Queremos protegernos ante un servidor dhcp no autorizado en la red (Rogue Dhcp), y tenemos un router Mikrotik.
Escenario:
El equipo mikrotik es el router principal de la red.
El equipo mikrotik le da servicio a un switch plano (no administrable).
El equipo mikrotik está configurado propagando un segmento 192.168.200.1/24 dentro del bridge1 (lan).
Configuración:
Hay que habilitar la opción "DHCP Snooping" en el bridge.
- Si está usando la opción 82 en un servidor dhcp, hay que habilitarla.
Catalogar puertos confiables y no confiables.
En este escenario, ya que el mikrotik es el único que envía direccionamiento dhcp a la red, no deberíamos recibir alguno diferente en en los puertos lan. Por lo tanto, ningún puerto es confiable.
Ejemplo de puerto confiable seria en el lado del switch en donde se recibe la conexión del equipo mikrotik. Pero, ese escenario aplica únicamente cuando el switch es administrable, ya que la configuración se aplica en el switch.
Para confirmar el estado del puerto, se accede a los puertos en la sección del bridge y verificar la opción de "Trusted". Si habilita el check, el puerto es confiable, si está deshabilitado el puerto no es confiable.
¿Cómo saber si el equipo detecto un dhcp intruso?
En la sección de logs se va a tener la alerta, donde informa el puerto donde encuentra al dhcp intruso, y la mac de donde viene.
¿Qué pasa en la red con el dhcp intruso y el dhcp snooping activo?
Lo que hace el mikrotik es evitar que el dhcp intruso funcione en la red. Pero, el direccionamiento principal de ese dhcp intruso aun estará activo. Por ejemplo: Si el dhcp intruso inicia con la ip 192.168.56.1/24, al realizar ping a la ip 192.168.56.1 se va a tener respuesta a ping, pero ya no funciona la parte del dhcp.
No hay comentarios.:
Publicar un comentario