах не хватает, чтобы найти в них искомый мак и сравнить с маком искомого DHCP.

 

В случае нахождения клиента, от которого идут DHCP запросы просто заблокировать его учетку рррое на микротике и проблема сама собой исчезнет! Бегать по сети потребуется, если источник интернета через левый DHCP будет сторонний, от какого-либо провайдера...

Edited October 12, 2012 by chetkiyparen

[st_re]

Воткните там писюк из списанных, поставьте на нем любой линукс-фрюху и запустите на нем дропер dhcp. И арп прокси отвечающий на любой запрос. и арппингер пингающий от имени замеченных IP. C данной, конкретной проблемой Вы таким образом разберетесь.

 

Но это далеко не единственная проблема, которая может вылезти на неуправляемой сети.

[chetkiyparen]

по поводу дропнуть эти левые DHCP примерно понятно, будет изучать, но сейчас вопрос в первую очередь состоит в том, чтобы найти источник силами микротика, который уже работает в сети!

 

Неужели никто логи не настраивал на микротике более детально?

[punker]

по поводу дропнуть эти левые DHCP примерно понятно, будет изучать, но сейчас вопрос в первую очередь состоит в том, чтобы найти источник силами микротика, который уже работает в сети!

 

Неужели никто логи не настраивал на микротике более детально?

 

Здорово, Андрей!

В винбоксе: System/Logging/Action/memory/Lines=5000. На несколько дней хватит!

Привет с MUM:)

[Fenrir]

по поводу дропнуть эти левые DHCP примерно понятно, будет изучать, но сейчас вопрос в первую очередь состоит в том, чтобы найти источник силами микротика, который уже работает в сети!

 

Неужели никто логи не настраивал на микротике более детально?

 

Здорово, Андрей!

В винбоксе: System/Logging/Action/memory/Lines=5000. На несколько дней хватит!

Привет с MUM:)

 

Действительно, не вижу проблем, в настройках memory указывайте количество строк сколько вам необходимо. Хотя еще удобнее настроить т.н. "remote" - сброс логов в syslog. Так будет гораздо проще анализировать логи, тут вам и поиск будет и выборки можно делать, и хранить логи вплоть до бесконечности...

[RG-45]

Отключайте протокол TCP/IP у клиента .

[murzik_one]

А вообще прекращайте заниматься онанизмом, и начинайте менять железо на управляемое. Разнесите сеть на сегмены, для начала развяжите его L2 свичем, зафильтруйте между сегментами DHCP.

Сейчас L2 железки уже копейки стоят.

И постепенно меняйте абонентские, с поддержкой dhcp opt82.

В итоге модернизации увидите какая это сказка (как с точки обслуживания, так и сточки абонента - когда не надо тыкать в соединения, после загрузки компа он уже в интернете).

[amurblaga]

вообще прекращайте заниматься онанизмом, и начинайте менять железо на управляемое. Разнесите сеть на сегмены, для начала развяжите его L2 свичем, зафильтруйте между сегментами DHCP.

Начните с простого Хотябы ACL а там почуствуете вкус и поймете что чем умнее тем лучше.

Я себе сейчас ставлю на доступ 3528 и то выскакивают приколы.

[NiTr0]

Хотябы ACL

Лучше - полноценная сегментация вместо костылей. Ван на дом к примеру, в идеале - влан на абона.

 

там почуствуете вкус и поймете что чем умнее тем лучше.

Обратная сторона - у дешевых управлялок дажеко не всегда все заявленные фичи работают в полном объеме и во всех комбинациях корректно. От того - лучше ограничиться минимально необходимым набором фич.