30.07.2023 · Самуил Арсов · MikroTik, Рутери

DHCP-alerts в MikroTik RouterOS

Нерегламентиран (rogue) DHCP сървър в мрежата е сериозна заплаха — той може да раздава грешни IP адреси, невалиден gateway или злонамерен DNS, и така да прехваща или прекъсва трафика на потребителите. MikroTik RouterOS предлага вграден инструмент за засичане на такива сървъри — DHCP Alert.

Как работи DHCP Alert

DHCP детекторът работи като DHCP клиент — изпраща заявки за откриване на DHCP сървъри веднъж в минута на наблюдавания интерфейс. Всеки получен DHCP отговор се проверява спрямо списъка с валидни сървъри (valid-server, зададен по MAC адрес). Ако бъде открит отговор от непознат DHCP сървър, събитието се записва в системния лог и по желание може да се изпълни автоматичен скрипт.

Конфигурация

Добавяме наблюдение на желаните интерфейси с указания MAC адрес на легитимния DHCP сървър:

/ip dhcp-server alert
add disabled=no interface=vlan60 valid-server=74:4D:28:86:1F:1C
add disabled=no interface=vlan65 valid-server=74:4D:28:86:1F:1C
add disabled=no interface=vlan2201 valid-server=74:4D:28:86:1F:1C

Параметърът valid-server приема MAC адреса на легитимния DHCP сървър. Ако в мрежата има повече от един валиден DHCP сървър, стойностите се разделят със запетая.

Реакция при засичане (on-alert)

По желание може да се добави скрипт, който се изпълнява автоматично при засичане на нерегламентиран сървър — например изпращане на имейл или SNMP trap:

/ip dhcp-server alert
add disabled=no interface=vlan60 valid-server=74:4D:28:86:1F:1C \
  on-alert="/log warning \"Rogue DHCP detected on vlan60!\""

Проверка на лога

Ако бъде засечен нерегламентиран DHCP сървър, събитието се записва в лога. Проверяваме с командата:

log print where message~"alert"

В лога се появява запис с информация за интерфейса, на който е засечен нерегламентираният сървър, и неговия MAC адрес — достатъчно за бърза идентификация и локализиране на заплахата.

Заключение

DHCP Alert е лесна за конфигуриране, но ефективна защита срещу rogue DHCP атаки. В среди с множество VLAN-и е добра практика да се активира на всеки интерфейс, обслужван от DHCP — така всяко неочаквано устройство, опитващо се да раздава адреси, ще бъде незабавно засечено и регистрирано.