Como configurar DHCP Snooping no Mikrotik: Passo a Passo
O DHCP Snooping no Mikrotik é uma medida de segurança que protege a rede contra ataques relacionados ao DHCP, como o DHCP Spoofing. Ele funciona monitorando o tráfego DHCP e permitindo apenas que servidores confiáveis respondam às solicitações de clientes, bloqueando dispositivos não autorizados de se passarem por servidores DHCP.
Neste guia, você aprenderá a configurar o DHCP Snooping no Mikrotik para proteger sua rede contra essas ameaças.
Passo a Passo: Configurando o DHCP Snooping no Mikrotik
1. Acesse o RouterOS
Conecte-se ao Mikrotik usando WinBox ou terminal SSH.2. Habilite o DHCP Snooping no Switch Chip
Se o Mikrotik suporta o recurso no hardware de switch, habilite o snooping com o comando:/interface ethernet switch set dhcp-snooping=yes3. Marque as Portas Confiáveis (Trusted Ports)
Especifique quais interfaces estão conectadas aos servidores DHCP confiáveis:/interface ethernet switch port set ether1 dhcp-snooping-trusted=yes
/interface ethernet switch port set ether2 dhcp-snooping-trusted=noSubstituaether1pela interface conectada ao servidor DHCP. Todas as outras interfaces devem ser configuradas comono.
4. Defina o Range de IPs Permitidos (Opcional)
Adicione as sub-redes autorizadas para o tráfego DHCP:/ip dhcp-snooping add mac-address=AA:BB:CC:DD:EE:FF ip-address=192.168.1.1 lease-time=24hSubstituaAA:BB:CC:DD:EE:FFpelo MAC do servidor DHCP e192.168.1.1pelo IP do servidor.
5. Ative o DHCP Snooping para a VLAN (Opcional)
Se estiver usando VLANs, habilite o DHCP Snooping em uma VLAN específica:/interface ethernet switch vlan add ports=ether2 vlan-id=10 dhcp-snooping=yes6. Teste a Configuração
Certifique-se de que dispositivos na rede conseguem obter IP apenas do servidor autorizado:/ip dhcp-snooping print7. Monitore Logs de DHCP Snooping (Opcional)
Para rastrear dispositivos não autorizados tentando agir como servidores DHCP:/log print where message~"dhcp-snooping"