Зачем блокировать статический IP адрес
Предположим, что в сети появляются устройства, которые не имеют административного контроля и управляются не сетевыми администратором. Это может быть:
- Мобильный телефон;
- Домашний компьютер;
- Прочий не контролируемый доступ.
Жизненные ситуации, которые имеют место быть:
- Гостевая сеть. При получении сетевых настроек, злоумышленник подменяет IP адрес, с целью проникновения в локальную подсеть.
- Сотрудник принёс на работу компьютер, у которого срабатывает конфликт по IP адресу с рабочим сервером;
- После длительного простоя, запускается компьютер, который также имеет статический IP адрес, не зафиксированный в общей таблице.
Из примеров видно, что этот инструментарий добавляет больше административных рычагов, для фильтрации попыток злоумышленников взломать сеть, а также подключению к сети устройств, которые находятся вне контроля сетевого инженера.
Стоит также отметить, что данный фильтр отрабатывает на уровне L2 и не пересекается с правилами Firewall. Фильтрация происходит без использования процессора(CPU) маршрутизатора(роутера), что является полезным функционалом для внедрения в больших сетях
Нужно настроить запрет на использование статических IP адресов в MikroTik?
Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.
Как настроить ARP записи в MikroTik
Эта настройка будет состоять из следующей логики: все источники трафика проходящие через интерфейс, должны иметь соответствующие записи в таблице ARP:
Динамические клиенты будут вноситься через параметр DHCP сервера;
Статические клиенты – через ручное добавление записи в таблицу ARP.
Использовать только ARP записи маршрутизатора
Настройка находится Bridge→Bridge Interface-ARP
Добавлять ARP запись через DHCP сервер
Настройка находится IP→DHCP Server→DHCP→Add ARP For Leases
Ручное добавление ARP записи
Настройка находится IP→ARP
