А утентификация протоколов маршрутизации

 

При использовании динамических протоколов маршрутизации появляется возможность прослушивания и фальсификации маршрутной информации. Прослушивание маршрутной информации позволяет выявить структуру сети. Фальсификация маршрутной информации позволяет перенаправить сетевой трафик с целью его перехвата. Для минимизации угроз в этом направлении, необходимо использовать протоколы маршрутизации, поддерживающие аутентификацию. При установке аутентификации на маршрутизаторе, он будет выполнять аутентификацию всех обновлений маршрутной информации. Процесс аутентификации проходит следующим образом: Маршрутизатор посылает соседу обновление маршрутной информации с ключем и его номером. Принимающий маршрутизатор сравнивает полученный ключ с имеющимся у него. Если ключи совпали, то обновление принимается, а если нет, то отбрасывается. Cisco IOS поддерживает два способа аутентификации – открытую и закрытую. При открытой аутентификации посылается открытый ключ, а при закрытой его хэш код, полученный по алгоритму MD 5. Настойка обоих способов аналогична. Рекомендуется использовать закрытую аутентификацию.

Процесс аутентификации   Картинка 3-2-2   Протокол маршрутизации Открытая аутентификация Закрытая аутентификация RIPv1 нет нет RIPv2 да да OSPF да да IS-IS да нет EIGRP нет да BGP нет да   Рис 3-2-2

 

3-2-3 Настройка аутентификации протоколов маршрутизации

 

Настройка процесса аутентификации для всех протоколов маршрутизации аналогична. На первом этапе формируется одна или несколько цепочек ключей. 1. В режиме глобальной конфигурации создается цепочка ключей (key chain) с именем цепочки ключей (chain name). 2. В подрежиме конфигурации цепочки задаем номер ключа (number). 3. Формируем ключевую строку (ключ) с соответствующим номером. string – ключ, который будет использоваться для аутентификации.   После создания ключей необходимо настроить интерфейсы, через которые будет выполняться прием и передача обновлений маршрутной информации. 1. Переходим в подрежим конфигурации соответствующего интерфейса. type – тип и номер интерфейса. 2. Включаем закрытый режим аутентификации для используемого протокола маршрутизации, если поддерживается данным протоколом. routing prot – используемый протокол маршрутизации с указанием соответствующих параметров (номер автономной системы, номер процесса). 3. Подключаем необходимую цепочку ключей.   Замечание. В цепочке может быть много ключей. В процессе аутентификации происходит проверка ключей по номерам от наименьшего к наибольшему, до первого совпадения. Надо, чтобы на соседних маршрутизаторах в цепочках, совпадало хотя бы по одному ключу.

Последовательность команд для настройки аутентификации протоколов маршрутизации Router(config)# key chain chain name Router(config-keychain)#key number Router(config-keychain-key)#key-string string Router(config)#interface type Router(config-if)#ip authentication mode routing prot md5 Router(config-if)#ip authentication key chain routing prot chain name   Рис 3-2-3

 

3-2-4 Демонстрационный пример конфигурации аутентификации протоколов маршрутизации

 

Необходимо настроить аутентификацию протокола маршрутизации EIGRP между маршрутизаторами R 1 и R 2.   На R 1 установить цепочку ключей с именем r 1 r 2 eigrp. Ключ 1 – secureeigrp. Ключ 2 – updatetor2.   На R 2 установить цепочку ключей с именем r 2 r 1 eigrp. Ключ 1 – updatetor 1. Ключ 2 – secureeigrp.

Картинка 3-2-4.   R1(config)# key chain r1r2eigrp R1(config-keychain)#key 1 R1(config-keychain-key)#key-string secureeigrp R1(config-keychain-key)#exit R1(config-keychain)#key 2 R1(config-keychain-key)#key-string updatetor2 R1(config-keychain-key)#exit R1(config)#interface serial 0/3/0 R1(config-if)#ip authentication mode eigrp 100 md5 R1(config-if)#ip authentication key chain eigrp 100 r1r2eigrp R1(config-if)#exit R2(config)# key chain r2r1eigrp R2(config-keychain)#key 1 R2(config-keychain-key)#key-string updatetor1 R2(config-keychain-key)#exit R2(config-keychain)#key 2 R2(config-keychain-key)#key-string secureeigrp R2(config-keychain-key)#exit R2(config)#interface serial 0/3/1 R2(config-if)#ip authentication mode eigrp 100 md5 R2(config-if)#ip authentication key chain eigrp 100 r2r1eigrp   Рис 3-2-4.

