filtrar macs desconocidas

Hola,

Gracias por este gran foro, lo encuentro súper interesante para configurar los mikrotik.
He estado buscando información aquí y en la web de mikrotik y no encuentro exactamente como bloquear equipos de una vlan con ip estática, cuya mac no se haya comunicado previamente.

Tengo un crs326 configurado para gestionar la red de un edificio, que se ha separado en varias vlans en función de los dispositivos.
El caso es que no puedo configurar todos los dispositivos por dchp, porque algunos necesitan configurarse manualmente.
Los que si pueden por dhcp, configuro el servidor el modo estático para que no asigne IPs a los nuevos dispositivos, y las interfaces configuradas con arp reply-only.
Los que se deben configurar manualmente, añado su mac a la lista arp.

Si un equipo desconocido se conecta al switch con una ip correcta de la vlan, ese equipo no saldrá a Internet por no añadirse su mac a la lista arp, pero nada le impide ver al resto de equipos de su misma vlan. Y justo esto es lo que quiero evitar.

He leído una opción que solo es viable para el dhcp, y es añadir cada lease a una lista blanca y luego bloquear en el firewall todo el tráfico de dicha vlan que no provenga de dicha lista. Esto funcionaría si no estuviera obligado a trabajar con equipos con configuración ip manual.

Alguna idea?
Muchas gracias y un saludo.
 
Le doy una pensada y te digo algo. Es un tema muy concreto, pero seguro que hay manera de hacerlo.

Saludos!
 
Le doy una pensada y te digo algo. Es un tema muy concreto, pero seguro que hay manera de hacerlo.

Saludos!
Muchas gracias @pokoyo, menudo crack estás hecho!!!

Yo había pensado en algún script que transforme la tabla arp en una whitelist y luego bloquear el resto de macs por ip firewall.
No estoy muy puesto, entiendo que sería más óptimo el filtrado en el bridge, verdad? Pero el rollo es que allí las reglas no permiten listas, por lo que tocaría meter una a una, y si hay muchos equipos en la red no se como es de eficiente.

En cualquiera de los dos casos, script que genere reglas o bien en el bridge o en el cortafuegos.
Como lo ves? Que opción crees que sería más óptima?

Y por curiosidad, como trabajan el resto de routers? En el trabajo me he encontrado instalaciones donde si no le das la mac de tu dispositivo a IT para que la de de alta, no tienes ningún tipo de conexión.
No acabo de entender porqué en mikrotik gestionando la tabla arp solo corta la salida a Internet, pero permite el trabajo entre equipos de una misma vlan.
Ya se que no se trata de una medida de seguridad como tal, porque cualquiera puede canviarse la mac, pero a los niveles que trabajo ayuda el filtrar solo las macs conocidas.

Gracias de nuevo.
Saludos
 
Si hablamos de direcciones MAC, estamos hablando de capa 2, así que te tocaría trabajar con el bridge y sus filtros, más que con el firewall. O con la propia tabla de "hosts" del bridge, dándolos de alta a mano. Se me ocurre que podrías tener una vlan por defecto que no navegue a ningún sitio y tenga dos filtros de forward (bien pro bridge, bien por IP en el firewall) para evitar que ve nada, donde ahí vayas tirando los hosts nuevos. Y luego que en la lista de hosts del bridge vayas dando de alta cada uno con su MAC, asociandole su vlanID... pero no sé, no lo veo eficiente, y es un trabajo manual de la hostia.

Otra opción sea quizá puedas enfocarlo a tener un VMPS, un servidor de vlans dinámico. Pero creo que estos equipos no tienen esa opción de integrarse con ellos. Mira este video, para que sepas de qué va el tema:

Otra que también te digo es que, si alguien irrumpe con un cable en tu oficina y conecta a tu switch, ya ha violado toda la seguridad que tenía que violar. Es decir, en algún momento tienes que considerar que la seguridad por ocultación no es seguridad como tal.

Cuando tenga un rato libre y pueda cacharrear con GNS3, le doy un pensada a ver si se me ocurre alguna maldad para hacerlo.

Saludos!
 
Gracias por la respuesta.
Me gusta mucho lo de las vlans dinámicas, entiendo que algo se puede hacer según la web de mikrotik, pero no le acabo de pillar el truco https://help.mikrotik.com/docs/display/ROS/CRS3xx+series+switches#CRS3xxseriesswitches-MACBasedVLAN
No consigo configurar el router con las vlans si no puedo añadir el bridge tagged a la vlan. Si no lo pongo, no funciona el servidor DHCP que va sobre la interfaz vlan.
Utilizo una configuración muy parecida a la que explicaste en https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-bridge-vlan-filtering.564505/

El problema con las vlan por MAC es:

MAC-based VLANs will only work properly between switch ports and not between switch ports and CPU. When a packet is being forwarded to the CPU, the pvid property for the bridge port will be always used instead of new-vlan-id from ACL rules.
Código:
/interface bridge vlan
add bridge=bridge1 tagged=ether2 untagged=ether7 vlan-ids=200,300,400

/interface ethernet switch rule
add switch=switch1 ports=ether1,ether2,etherN... src-mac-address=A4:12:6D:77:94:43/FF:FF:FF:FF:FF:FF new-vlan-id=200

Volviendo a los filtros del bridge, como ves generarlos con un script en función de la tabla arp?

Saludos
 
La verdad que es una casuística muy concreta. Iría directamente al foro oficial a buscar alguien que tenga implementado algo similar. De cualquier forma, quizá te estás enrocando en un tema que tampoco tiene mucho sentido, cualquier te puede hacer un spoofing de una MAC, no es complicado; si lo haces por tema seguridad.

Para lo que comentas de las vlans taggeadas o no en el bridge, eso sólo lo configurarías así si estás en el caso de implementar vlans y routing en el mismo equipo (irías al modelo "router on stick", el segundo caso que te mando más abajo). De otra forma, el router simplemente declararía las vlans taggeadas sobre un único puerto (el que hace de trunk y lo une al switch) en el apartado Interface -> VLANs, y el bridge vlan filtering lo harías sólo en el switch, sin taggear el propio bridge (más allá de la vlan de management)

Es decir, el router declararía las vlans y haría su direccionamiento y DHCP, y el switch haría el filtering. Tendrías este esquema, con dos equipos
File:portbased-vlan1.png

El esquema de router on stick es este otro, y es para cuando sólo tienes un único equipo, que hace tanto de router como de switch (tipo las routerboards pequeñitas)
File:Bridge-vlan-routing.png

Saludos!
 
Gracias de nuevo por la respuesta.
Mi caso es el segundo (router on stick), un único equipo que lo gestiona todo. Pensaba que con el crs326 tendría suficiente.

Tengo claro que no es por seguridad, como bien dices. Algún equipo no autorizado podría clonar una MAC válida y funcionar. Pero en los niveles que trabajo nadie lo va a hacer, lo único que quiero evitar es que llegue alguien sin conocimientos y conecte a la red un equipo nuevo que pueda interactuar con los de su misma vlan.

Pero veo que con este mikrotik no es viable. Entiendo que con un router mikrotik y varios switch si que podría implementar el modelo MACBasedVLAN
Que router recomendarías?

Muchas gracias por tu ayuda.
Saludos
 
Si tienes el esquema de router on stick, las vlans van sobre el bridge taggeadas, y el tráfico sube a la cpu, asi que sospecho que esa solución que propones no te funcionaría.

Yo buscaría una alternativa, antes que comprar un router. Si te decantas por un router, un 4011 o una rb1100ah son buenos equipos para el tipo de setup que tienes, más orientado a empresa.

Saludos!
 
Arriba