Network basics 3

# Network basics 3 # Практика 3 Модель OSI. Сетевой уровень - L3 *Выполнил Андреев Игорь Константинович* ## Часть 1 - Настройка статической маршрутизации ### 1.1 Топология всей сети ![](https://i.imgur.com/mQHZqFp.png) ### 1.2 Пример конфигурации MikroTik (M-R-7) >/ip address add address=[адрес сети]/[маска сети] interface=[интерфейс сети] >/ip route add dst-address=[Адрес назначения] gateway=[адрес next-hop] ![](https://i.imgur.com/7G5JS2r.png) ### 1.3 Пример конфигурации Debain (L-R-16) > - nano /etc/sysctl.conf > - Раcкомментировать строчку net.ipv4_ip_forward=1 > - nano /etc/network/interfaces ![](https://i.imgur.com/bbhweFj.png) ### 1.4 Пример конфигурации Cisco (C-R-4) > en > conf t > int [порт] > ip address [адрес сети] [маска сети] > ip route [адрес сети назначения] [маска сети назначения] [адрес next-hop] ![](https://i.imgur.com/vOc1uPk.png) ### 1.5 Настрока свича > en > conf t > int [порт trunk] > switchport trunk encapsulation dot1q > switchport mode trunk > no shutdown > int [порт access] > switchport mode access > switchport access vlan [id vlan] ![](https://i.imgur.com/ZOwAc5d.png) ### 1.6 Конфигурация VPC > ip 192.168.10.1/24 192.168.10.254 > save ![](https://i.imgur.com/Ta4lHQa.png) ## Часть 2 - Настройка OSPF ### Добавляем defualt gateway везде, где необходимо в зоне static > На cisco: ip route 0.0.0.0 0.0.0.0 [next hop] > На MikroTik: /ip route add gateway=[next hop] > На Debain: nano /etc/network/interfaces --> post-up ip route add 0.0.0.0/0 via [next hop] ### Главный роутер M-R-7 настраиваем так же в ospf и прописываем: > /routing ospf instance set 0 redistribute-static=as-type-1 ### 2.1 Пример настройки MikroTik (M-R-8) > /interface bridge add name=loopback > /ip address add address=[10.255.255.номер роутера] interface=loopback > /routing ospf instance set 0 router-id=[10.255.255.номер роутера] > /routing ospf network add network=[адрес сети]/[маска сети] area=backbone ![](https://i.imgur.com/6zRVXxs.png) ### 2.2 Пример настройки Cisco (C-R-3) > en > conf t > router ospf 1 > network [адрес сети] [обратная маска сети] area 0 ![](https://i.imgur.com/lQbOX4i.png) ## Часть 3 - настройка iBGP ### 3.1 Пример настройки MikroTik (M-R-9) > /routing bgp instance set 0 router-id=[10.255.255.номер роутера] as=[номер автономной системы] > /routing bgp network add network=[адрес сети]/[маска сети] > /routing bgp peer add name=[имя пира] remote-address=[адрес соседа] remote-as=[номер автономной сети соседа] ![](https://i.imgur.com/dZ1ONOW.png) > en > conf t > router bgp 100 > network [адрес сети] mask [маска сети] > neighbor [адрес соседа] remote-as [номер автономной сети соседа] ### 3.2 Пример настройки Cisco (C-R-2) ![](https://i.imgur.com/Xs31yHv.png) ### 3.3 Пинги идут по всей сети! ![](https://i.imgur.com/LMXOThR.png) ## Часть 4 - атака на OSPF ### 4.1 Настраиваем fake router ![](https://i.imgur.com/o2SByTA.png) ### 4.2 Настройка kali ![](https://i.imgur.com/tOAExYG.png) ### 4.3 Сеть появилась и траффик идёт к fake router ![](https://i.imgur.com/7elFJl3.png) ## Часть 5 - атака на BGP (теория) ### До 2014 года в описании протокола BGP не было указано, что делать с маршрутизаторами, которые не объявлены в конфигурации (а в 2014 был выпущен RFC7132, в котором были педложены меры по устранению ряда угроз и потенциальных уязвимостей протокола). Иными словами, Текущая спецификация BGP (4 версии) позволяет реализациям протокола принимать соединения от не указанных в конфигурации партнеров, хоть и указано, что пограничные маршрутизаторы (то есть маршрутизаторы в разных автономных системах — AS), общающиеся через этот протокол должны быть соединены непосредственно (иначе быть в режиме multihop). ### так как BGP работает поверх TCP и по дефолту не предоставляет никаких защитных механизмов от вторжения в сессию, модификацию сообщений или их удалению, то все атаки на TCP могут быть успешно использованы для получения возможности отправлять сообщения от третьего валидного лица. При чем BGP сессии для различных атак на TCP очень хорошо подходят, так как сессии между партнерами дляться очень долго, что дает возможность перебрать возможные SEQ и ACK ключи у взаимодействующих роутеров ### Для вклинвиания в сеть BGP можно использовать обычные IP Spoofing + TCP hijacking атаки для того, чтобы попробовать направить все общение между двумя роутерами через нас. Для начала нам нужно определить цели, точнее нам известен айпишник какого-то BGP роутера, который очевидно общается с другими, так что возникает вопрос, как можно узнать его соседей? Это возможно сделать, например, с помощью Public Route Servers, где можно найти записи о том, от какого роутера к какому идет трафик, то есть можно косвенно определить соседа какого-нибудь роутера.