OSPF: Porovnání verzí
(Přidání screenshotů z winboxu) |
|||
Řádek 37: | Řádek 37: | ||
--<br/> | --<br/> | ||
Kendy 29.1.2008 | Kendy 29.1.2008 | ||
+ | |||
+ | |||
+ | |||
+ | === Pro Mikrotik je to prosté === | ||
+ | |||
+ | [[Soubor:ospf_md5_microtik_1.png|frame|Fig. 1, nastavení interfaces]] | ||
+ | |||
+ | [[Soubor:ospf_md5_microtik_2.png|frame|Fig. 2, nastavení areas]] | ||
+ | |||
+ | [[Soubor:ospf_md5_microtik_3.png|frame|Fig. 3, nastavení networks]] | ||
+ | |||
+ | Takhle to vypadá ve WinBoxu. V konzoli to je obdobné. |
Verze z 3. 2. 2008, 07:50
Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem
Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.
V konfiguraku /etc/quagga/ospfd.conf (ci kde ho ma ktera distro) jsou vyznaceny tucne potrebne zmeny na prevod jedne linky na zabezpecenou.
(Priklad konfigurace)
!
interface eth3
description Wifi Sektory
ip ospf cost 100
ip ospf hello-interval 5
ip ospf message-digest-key 1 md5 mojetajneheslo (heslo muze mit az 16 znaku)
ip ospf authentication message-digest
!
!
router ospf
ospf router-id 10.107.2.1
redistribute static metric-type 1
redistribute connected route-map just-10
network 10.107.0.68/30 area 0
network 10.107.0.72/30 area 0.0.0.1
area 0.0.0.1 authentication message-digest
!
Na tomto prikladu jsem prevedl eth3 (10.107.0.72/30) na area 0.0.0.1. Stejna zmena je samozrejme potreba udelat i na protejsim routeru, jinak se nespoji.
Nelze prepnout area 0.0.0.0 na kryptovanou, protoze ta v soucasne dobe je v komplet freecku nezabezpecena. Pokud si ji zabezpecite u sebe na routeru, tak vam vase linky pojedou, ale ostatni routery se s vami nebudou bavit, protoze nebudou zabezpeceny. Proto je treba vytvorit novou area, ktera bude od zacatku zabezpecena. Tj. v tomto pripade 0.0.0.1
Je treba postupne prevadet nezabezpecene linky na zabezpecene smerem od nejvzdalenejsiho routeru smerem ku centralnimu bodu (PMV), protoze lze vytvorit ostrov(y) samotne area 0.0.0.1 -> ty se do area 0.0.0.0 naroutuji (odzkouseno), ale samotna area 0.0.0.0 nefunguje (nebo jsem zatim neprisel na to jak to udelat -> kdo by vedel at mi pisne).
Kdo udela navod pro Mikrotik ? (na nem to samozrejme taky jde)
--
Kendy 29.1.2008
Pro Mikrotik je to prosté
Takhle to vypadá ve WinBoxu. V konzoli to je obdobné.