احراز هویت مسیرهای EIGRP

دسته: EIGRP

در همه پروتکل های مسیریابی امکان احراز هویت اطلاعات دریافتی از روترهای همسایه وجود دارد. در صورت عدم وجود چنین مکانیزمی، هکر می تواند با ارسال اطلاعات مسیریابی غلط باعث برهم ریختن مسیر ترافیک شبکه و اختلال در ارتباطات شبکه شود. احراز هویت با تنظیم کردن کلید مشترک در همه روتر ها و ارسال این کلید در ارسال Hello و بسته های مسیریابی انجام می گیرد.

در بعضی از پروتکل های مسیریابی مانند RIP و OSPF ارسال کلید هم به صورت رمز نشده و هم به صورت رمز شده امکان پذیر است. در EIGRP ارسال کلید فقط به صورت رمز شده امکان پذیر است.

احراز هویت در سطح اینترفیس پیاده سازی می شود بدین معنی که روتر می تواند روی یکی از اینترفیس هایش با دیگر روترهای همان لینک پروسه احراز هویت را اجرا نماید اما روی اینترفیس دیگرش که از امنیت بالاتری برخوردار است، ارسال اطلاعات مسیریابی بدون احراز هویت انجام شود و یا با کلید متفاوتی صورت پذیرد.

در EIGRP می توان برای احراز هویت در زمان های مختلف از کلیدهای مختلف استفاده کرد. مثلا کلیدی که فقط تا یک ماه آینده اعتبار داشته باشد و بعد از این زمان باید از کلید احراز هویت متفاوتی استفاده کنید. با این شیوه به امنیت بهتر مسیریابی کمک می کنید. در صورتی که قصد استفاده از این ویژگی را دارید، حتما از یکسان بودن زمان در همه روترها مطمئن شوید. برای یکی کردن زمان از پروتکل NTP استفاده کنید.

برای درک چگونگی پیاده سازی EIGRP Authentication به مثال زیر توجه کنید.

Authentication EIGRP1

پیاده سازی Authentication در EIGRP

 در این مثال قصد داریم بین سه روتر IOU1، IOU2 و IOU3 که روی یک لینک قرار دارند، احراز هویت راه اندازی نماییم.

EIGRP قبلا روی همه روتر ها پیاده سازی شده است. خروجی تشکیل همسایگی EIGRP در ذیل آمده است

IOU3#sh ip eigrp neighbors

EIGRP-IPv4 Neighbors for AS(1)

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq

                                            (sec)         (ms)       Cnt Num

1   192.168.1.1             Et0/0             12 00:00:06 1274  5000  0  7

0   192.168.1.2             Et0/0             12 00:00:06 1263  5000  0  7

خروجی جدول همسایگی قبل از پیاده سازی Authentication

برای پیاده سازی احراز هویت دو گام زیر ضروری است:

  • ایجاد keychain و key
  • پیاده سازی EIGRP Authetication و صدا زدن key و keychain در این پروسه

برای ایجاد keychain و key به شیوه زیر عمل می کنیم

IOU1#sh running-config | section key chai

key chain CHAIN1

 key 1

  key-string rayka

ایجاد Key Chain مرحله اول در پیاده سازی Authentication است

روی یک keychain می توان چندین کلید تعریف نمود که هر کلید در بازه های زمانی مختلف اعتبار دارند. در مثال زیر کلید اول با زمان اعتبار محدود تعریف شده است. بعد از آن از تاریخ 1 نوامبر سال 2014 تا ابد کلید دوم اعتبار دارد.

IOU1#sh running-config | section key chai

key chain CHAIN2

 key 1

  key-string rayka

  accept-lifetime 00:00:00 Aug 8 2014 00:15:00 Nov 1 2014

  send-lifetime 00:00:00 Aug 8 2014 00:00:00 Nov 1 2014

 key 2

  key-string rayka@123>

  accept-lifetime 23:45:00 Oct 31 2014 infinite

  send-lifetime 00:00:00 Nov 1 2014 infinite

ایجاد کلید با بازه زمانی محدود

برای فعال کردن Authentication در سطح اینترفیس و صدا زدن keychain به شیوه زیر عمل کنید.

IOU1(config)#interface ethernet 0/0

IOU1(config-if)#ip authentication mode eigrp 1 ?

  md5  Keyed message digest

IOU1(config-if)#ip authentication mode eigrp 1 md5

IOU1(config-if)#

IOU1(config-if)#ip authentication ?

  key-chain  key-chain

  mode       mode

IOU1(config-if)#ip authentication key-chain eigrp 1 CHAIN2

!!! IOU1, IOU2, IOU3

!

key chain CHAIN2

 key 1

  key-string rayka

  accept-lifetime 00:00:00 Aug 8 2014 00:15:00 Nov 1 2014

  send-lifetime 00:00:00 Aug 8 2014 00:00:00 Nov 1 2014

 key 2

  key-string rayka@123>

  accept-lifetime 23:45:00 Oct 31 2014 infinite

  send-lifetime 00:00:00 Nov 1 2014 infinite

!

interface Ethernet0/0

 ip authentication mode eigrp 1 md5

 ip authentication key-chain eigrp 1 CHAIN2

فعال سازی Authentication در EIGRP

بعد از فعال سازی Authentication می توانید با روش های زیر شرایط را مانیتور کنید. در ذیل نشان داده شده است که اگر رمز در هر یک از روترها اشتباه وارد شود، چه پیغامی روی صفحه کنسول ظاهر می شود و شما را از این اشتباه آگاه می کند.

IOU3#sh ip eigrp interfaces  detail

EIGRP-IPv4 Interfaces for AS(1)

                        Xmit Queue   Mean   Pacing Time   Multicast    Pending

Interface        Peers  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes

Et0/0              2        0/0        11       0/2           50           0

  Hello-interval is 5, Hold-time is 15

  Split-horizon is enabled

  Next xmit serial <none>

  Un/reliable mcasts: 0/1  Un/reliable ucasts: 3/62

  Mcast exceptions: 4  CR packets: 1  ACKs suppressed: 7

  Retransmissions sent: 45  Out-of-sequence rcvd: 0

  Topology-ids on interface - 0

  Authentication mode is md5,  key-chain is "CHAIN2"

!

IOU3# debug eigrp packets

    (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)

EIGRP Packet debugging is on

IOU3#

*Aug  6 13:57:08.375: EIGRP: received packet with MD5 authentication, key id = 1

!

!!! در صورت اشتباه بودن رمز پیغام زیر را روی صفحه کنسول دریافت می کنید

*Aug  6 13:58:14.819: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.1.1 (Ethernet0/0) is down: Auth failure

مانیتورینگ Authentication در EIGRP

نوشتن دیدگاه

تصویر امنیتی
تصویر امنیتی جدید