Различия

Показаны различия между двумя версиями страницы.

--- mikrotik:поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email [2020/12/20 00:25]
admin создано
+++ mikrotik:поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email [2020/12/20 01:36] (текущий)
admin
@@ Строка 1: / Строка 1: @@
+====== Поиск чужих DHCP серверов на Mikrotik и оповещение по Email ======
+Мошеннические устройства в сети могут приводить к серьезным проблемам в работы сети и безопасности. Несанкционированное устройство, на котором работает DHCP-сервер, можно использовать для перехвата локальных клиентов и перенаправления трафика для атак «человек посередине» и других видов угроз. В лучшем случае пользователь неосознанно подключает устройство, не зная, что это вызовет проблемы в сети. В худшем случае это мошенническое устройство, намеренно установленное злоумышленником для перенаправления или перехвата трафика.
+В любом случае, важно следить за нашими сетями на наличие неконтролируемых DHCP-серверов. В RouterOS для этого есть удобный инструмент в меню IP -> DHCP Server. Сначала настроим регистрацию события и MAC-адреса доверенных DHCP-серверов, затем оповещение администратора по e-mail.
+Идем в **IP -> DHCP Server -> Alerts** и создаем новое правило:
+{{ :txt:0001:1.png |}}
+**Interface** — интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети. \\
+**Valid Server** — внешние доверенные DHCP сервера. Те, на которые маршрутизатор не будет ругаться. Указываются MAC-адреса. Не требуется указывать, если он располагается на маршрутизаторе. \\
+**Alert Timeout** — периодичность с которой будет проводиться поиск. \\
+**On Alert** — действие производимое при возникновении инцидента.
+Копируем, не забывая изменить e-mail на требуемый:
+<code>
+tool e-mail send to=admin@admincorner.ru subject=("DHCP Alert: Discovered unknown dhcp-server, RouterBoard
+  identity: ".[/system identity get name]) body="MikroTik have been detected unknown dhcp-server: \n\nIP: $address
+  \nInterface: $interface \nMAC:$"mac-address""
+/log info "e-mail send unknown dhcp-server"
+</code>
+Так же данные действия можно произвести через терминал:
+<code>
+/ip dhcp-server alert
+ add alert-timeout=30m disabled=no interface=vlan110-users on-alert="tool e-mail send to=admin@admincorner.ru
+    subject=(\"DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: \".[/system identity get name])
+    body=\"MikroTik have been detect\
+    ed unknown dhcp-server: \\n\\nIP: \$address \\nInterface: \$interface \\nMAC:\$\"mac-address\"\"\
+    \n/log info \"e-mail send unknown dhcp-server\"" valid-server=00:00:00:00:00:00
+</code>
+Где 00:00:00:00:00:00 MAC адрес внешнего доверенного DHCP сервера.
+Далее настраиваем E-mail оповещения. Идем в **Tool -> E-mail** и заполняем необходимые поля.
+{{ :txt:0001:2.png |}}
+Для Yandex почты:\\
+**Server:** smtp.yandex.ru\\
+**Port:** 465\\
+**Start TLS:** tls only\\
+В **From** и **User/Password** указываем полный логин и пароль.
+Для Gmail:\\
+**Server:** smtp.gmail.com или 173.194.69.108\\
+**Port:** 587\\
+**Start TLS:** yes\\
+**From:** ваша почта@gmail.com\\
+**User:** ваша почта (до знака @)\\
+**Password:** ваш пароль
+Настройка E-mail через терминал:
+<code>
+/tool e-mail
+  set address=smtp.yandex.ru from=mikrotik@admincorner.ru password=Q1w2e3r4 port=465 start-tls=tls-only
+  user=mikrotik@admincorner.ru
+</code>
+Проверить работоспособность настроек можно в меню Send Email. \\
+На этом настройка завершена. Осталось только проверить систему на работоспособность и заварить чашку кофе. Ведь нет ничего лучше чем автоматизировать столь рутинную задачу по отстрелу чужих DHCP.