Cara Mencegah DHCP Rogue pada Mikrotik

DHCP Rogue adalah istilah yang digunakan untuk menggambarkan situasi di mana ada server DHCP (Dynamic Host Configuration Protocol) yang tidak sah atau tidak diotorisasi yang beroperasi dalam jaringan. Ini dapat terjadi ketika seseorang dengan sengaja atau tidak sengaja mengaktifkan server DHCP tambahan dalam jaringan yang seharusnya hanya memiliki satu server DHCP yang sah.

  Tutorial   Sep 11, 2023   0  Add to Reading List
Cara Mencegah DHCP Rogue pada Mikrotik

Protokol DHCP (Dynamic Host Configuration Protocol) digunakan untuk secara dinamis mengalokasikan alamat IP kepada perangkat klien dalam jaringan. Di dalam perangkat MikroTik, DHCP dapat berperan sebagai Server DHCP untuk mendistribusikan alamat IP kepada perangkat klien, atau sebagai Client DHCP untuk memperoleh alamat IP dari server DHCP eksternal.

Mengelola jaringan yang efisien memerlukan kontrol yang ketat atas layanan yang diberikan kepada perangkat di jaringan Anda. Salah satu aspek yang krusial adalah penggunaan server DHCP (Dynamic Host Configuration Protocol) yang hanya boleh satu dalam jaringan. Ketika ada lebih dari satu server DHCP, bisa terjadi konflik dan ketidaksempurnaan dalam pengaturan alamat IP. Artikel ini akan membahas mengenai cara mencegah penggunaan multiple DHCP server pada perangkat MikroTik, untuk menjaga stabilitas dan keandalan jaringan Anda.

Kondisi yang dikenal sebagai Multiple DHCP Server atau DHCP Rogue terjadi saat terdapat dua atau lebih Server DHCP yang aktif di dalam satu jaringan yang sama. Hal ini mengakibatkan adanya Server DHCP yang sah dan Server DHCP palsu beroperasi secara bersamaan. Dalam situasi di mana klien terhubung ke DHCP Server palsu, akses internet mereka akan terhambat. Kondisi ini bisa menjadi permasalahan serius, terutama jika pengguna tidak menyadari keberadaan DHCP Server palsu dan kesulitan untuk mengidentifikasinya.

Untuk memungkinkan klien terhubung ke internet secara otomatis, mereka dapat memperoleh alamat IP dari DHCP Server. Namun, situasi menjadi rumit ketika ada dua atau lebih Server DHCP yang aktif dalam satu jaringan. Contohnya, dalam beberapa kasus, modem bekas seperti Huawei atau Modem ZTE sering digunakan sebagai Client Hotspot atau Client PPPoE dalam jaringan.

Dalam situasi ini, ketika terdapat beberapa DHCP Server aktif di jaringan, pengelolaan dan konfigurasi yang tepat sangat penting. Hal ini diperlukan agar tidak terjadi konflik dalam alokasi alamat IP dan untuk memastikan bahwa klien terhubung ke DHCP Server yang sesuai dengan kebutuhan mereka.

Jadi, sementara tujuan utama adalah memastikan koneksi internet yang otomatis untuk klien, manajemen dan konfigurasi yang cermat diperlukan untuk mengatasi tantangan yang muncul ketika ada beberapa DHCP Server dalam satu jaringan.

Untuk mengubah modem bekas menjadi Access Point, penting untuk mematikan DHCP Server yang berjalan di modem tersebut. Ketika DHCP Server di modem lupa dimatikan, ini dapat mengakibatkan masalah bagi klien, seperti mendapatkan alamat IP secara otomatis dari DHCP Server modem. Namun, Anda dapat menghindari masalah ini dengan melakukan konfigurasi pada perangkat MikroTik Anda.

Sebagai contoh, dalam topologi yang terlihat pada gambar di atas, terdapat modem bekas yang terhubung ke port ether6 dan ether7 pada perangkat MikroTik, dan juga ada modem tambahan yang terhubung secara paralel ke modem yang langsung terhubung ke perangkat MikroTik. Dalam situasi ini, penting untuk memastikan bahwa hanya satu DHCP Server yang aktif dan beroperasi dalam jaringan Anda, sehingga menghindari konflik dalam alokasi alamat IP.

Untuk mencegah adanya Multiple DHCP Server atau serangan DHCP Rogue pada port ether6 dan ether7, Anda dapat membuat aturan (rule) pada menu Bridge di perangkat MikroTik Anda. Dengan cara ini, Anda dapat mengendalikan distribusi alamat IP di dua port tersebut dengan lebih baik dan menghindari konflik DHCP. 

/interface bridge filter
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-interface=ether6 src-port=68
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-interface=ether7 src-port=68
add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip src-port=68

Bridge Filter

Dengan aturan di atas, ketika ada lalu lintas dari klien (DHCP Discovery) yang memiliki sumber port 68 dan tujuan port 67, menggunakan protokol UDP, yang keluar melalui ether1 dan ether6, maka lalu lintas tersebut akan diterima (ACCEPT). Namun, untuk jenis lalu lintas yang sama yang keluar melalui antarmuka selain ether1, akan diblokir (DROP).

Selain dengan menggunakan Rule diatas kita bisa memanfaatkan DHCP Alert yang terdapat pada Menu DHCP Server

DHCP Server

Dalam contoh konfigurasi di atas, ketika adanya deteksi DHCP Rogue, sebuah script akan dijalankan untuk mengatur parameter 'Authoritative=YES' pada DHCP Server yang sah. Penggunaan parameter 'Authoritative=YES' ini adalah langkah yang penting dalam mencegah Multiple DHCP Server atau serangan DHCP Rogue pada perangkat MikroTik Anda.

Dengan demikian, kita telah menguraikan cara mencegah dan memantau adanya DHCP Server palsu dalam satu segmen jaringan menggunakan konfigurasi ini. Ini adalah langkah yang krusial untuk menjaga keamanan dan keandalan jaringan Anda.