0887 371 498 support@itservice-bg.net
01.07.2026 · Самуил Арсов · NIS2, Киберсигурност

Киберзащита за малкия бизнес (част 8): Layer 2 защита на офис мрежата (MikroTik core switch)

Осма част от поредицата ни за киберзащита на малкия и среден бизнес. Досега защитихме рутера, сървъра, услугите и връзката между офисите. Но има един слой, който почти винаги се пренебрегва — и точно там стават едни от най-неприятните проблеми:

Layer 2 — комутаторът (switch), „нервната система“ на офиса.

В нашата мрежа имаме MikroTik switch в ролята на core switch (адрес 192.168.1.254, uplink към рутера на ether1). Това е висок клас устройство с PoE — захранва офис камерите по същия кабел, по който върви и данните (един кабел = данни + ток, без отделно захранване до всяка камера). През него минава целият локален трафик, затова сигурността му е критична. Адресите в примерите са генерализирани.

Какво е Layer 2 и защо е важно

Рутерът работи на Layer 3 (IP адреси, маршрутизиране). Комутаторът работи на Layer 2 — оперира с MAC адреси и предава кадри (frames) между портовете в рамките на една мрежа. Точно на това ниво се случват тихи, но опасни проблеми:

  • Примки (loops) — два кабела, свързани в кръг (нарочно или по грешка), карат кадрите да обикалят безкрайно → broadcast storm, който за секунди задушава цялата мрежа.
  • Измамен DHCP (rogue DHCP) — нечие устройство започне да раздава адреси и подменя gateway-а → прихващане на трафик.
  • MAC flooding — заливане на switch-а с фалшиви MAC адреси, за да започне да „излъчва“ целия трафик (подслушване).
  • Странично движение — компрометирана камера или гост-устройство, което вижда работните станции на L2.

Добрата новина: MikroTik има вградени защити срещу всичко това. Ето най-важните.

Слоевете на защита

1. RSTP — защита от примки (с резервиране)

Rapid Spanning Tree Protocol автоматично открива примки и блокира излишните пътища, като оставя само един активен. Ако активната връзка падне, RSTP за секунди превключва към резервната. Така можем да имаме резервни кабели без риск от примка.

/interface bridge set bridge1 protocol-mode=rstp

2. Loop protection — допълнителен предпазител

Освен RSTP, на достъпните портове включваме loop-protect — изпраща специални пакети и ако ги „чуе“ обратно на същия порт, го изключва временно. Хваща примки, които RSTP би пропуснал (напр. в евтин неуправляем switch, закачен на порта).

/interface ethernet set [find name~"ether"] loop-protect=on

3. DHCP snooping — само доверен DHCP

DHCP snooping позволява DHCP отговори (раздаване на адреси) само от доверения порт — този към истинския рутер/сървър (uplink-а). Ако някой включи устройство, което се прави на DHCP сървър, switch-ът просто игнорира неговите отговори.

/interface bridge set bridge1 dhcp-snooping=yes
/interface bridge port set [find interface=ether1] trusted=yes   # uplink = доверен

4. IGMP snooping — умен multicast

Камери и видео често ползват multicast. Без IGMP snooping switch-ът праща този поток към всички портове (излишно натоварване). С него потокът отива само там, където е заявен.

/interface bridge set bridge1 igmp-snooping=yes

5. Port isolation (horizon) — разделяме устройствата

С bridge horizon групираме портове така, че да не се виждат помежду си, но всички да виждат uplink-а. Идеално за камерите: всяка камера достига записващото устройство, но камерите не се виждат една друга (компрометирана камера не може да „скочи“ на съседната).

/interface bridge port set [find interface=ether10] horizon=10
/interface bridge port set [find interface=ether11] horizon=10

6. VLAN сегментация — камерите в отделна мрежа

Най-силната L2 мярка: слагаме камерите в отделен VLAN, отделен от работните станции. Дори да бъде превзета камера, тя е затворена в своя сегмент и не вижда офис компютрите.

/interface bridge set bridge1 vlan-filtering=yes
/interface bridge vlan add bridge=bridge1 vlan-ids=20 \
    tagged=ether1 untagged=ether10,ether11   # VLAN 20 = камери

7. Storm control — таван на „шума“

Дори без примка, дефектно устройство може да наводни мрежата с broadcast. Първата линия на защита е именно RSTP + loop-protect (повечето „щормове“ идват от примки). На устройства, които го поддържат, можем допълнително да ограничим broadcast/multicast трафика на порт до разумен таван, за да не може един порт да задуши целия switch.

Примерна „защитена“ конфигурация (накратко)

/interface bridge set bridge1 \
    protocol-mode=rstp igmp-snooping=yes dhcp-snooping=yes vlan-filtering=yes

# uplink към рутера = доверен (за DHCP snooping)
/interface bridge port set [find interface=ether1] trusted=yes

# loop protection на всички достъпни портове
/interface ethernet set [find name~"ether"] loop-protect=on

# камерите: отделен VLAN + изолирани една от друга
/interface bridge vlan add bridge=bridge1 vlan-ids=20 tagged=ether1 untagged=ether10,ether11
/interface bridge port set [find interface=ether10] horizon=10 pvid=20
/interface bridge port set [find interface=ether11] horizon=10 pvid=20

Внимание: промени по жив core switch (особено RSTP, VLAN филтриране и изолация) могат за миг да прекъснат целия офис. Правете ги през резервен достъп (конзола/Winbox по MAC), стъпка по стъпка, и с готов план за връщане.

Бонус: PoE — данни и ток по един кабел

Нашият MikroTik е PoE (Power over Ethernet) — захранва камерите директно по мрежовия кабел. Това не е просто удобство: означава по-малко кабели и контакти, по-чиста инсталация, и възможност камерите да са на резервно захранване (UPS) заедно със switch-а — при ток на тъмно охраната продължава да работи. А с изолацията и VLAN-а отгоре, камерите са едновременно захранени и заключени в своя сегмент.

Заключение

Layer 2 е тихият слой — работи незабележимо, докато не се случи примка или измамен DHCP, и тогава пада всичко наведнъж. С няколко настройки на MikroTik core switch-а — RSTP, loop protection, DHCP snooping, IGMP snooping, port isolation, VLAN сегментация — превръщаме офис мрежата в стабилна и защитена основа, върху която стъпват всички останали слоеве от тази поредица.

Защита от рутера до комутатора, от сървъра до облака, между офисите и до всяка камера — това е многослойната киберзащита, която всеки малък и среден бизнес може да си изгради със собствено оборудване.

Тази серия е част от усилията ни сериозната киберзащита да стане достъпна за българския малък и среден бизнес.