“配置RIPv2的认证”课程笔记分享
配置RIPv2的认证
原理概述
配置协议的认证可以降低设备接受非法路由选择更新消息的可能性,也可称为“验证”。非法的更新消息可能来自试图破坏网络的攻击者,或试图通过欺骗路由器发送数据到错误的目的地址的方法来捕获数据包.RIPv2协议能够通过更新消息所包含的口令来验证某个路由选择消息源的合法性,有简单和MD5密文两种验证方式。
简单验证是指在认证的消息当中所携带的认证口令是以明文传输的,可以通过抓包软件抓取到数据包中的密码。
MD5密文验证是一种单向消息摘要(message digest)算法或安全散列函数(securehash function), 由RSA Date Security,Inc 提出。有时MD5也被作为-一个加密校验和(cryptographic checksum)。MD5算法是通过一个随意长度的明文消息(例如,一个RIPv2的更新消息)和口令计算出一个128位的hash值。hash 值类似“指纹”,这个"指纹”随同消息一起传送, 拥有相同口令的接收者会计算它自己的hash值,如果消息的内容没有被更改,接收者的hash值应该和消息发送者的hash值相匹配。
●●●案例分析
本实验模拟企业网络场景。某公司有两台路由器R1与R2,各自连接着一台主机,并且R1和R2之间配置RIPv2协议学习路由条目。R3模拟作为网络中的攻击者,窃取R1与R2间的路由信息,并发布了一些虚假路由,使R1和R2的相关路由的选路指向了R3,形成了路由欺骗。为了避免遭受攻击,提高网络安全性,网络管理员将配置RIPv2认证。
●●●实验拓扑
●●●实验编址
●●●实验拓扑
1.基本配置
根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性。其中,R3上的两个环回接口先不配置IP地址。
其余直连网段的连通性测试省略。
2.搭建RIP网络
配置公司路由器R1和R2的RIPv2协议,并添加需要通告的网段。
配置完成后,检查R1与R2的路由表。
可以观察到,此时双方已经正常地获得了RIP路由条目。
3.模拟网络攻击
配置路由器R3作为攻击者,接入公司网络。在基本配置中已经将接口GE 0/0/0 地
址配置为10.0.12.3,与该公司路由器在同- -网段,并配置RIPv2协议,通告该网段,配
置完成后查看R3的路由表。
观察发现R3已经非法获取了R1和R2.上用户终端所在的两个网段的路由信息。此时R3就可以向两个网段发送大量的ping包,导致网络链路拥塞,形成攻击。
下面是R3模拟攻击演示,发送10万个ping包给PC-1, 导致攻击发生。可以按<Ctrl+C>组合键来终止该操作。
完成上述模拟后,在R3上分别配置两个用于欺骗的环回接口,地址分别为192.168.10.1和192.168.20.1,即与公司网络中两个用户的地址相同,并且在RIP协议中
通告这两个欺骗的网段。
配置完成后,查看R1与R2的路由表。
可以观察到R3发过来的路由更新。因为R2和R3发送RIP更新的cost都是1跳,所以在R1的路由表中,目的为192. 168.20.0网段形成了两条等价负载均衡的路径,下一跳分别是R2和R3。这样会导致去往192.168.20.0 网段的数据包有部分转发给了欺骗路由器R3,R2的路由表变化和R1同理。
4.配置RIPv2简单验证
为了提升网络安全性,避免发生上述攻击和路由欺骗,网络管理员可在R1和R2上配置RIP的简单验证实现对网络的保护。
在路由器R1和R2的GE0/0/1接口配置认证,使用简单验证方式,密码为huawei。注意,两端的密码必须保持一致, 否则会导致认证失败,从而使得RIP协议无法正常
运行。
配置完成后,等待- -段时间,再次查看R1和R2的路由表。
可以观察到现在R1与R2的路由表恢复正常,R3发送的欺骗路由在路由表中消失。原因是R1和R2配置了RIP认证,就要求在RIP更新报文中包含认证密码,如果密码错
误或者不存在,将认为该路由非法并丢弃。
在路由器R1的GE 0/0/1接口上抓包,如图7-3所示。
可以观察到,此时R1与R2间发送的RIP报文中含authentication 字段,并且密码是明文的huawei。
5.配置RIPv2MD5密文验证
在上一步骤中,在R1和R2.上配置了简单验证方式的认证后,成功地抵御了R3的路由欺骗和攻击,且主机PC-1与PC-2可以正常通信。但是通过抓包能够发现,简单验证方式下的认证安全性非常差,攻击者虽然无法直接攻击网络,但是可以通过抓取RIP协议数据包获得明文密码,因此建议使用MD5密文验证方式进行RIPv2的认证。
在R1和R2的GE 0/0/1接口上删除上一步骤中的简单验证配置,选择使用MD5密文验证方式配置。配置时可以选择MD5密文验证方式的报文格式,usual 参数表示使用通用报文格式; nonstandard 参数表示使用非标准报文格式(IETF 标准),但是必须保证两端的报文格式一致,这里选用通用标准格式。
配置完成后,查看R1和R2路由表。
可以观察到R1与R2的路由表正常,R3发送的欺骗路由在路由表中消失,与配置简单验证的效果一样。
继续抓取R1的GE 0/0/1接口,上的报文,如图7-4所示。
抓包发现已经无法看到配置的认证密码,而看到的是一个 128位的hash值,这是一种单向的散列值,难以破解,这样就能够进一步地保证网络的安全性.
●●●思考
在本实验中,R1和R2上配置了认证,R3没有配置认证,根据分析,R1和R2不会再接收R3发送的不包含认证信息的RIP更新,那R3是否会接收R1和R2发送过来的带有认证信息的RIP更新呢?为什么?