مدونة NetworkSet مدونة تختص بأمور الشبكات والأجهزة التى تدعمها 
أستكمالا لتدوينة سابقة طرحتها سابقا تحدثت فيها عن طريقة أعداد الـ Authentication على بروتوكول الـ EIGRP نستكمل اليوم حديثنا مع طريقة الأعداد في بروتوكول الـ OSPF وأعود مرة ثانية وأنوه إلى ضرورة هذا الأمر كون موضوع القرصنة على الـ Routing Protocol في غاية السهولة وأثاره سوف تسبب دمار الشبكة بشكل كامل
بداية أحب أن أذكر أن للـ OSPF يدعم طريقتان من الـ Authentication الـ Simple Password Auth وفيه يتم أرسال كلمة السر على شكل Clear Text والطريقة الثانية Message Digest Authentication أو MD5 وهي ترسل مشفرة وسوف نلقى الضوء على الطريقتان ولنأخذ هذا اللاب الصغير ونبدأ بالروتر الأول ونقوم بتطبيق طريقة الـ Smple Password وهي تنفع عندما يكون الروتران متصلان ببعضهما البعض بشكل مباشر Point-to-Point
Router1#conf t
Router1(config)#interface fastethernet 0/0
Router1(config-if)#ip address 192.168.1.1 255.255.255.0
Router1(config-if)#ip ospf authentication-key NetworkS
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#router ospf 1
Router1(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router1(config-router)#area 0 authentication
Router1(config-router)#exit
نتجه الآن إلى الروتر الثاني ونقوم بنفس الشيء مع ملاحظة تغيير الأيبي
Router2#conf t
Router2(config)#interface fastethernet 0/0
Router2(config-if)#ip address 192.168.1.2 255.255.255.0
Router2(config-if)#ip ospf authentication-key NetworkS
Router2(config-if)#no shutdown
Router2(config-if)#exit
Router2(config)#router ospf 1
Router2(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router2(config-router)#area 0 authentication
Router2(config-router)#exit
وتستطيع ملاحظة كلمة NetworkS والتى تمثل كلمة السر بين الروتران وللتأكد من أن الـ Authentication مفعل على المنفذ قم بكتابة الأمر التالي ولاحظ معي السطر الآخير
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.1.1/24, Area 0
Process ID 1, Router ID 192.168.1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.1.2, Interface address 192.168.1.2
Backup Designated router (ID) 192.168.1.1, Interface address 192.168.1.1
Flush timer for old DR LSA due in 00:01:09
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:02
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.1.2 (Designated Router)
Suppress hello for 0 neighbor(s)
Simple password authentication enabled
للنتقل الآن إلى الطريقة الثانية والتى ترسل فيها كلمة السر مشفرة وسوف نستخدم نفس اللاب السابق والأعدادت نفسها تطبق على كلا الروتران
Router1(config-if)#ip ospf message-digest-key 1 md5 NetworkSet
Router1(config-if)#exit
Router1(config)#router ospf 1
Router1(config-router)#area 0 authentication message-digest
Router1(config-router)#exit
وآخير نستخدم نفس الأمر السابق للتأكد من أن الـ Authentication قد تفعل بشكل صحيح
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.1.1/30, Area 0
Process ID 1, Router ID 192.168.1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.1.2, Interface address 192.168.1.2
Backup Designated router (ID) 192.168.1.1, Interface address 192.168.1.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:04
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.1.2 (Designated Router)
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
أنتهت تدوينتي عند هذا الحد أترككم في رعاية الله حتى غدا ودمتم بود
شكرا يا أخي بارك الله فيك موفق إن شاء الله
العلم لاينتهي وطلابه كل يوم في زيادة
شرح رائع
ولكن ما الفرق بين الطريقتين ؟؟
اذا افترضنا اننا نقوم بعمل hash للباسورد لكى لا يعرفه الهكر اذا قام بعمل هجوم man in middle
واذا تم هذا الهجوم فابستطاعه الهكر ان يقوم بارسال ال hash نفسه دون معرفه اصله
اذن ما الفارق؟
بارك الله فيك
أخي العزيز security ياريت لو كنت وضعت أسمك على الأقل حتى أستطيع مخاطبتك فيه
والنقطة التى تحدثت عنها في غاية الأهمية وهي واقعية وموجودة حتى هذه اللحظة بالرغم من قبام بعض المطورين بعمل بعض الأشياء الأضافية إلا ان الموضوع مازال يشكل مشكلة مثل التحقق من الـ Sequence Number ومصدر الـ LSA وراسائل التأكيد إلا أن الموضوع مازال معرض للخطر
هذه بعض الصفحات التى تحدثت عنه
صفحة رقم واحد
صفحة رقم أثنان
صفحة رقم ثلاثة
وعلى مايبدوا أن هذه المشكلة موجودة في الأصدار الثاني من الـ OSPF لكن قرأت منذ قليل أن هذه المشكلة بدأت بالأنحلال مع الأصدار الثالث وذلك بأستخدام تقنية جديدة في التشفير ESP
شاهد هذا الرابط
اوافق اخي في ما قاله العلم لا ينتهي وطلابه كل يوم في زيادة
اشكرك اخي
تحياتي لك
امل الخليج 😳
Router1(config-if)#ip ospf message-digest-key 1 md5 NetworkSet
ما معنا رقم 1 بعد ال key :-)))
والسؤال الاخر
في كتابتي لل ospf عادة لا استخدم اي key
ماذا تسم هذه الطريقه
وشكرا لك جهدك
راجع الموضوع السابق الخاص بي الـ EIGRP
http://www.networkset.net/2010/08/25/eigrp-authentication/
بالنسبة للطريقة التانية هل يمكن استخدامها على الشبكة بالكامل أم فقط اذا كان الاتصال point to point