====== Поиск чужих DHCP серверов на Mikrotik и оповещение по Email ======

Мошеннические устройства в сети могут приводить к серьезным проблемам в работы сети и безопасности. Несанкционированное устройство, на котором работает DHCP-сервер, можно использовать для перехвата локальных клиентов и перенаправления трафика для атак «человек посередине» и других видов угроз. В лучшем случае пользователь неосознанно подключает устройство, не зная, что это вызовет проблемы в сети. В худшем случае это мошенническое устройство, намеренно установленное злоумышленником для перенаправления или перехвата трафика.

В любом случае, важно следить за нашими сетями на наличие неконтролируемых DHCP-серверов. В RouterOS для этого есть удобный инструмент в меню IP -> DHCP Server. Сначала настроим регистрацию события и MAC-адреса доверенных DHCP-серверов, затем оповещение администратора по e-mail.

Идем в **IP -> DHCP Server -> Alerts** и создаем новое правило:
{{ :txt:0001:1.png |}}

**Interface** — интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети. \\
**Valid Server** — внешние доверенные DHCP сервера. Те, на которые маршрутизатор не будет ругаться. Указываются MAC-адреса. Не требуется указывать, если он располагается на маршрутизаторе. \\
**Alert Timeout** — периодичность с которой будет проводиться поиск. \\
**On Alert** — действие производимое при возникновении инцидента.

Копируем, не забывая изменить e-mail на требуемый:

<code>
tool e-mail send to=admin@admincorner.ru subject=("DHCP Alert: Discovered unknown dhcp-server, RouterBoard 
  identity: ".[/system identity get name]) body="MikroTik have been detected unknown dhcp-server: \n\nIP: $address 
  \nInterface: $interface \nMAC:$"mac-address""
/log info "e-mail send unknown dhcp-server"
</code>

Так же данные действия можно произвести через терминал:

<code>
/ip dhcp-server alert
 add alert-timeout=30m disabled=no interface=vlan110-users on-alert="tool e-mail send to=admin@admincorner.ru 
    subject=(\"DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: \".[/system identity get name]) 
    body=\"MikroTik have been detect\
    ed unknown dhcp-server: \\n\\nIP: \$address \\nInterface: \$interface \\nMAC:\$\"mac-address\"\"\
    \n/log info \"e-mail send unknown dhcp-server\"" valid-server=00:00:00:00:00:00
</code>

Где 00:00:00:00:00:00 MAC адрес внешнего доверенного DHCP сервера.

Далее настраиваем E-mail оповещения. Идем в **Tool -> E-mail** и заполняем необходимые поля.

{{ :txt:0001:2.png |}}

Для Yandex почты:\\
**Server:** smtp.yandex.ru\\
**Port:** 465\\
**Start TLS:** tls only\\
В **From** и **User/Password** указываем полный логин и пароль.

Для Gmail:\\
**Server:** smtp.gmail.com или 173.194.69.108\\
**Port:** 587\\
**Start TLS:** yes\\
**From:** ваша почта@gmail.com\\
**User:** ваша почта (до знака @)\\
**Password:** ваш пароль

Настройка E-mail через терминал:

<code>
/tool e-mail
  set address=smtp.yandex.ru from=mikrotik@admincorner.ru password=Q1w2e3r4 port=465 start-tls=tls-only 
  user=mikrotik@admincorner.ru
</code>

Проверить работоспособность настроек можно в меню Send Email. \\
На этом настройка завершена. Осталось только проверить систему на работоспособность и заварить чашку кофе. Ведь нет ничего лучше чем автоматизировать столь рутинную задачу по отстрелу чужих DHCP.