OSPF

Z HKfree wiki

Přejít na: navigace, hledání

Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem

Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.

V konfiguraku /etc/quagga/ospfd.conf (ci kde ho ma ktera distro) jsou vyznaceny tucne potrebne zmeny na prevod jedne linky na zabezpecenou.

(Priklad konfigurace)
!
interface eth3
description Wifi Sektory
ip ospf cost 100
ip ospf hello-interval 5
ip ospf message-digest-key 1 md5 mojetajneheslo (heslo muze mit az 16 znaku)
ip ospf authentication message-digest
!

!
router ospf
ospf router-id 10.107.2.1
redistribute static metric-type 1
redistribute connected route-map just-10
network 10.107.0.68/30 area 0
network 10.107.0.72/30 area 0.0.0.1
area 0.0.0.1 authentication message-digest
!

Na tomto prikladu jsem prevedl eth3 (10.107.0.72/30) na area 0.0.0.1. Stejna zmena je samozrejme potreba udelat i na protejsim routeru, jinak se nespoji.

Zustava vsak linka se siti 10.107.0.68/30 v area 0, na to pozor, neb tato linka bude mit diky teto area (0) vyssi prioritu. Predelejte ji take na area 1, a pak uz to pojede i pres 10.107.0.72/30.
Finalni stav je takovy, kdy neni na routeru zadna area 0.


Nelze prepnout area 0.0.0.0 na kryptovanou, protoze ta v soucasne dobe je v komplet freecku nezabezpecena. Pokud si ji zabezpecite u sebe na routeru, tak vam vase linky pojedou, ale ostatni routery se s vami nebudou bavit, protoze nebudou zabezpeceny. Proto je treba vytvorit novou area, ktera bude od zacatku zabezpecena. Tj. v tomto pripade 0.0.0.1

Je treba postupne prevadet nezabezpecene linky na zabezpecene smerem od nejvzdalenejsiho routeru smerem ku centralnimu bodu (PMV), protoze lze vytvorit ostrov(y) samotne area 0.0.0.1 -> ty se do area 0.0.0.0 naroutuji (odzkouseno), ale samotna area 0.0.0.0 nefunguje (nebo jsem zatim neprisel na to jak to udelat -> kdo by vedel at mi pisne).


Kdo udela navod pro Mikrotik ? (na nem to samozrejme taky jde)

--
Kendy 29.1.2008


Pro Mikrotik je to prosté

Fig. 1, nastavení interfaces
Fig. 1, nastavení interfaces
Fig. 2, nastavení areas
Fig. 2, nastavení areas
Fig. 3, nastavení networks
Fig. 3, nastavení networks

Takhle to vypadá ve WinBoxu. V konzoli to je obdobné.

Citováno z „http://wiki.hkfree.org/OSPF