Dobrý den,
stalo se nám, že na hotelu někdo zapojil do sítě router se zapnutým DHCP. Script na Mikrotiku nám ohlásí falešný DHCP server, ale nevím jak ho zablokovat. Za MT je ještě 48portový switch.
Děkuji za pomoc.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Falešný DHCP server v síti
tak pokud je ten switch trochu chytrej, tak se tam da zapnout na portech DHCP filtering a povolit ho pouze na jednom.
0 x
ak switch medzi klientmi nemá funkciu DHCPsnoop čiže zahodenie (alebo povolenie) DHCP odpovedí z iného ako zvoleného portu tak si veľmi nepomôžeš. https://www.youtube.com/watch?v=2eNsoS9Ri6w
Môžeš ešte nastaviť DHCP na mikrotiku ako autoritative=yes ak nemáš ale aj tak to bude boj od ktorého dhcp príde odpoveď ku klientovi skorej.
Môžeš ešte nastaviť DHCP na mikrotiku ako autoritative=yes ak nemáš ale aj tak to bude boj od ktorého dhcp príde odpoveď ku klientovi skorej.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
switch by měl být s mgmt, tedy s vlany, mít celý hotel na jednom subnetu ... hmm, no není to moc dobré
nicméně do pokojů je určitě přístup, tak snad není problém to prolézt, s generálním klíčem je za chvíli hotovo
nicméně do pokojů je určitě přístup, tak snad není problém to prolézt, s generálním klíčem je za chvíli hotovo
1 x
UPDATE klienti SET internet_povolen = false WHERE po_splatnosti > 500
Lepší než výhra ve Sportce :)
Lepší než výhra ve Sportce :)
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 13 years ago
snifnout na MT dhcp packety od falesneho serveru. Tak se zjisti jeho MACka. Tu hledat na MT (pokud je pripojen do switche jen jednim portem tak nema smysl ji na nem hledat) a pak na prislusnem switchi najit port za kterym ta MACka je a ten port shutdownnout ci hodit do jine VLAN. Pokud switch umi ochrany pred nezadoucim DHCP servery tak nastavit a povolit DHCP jen na portu k tomu MT. Pak povolit zase ten port do pokoje.
Pokud switch neumi sam blokovat DHCP tak nechat port do pokoje bloknuty - postizeny obyvatel se si prihlasi sam. Pripadne z portu uz snad bude zrejme do ktereho pokoje vede a je mozne si to s hostem vyridit
.
Pokud switch neumi sam blokovat DHCP tak nechat port do pokoje bloknuty - postizeny obyvatel se si prihlasi sam. Pripadne z portu uz snad bude zrejme do ktereho pokoje vede a je mozne si to s hostem vyridit
.
0 x
Pokud nemas dhcp snoof nebo filter. Tak b jeste slo co port to vlan s vlasnim dhcp serverem a klient by pak zabil jen jeden port jednu vlan
0 x
hocimin1 píše:Pokud nemas dhcp snoof nebo filter. Tak b jeste slo co port to vlan s vlasnim dhcp serverem a klient by pak zabil jen jeden port jednu vlan
presne tak. co pokoj to port s vlastním /29 nebo /28, na vlastni VLAN, a je vymalovano navzdy
0 x
UPDATE klienti SET internet_povolen = false WHERE po_splatnosti > 500
Lepší než výhra ve Sportce :)
Lepší než výhra ve Sportce :)
A nebo poradny switch s nastaveni DHCP + specialne nastaveny DHCP a staci jedna VLANa ...
0 x
To "speciální" nastavení dhcp serveru myslí asi option 82 .... ale obecně pokud bych měl dělat co zásuvka vlanu a v ní separe podsíť tak by mě v například v hotelu s XYZ zásuvkama asi kleplo. Vyměnil bych switch za něco so musí podporovat minimálně v rámci port security
- dhcp snooping
- ARP spoofing protection, většinou bývá postavený na dhcp snoopingu
- port isolation
- případně se hodí i nějaká forma port limiteru, ale není tak nutná, to už může zařídit třeba hotspot nebo PCQ nebo jakákoliv jiná forma shapperu
- dhcp snooping
- ARP spoofing protection, většinou bývá postavený na dhcp snoopingu
- port isolation
- případně se hodí i nějaká forma port limiteru, ale není tak nutná, to už může zařídit třeba hotspot nebo PCQ nebo jakákoliv jiná forma shapperu
0 x