MikroTik: DHCP server non autorizzato, come impostare un alert

MikroTik: DHCP server non autorizzato, come impostare un alert

WirelessGuru-Mikrotik-HowtoCome ben tutti noi System Administrator sappiamo il DHCP server in una LAN è diventato ormai un servizio necessario, soprattutto se forniamo connettività wireless WiFi. Ma cosa succede se nella LAN si attivano, per sbaglio, due server DHCP? Succede che la rete LAN si troverà ben presto con dei problemi e risulterà fuori controllo.

Se gestiamo una rete di un cliente, con apparati MikroTik, dobbiamo evitare nel modo più assoluto che qualcuno attivi a nostra insaputa un server DHCP, per esempio installando un router WiFi acquistato in qualche megastore.

E' possibile monitorare la rete LAN e far scattare un alert nel caso venga rilevato un server DHCP non autorizzato? Si', con MikroTik si può. Vediamo come.

Nel nostro router MikroTik dovremo andare a configurare, nella sezione DHCP server, un "alert" in caso di rilevazione server DHCP non autorizzato.

[code]

[admin@WirelessGuru] > /ip dhcp-server alert

[admin@WirelessGuru] /ip dhcp-server alert> add interface=ether1 valid-server=00:0C:42:8D:D1:30 alert-timeout=60 on-alert=":log info DHCP-ALERT" disabled=no

[/code]

Con questi semplici comandi abbiamo configurato il nostro router MikroTik per monitorare ogni minuto (alert-timeout=60s) l'interfaccia ether1, che nel mio caso è quella connessa alla LAN, se voi avete l'interfaccia ethernet collegata in un bridge è importante usare il bridge, e non l'ethernet, come interfaccia di monitoraggio.

E' fondamentale, affinchè il comando sia efficace, specificare con l'opzione "valid-server" il mac-address del dhcp server valido della rete. Tutti gli altri genereranno un alert.

Se a questo punto andiamo ad abilitare nella nostra LAN un secondo DHCP server il nostro settaggio dell'opzione "on-event" provvederà a scrivere nei log la frase "DHCP-ALERT".

Ovviamente possiamo fare ben altro, come ad esempio farci inviare dal router MikroTik una email di notifica, modificando opportunamente la sezione "on-event" in questo modo:

[code]
[admin@WirelessGuru] > /ip dhcp-server alert

[admin@WirelessGuru] /ip dhcp-server > add interface=ether1 valid-server=00:0C:42:8D:D1:30 alert-timeout=60 on-alert="/tool e-mail send to="info@wirelessguru.it" subject="ALERT Unauthorized DHCP Server" body="ALERT Server DHCP non autorizzato rilevato." disabled=no
[/code]

Ricapitolando, con questo Tool di MikroTik, se vogliamo vigilare (o ci hanno dato questo compito) su una LAN remota, saremo avvisati entro un minuto, se qualcuno per errore o per "furbizia" ha installato, e malconfigurato, un router con DHCP server attivo, nella LAN.

Spero che questa mini guida su come attivare un alert in caso di attivazione di un server DHCP non autorizzato vi sia stata utile per apprezzare e comprendere meglio le immense possibilità offerte dal sistema operativo RouterOS di MikroTik.

Come eseguire uno script per ogni lease del DHCP server di Mikrotik

Come eseguire uno script per ogni lease del DHCP server di Mikrotik

WirelessGuru-Mikrotik-HowtoAvete mai avuto l'esigenza di eseguire uno script per ogni client che si collega al dhcp server di Mikrotik?

Nelle recenti versioni di RouterOS è stata proprio aggiunta questa possibilità. Nella sezione DHCP server abbiamo una nuova opzione chiamata "Lease Script" che ci permette di eseguire un comando/script per ogni client a cui viene assegnato l'indirizzo ip dal nostro DHCP server o per ogni client che viene rilasciato/liberato dall'elenco dei leases (in quanto non  più presente).
Come variabili, a livello global, nel nostro script possiamo utlizzare:

  • $leaseBound 
  • $leaseServerName
  • $leaseActMAC
  • $leaseActIP

$leaseBound avrà valore 1 se il server ha dato l'ip a quel client, mentre ha valore 0 (zero) se il server ha liberato l'ip dai leases.

$leaseServerName avrà il nome del server DHCP che ha dialogato con il client.

$leaseActMAC conterrà il mac-address della macchina che ha ricevuto l'ip dal server.

$leaseActIP infine conterrà il l'ip assegnato in quel momento al client.

[nextpage title="Esempi d'uso"]

Ma a cosa può servire? Beh come molte opzioni presenti in RouterOS può sembrare inizialmente oscura la sua applicazione pratica, ma potrebbe capitare di doverla usare.

Ad esempio potremmo creare un sistema che generi dei walled garden temporanei per gli host; una esigenza potrebbe essere quella di permettere per 10 minuti l'accesso a social network (ad esempio Facebook) per sfruttarne le sue API ed implementare sul nostro hotspot un Social Login.
Come tutti ben sanno, ad oggi, non è possibile implementare il Social Login di Facebook senza mettere nei walled garden tutto Facebook, ma grazie al Lease-script del DHCP di RouterOS possiamo "liberare" Facebook in maniera temporanea host per host.

Visto l'alto interesse riguardo a questo argomento (permettere temporaneamente l'accesso a Facebook per un tempo limitato), mi riprometto di creare una guida step-by-step nei prossimi giorni.

 

 

HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare