Мы поможем в написании ваших работ!
ЗНАЕТЕ ЛИ ВЫ?
|
А утентификация протоколов маршрутизации
| При использовании динамических протоколов маршрутизации появляется возможность прослушивания и фальсификации маршрутной информации.
Прослушивание маршрутной информации позволяет выявить структуру сети.
Фальсификация маршрутной информации позволяет перенаправить сетевой трафик с целью его перехвата.
Для минимизации угроз в этом направлении, необходимо использовать протоколы маршрутизации, поддерживающие аутентификацию.
При установке аутентификации на маршрутизаторе, он будет выполнять аутентификацию всех обновлений маршрутной информации.
Процесс аутентификации проходит следующим образом:
Маршрутизатор посылает соседу обновление маршрутной информации с ключем и его номером.
Принимающий маршрутизатор сравнивает полученный ключ с имеющимся у него.
Если ключи совпали, то обновление принимается, а если нет, то отбрасывается.
Cisco IOS поддерживает два способа аутентификации – открытую и закрытую.
При открытой аутентификации посылается открытый ключ, а при закрытой его хэш код, полученный по алгоритму MD 5.
Настойка обоих способов аналогична. Рекомендуется использовать закрытую аутентификацию.
|
Процесс аутентификации
Картинка 3-2-2
| Протокол маршрутизации
| Открытая аутентификация
| Закрытая аутентификация
| | RIPv1
| нет
| нет
| | RIPv2
| да
| да
| | OSPF
| да
| да
| | IS-IS
| да
| нет
| | EIGRP
| нет
| да
| | BGP
| нет
| да
|
Рис 3-2-2
|
3-2-3 Настройка аутентификации протоколов маршрутизации
| Настройка процесса аутентификации для всех протоколов маршрутизации аналогична. На первом этапе формируется одна или несколько цепочек ключей.
1. В режиме глобальной конфигурации создается цепочка ключей (key chain) с именем цепочки ключей (chain name).
2. В подрежиме конфигурации цепочки задаем номер ключа (number).
3. Формируем ключевую строку (ключ) с соответствующим номером. string – ключ, который будет использоваться для аутентификации.
После создания ключей необходимо настроить интерфейсы, через которые будет выполняться прием и передача обновлений маршрутной информации.
1. Переходим в подрежим конфигурации соответствующего интерфейса.
type – тип и номер интерфейса.
2. Включаем закрытый режим аутентификации для используемого протокола маршрутизации, если поддерживается данным протоколом.
routing prot – используемый протокол маршрутизации с указанием соответствующих параметров (номер автономной системы, номер процесса).
3. Подключаем необходимую цепочку ключей.
Замечание. В цепочке может быть много ключей. В процессе аутентификации происходит проверка ключей по номерам от наименьшего к наибольшему, до первого совпадения. Надо, чтобы на соседних маршрутизаторах в цепочках, совпадало хотя бы по одному ключу.
|
Последовательность команд для настройки аутентификации протоколов маршрутизации
Router(config)# key chain chain name
Router(config-keychain)#key number
Router(config-keychain-key)#key-string string
Router(config)#interface type
Router(config-if)#ip authentication mode routing prot md5
Router(config-if)#ip authentication key chain routing prot chain name
Рис 3-2-3
|
3-2-4 Демонстрационный пример конфигурации аутентификации протоколов маршрутизации
| Необходимо настроить аутентификацию протокола маршрутизации EIGRP между маршрутизаторами R 1 и R 2.
На R 1 установить цепочку ключей с именем r 1 r 2 eigrp.
Ключ 1 – secureeigrp.
Ключ 2 – updatetor2.
На R 2 установить цепочку ключей с именем r 2 r 1 eigrp.
Ключ 1 – updatetor 1.
Ключ 2 – secureeigrp.
| Картинка 3-2-4.