 

3-2-5 Упражнение по конфигурации аутентификации протокола маршрутизации

Настройте аутентификацию протокола маршрутизации EIGRP на маршрутизаторе. Установить цепочку с именем - test 1, ключ – test 12345. Примените цепочку к интерфейсу fastethernet 0/0. Номер AS 300.

Симуляция   Router(config)# key chain test1 Router(config-keychain)#key 1 Router(config-keychain-key)#key-string test12345 Router(config-keychain-key)#exit Router(config)#interface fastethernet 0/0 Router(config-if)#ip authentication mode eigrp 100 md5 Router(config-if)#ip authentication key chain eigrp 300 test1 Router(config-if)#exit

 

3-2-6 Защита конфигурационных файлов маршрутизатора

 

Если злоумышленник получает физический доступ к маршрутизатору, то он может выполнить над маршрутизатором любые действия. Можно изменить или удалить конфигурационный файл, можно удалить IOS. Это приведет к выходу из строя сети на время восстановления. Можно усилить безопасность сети с помощью защиты конфигурационного файла и файла IOS. При этом будет запрещено копировать, изменять или удалять эти файлы. Такая возможность имеется только для маршрутизаторов, поддерживающих интерфейс для флэш-памяти PCMCIA ATA (Advanced Technology Attachment). Файлы хранятся в такой памяти в скрытом виде. Для выполнения этих действий используются команды режима глобальной конфигурации secure boot - image и secure boot - config.

Рис 3-2-6.

 

3-2-7 Настройка защиты конфигурационных файлов маршрутизатора

При выполнении команды secure boot - image, Cisco IOS переводится в скрытый режим. Для отмены этого режима необходимо ввести команду no secure boot - image только при доступе по консольному порту. При выполнении команды secure boot - config создается архивная копия файла текущей конфигурации (running configuration), которая хранится в энергонезависимой памяти маршрутизатора в скрытом виде. Для отмены этого режима необходимо ввести команду no secure boot - config только при доступе по консольному порту. В случае изменения версии IOS или изменении конфигурации маршрутизатора появляется соответствующее сообщение. Для подтверждения этих изменений, в режиме доступа по консольному порту необходимо заново ввести команду secure boot - image или secure boot - config. Еще один способ получения несанкционированного доступа это процедура сброса и восстановления пароля (password recovery procedure). Для блокировки этой процедуры используется команда режима глобальной конфигурации no service password - recovery. После выполнения данной команды маршрутизатор не сможет войти в режим позволяющий выполнить сброс паролей (ROMmon). Для восстановления маршрутизатора в данном режиме, необходимо нажать на клавишу «break» в течении пяти секунд после разархивации IOS в процессе загрузки. После этого будет предложено повторно нажать клавишу «break». При повторном нажатии клавиши загрузочный файл (startup configuration) будет удален и маршрутизатор загрузится с заводскими установками.

Картинка 3-2-6   Router(config)# secure boot-image Router(config)# secure boot-config Router(config)# no service password-recovery В процессе загрузки маршрутизатора появится сообщение "PASSWORD RECOVERY FUNCTIONALITY IS DISABLED." Рис 3-2-7

 

 

3-2-8 Управление потоком данных с помощью ACL

Для управления потоком пользовательских данных и обновлений маршрутной информации используются списки контроля доступа (ACL). Структура списков доступа и их настройка подробно рассмотрены в курсе «Применение сетевого оборудования Cisco». ACL применяются для того, чтобы заблокировать или разрешить трафик на уровне интерфейса маршрутизатора Списки доступа фильтруют поток данных на основе информации, содержащейся в пакетах, такой как адрес получателя или порта назначения, адрес источника или соответствующего порта, протокол верхнего уровня.

Стандартный ACL. access-list number deny|permit source address log   Расширенный ACL. access-list number deny|permit protocol source address destination address   рис. 3-2-8.