Это старая версия документа!

Мошеннические устройства в сети могут приводить к серьезным проблемам в работы сети и безопасности. Несанкционированное устройство, на котором работает DHCP-сервер, можно использовать для перехвата локальных клиентов и перенаправления трафика для атак «человек посередине» и других видов угроз. В лучшем случае пользователь неосознанно подключает устройство, не зная, что это вызовет проблемы в сети. В худшем случае это мошенническое устройство, намеренно установленное злоумышленником для перенаправления или перехвата трафика.

В любом случае, важно следить за нашими сетями на наличие неконтролируемых DHCP-серверов. В RouterOS для этого есть удобный инструмент в меню IP → DHCP Server. Сначала настроим регистрацию события и MAC-адреса доверенных DHCP-серверов, затем оповещение администратора по e-mail.

Идем в IP → DHCP Server → Alerts и создаем новое правило:

Interface — интерфейс на котором ищем чужие DHCP. Тут требуется выбрать нужный сегмент сети. Valid Server — внешние доверенные DHCP сервера. Те, на которые маршрутизатор не будет ругаться. Указываются MAC-адреса. Не требуется указывать, если он располагается на маршрутизаторе. Alert Timeout — периодичность с которой будет проводиться поиск. On Alert — действие производимое при возникновении инцидента. Копируем, не забывая изменить e-mail на требуемый:

tool e-mail send to=admin@admincorner.ru subject=(«DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: ».[/system identity get name]) body=«MikroTik have been detected unknown dhcp-server: \n\nIP: $address \nInterface: $interface \nMAC:$»mac-address«» /log info «e-mail send unknown dhcp-server»