NETWORKING

גיבוי, שרידות, יתירות: משפחת FHRP ואיך לא להשאיר דלת פתוחה לתוקף 🔐

4 דק׳ קריאהמכללת נטמי
גיבוי, שרידות, יתירות: משפחת FHRP ואיך לא להשאיר דלת פתוחה לתוקף 🔐

גיבוי? שרידות? יתירות? המילים האלה חוזרות בכל דיון פרויקט — אבל השאלה האמיתית היא האם אנחנו מספקים את הפתרון בלי להשאיר דלת פתוחה לתוקף. בואו נדבר על משפחת פרוטוקולי הגיבוי FHRP.

משפחת FHRP — היכרות

FHRP (First Hop Redundancy Protocols) הם הפרוטוקולים שנותנים לנו גמישות ושרידות לציוד שמשמש כ-Default Gateway ברשת. אם ה-D.G נופל, המשתמשים לא מרגישים כלום — עוד ציוד לוקח את התפקיד ומאזין לאותה כתובת וירטואלית.

  • 🅷 HSRP — פרוטוקול של Cisco, פשוט לתפעול, Active/Standby קלאסי.
  • 🆅 VRRP — סטנדרט פתוח (RFC), עובד גם בין יצרנים.
  • 🅶 GLBP — של Cisco, מתקדם יותר: איזון עומסים אמיתי בין מספר Gateways פעילים במקביל.

הבעיה שאף אחד לא מדבר עליה

בהגדרות ברירת המחדל, כל שלושת הפרוטוקולים מתקשרים בין הציודים ללא אימות. תוקף שמצליח להתחבר לרשת יכול לשתול ציוד שידבר FHRP, לטעון שהוא ה-Gateway עם עדיפות גבוהה — ולקבל את כל תעבורת הרשת דרכו. זה מתקפת MITM (Man In The Middle) קלאסית שמתחילה מהגדרה ״תמימה״.

הפתרון: אימות MD5 (או לפחות Clear Text)

כל פרוטוקולי ה-FHRP תומכים במנגנון אימות. הדרך הנכונה: MD5 עם Key-String. כך רק ציוד שמכיר את המפתח יכול להצטרף לקבוצת ה-FHRP. דוגמת קונפיגורציה על Cisco עם GLBP:

netme(config)# interface FastEthernet 0/1 netme(config-if)# glbp 1 authentication md5 key-string d00b4r987654321a

עולם הרשתות תקשורת הוא הבסיס לכל תחום ב-IT ובסייבר. בקורס CCNA R&S של Cisco בנטמי לומדים לא רק להגדיר פרוטוקולים — אלא להבין את החולשות שלהם ולסגור אותן לפני שתוקף מוצא אותן.

רוצים להתמקצע?

הפוסט הזה הוא רק טעימה. הקורס המלא של Cisco CCNA — רשתות תקשורת ילמד אתכם הכל מא׳ עד ת׳.