Obtenez un accès complet à toutes nos leçons dès maintenant. Start $1 Trial

Filtre de Pont sur MikroTik

Lorsque nous parlions du diagramme de flux de paquets, nous avons vu qu’il y avait un pare-feu à l’intérieur de la boîte de pontage, ce qui signifie que nous pouvons faire du pare-feu sur la couche 2. C’est ce qu’on appelle le « filtre de pont ».

Cela est clairement visible sur la Winbox lorsque vous vous rendez sur le pont :

La question que l’on peut se poser. Que peut-on faire avec le filtre à pont ? La réponse à cette question est peut-être de faire un LAB montrant comment vous pouvez utiliser le filtre de pont.

 

LAB: Filtre de pont pour empêcher le Rogue DHCP

A ce stade, vous devriez déjà connaître l’attaque Rogue DHCP qu’un attaquant peut effectuer (je l’ai expliqué avec un LAB complet dans ce cours).

Pour rappel, l’attaque Rogue DHCP se produit lorsqu’un attaquant branche sur notre réseau un serveur DHCP pour louer des adresses IP aux appareils internes (ainsi que l’adresse de la passerelle), ce qui lui permet d’intercepter tout le trafic de ces appareils internes.

Je vais vous montrer comment vous pouvez empêcher cela en utilisant la fonction de filtrage des ponts dont nous disposons sur la couche 2.

Comme vous le voyez dans le graphique, R1 agit comme un routeur avec le serveur DHCP activé, nous avons un commutateur (SW1) qui agit comme un commutateur dans lequel j’ai créé un port de pont et placé à l’intérieur les interfaces Ether1, Ether2 et Ether3 pour être pontées ensemble.

REMARQUE IMPORTANTE : lorsque vous devez utiliser le filtre de pont du commutateur, les ports que vous ajouterez au pont ne doivent pas être dotés d’une fonction de décharge matérielle. Si c’est le cas, le trafic n’ira pas vers l’unité centrale du routeur et le filtre du pont ne fonctionnera pas.

Je vous montre que les 3 interfaces (Ether1, Ether2 et Ether3) ont la décharge matérielle décochée :

 

Maintenant je dois faire la configuration sur le filtre de pont. Je dois dire que tout message de réponse DHCP à une découverte DHCP (venant d’un appareil client) doit être accepté pour passer s’il vient sur Ether1.

Nous savons que le serveur DHCP répondra en utilisant le port UDP 67, donc compilons cela dans une règle :

Veuillez nous excuser, l'accès complet à la leçon est réservé aux membres uniquement...

\
Accédez à toutes les leçons de différents fournisseurs.

\
Prix abordable pour améliorer vos compétences en informatique !

\
Accédez toujours à toutes les leçons, y compris les nouvelles ajoutées.

Satisfaction 100 % garantie !

Vous pouvez annuler votre abonnement à tout moment.

Aucune question posée, quoi qu'il en soit !

Devenez membre maintenant

Course Content

0 commentaires

Soumettre un commentaire

About