В атаке на аутентификацию OSPF на самом деле нет ничего экстраординарного. Суть заключается в том, чтобы извлечь хэш из дампа сетевого трафика:

1️⃣ Атакующий слушает трафик;

2️⃣ Замечает OSPF Hello-пакеты с наличием аутентификации и сохраняет дамп в .pcap;

3️⃣ С помощью Ettercap извлекает хэш в том формате, который воспримет John The Ripper;

4️⃣ Полученный хэш сбручивается с помощью John The Ripper.

Настройка аутентификации является одной из защитных мер для обеспечения безопасности домена OSPF, чтобы только легитимные маршрутизаторы устанавливали соседство с OSPF-спикерами.

Из вышесказанного стоит сделать вывод, что если сетевой инженер собрался защищать домен OSPF с помощью аутентификации - необходимо позаботиться о стойкости парольной фразы, чтобы нельзя было так просто взять и сбрутить пароль.

#netquiz_explanation #netquiz_security

👤 Автор разбора квиза: @casterwire (автор канала по сетевой безопасности “Caster”)

🔍 NQ Тип IPv6 Unicast адреса

#netquiz_medium #netquiz_ipv6_address

👤 Автор квиза: @nurkeynw

🔍 NQ Не тот VLAN

#netquiz_easy #netquiz_vlan #netquiz_cisco

👤 Автор квиза: Р

🔍 NQ NAT на Mikrotik

chain=srcnat action=src-nat to-addresses=85.159.50.100 out-interface=ether1 log=no log-prefix="" 

Используемое оборудование - Mikrotik CHR и RouterOS v7.14.1.

#netquiz_hard #netquiz_nat #netquiz_mikrotik

👤 Автор квиза: @fafeka

📝 Разбор квиза: NQ Команда на Cisco

Правильным ответом будет вариант первый, т.к. аргумент ah-sha256-hmac указывает на то, что используется AH с HMAC-SHA-256, но в AH не используется шифрование.

Остальные три варианта неверны, так как:

▫️ Во втором варианте указывается esp-aes - это говорит об использовании ESP и AES, но AES является алгоритмом шифрования;

▫️ В третьем варианте указывается esp-3des - это говорит об использовании ESP и 3DES, но 3DES является алгоритмом шифрования;

▫️ В последнем варианте вообще указывается профиль IKEv2, чтобы управлять ключами и настройками безопасности. В принципе эта команда не определяет отсутствие шифрования в IPsec, потому что настройки шифрования определяются в transform-set.

#netquiz_explanation #netquiz_commands #netquiz_cisco

👤 Автор разбора квиза: @casterwire (автор канала по сетевой безопасности “Caster”)

🔍 NQ DoT и DoH

#netquiz_hard #netquiz_dns

👤 Автор квиза: Surgeon

📝 Разбор квиза: NQ Блокировка трафика ACL-ом

Будет заблокирован именно VRRP, ибо:

▫️ ping использует протокол ICMP (он разрешен согласно permit icmp any any);

▫️ HTTP использует протокол TCP (он разрешен согласно permit tcp any any);

▫️ BGP использует протокол TCP (он разрешен согласно permit tcp any any).

А вот VRRP не относится, ни к TCP-трафику, ни к UDP-трафику и ни к ICMP-трафику. Это протокол именно сетевого уровня, там нет инкапсуляции в TCP/UDP.

#netquiz_explanation #netquiz_acl

👤 Автор разбора квиза: @casterwire (автор канала по сетевой безопасности “Caster”)

🔍 NQ Различие между Shaping и Policing

Варианты ответов:

1️⃣ Shaping использует алгоритмы предсказания, а Policing - не использует

2️⃣ Shaping устанавливает "метку" на L3 и выше уровне, тогда как Policing работает на L2 уровне и меняет значение CoS

3️⃣ Shaping может буферизовать пакеты, Policing просто отбрасывает или понижает приоритет пакетов DSCP

4️⃣ Policing устанавливает приоритет пакетов, тогда как Shaping делит пакеты на заранее установленное значение

#netquiz_medium #netquiz_qos

👤 Автор квиза: @europeiz

📝 Разбор квиза: NQ Тип IPv6 Unicast адреса

Рассмотрим все типы IPv6 Unicast адресов:

▫️ Global Unicast - 2000::/3

Аналогичен публичным адресам IPv4, которые маршрутизируются в Интернете. В настоящее время для Global Unicast могут использоваться только первые три бита IPv6-адреса (001).

▫️ Link-Local - fe80::/10

Используются для связи внутри одного канала и не маршрутизируются за пределы этого канала. Могут генерироваться или устанавливаться вручную на оборудовании IPv6. Генерация производится либо рандомно, либо с помощью метода EUI-64.

▫️ Loopback - ::1/128

Для проверки стека протоколов TCP/IP на сетевом адаптере, или другими словами - для отправки пакета самому себе. Адрес не может быть назначен на физический интерфейс.

▫️ Unspecified - ::/128

Не должен назначаться на интерфейс и может быть использован только в качестве IPv6-адреса источника в пакете IPv6. Такая ситуация может возникнуть в случае, если пакет будет сгенерирован устройством, ещё не изучившим свой IPv6-адрес.

▫️ Unique Local - fc00::/7

Есть что-то схожее с частными (private) IP-адресами, которые не маршрутизируются в Интернете и используются только внутри локальной сети. Но нюанс в том, что Unique Local IPv6-адрес не может быть преобразован в Global Unicast. Например, такой адрес можно назначить устройству, который должен быть доступен внутри локальной сети, но которому никогда не нужно выходить в Интернет.

▫️ Embedded IPv4 - ::/80

Используются для перехода с IPv4 на IPv6. В поле IPv6-адреса последние 32 бита выделены под IPv4-адрес.

#netquiz_explanation #netquiz_ipv6_address

👤 Автор разбора квиза: @nurkeynw

Источники: RFC 4291, IANA, Cisco Press

🔍 NQ Маска подсети

#netquiz_easy #netquiz_mask

👤 Автор квиза: @nurkeynw

🔍 NQ Stub роутер

#netquiz_open #netquiz_routing

👤 Автор квиза: @anilantari