mikrotik:поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
mikrotik:поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email [2020/12/20 00:27]
admin 		mikrotik:поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email [2020/12/20 01:36] (текущий)
admin
Строка 1: Строка 1:
 +====== Поиск чужих DHCP серверов на Mikrotik и оповещение по Email ======
 +
 Мошеннические устройства в сети могут приводить к серьезным проблемам в работы сети и безопасности. Несанкционированное устройство, на котором работает DHCP-сервер, можно использовать для перехвата локальных клиентов и перенаправления трафика для атак «человек посередине» и других видов угроз. В лучшем случае пользователь неосознанно подключает устройство, не зная, что это вызовет проблемы в сети. В худшем случае это мошенническое устройство, намеренно установленное злоумышленником для перенаправления или перехвата трафика. Мошеннические устройства в сети могут приводить к серьезным проблемам в работы сети и безопасности. Несанкционированное устройство, на котором работает DHCP-сервер, можно использовать для перехвата локальных клиентов и перенаправления трафика для атак «человек посередине» и других видов угроз. В лучшем случае пользователь неосознанно подключает устройство, не зная, что это вызовет проблемы в сети. В худшем случае это мошенническое устройство, намеренно установленное злоумышленником для перенаправления или перехвата трафика.
  
 В любом случае, важно следить за нашими сетями на наличие неконтролируемых DHCP-серверов. В RouterOS для этого есть удобный инструмент в меню IP -> DHCP Server. Сначала настроим регистрацию события и MAC-адреса доверенных DHCP-серверов, затем оповещение администратора по e-mail. В любом случае, важно следить за нашими сетями на наличие неконтролируемых DHCP-серверов. В RouterOS для этого есть удобный инструмент в меню IP -> DHCP Server. Сначала настроим регистрацию события и MAC-адреса доверенных DHCP-серверов, затем оповещение администратора по e-mail.
  
-Идем в IP -> DHCP Server -> Alerts и создаем новое правило:+Идем в **IP -> DHCP Server -> Alerts** и создаем новое правило: 
 +{{ :txt:0001:1.png |}} 
 + 
 +**Interface** — интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети. \\ 
 +**Valid Server** — внешние доверенные DHCP сервера. Те, на которые маршрутизатор не будет ругаться. Указываются MAC-адреса. Не требуется указывать, если он располагается на маршрутизаторе. \\ 
 +**Alert Timeout** — периодичность с которой будет проводиться поиск. \\ 
 +**On Alert** — действие производимое при возникновении инцидента.
  
-Interface — интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети. 
-Valid Server — внешние доверенные DHCP сервера. Те, на которые маршрутизатор не будет ругаться. Указываются MAC-адреса. Не требуется указывать, если он располагается на маршрутизаторе. 
-Alert Timeout — периодичность с которой будет проводиться поиск. 
-On Alert — действие производимое при возникновении инцидента. 
 Копируем, не забывая изменить e-mail на требуемый: Копируем, не забывая изменить e-mail на требуемый:
  
- tool e-mail send to=admin@admincorner.ru subject=("DHCP Alert: Discovered unknown dhcp-server, RouterBoard  +<code> 
- identity: ".[/system identity get name]) body="MikroTik have been detected unknown dhcp-server: \n\nIP: $address  +tool e-mail send to=admin@admincorner.ru subject=("DHCP Alert: Discovered unknown dhcp-server, RouterBoard  
- \nInterface: $interface \nMAC:$"mac-address"" +  identity: ".[/system identity get name]) body="MikroTik have been detected unknown dhcp-server: \n\nIP: $address  
- /log info "e-mail send unknown dhcp-server"+  \nInterface: $interface \nMAC:$"mac-address"" 
 +/log info "e-mail send unknown dhcp-server" 
 +</code> 
 + 
 +Так же данные действия можно произвести через терминал: 
 + 
 +<code> 
 +/ip dhcp-server alert 
 + add alert-timeout=30m disabled=no interface=vlan110-users on-alert="tool e-mail send to=admin@admincorner.ru  
 +    subject=(\"DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: \".[/system identity get name])  
 +    body=\"MikroTik have been detect\ 
 +    ed unknown dhcp-server: \\n\\nIP: \$address \\nInterface: \$interface \\nMAC:\$\"mac-address\"\"
 +    \n/log info \"e-mail send unknown dhcp-server\"" valid-server=00:00:00:00:00:00 
 +</code> 
 + 
 +Где 00:00:00:00:00:00 MAC адрес внешнего доверенного DHCP сервера. 
 + 
 +Далее настраиваем E-mail оповещения. Идем в **Tool -> E-mail** и заполняем необходимые поля. 
 + 
 +{{ :txt:0001:2.png |}} 
 + 
 +Для Yandex почты:\\ 
 +**Server:** smtp.yandex.ru\\ 
 +**Port:** 465\\ 
 +**Start TLS:** tls only\\ 
 +В **From** и **User/Password** указываем полный логин и пароль. 
 + 
 +Для Gmail:\\ 
 +**Server:** smtp.gmail.com или 173.194.69.108\\ 
 +**Port:** 587\\ 
 +**Start TLS:** yes\\ 
 +**From:** ваша почта@gmail.com\\ 
 +**User:** ваша почта (до знака @)\\ 
 +**Password:** ваш пароль 
 + 
 +Настройка E-mail через терминал: 
 + 
 +<code> 
 +/tool e-mail 
 +  set address=smtp.yandex.ru from=mikrotik@admincorner.ru password=Q1w2e3r4 port=465 start-tls=tls-only  
 +  user=mikrotik@admincorner.ru 
 +</code> 
 + 
 +Проверить работоспособность настроек можно в меню Send Email. \\ 
 +На этом настройка завершена. Осталось только проверить систему на работоспособность и заварить чашку кофе. Ведь нет ничего лучше чем автоматизировать столь рутинную задачу по отстрелу чужих DHCP. 
 + 
 + 
 + 
  
  
  • mikrotik/поиск-чужих-dhcp-серверов-на-mikrotik-и-оповещение-по-email.1608398842.txt.gz
  • Последнее изменение: 2020/12/20 00:27
  • admin