R1(config)# key chain r1r2eigrp
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string secureeigrp
R1(config-keychain-key)#exit
R1(config-keychain)#key 2
R1(config-keychain-key)#key-string updatetor2
R1(config-keychain-key)#exit
R1(config)#interface serial 0/3/0
R1(config-if)#ip authentication mode eigrp 100 md5
R1(config-if)#ip authentication key chain eigrp 100 r1r2eigrp
R1(config-if)#exit
R2(config)# key chain r2r1eigrp
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string updatetor1
R2(config-keychain-key)#exit
R2(config-keychain)#key 2
R2(config-keychain-key)#key-string secureeigrp
R2(config-keychain-key)#exit
R2(config)#interface serial 0/3/1
R2(config-if)#ip authentication mode eigrp 100 md5
R2(config-if)#ip authentication key chain eigrp 100 r2r1eigrp
Рис 3-2-4.
|
3-2-5 Упражнение по конфигурации аутентификации протокола маршрутизации
| Настройте аутентификацию протокола маршрутизации EIGRP на маршрутизаторе.
Установить цепочку с именем - test 1, ключ – test 12345.
Примените цепочку к интерфейсу fastethernet 0/0.
Номер AS 300.
| Симуляция
Router(config)# key chain test1
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string test12345
Router(config-keychain-key)#exit
Router(config)#interface fastethernet 0/0
Router(config-if)#ip authentication mode eigrp 100 md5
Router(config-if)#ip authentication key chain eigrp 300 test1
Router(config-if)#exit
|
3-2-6 Защита конфигурационных файлов маршрутизатора
| Если злоумышленник получает физический доступ к маршрутизатору, то он может выполнить над маршрутизатором любые действия.
Можно изменить или удалить конфигурационный файл, можно удалить IOS. Это приведет к выходу из строя сети на время восстановления.
Можно усилить безопасность сети с помощью защиты конфигурационного файла и файла IOS. При этом будет запрещено копировать, изменять или удалять эти файлы.
Такая возможность имеется только для маршрутизаторов, поддерживающих интерфейс для флэш-памяти PCMCIA ATA (Advanced Technology Attachment). Файлы хранятся в такой памяти в скрытом виде.
Для выполнения этих действий используются команды режима глобальной конфигурации secure boot - image и secure boot - config.
|
Рис 3-2-6.
|
3-2-7 Настройка защиты конфигурационных файлов маршрутизатора
| При выполнении команды secure boot - image, Cisco IOS переводится в скрытый режим. Для отмены этого режима необходимо ввести команду no secure boot - image только при доступе по консольному порту.
При выполнении команды secure boot - config создается архивная копия файла текущей конфигурации (running configuration), которая хранится в энергонезависимой памяти маршрутизатора в скрытом виде. Для отмены этого режима необходимо ввести команду no secure boot - config только при доступе по консольному порту.
В случае изменения версии IOS или изменении конфигурации маршрутизатора появляется соответствующее сообщение. Для подтверждения этих изменений, в режиме доступа по консольному порту необходимо заново ввести команду secure boot - image или secure boot - config.
Еще один способ получения несанкционированного доступа это процедура сброса и восстановления пароля (password recovery procedure).
Для блокировки этой процедуры используется команда режима глобальной конфигурации no service password - recovery. После выполнения данной команды маршрутизатор не сможет войти в режим позволяющий выполнить сброс паролей (ROMmon).
Для восстановления маршрутизатора в данном режиме, необходимо нажать на клавишу «break» в течении пяти секунд после разархивации IOS в процессе загрузки. После этого будет предложено повторно нажать клавишу «break». При повторном нажатии клавиши загрузочный файл (startup configuration) будет удален и маршрутизатор загрузится с заводскими установками.
| Картинка 3-2-6
Router(config)# secure boot-image
Router(config)# secure boot-config
Router(config)# no service password-recovery
В процессе загрузки маршрутизатора появится сообщение
"PASSWORD RECOVERY FUNCTIONALITY IS DISABLED."
Рис 3-2-7
|
3-2-8 Управление потоком данных с помощью ACL
| Для управления потоком пользовательских данных и обновлений маршрутной информации используются списки контроля доступа (ACL). Структура списков доступа и их настройка подробно рассмотрены в курсе «Применение сетевого оборудования Cisco».
ACL применяются для того, чтобы заблокировать или разрешить трафик на уровне интерфейса маршрутизатора
Списки доступа фильтруют поток данных на основе информации, содержащейся в пакетах, такой как адрес получателя или порта назначения, адрес источника или соответствующего порта, протокол верхнего уровня.
|
Стандартный ACL.
access-list number deny|permit source address log
Расширенный ACL.
access-list number deny|permit protocol source address destination address
рис. 3-2-8.
|
|
Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология
