При использовании динамических протоколов маршрутизации появляется возможность прослушивания и фальсификации маршрутной информации.
Прослушивание маршрутной информации позволяет выявить структуру сети.
Фальсификация маршрутной информации позволяет перенаправить сетевой трафик с целью его перехвата.
Для минимизации угроз в этом направлении, необходимо использовать протоколы маршрутизации, поддерживающие аутентификацию.
При установке аутентификации на маршрутизаторе, он будет выполнять аутентификацию всех обновлений маршрутной информации.
Процесс аутентификации проходит следующим образом:
Маршрутизатор посылает соседу обновление маршрутной информации с ключем и его номером.
Принимающий маршрутизатор сравнивает полученный ключ с имеющимся у него.
Если ключи совпали, то обновление принимается, а если нет, то отбрасывается.
Cisco IOS поддерживает два способа аутентификации – открытую и закрытую.
При открытой аутентификации посылается открытый ключ, а при закрытой его хэш код, полученный по алгоритму MD5.
Настойка обоих способов аналогична. Рекомендуется использовать закрытую аутентификацию.
Протокол маршрутизации | Открытая аутентификация | Закрытая аутентификация |
RIPv1 | нет | нет |
RIPv2 | да | да |
OSPF | да | да |
IS-IS | да | нет |
EIGRP | нет | да |
BGP | нет | да |
Настройка аутентификации протоколов маршрутизации
Настройка процесса аутентификации для всех протоколов маршрутизации аналогична. На первом этапе формируется одна или несколько цепочек ключей.
1. В режиме глобальной конфигурации создается цепочка ключей (key chain) с именем цепочки ключей (chain name).
2. В подрежиме конфигурации цепочки задаем номер ключа (number).
3. Формируем ключевую строку (ключ) с соответствующим номером. string – ключ, который будет использоваться для аутентификации.
После создания ключей необходимо настроить интерфейсы, через которые будет выполняться прием и передача обновлений маршрутной информации.
1. Переходим в подрежим конфигурации соответствующего интерфейса.
type – тип и номер интерфейса.
2. Включаем закрытый режим аутентификации для используемого протокола маршрутизации, если поддерживается данным протоколом.
routing prot – используемый протокол маршрутизации с указанием соответствующих параметров (номер автономной системы, номер процесса).
3. Подключаем необходимую цепочку ключей.
Замечание. В цепочке может быть много ключей. В процессе аутентификации происходит проверка ключей по номерам от наименьшего к наибольшему, до первого совпадения. Надо, чтобы на соседних маршрутизаторах в цепочках, совпадало хотя бы по одному ключу.
Последовательность команд для настройки аутентификации протоколов маршрутизации
Router(config)# key chain chain name
Router(config-keychain)#key number
Router(config-keychain-key)#key-string string
Router(config)#interface type
Router(config-if)#ip authentication mode routing prot md5
Router(config-if)#ip authentication key chain routing prot chain name
Пример конфигурации аутентификации протоколов маршрутизации
Необходимо настроить аутентификацию протокола маршрутизации EIGRP между маршрутизаторами R1 и R2.
На R1 установить цепочку ключей с именем r1r2eigrp.
Ключ 1 – secureeigrp.
Ключ 2 – updatetor2.
На R2 установить цепочку ключей с именем r2r1eigrp.
Ключ 1 – updatetor1.
Ключ 2 – secureeigrp.