OSPF: Porovnání verzí

Z HKfree wiki
Skočit na navigaci Skočit na vyhledávání
 
Řádek 1: Řádek 1:
 
== Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem ==
 
== Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem ==
  
Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Samozrejme je nutne mit synchronizovany cas na routeru, aby to spravne fungovalo. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.
+
Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.
  
 
----
 
----

Verze z 30. 1. 2008, 09:28

Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem

Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.


V konfiguraku /etc/quagga/ospfd.conf (ci kde ho ma ktera distro) jsou vyznaceny tucne potrebne zmeny na prevod jedne linky na zabezpecenou.

(Priklad konfigurace)
!
interface eth3
description Wifi Sektory
ip ospf cost 100
ip ospf hello-interval 5
ip ospf message-digest-key 1 md5 mojetajneheslo (heslo muze mit az 16 znaku)
ip ospf authentication message-digest
!

!
router ospf
ospf router-id 10.107.2.1
redistribute static metric-type 1
redistribute connected route-map just-10
network 10.107.0.68/30 area 0
network 10.107.0.72/30 area 0.0.0.1
area 0.0.0.1 authentication message-digest
!

Na tomto prikladu jsem prevedl eth3 (10.107.0.72/30) na area 0.0.0.1. Stejna zmena je samozrejme potreba udelat i na protejsim routeru, jinak se nespoji.


Nelze prepnout area 0.0.0.0 na kryptovanou, protoze ta v soucasne dobe je v komplet freecku nezabezpecena. Pokud si ji zabezpecite u sebe na routeru, tak vam vase linky pojedou, ale ostatni routery se s vami nebudou bavit, protoze nebudou zabezpeceny. Proto je treba vytvorit novou area, ktera bude od zacatku zabezpecena. Tj. v tomto pripade 0.0.0.1

Je treba postupne prevadet nezabezpecene linky na zabezpecene smerem od nejvzdalenejsiho routeru smerem ku centralnimu bodu (PMV), protoze lze vytvorit ostrov(y) samotne area 0.0.0.1 -> ty se do area 0.0.0.0 naroutuji (odzkouseno), ale samotna area 0.0.0.0 nefunguje (nebo jsem zatim neprisel na to jak to udelat -> kdo by vedel at mi pisne).


Kdo udela navod pro Mikrotik ? (na nem to samozrejme taky jde)

--
Kendy 29.1.2008