# Software > Ασφάλεια >  DHCP server simple security

## spyros_28

Παιδες καλησπερα.

Θα ηθελα να προσθεσω και εγω κατι σε θεμα ασφαλειας του mikrotik σας. Σε περιπτωση που υπαρχει ηδη και δεν το εχω παρει γραμμη, κλειδωστε το.....

Ο καθενας μπορει να βαλει τα firewall του και να κανει ενα freespot στο μηχανακι του, για να αποφυγετε ομως πολλαπλα rules, μπορειτε στον dhcp server να τικαρετε το Add ARP for Leases. Μετα στο Access point σας, στο πρωτο tab "general" στο ARP, δηλωνετε reply-only.

Η λογικη αυτη ειναι για να μην μπορει να μπει καποιος με οτι ip γουσταρει, αλλα μονο οτι δινει ο dhcp server. Να ειναι καλα τα mikrotik forums.

Συγκεντρωτικα θελω να προσθεσω οτι μπορειτε να προσθεσετε στο firewall να κανει drop οτιδηποτε αλλο εκτος απο τις 10αρες ip και καθως επισης να μπλοκαρετε το mikrotik απο τους πελατες σας, σε περιπτωση που καποιος του μπει ιδεα να κανει εξυπναδα.

Αυτα τα ολιγα.

----------


## Nikiforos

Μιας και είναι σχετικό να ρωτήσω και εγώ κάτι. Στο εξοχικό έχω ένα AP με adsl wifi router δλδ με εσωτερικη κεραια που το εχω ανοιχτο συνεχεια και συνδεονται πανω και γειτονες μερικες φορες. Εκει εχω κλειστο το DHCP και δινει ενας DHCP server απο το MT. Δεν με πειράζει αν παίρνουν internet σπανια μπαινει καποιος, το θεμα ειναι απο ασφαλεια τι γίνεται. Δλδ δεν θέλω να έχουν πρόσβαση σε άλλα μηχανηματα του δικτυου μου πχ στο dvr cctv, στο ιδιο το ΜΤ κτλ. Στο firewall εχω κάνει κατι rules και κοβω ολο το AWMN και αφηνω μόνες όσες ip's ή subnets θελω. Μπορώ να κάνω κάτι παραπάνω?

----------


## NetTraptor

Βάλε το AP σε μια άλλη lan του router, σήκωσε ξεχωριστό υποδίκτυο και DHCP στην συγκεκριμένη lan και κόψε την κίνηση με firewall από εκείνο το υποδίκτυο σε ευαίσθητα δεδομένα. 
Με αυτό τον τρόπο ανεξαρτητοποιείς λίγο την κατάσταση AP και μπορείς να κάνεις τα παραπάνω αλλά και οτι άλλο θελήσεις χωρίς να επηρεάζεις το Lan σου.

----------


## Nikiforos

Το AP αυτό δεν είναι επάνω στο RB, είναι στο switch επανω, είναι ενα isdn wifi adsl router που δεν χρειάζομαι στην Αθήνα (αφού εχω PSTN πλέον) και εκεί παίζει τον ρόλο AP για κινητα-ταμπλετς-λαπτοπς κτλ. Επειδή εχω γειτονικα σπιτια κοντα το εχω σαν wifi spot ανοιχτο δλδ για να μπορουν να παιρνουν awmn + internet (από το OVPN client στο ΜΤ). Απλά δεν θελω να εχουν προσβαση σε αλλα μηχανηματα του δικτυου μου. Επειδή όμως το DHCP του είναι για τα μπάζα και εκανε νουμερα το DHCP server παιζει το ΜΤ και ειναι κλειστος στο wifi router. Οποτε δεν μπορώ να το βαλω σε αλλη ethernet. Mια λύση είναι να εχω firewall rules αυτο δλδ κανω τωρα και κοβω ολο το AWMN και αφηνω μονο οσες ip's θελω να εχουν προσβαση. Αλλά αν δικα μου μηχανηματα παιζουν με DHCP τοτε πρεπει να ανοιγω και τις δικες τους ips κτλ. Εκτος αν δωσω σε ολα τα δικα μου σταθερες ips.
Eρώτηση : Υπάρχει περίπτωση κάποιος με εξωτερικη κεραια 2,4ghz πχ panel να πιάνει το εσωτερικό μου AP? γιατί ακόμα και πακιστανοί έβαλαν και νομίζω πως βλέπει προς τα εμένα!

----------


## NetTraptor

Γενικά ναι αν είσαι και δίπλα τους .... εξυπηρετείς που λέμε. Διακρίνω ένα ρατσισμό όμως! lol Μην τους κατονομάζεις έτσι είναι το μέλλον του δικτύου!

----------


## Nikiforos

Δεν κανω καμια διακριση δεν με πειραζει αν παιρνουν το θεμα ειναι οπως ειπα η ασφάλεια στο δικτυο μου, πχ να μην μπορουν να δουν το μηχανημα με τις καμερες και την ipcamera που εχω! καταλαβαινεις οτι μετα θα μπορουν πχ να κλεψουν ευκολοτερα! αν και δεν ειχαμε κρουσματα απο αυτους. Οποτε η δουλεια γινεται μονο με τα firewall rules στο MT έτσι?

