uwierzytelnianie routingu
uwierzytelnianie routingu
Czy ktoś wie gdzie jest opisane na czym dokładnie polega uwierzytelnianie routingu? Interesuje mnie czy jest to jakoś kryptograficznie rozwiązane, czy to tylko jakiś taki bajer, żeby było a w praktyce można to złamać w kilka sekund.
Znalazłem już, że uwierzytelnianie nie szyfruje tablicy routingu - da się to włączyć?
Znalazłem już, że uwierzytelnianie nie szyfruje tablicy routingu - da się to włączyć?
Re: uwierzytelnianie routingu
Poczytaj o tym, jak to działa po prostu - w RFC dla protokołów takich jak OSPF, BGP czy IS-IS. Do normalnego pakietu routingu dodawany jest hash. W dużym uproszczeniu routery dysponując współdzielonym hasłem weryfikują, czy dla tak otrzymanego pakietu otrzymują ten sam hash, innymi słowy, czy pakiet nie został po drodze zmodyfikowany lub wręcz wysłany z routera, które zna złe hasło. Nie stosuje się operacyjnie szyfrowania całego ruchu protokołów routingu, poza sytuacjami, gdy i tak znajdują się one np. w tunelu IPsec.rysic pisze:Czy ktoś wie gdzie jest opisane na czym dokładnie polega uwierzytelnianie routingu? Interesuje mnie czy jest to jakoś kryptograficznie rozwiązane, czy to tylko jakiś taki bajer, żeby było a w praktyce można to złamać w kilka sekund.
A po co? Miałoby to dramatycznie negatywny wpływ na wydajnośc routera, a jeśli ktoś uzyskuje już dostęp do routera, podejrzenie zawartości tablicy routingu można zablokować. Jeśli jest to niemożliwe, albo takie zabezpieczenie zostanie przełamane, masz większe problemy niż to, że ktoś podejrzy że ruch do przykładowego portalu routujesz przez interfejs X.rysic pisze:Znalazłem już, że uwierzytelnianie nie szyfruje tablicy routingu - da się to włączyć?
O co tak naprawdę chodzi?
Re: uwierzytelnianie routingu
Pewnie kolejne pytanie z jakiejs uczelni...lbromirs pisze:O co tak naprawdę chodzi?
Re: uwierzytelnianie routingu
drake pisze:Pewnie kolejne pytanie z jakiejs uczelni...lbromirs pisze:O co tak naprawdę chodzi?
Nie, to nie jest zadanie domowe
Czytam sobie materiały od CISCO do kursu CCNA i nachodzą mnie często tego typu pytania, bo sporo rzeczy jest tam słabo opisanych a znając życie, CISCO mogło użyć kryptografii ala "rozkoduje mnie gimnazjalista" (przepraszam, ja sporo siedzę pod Linux-ami i ciężko mi czasem zrozumieć niektóre rozwiązania CISCO)
Ibromirs, co przez to rozumiesz?
Zdaję sobie sprawę, że zwiększyłoby to narzut na protokół routingu, aczkolwiek tak jest z większością systemów bezpieczeństwa.podejrzenie zawartości tablicy routingu można zablokować
Wiem też, że poznanie tablicy routingu, to nie jest jakaś mega dziura w bezpieczeństwie, ale zawsze jest to jakieś ułatwienie dla atakującego.
Re: uwierzytelnianie routingu
A tak konkretnie o czym mówisz i gdzie to się stało? IPsec to IPsec. Mówisz o starym sposobie zamaskowania haseł w konfiguracjach, sposobie dawno nie używanym i nie zalecanym przez wszystkie podręczniki 'najlepszych praktyk'? To tylko jeden przypadek, ale chętnie dowiem się czegoś nowego.rysic pisze:a znając życie, CISCO mogło użyć kryptografii ala "rozkoduje mnie gimnazjalista" (przepraszam, ja sporo siedzę pod Linux-ami i ciężko mi czasem zrozumieć niektóre rozwiązania CISCO)
Wydanie polecenia 'sh ip|ipv6 route' na danym poziomie uprzywilejowania osoby zalogowanej do routera można zablokować. Podobnie jak inne wariacje na temat oglądania tablicy CEF, zawartości TCAMów, statystyk rozłożenia prefixów, etc.rysic pisze:Ibromirs, co przez to rozumiesz?podejrzenie zawartości tablicy routingu można zablokować
Zachęcam Cię zatem do wykonania ćwiczenia myślowego, w ramach którego tablica routingu jest szyfrowana i odszyfrowywana przy każdym otrzymaniu pakietu, aby wykonać decyzję o routingu. Jak już znajdziesz implementacje takiego pomysłu na linuxa, wrócimy do dyskusji o tym, jak przenieść to na grunt sprzętowy. Jeśli nie znajdziesz, zapewne szybko zorientujesz się dlaczego.rysic pisze:Zdaję sobie sprawę, że zwiększyłoby to narzut na protokół routingu, aczkolwiek tak jest z większością systemów bezpieczeństwa.
Może napisałem poprzednio niejasno - atakujący, mając dostęp do routera, jest w stanie wykonywać wiele operacji. Poznanie zawartości tablicy routingu jest miłym zagadnieniem rekonesansowym, ale interesuje Cię raczej wpływanie na jej zawartość, a nie jej oglądanie. Plus, jeśli już możesz to robić - właściciel routera ma większy problem niż Twoje na nim grzebanie.rysic pisze:Wiem też, że poznanie tablicy routingu, to nie jest jakaś mega dziura w bezpieczeństwie, ale zawsze jest to jakieś ułatwienie dla atakującego.
-
- member
- Posty: 21
- Rejestracja: 21 gru 2010, 23:38
- Lokalizacja: Grudziądz/Bydgoszcz
Przepraszam wiem, że to nie jest właściwym tematem dyskusji, ale nie do końca jest tak. Generalnie Junos - domyślam się, że o nim napomniałeś stoi na FreeBSD. Zresztą Panowie CCIE (z naciskiem na gangrena) dobrze to wyjaśniają: http://ccie.pl/viewtopic.php?t=13767 (bez urazy)tomekmorales pisze:W juniperkach, które bazują na linuksie uwierzytelnianie wygląda tak samo
No a tak z ciekawości to MD5 chyba nie jest juz zbyt bezpieczne http://en.wikipedia.org/wiki/MD5 . Skoro można wygenerować treść o identycznym hashu.
No i? Nie ustandaryzowano jeszcze ochrony przez SHA1, czy cokolwiek silniejszego. Dlaczego tak się stało? Bo w rzeczywistości MD5 używa się raczej jako mechanizmu zabezpieczającego przed wymieszaniem różnych sieci niż jakiegoś szczególnego mechanizmu bezpieczeństwa, choć zawsze zostaje tym dodatkowym etapem, który trzeba pokonać (w szczególności po pojawieniu się autokonfiguracji BGP dla całych podsieci a nie nazwanego przez IP sąsiada).defrag pisze:No a tak z ciekawości to MD5 chyba nie jest juz zbyt bezpieczne http://en.wikipedia.org/wiki/MD5 . Skoro można wygenerować treść o identycznym hashu.
Realistycznie, próbę ataku siłowego na MD5 wykryje pierwszy lepszy system zarządzania. Dodatkowo, sama próba takiego ataku nie jest taka prosta - musisz podszyć się pod IP sąsiada, lub spróbować wstrzelić w istniejącą sesję TCP. Wszystko pięknie na papierze lub slajdzie. Dużo prościej jest zaatakować implementację TCP (na przykład za pomocą tzw. powolnego ataku) i rozerwać sesję pomiędzy dwoma sąsiadami, niż wejść o warstwę wyżej i spróbować skompromitować BGP.
Wrócę ponownie do swojej tezy - jeśli masz atakującego w swojej wewnętrznej sieci, masz większy problem niż tagi MD5. Stąd zresztą cała nauka o separacji ruchu klientów od własnego, najpierw za pomocą ACL a dzisiaj już w zasadzie w większości przypadków za pomocą MPLS, nawet w sieciach nieoperatorskich.
Ależ, haszowanie tablic routingu dzieje się zdecydowanie. Oto hash tablicy routingu mojego domowego routera:Ajo pisze:Wydaje mi się, że nie chodzi mu o haszowanie tablic routingu
Kod: Zaznacz cały
33FCB4C0
Po co? Pisałem o tym w pierwszej odpowiedzi. Dla purystów jest IPsec czy też GET VPN. Nikt tego praktycznie operacyjnie nie stosuje.Ajo pisze:tylko o to aby update wysyłane przez DRP były kodowane.