Attivazione autenticazione in RIP

Un modo per consentire solo a delle determinate apparecchiature il traffico sulla propria rete è l’utilizzo dell’autenticazione in RIP

La seguente serie di comandi consente l’autenticazione in testo normale:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode text
Router1(config-subif)#end
Router1#

Per una maggiore sicurezza, i router Cisco possono anche utilizzare l’autenticazione basata su MD5:

Router1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#key chain ORA
Router1(config-keychain)#key 1
Router1(config-keychain-key)#key-string oreilly
Router1(config-keychain-key)#exit
Router1(config-keychain)#exit
Router1(config)#interface FastEthernet0/0.1
Router1(config-subif)#ip rip authentication key-chain ORA
Router1(config-subif)#ip rip authentication mode md5
Router1(config-subif)#end
Router1#

Autenticazione di RIP è uno dei miglioramenti del protocollo che appagliono nella versione 2.L’esempio della prima configurazione in questo articolo utilizza una normale autenticazione. In generale, si consiglia di utilizzare l’autenticazione MD5 perché il testo in chiaro è fin troppo facile da craccare. Se si desidera impostare l’autenticazione per assicurarsi di ricevere aggiornamenti solo dai dispositivi appropriati, è necessario utilizzare la versione più sicura MD5. L’unica ragione per considerare  la modalità in chiaro è che se alcuni dei dispositivi RIP non posso abilitare MD5. Poiché la RFC per RIP versione 2 descrive solo l’ autenticazione semplice, i non-Cisco dispositivi potrebbero non supportare l’autenticazione MD5.Entrambe le forme di autenticazione RIP contribuiscono a garantire che solo apparecchiature di rete legittime e autorizzate possono partecipare agli update di RIP. Ciò è particolarmente importante se si dispone di segmenti di rete contenenti dispositivi che possono corrompere le tabelle di routing. In questo esempio, la chiave viene applicata su un’interfaccia. Ciò consente di specificare una chiave diversa per ogni segmento di rete. Tuttavia, non c’è nulla che impedisca di utilizzare lo stesso codice su più di una interfaccia, o anche utilizzando una sola chiave in  tutta la rete.Le tracce di debug seguenti sono state prese con abilitato l’autenticazione. La prima traccia mostra il testo semplice e include la password:

Router1#debug ip rip
RIP protocol debugging is on
Aug 12 02:08:03.386: RIP: received packet with text authentication oreilly
Aug 12 02:08:03.390: RIP: received v2 update from 172.25.1.7 on FastEthernet0/0.1

La seconda traccia si presenta con un aggiornamento contenente l’autenticazione MD5. In questo caso, il router non è in grado di decodificare la stringa di autenticazione. Invece, si confronta la stringa della password cifrata con la versione cifrata della propria password per vedere se corrispondono. Non ci sono metodi noti per invertire in modo univoco la crittografia MD5:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:14:50 EDT: RIP: received packet with MD5 authentication
Aug 11 22:14:50 EDT: RIP: received v2 update from 172.25.1.5 on Ethernet0

il comando show ip protocols include informazioni sulle catene chiave di autenticazione:

Router3#show ip protocols
Routing Protocol is "rip"
  Sending updates every 30 seconds, next due in 16 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Outgoing update filter list for all interfaces is
  Incoming update filter list for all interfaces is
  Redistributing: rip
  Default version control: send version 2, receive version 2
    Interface        Send  Recv   Key-chain
    Ethernet0        2     2      ORA
  Routing for Networks:
    172.25.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    172.25.1.5           120      00:00:01
  Distance: (default is 120)
Router3#

Se il router riceve un aggiornamento RIP che ha un chiave sbagliata (o nessuna chiave affatto), scarta il pacchetto, come mostrato nella traccia di debug seguente:

Router3#debug ip rip
RIP protocol debugging is on
Aug 11 22:17:07 EDT: RIP: ignored v2 packet from 172.25.1.5 (invalid authentication)

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.