Blok rogue DHCP-servers op je netwerk met Mikrotik
Een netwerk waar een rogue DHCP-server op draait maakt het netwerk instabiel en onbetrouwbaar. Dit is zeer nadelig voor je netwerk. De mensen die gebruik maken van je netwerk kunnen ten prooi vallen aan een kwaadwillige die een rogue DHCP-server inzet. Een ander voorbeeld; op campings, jachthavens, scholen en dergelijke meer, waar het wifi signaal te zwak is, pluggen de campingbewoners een draadloze router in het netwerk. Dit om het signaal sterker op te vangen. Doch veel van die mensen weten niet dat op zo'n router meestal een DHCP-server draait. Dit is ook een rogue DHCP-server ook al hebben deze mensen geen flauw idee dat ze je netwerk in de war sturen. Het is dan ook ten zeerste aanbevolen om deze rogue DHCP-servers te blokken op je netwerk.
Wat is een DHCP-server
DHCP is de afkorting van Dynamic Host Configuration Protocol en is op alle routers, voor thuis, kleine en grote ondernemingen, geïnstalleerd. De DHCP-server deelt IP-adressen uit met nog noodzakelijke parameters zoals default gateway, default route, DNS, NTP enz. aan cliënts uit. De cliënts zijn computers, laptops, tablets die willen verbinden met dit netwerk. Eens een cliënt verbinding maakt met het netwerk vraagt deze, door middel van broadcast verkeer op het netwerk, of er een DHCP-server op het netwerk aanwezig is. Want ik wil een IP-adres om te verbinden met het netwerk. Kort gezegd zal de DHCP-server van het netwerk antwoorden en een IP-adres en de nodige parameters uitdelen. Op deze manier kan een cliënt via dit netwerk op het internet. Dit is de functie van de DHCP-server. Wil je een Mikrotik router aankopen lees eerst deze uiteenzetting.
Wat is een rogue DHCP-server precies
Een rogue DHCP-server is een DHCP-server die op het netwerk aanwezig is die niet onder de verantwoordelijkheid van de netwerkbeheerder behoort. In andere woorden is de rogue DHCP-server een router die opzettelijk of niet opzettelijk in het netwerk is geplugd waarop een DHCP-server draait. Als een cliënt nu verbinding maakt met je netwerk bestaat de kans dat de desbetreffende cliënt een IP-adres krijgt toebedeelt door de rogue DHCP-server. Dit is uiteraard de bedoeling niet want indien dat is veroorzaakt door een kwaadwillige kan hij de datagegevens onderscheppen. Wat hij later met de verzamelde data wil doen laat ik in het midden. Doch misbruik is niet uitgesloten met alle gevolgen van dien. De boodschap Block rogue DHCP-servers op je netwerk is op zijn plaats, is het niet?
Een kwaadwillige kan door middel van een rogue DHCP-server een aanval uitvoeren op je netwerk
Om je een voorbeeld te geven: een kwaadwillige die aanwezig is op een camping maakt een verbinding met zijn laptop. Daar draait hij speciale software op om een DHCP starvation attack uit te voeren. Hierdoor raakt de DHCP-server op het netwerk van de camping overspoelt met DHCP aanvragen. Dit doet de kwaadwillige totdat de DHCP-server niet meer in staat is om IP-adressen uit te delen. Nu is het zijn beurt om een rogue DHCP-server te draaien en de cliënts die willen verbinden krijgen geen IP-adres van de legale DHCP-server, maar van de rogue DHCP-server van de kwaadwillige. De kwaadwillige kan nu een man in de middle aanval starten en gevoelige gegevens onderscheppen. De gevolgen kunnen gigantisch worden indien de cliënt aan het bankieren is en dergelijke meer. We gaan daarom de rogue DHCP-server blokken op ons Mikrotik netwerk.
Wat zijn de kenmerken indien een rogue DHCP-server aanwezig is op je netwerk
De titel spreekt van je netwerk maar meestal wordt een rogue DHCP-server ingeplugd in een publiek toegankelijk netwerk. Denk aan campings, scholen, hotels, jachthavens om er maar enkele op te noemen. Uiteraard kan dit op je eigen netwerk ook gebeuren indien je draadloos netwerk is gehackt. Er zijn gelukkig zeer herkenbare voorvallen als dit op je eigen netwerk gebeurt. Daarom deze paar punten.
Wil je weten hoe je de Mikrotik draadloze router veilig kan instellen zie deze uiteenzetting.
Dit zijn drie herkenbare kenmerken, maar je vraagt je misschien af welk IP-adres mijn laptop of computer heeft gekregen. Dit kan je doen met naar de command prompt te gaan. Daar geef je "ipconfig /all" in; daar kan je het verkregen IP-adres zien met nog parameters.
Hoe kan je rogue DHCP-servers blokken op de Mikrotik router en switch
Als je de onderstaande video bekijkt heb ik voor twee voorbeelden gezorgd. Het eerste voorbeeld is alleen een Mikrotik router met LAN-poorten. Indien er iemand een extra DHCP-server inplugt moet de configuratie deze blokken. Dit gebeurt door middel van twee layer2 firewall rules. Een groot nadeel in deze configuratie is dat je hardware offloading moet uitzetten. Om een rogue DHCP-server te blokken heb ik liever een afzonderlijk router en switch. Dit heeft zeer veel voordelen tegenover een router alleen. Indien je een Mikrotik CRS3xx switch hebt, is dat zeer gemakkelijk en de hardware offloading blijft behouden. Bekijk de video tutorial en zie hoe het blokken van een rogue DHCP-server in zijn werk gaat. Veel succes.
Blijf op de hoogte van mijn nieuwe tutorials