----------


## NetTraptor

Κοίτα όταν πατάει κάποιος μέσα στο segment σου δεν μπορείς να ισχυριστείς ότι έχεις ασφάλεια. Ασχέτως του τι έχεις βάλει στο gateway είναι μέσα. Είναι σαν να είναι στο σαλόνι σου και να έχεις στην πόρτα κάποιον που δεν του λέει που ειναι η τουαλέτα και η κουζίνα. Έχει καμία σημασία? αν θέλει να πάρει την τηλεόραση θα μπορέσει να την πάρει  :: 
Εκτός αν εγώ δεν έχω καταλάβει κάτι πως ακριβώς κόβεις την πρόσβαση σε κάποιον ο οποίος παίρνει διευθύνσεις από το lan σου? Αν το AP είναι σε Bridge Mode και κάποιος παίρνει από το Lan σου IP τότε δεν καταλαβαίνω τι σχέση έχει το firewall στο gateway. Είναι μέσα στο ίδιο broadcast domain. Δεν χρειάζεται να συμβουλευτεί το gateway για να δει τις κάμερες τις συσκευές σου και ότι άλλο έχεις εκεί μέσα.
Αν είναι routed το AP φτιάξε firewall rules εκεί πάνω για το wireless interface. Και πάλι όμως εγώ θα προτιμούσα την ξεχωριστή lan.
Γενικά όλα τα ανοιχτά ap καλό είναι να είναι εκτός τοπικού δικτύου, segment, broadcast domain πως το λένε. Εκτός αν τελικά τα έχουμε εν γνώση μας ανοιχτά και μέσα στο lan μας. Κοινώς να και αν να και αν δεν  ::

----------


## Nikiforos

Ναι έχεις δίκιο μπερδεύτηκα! δεν τα κοβει γιατι εχει ip στο ιδιο δικτυο μονο οι απεξω κοβονται. Γιατι κανω δοκιμες και απο Αθηνα να δω αν τα φτανω ή οχι. Σε αλλη ethernet δεν γινεται να μπει πρεπει να τραβηχτει καλωδιο απο μεσα στο σπιτι απεξω να ανοιχτει τρυπα στον τοιχο κτλ, δεν λέει αυτό. Κατάλαβα θα δω τι θα κάνω! thanks!

jul/29/2012 10:54:02 system,error,critical login failure for user app_42 from 10.71.99.17 via ssh

νατες οι καταχρησεις! εγω θα φταιω αμα κοψω τα τσαμπε wifi???? ε? δικια μου ip εχει οποτε ειναι απο τον DHCP server στο ΜΤ.

----------


## spyros_28

Δοκίμασε το εξής. Άνοιξε ένα firewall rule με input chain, source address το range που εχεις δωσει στον dhcp και dst address το προσωπικό σου range με action drop. Αυτός ο κανόνας firewall θα μπλοκαρει το προσωπικό σου δίκτυο απο το AP και δεν θα φαίνεται.

----------


## NetTraptor

Ξέχασες να πεις ότι αυτό θα το κάνει πάνω στις συσκευές ή τους υπολογιστές στο firewall που ίσως έχουν.
Δεν είναι και πολύ πρακτικό αναλογιζόμενοι ότι θα πρέπει να το κάνει σε όλες τις συσκευές και δεύτερον από όσο καταλαβαίνω παίρνει και ο ίδιος IPs από το DHCP οπότε θα κλειδώσει και τον εαυτό του. Οπότε πρέπει να φτιάξει και reservations για όλες τις δικές του mac. Και οι Mac δεν γίνονται spoof θα μου πεις? Άβυσσος..

Πάρε τους visitors μακρυά από το lan σου. Σε ένα vlan + VAP, σε ένα άλλο LAN έστω σε κάτι με routed AP.

----------


## Nikiforos

Εντάξει τωρα απο το να καθομαι να ψαχνω παπαδες με τις ωρες το κανω κλειστο. Το ασυρματο δικτυο ειναι μεσα στο σπιτι με ενα adsl wifi isdn router (του ΟΤΕ), εχει εσωτερικη κεραια και ειναι για κινητα-λαπτοπς-ταμπλετες. Αν ερθουν τπτ γειτονες που τους γνωριζω προσωπικα και θελουν ασυρματο δικτυο (για Internet λεμε), τοτε θα τους δωσω, γιατι για το awmn δεν ενδιαφερεται κανεις απο αυτους. Ευχαριστω για τις απαντησεις πάντως! οσοι θελουν AWMN παντως μπορουν να μπουν πελατες σε γειτονικο κομβο. Στα 440μετρα απο εμενα εχει AP με omni ο κομβος που εχουμε bb link και ειναι και πολυ ψηλοτερα απο εμενα και μπορουν να συνδεονται απο εκει.

----------

