Stránka 1 z 1
Falešný DHCP server v síti
Napsal: 09 Mar 2018 07:22
od redero83
Dobrý den,
stalo se nám, že na hotelu někdo zapojil do sítě router se zapnutým DHCP. Script na Mikrotiku nám ohlásí falešný DHCP server, ale nevím jak ho zablokovat. Za MT je ještě 48portový switch.
Děkuji za pomoc.
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 07:35
od hocimin1
tak pokud je ten switch trochu chytrej, tak se tam da zapnout na portech DHCP filtering a povolit ho pouze na jednom.
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 07:41
od Noxus28
ak switch medzi klientmi nemá funkciu DHCPsnoop čiže zahodenie (alebo povolenie) DHCP odpovedí z iného ako zvoleného portu tak si veľmi nepomôžeš.
https://www.youtube.com/watch?v=2eNsoS9Ri6wMôžeš ešte nastaviť DHCP na mikrotiku ako autoritative=yes ak nemáš ale aj tak to bude boj od ktorého dhcp príde odpoveď ku klientovi skorej.
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 08:11
od svestka
switch by měl být s mgmt, tedy s vlany, mít celý hotel na jednom subnetu ... hmm, no není to moc dobré
nicméně do pokojů je určitě přístup, tak snad není problém to prolézt, s generálním klíčem je za chvíli hotovo
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 08:21
od Dalibor Toman
snifnout na MT dhcp packety od falesneho serveru. Tak se zjisti jeho MACka. Tu hledat na MT (pokud je pripojen do switche jen jednim portem tak nema smysl ji na nem hledat) a pak na prislusnem switchi najit port za kterym ta MACka je a ten port shutdownnout ci hodit do jine VLAN. Pokud switch umi ochrany pred nezadoucim DHCP servery tak nastavit a povolit DHCP jen na portu k tomu MT. Pak povolit zase ten port do pokoje.
Pokud switch neumi sam blokovat DHCP tak nechat port do pokoje bloknuty - postizeny obyvatel se si prihlasi sam. Pripadne z portu uz snad bude zrejme do ktereho pokoje vede a je mozne si to s hostem vyridit
.
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 13:21
od hocimin1
Pokud nemas dhcp snoof nebo filter. Tak b jeste slo co port to vlan s vlasnim dhcp serverem a klient by pak zabil jen jeden port jednu vlan
Re: Falešný DHCP server v síti
Napsal: 09 Mar 2018 17:52
od svestka
hocimin1 píše:Pokud nemas dhcp snoof nebo filter. Tak b jeste slo co port to vlan s vlasnim dhcp serverem a klient by pak zabil jen jeden port jednu vlan
presne tak. co pokoj to port s vlastním /29 nebo /28, na vlastni VLAN, a je vymalovano navzdy
Re: Falešný DHCP server v síti
Napsal: 10 Mar 2018 18:31
od iTomB
A nebo poradny switch s nastaveni DHCP + specialne nastaveny DHCP a staci jedna VLANa ...
Re: Falešný DHCP server v síti
Napsal: 10 Mar 2018 19:20
od rsaf
Jaké je, prosím, potřeba speciální nastavení DHCP serveru?
Re: Falešný DHCP server v síti
Napsal: 10 Mar 2018 19:32
od pgb
To "speciální" nastavení dhcp serveru myslí asi option 82 .... ale obecně pokud bych měl dělat co zásuvka vlanu a v ní separe podsíť tak by mě v například v hotelu s XYZ zásuvkama asi kleplo. Vyměnil bych switch za něco so musí podporovat minimálně v rámci port security
- dhcp snooping
- ARP spoofing protection, většinou bývá postavený na dhcp snoopingu
- port isolation
- případně se hodí i nějaká forma port limiteru, ale není tak nutná, to už může zařídit třeba hotspot nebo PCQ nebo jakákoliv jiná forma shapperu