OSPF: Porovnání verzí

Z HKfree wiki
Skočit na navigaci Skočit na vyhledávání
(Přidání screenshotů z winboxu)
Řádek 37: Řádek 37:
 
--<br/>
 
--<br/>
 
Kendy 29.1.2008
 
Kendy 29.1.2008
 +
 +
 +
 +
=== Pro Mikrotik je to prosté ===
 +
 +
[[Soubor:ospf_md5_microtik_1.png|frame|Fig. 1, nastavení interfaces]]
 +
 +
[[Soubor:ospf_md5_microtik_2.png|frame|Fig. 2, nastavení areas]]
 +
 +
[[Soubor:ospf_md5_microtik_3.png|frame|Fig. 3, nastavení networks]]
 +
 +
Takhle to vypadá ve WinBoxu. V konzoli to je obdobné.

Verze z 3. 2. 2008, 07:50

Jak prevest nezabezpecene OSPF linky na zabezpeceni MD5 heslem

Jelikoz nezabezpecene OSPF linky jsou problemem a je mozno sit napadnout na teto urovni, tak je treba je prevest na autentizaci MD5 heslem. MD5 hesla nejsou sniffnutelna a dokonce nelze pouzit ani nasnifovany otisk, protoze autentizace "plave" v case. Kazda linka muze mit sve vlastni heslo, tj. nepouzivejte stejna hesla na ruzne linky, kdyby doslo k vyzrazeni hesla, tak at nemusite menit celej router, ale jen tu ohrozenou linku.


V konfiguraku /etc/quagga/ospfd.conf (ci kde ho ma ktera distro) jsou vyznaceny tucne potrebne zmeny na prevod jedne linky na zabezpecenou.

(Priklad konfigurace)
!
interface eth3
description Wifi Sektory
ip ospf cost 100
ip ospf hello-interval 5
ip ospf message-digest-key 1 md5 mojetajneheslo (heslo muze mit az 16 znaku)
ip ospf authentication message-digest
!

!
router ospf
ospf router-id 10.107.2.1
redistribute static metric-type 1
redistribute connected route-map just-10
network 10.107.0.68/30 area 0
network 10.107.0.72/30 area 0.0.0.1
area 0.0.0.1 authentication message-digest
!

Na tomto prikladu jsem prevedl eth3 (10.107.0.72/30) na area 0.0.0.1. Stejna zmena je samozrejme potreba udelat i na protejsim routeru, jinak se nespoji.


Nelze prepnout area 0.0.0.0 na kryptovanou, protoze ta v soucasne dobe je v komplet freecku nezabezpecena. Pokud si ji zabezpecite u sebe na routeru, tak vam vase linky pojedou, ale ostatni routery se s vami nebudou bavit, protoze nebudou zabezpeceny. Proto je treba vytvorit novou area, ktera bude od zacatku zabezpecena. Tj. v tomto pripade 0.0.0.1

Je treba postupne prevadet nezabezpecene linky na zabezpecene smerem od nejvzdalenejsiho routeru smerem ku centralnimu bodu (PMV), protoze lze vytvorit ostrov(y) samotne area 0.0.0.1 -> ty se do area 0.0.0.0 naroutuji (odzkouseno), ale samotna area 0.0.0.0 nefunguje (nebo jsem zatim neprisel na to jak to udelat -> kdo by vedel at mi pisne).


Kdo udela navod pro Mikrotik ? (na nem to samozrejme taky jde)

--
Kendy 29.1.2008


Pro Mikrotik je to prosté

Fig. 1, nastavení interfaces
Fig. 2, nastavení areas
Fig. 3, nastavení networks

Takhle to vypadá ve WinBoxu. V konzoli to je obdobné.