OSPF: Porovnání verzí
Řádek 1: | Řádek 1: | ||
== Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem == | == Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem == | ||
− | Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case | + | Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku. |
---- | ---- |
Verze z 30. 1. 2008, 09:28
Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem
Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.
V konfiguraku /etc/quagga/ospfd.conf (ci kde ho ma ktera distro) jsou vyznaceny tucne potrebne zmeny na prevod jedne linky na zabezpecenou.
(Priklad konfigurace)
!
interface eth3
description Wifi Sektory
ip ospf cost 100
ip ospf hello-interval 5
ip ospf message-digest-key 1 md5 mojetajneheslo (heslo muze mit az 16 znaku)
ip ospf authentication message-digest
!
!
router ospf
ospf router-id 10.107.2.1
redistribute static metric-type 1
redistribute connected route-map just-10
network 10.107.0.68/30 area 0
network 10.107.0.72/30 area 0.0.0.1
area 0.0.0.1 authentication message-digest
!
Na tomto prikladu jsem prevedl eth3 (10.107.0.72/30) na area 0.0.0.1. Stejna zmena je samozrejme potreba udelat i na protejsim routeru, jinak se nespoji.
Nelze prepnout area 0.0.0.0 na kryptovanou, protoze ta v soucasne dobe je v komplet freecku nezabezpecena. Pokud si ji zabezpecite u sebe na routeru, tak vam vase linky pojedou, ale ostatni routery se s vami nebudou bavit, protoze nebudou zabezpeceny. Proto je treba vytvorit novou area, ktera bude od zacatku zabezpecena. Tj. v tomto pripade 0.0.0.1
Je treba postupne prevadet nezabezpecene linky na zabezpecene smerem od nejvzdalenejsiho routeru smerem ku centralnimu bodu (PMV), protoze lze vytvorit ostrov(y) samotne area 0.0.0.1 -> ty se do area 0.0.0.0 naroutuji (odzkouseno), ale samotna area 0.0.0.0 nefunguje (nebo jsem zatim neprisel na to jak to udelat -> kdo by vedel at mi pisne).
Kdo udela navod pro Mikrotik ? (na nem to samozrejme taky jde)
--
Kendy 29.1.2008