Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Autenticación Mediante MD5 en Eigrp

    Cargado por

    Amiel Cabrera
    6 vistas7 páginas
    AUTENTICACIÓN MEDIANTE MD5 EN EIGRP

    Título original

    AUTENTICACIÓN MEDIANTE MD5 EN EIGRP

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    AUTENTICACIÓN MEDIANTE MD5 EN EIGRP

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas7 páginas

    Autenticación Mediante MD5 en Eigrp

    Cargado por

    Amiel Cabrera
    AUTENTICACIÓN MEDIANTE MD5 EN EIGRP

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    AUTENTICACIÓN MEDIANTE MD5 EN EIGRP

    Se explica cómo configurar la autenticación de EIGRP para asegurar que las


    actualizaciones de routing sean seguras. Se utiliza MD5 y se detallan comandos con
    ejemplos.

    Tabla de Contenido
    1. Autenticación de protocolos de routing
    2. Configuración de EIGRP con autenticación MD5
    a. 2.1. Paso 1. Crear un llavero y una clave
    b. 2.2. Paso 2. Configurar la autenticación de EIGRP con el llavero y la
    clave
    3. Ejemplo de autenticación de EIGRP
    a. Actores de Amenaza
    b. 3.1. Configuración de la autenticación de EIGRP para IPv6
    4. Verificación de la autenticación

    1. Autenticación de protocolos de routing

    Los administradores de red deben tener en cuenta que los routers corren el mismo riesgo
    de sufrir ataques que los dispositivos para usuarios finales.

    Cualquier persona con un programa detector de paquetes, como Wireshark, puede leer
    la información que se propaga entre los routers. En general, los sistemas de routing se
    pueden atacar mediante la interrupción de dispositivos peer o la falsificación de
    información de routing.

    La interrupción de peers es el ataque menos crítico de los dos, debido a que los
    protocolos de routing se reparan a sí mismos, lo que hace que la interrupción solo dure
    un poco más que el ataque propiamente dicho.

    La falsificación de información de routing es una clase de ataque más sutil que tiene
    como objetivo la información que se transporta dentro del protocolo de routing. Las
    consecuencias de falsificar información de routing son las siguientes:

     Redireccionamiento del tráfico para crear bucles de routing


     Redireccionamiento del tráfico para el control en una línea no segura
     Redireccionamiento del tráfico para descartarlo

    Un método para proteger la información de routing de la red es autenticar los paquetes


    del protocolo de routing mediante el algoritmo de síntesis del mensaje 5 (MD5). MD5
    permite que los routers comparen firmas que deberían ser iguales, a fin de confirmar
    que provienen de un origen verosímil.

    Los tres componentes de este sistema son los siguientes:

     Algoritmo de cifrado, generalmente de conocimiento público


     Clave que se usa en el algoritmo de cifrado, un secreto que comparten los routers
    que autentican los paquetes
     Contenido del paquete

    Los protocolos de routing como RIPv2, EIGRP, OSPF, IS-IS y BGP admiten varias
    formas de autenticación MD5.

    2. Configuración de EIGRP con autenticación MD5

    La autenticación de mensajes EIGRP asegura que los routers solo acepten mensajes de
    routing de otros routers que conozcan la misma clave previamente compartida.

    Sin la autenticación configurada, si una persona no autorizada introduce en la red otro


    router con información de ruta diferente o en conflicto, puede dañar las tablas de routing
    de los routers legítimos, lo que puede acompañarse de un ataque DoS.

    Entonces, cuando se agrega autenticación a los mensajes EIGRP que se envían entre
    routers, se evita que alguien agregue otro router a la red —a propósito, o por
    accidente— y cause un problema.

    EIGRP admite la autenticación de protocolos de routing mediante MD5. La


    configuración de la autenticación de mensajes EIGRP consta de dos pasos: la creación
    de un llavero y una clave, y la configuración de la autenticación de EIGRP para usar el
    llavero y la llave.

    2.1. Paso 1. Crear un llavero y una clave

    Para funcionar, la autenticación del routing requiere una clave en un llavero. Para que se
    pueda habilitar la autenticación, cree un llavero y, al menos, una clave.

     En el modo de configuración global, cree el llavero. Aunque pueden configurarse


    varias claves, esta sección se centra en el uso de una sola clave.

    Router(config)# key chain name-of-chain

     Especifique la ID de la clave. La ID de la clave es el número que se usa para


    identificar una clave de autenticación dentro de un llavero. El intervalo de claves
    es de 0 a 2 147 483 647. Se recomienda que el número de clave sea el mismo en
    todos los routers en la configuración.

