Лабораторная сеть

В качес­тве лабора­тор­ного стен­да выс­тупит сеть, изоб­ражен­ная на схе­ме.

Это типич­ная кор­поратив­ная сеть с тре­мя уров­нями (уро­вень дос­тупа, рас­пре­деле­ния и ядра). В качес­тве динами­чес­кой мар­шру­тиза­ции исполь­зует­ся про­токол OSPF, для отка­зоус­той­чивос­ти дос­тупнос­ти шлю­за — HSRP. Име­ем четыре ком­мутато­ра уров­ня дос­тупа и четыре сети VLAN со сво­ей адре­саци­ей. Так­же под­клю­чен отдель­ный ком­мутатор уров­ня рас­пре­деле­ния, за ним сеть 192.168.20.0/24.

В качес­тве Edge Router будут выс­тупать Cisco CSR и Mikrotik CHR v. 6.49.6.

С ата­кующей сто­роны машина с Kali Linux и пуб­личным IP-адре­сом — для при­мера ата­ки из интерне­та. Пред­положим, что ата­кующий каким‑то обра­зом получил дос­туп к панели управле­ния пог­ранич­ным мар­шру­тиза­тором, пос­коль­ку про­демонс­три­ровать мы хотим пивотинг, а это, как извес­тно, один из шагов во вре­мя пос­тэкс­плу­ата­ции.

L3 GRE VPN поверх Cisco IOS

Про­демонс­три­рую неболь­шой при­мер орга­низа­ции L3-тун­неля во внут­реннюю сеть, которая находит­ся за самим пог­ранич­ным роуте­ром. Вооб­ще, прин­ципы нас­трой­ки GRE не отли­чают­ся у всех вен­доров сетево­го обо­рудо­вания, воп­рос лишь в раз­ном син­такси­се. Давай для начала пос­мотрим, как нас­тра­ивать Cisco.

Кон­фигура­ция GRE в Cisco IOS вклю­чает сле­дующее:

• 
  
• соз­дание логичес­кого интерфей­са;
• 
  
• ука­зание режима, в котором будет работать тун­нель (GRE);
• 
  
• наз­начение адре­са на интерфейс (здесь возь­мем адре­са 172.16.0.1 для Kali и 172.16.0.2 для Cisco CSR);
• 
  
• за­дание адре­са источни­ка 212.100.144.100;
• 
  
• за­дание адре­са наз­начения 100.132.55.100.
• 
  

Те­перь черед вто­рой сто­роны GRE-тун­неля. В нашем слу­чае этой «вто­рой сто­роной» будет хост ата­кующе­го. Linux прек­расно под­держи­вает работу с GRE при наличии необ­ходимо­го модуля ядра ip_gre. А он есть поч­ти вез­де.

Здесь шаги такие:

• 
  
• им­порт модуля ядра;
• 
  
• соз­дание логичес­кого интерфей­са с ука­зани­ем типа, адре­сов источни­ка и наз­начения;
• 
  
• наз­начение адре­са на логичес­ком интерфей­се;
• 
  
• вклю­чение интерфей­са.
• 
  

Про­верим работу тун­неля через пинг до тун­нель­ного интерфей­са Cisco CSR.

Пос­мотрим на таб­лицу мар­шру­тиза­ции, добавим некото­рые мар­шру­ты до под­сетей, что­бы про­верить дос­тупность.

Про­писы­ваем мар­шру­ты до целевых под­сетей. Адре­сом шлю­за в дан­ном слу­чае будет адрес логичес­кого GRE-интерфей­са роуте­ра Cisco CSR — 172.16.0.2.

При­мер­но так будет выг­лядеть пакет с инкапсу­ляци­ей, если ата­кующий вза­имо­дей­ству­ет с внут­ренней сетью (ICMP, на при­мере внут­ренней под­сети наз­начения 192.168.20.0/24).

L3 GRE VPN поверх RouterOS

Те­перь про­демонс­три­рую при­мер на обо­рудо­вании Mikrotik. Здесь абсо­лют­но те же прин­ципы нас­трой­ки, раз­ница лишь в син­такси­се и иерар­хии рас­положе­ния сущ­ностей (интерфей­сы, IP-адре­сация и так далее).

info

Здесь при­веде­ны коман­ды имен­но для RouterOS v. 6.

Теги: CSS