Cisco protocolli di routing

Esiste un ulteriore passo verso la sicurezza dei nostri router: la protezione dei protocolli di routing e dei meccanismi di fault tolerance. Il protocollo di routing serve ad aggiornare le tabelle di routing dinamicamente ed è utile soprattutto in caso di guasti all’interno della propria rete. I protocolli di routing però non sono stati progettati per resistere a possibili attacchi. Quali sono i tipi di rischi che esistono? Possiamo dividerli in tre aree: attacchi alle tabelle di routing, attacchi di tipo Denial of Service sui router (es. saturazione della CPU) o attacchi di tipo buffer overflow. L’accento si pone in particolar modo sul protocollo di routing BGP, che il cuore di Internet e che si basa su di un rapporto di fiducia tra peers. Solitamente ci fidiamo delle rotte che gli altri router ci mandano, ma cosa succede se ci inviano delle false rotte attraverso per dirottare il traffico attraverso uno specifico percorso?

Per mitigare i rischi prospettati, è possibile prendere delle precauzioni, ovvero:

• Usare le distribute-lists per controllare gli aggiornamenti delle rotte
• Usare per quanto possibile le rotte statiche, soprattutto sui collegamenti verso l’esterno della nostra azienda (Internet, fornitori, extranet)
• Disabilitare i protocolli di routing sulle interfaccie in cui non servono (passive interface)
• Usare l’interfaccia console per amministrare i router in caso di attachi DoS.
• Usare l’autenticazione dei protocolli di routing e nel HSRP.

I prossimi paragrafi vogliono fornire degli spunti per abilitare l’autenticazione e per configurare in maniera più sicura i protocolli RIP, OSPF, EIGRP, BGP ed HSRP. Per maggiori informazioni sui comandi ed i protocolli, si suggerisce di approfondire on-line sul CCO.

Il protocollo RIP

OSPF è un protocollo diffuso oggi nelle reti medio-grandi. Il comando successivo serve per usare la Digest Authentication nel protocollo OSPF:

ip ospf message-digest-key keyid md5 key
area area-id authentication message-digest

Vediamo un esempio completo:

interface Ethernet0
  ip address 10.10.10.10 255.255.255.0
  ip ospf message-digest-key 1 md5 5 mypassword
!
router ospf 10
  network 10.10.0.0 0.0.255.255 area 0
  area 0 authentication message-digest

Il protocollo EIGRP

EIGRP e’ un protocollo proprietario di Cisco. Vediamo quali sono i parametri di configurazione per abilitare MD5:

interface FastEthernet0/0
  ip address 10.1.1.1 255.255.255.0
  ip authentication mode eigrp 1 md5
  ip authentication key-chain eigrp 1 holly
!
key chain holly
key 1
key-string 123456
accept-lifetime infinite
!
router eigrp 1
  network 10.0.0.0
  no auto-summary
  passive-interface default
  no passive-interface FastEthernet0/0

Il protocollo BGP

Come accennato precedentemente, BGP è al cuore di Internet ed andrebbe configurato sempre in modo da richiedere l’autenticazione dai peer. L’esempio successivo abilita MD5 per il peer 145.2.2.2:

router bgp 109
neighbor 145.2.2.2 password mypasswd

Un altra buona norma di protezione e’ abilitare il route dampening, per evitare problemi dovuti all’instabilità del peer (RFC 2439). Un potenziale attaccante potrebbe usare l’instabilità per effettuare un attacco di tipo DoS.

router bgp 109
bgp dampening

show ip bgp flap-statistics

Come ulteriore protezione è possibile usare i filtri BGP, ad esempio attraverso le communities e i Bogon Filters.

Il protocollo HSRP

Le vulnerabilità di HSRP sono ben conosciute: la stringa autenticazione passa in chiaro ed esistono codici per fare spoofing dei pacchetti HSRP. Un eventuale attaccante può mandare dei falsi advertisement e assumere il ruolo di attivo: solitamente questa tecnica viene usata per attacchi DoS o Man-in-the-middle. Esistono due tecniche per evitare questo problema:

• Impostare a 255 la standy priority sui routers;
• Usare sui router gli indirizzi IP che finiscono per .254 o .253 (in una classe C), visto che il più alto IP address viene usato per determinare la precedenza del router.