    Router(config-keychain)# key key-id

     Especifique la cadena de clave para la clave. La cadena de clave es parecida a una


    contraseña. Los routers que intercambian claves de autenticación deben
    configurarse con la misma cadena de clave.
    Router(config-keychain-key )# key-string key-string-text

    2.2. Paso 2. Configurar la autenticación de EIGRP con el llavero y la clave

    Configure EIGRP para realizar la autenticación de mensajes con la clave definida


    anteriormente. Complete esta configuración en todas las interfaces habilitadas para
    EIGRP.

     En el modo de configuración global, especifique la interfaz en la que configurará


    la autenticación de mensajes EIGRP.

    Router(config)# interface type number

     b. Habilite la autenticación de mensajes EIGRP. La palabra clave md5 indica que


    se usará el hash MD5 para la autenticación.

    Router(config-if)# ip authentication mode eigrp as-number md5

     c. Especifique el llavero que debe usarse para la autenticación. El argumento


    name-of-chain especifica el llavero que se creó en el paso 1.

    Router(config-if)# ip authentication key-chain eigrp as-number name-of-chain

    Cada clave tiene su propia ID de clave, que se almacena localmente. La combinación


    de la ID de la clave y la interfaz asociada al mensaje identifica de manera exclusiva el
    algoritmo de autenticación y la clave de autenticación MD5 en uso.

    El llavero y la actualización de routing se procesan con el algoritmo MD5 para producir


    una firma única.

    3. Ejemplo de autenticación de EIGRP

    Para autenticar las actualizaciones de routing, todas las interfaces con EIGRP habilitado
    deben estar configuradas para admitir la autenticación. En la Imagen 1, se muestra la
    topología IPv4 y las interfaces que tienen autenticación configurada.
    Imagen 1: Topología EIGRP para IPv4

    En la Imagen 2, se muestra la configuración para el router R1 con el


    llavero EIGRP_KEY y la cadena de clave cisco123.

    Imagen 2: Configuración de la autenticación MD5 de EIGRP en el R1

    Una vez que el R1 está configurado, los otros routers reciben actualizaciones de routing
    autenticadas. Las adyacencias se pierden hasta que se configura la autenticación del
    protocolo de routing en los vecinos.

    3.1. Configuración de la autenticación de EIGRP para IPv6

    Los algoritmos y la configuración para autenticar mensajes EIGRP para IPv6 son los
    mismos que los correspondientes a EIGRP para IPv4. La única diferencia es que en los
    comandos del modo de configuración de interfaz se usa ipv6 en lugar de ip.
    Router(config-if)# ipv6 authentication mode eigrp as-number md5

    Router(config-if)# ipv6 authentication key-chain eigrp as-number name-of-chain

    En la Imagen 3, se muestran los comandos para configurar la autenticación de EIGRP


    para IPv6 en el router R1 por medio del llavero EIGRP_IPV6_KEY y la cadena de
    clave cisco123.

    Imagen 3: Configuración de la autenticación MD5 de EIGRP para IPv6 en el R1

    En el R2 y el R3 se introducen configuraciones parecidas.

    4. Verificación de la autenticación

    Una vez que se configura la autenticación de mensajes EIGRP en un router, cualquier


    vecino adyacente que no se haya configurado para la autenticación deja de ser un vecino
    EIGRP.

    Por ejemplo, cuando la interfaz Serial 0/0/0 del R1 estaba configurada con autenticación
    MD5, pero el R2 todavía no estaba configurado, apareció el siguiente mensaje del IOS
    en el R1:

    %DUAL-5-NBRCHANGE: EIGRP-IPv4 1:

    Neighbor 172.16.3.2 (Serial0/0/0) is

    down: authentication mode changed


    Cuando se configura la interfaz Serial 0/0/0 adyacente en el R2, se vuelve a establecer la
    adyacencia y aparece el siguiente mensaje del IOS en el R1.

    %DUAL-5-NBRCHANGE: EIGRP-IPv4 1:

    Neighbor 172.16.3.2 (Serial0/0/0) is

    up: new adjacency

    También aparecen mensajes parecidos en el R2.

    Las adyacencias solo se forman cuando ambos dispositivos de conexión tienen


    configurada la autenticación, como se muestra en la Imagen 4.

    Imagen 4: Topología EIGRP para IPv4

    Para verificar que se hayan formado las adyacencias EIGRP correctas después de
    configurarlas para la autenticación, utilice el comando show ip eigrp neighbors en cada
    router.

    En la Imagen 5, se muestra que los tres routers volvieron a establecer adyacencias de


    vecinos después de que se configuró la autenticación de EIGRP.
    Imagen 5: Verificación de la autenticación MD5 de EIGRP en el R1

    Finalmente, para verificar las adyacencias de vecinos EIGRP para IPv6, use el
    comando show ipv6 eigrp neighbors.

    También podría gustarte