Академический Документы
Профессиональный Документы
Культура Документы
Thomas Moegli
Ing. HES Tlcommunications - Rseaux et Scurit IT
Authentification
Gnralits
Authentification des protocoles de routage
Un routeur authentifie la source de chaque paquet de mise jour de routage quil reoit
Plusieurs protocoles de routage supportent lauthentification
OSPF, RIPv2, BGP, EIGRP
Modes dauthentifications
Plain-Text / Mot de passe simple
Hashing / Authentification MD5/SHA
Thomas Moegli 3
Authentification des protocoles de routage
Authentification : Plain-Text
R1 R2
Dans ce mode, un mot de passe (cl) est configur sur chaque routeur
Chaque voisin doit tre configur avec la mme cl
Lorsque R1 envoie des informations de routage vers R2, la cl est envoye avec le paquet
Cette cl est envoye en clair, sans tre chiffre
Thomas Moegli 4
Authentification des protocoles de routage
Authentification : Hashing
Paquet EIGRP Paquet EIGRP
Hash Hash
Empreinte H1 Empreinte H2
Paquet EIGRP
Empreinte H1
R1 R2
Empreinte H1 ? Empreinte H2
Dans ce mode, une fonction de hachage est utilise (MD5, SHA) =
Cette fonction prend en paramtre le paquet ainsi que la cl et gnre une empreinte dune longueur fixe
R1 transmet cette empreinte avec le paquet
R2 utilise la mme fonction de hachage avec sa cl stocke en mmoire et le paquet reu (sans lempreinte)
Il compare lempreinte gnre avec celle reue
Si les empreintes correspondent, R2 autorise ce paquet
Si les empreintes ne correspondent pas, R2 rejette le paquet
La fonction de hachage dpend du protocole utilis. Tous les protocoles de routage utilisent MD5 mais seuls OSPFv2, OSPFv3 et EIGRP
supportent les fonctions de hachage SHA
Thomas Moegli 5
Scurit EIGRP
Authentification : Time-Based Keys Chains
La scurit du protocole de routage peut tre accrue en
changeant souvent les cls
Toutefois, changer les cls implique de devoir temporairement
Key-Chain
interrompre les relations de voisinage entre routeurs
Quelques protocoles de routage supportent la fonction de
changement automatique de cls
Ladministrateur peut dfinir plusieurs cls en une seule fois et
dfinir pour chaque cl un temps dutilisation
Le protocole de routage change automatiquement de cl
suivant le temps dfini par cl
Pour dfinir plusieurs cls, il est ncessaire de dfinir dabord
un nouveau trousseau de cls (key-chain) puis rajouter les cls
ce trousseau
Thomas Moegli 6
Authentification des protocoles de routage
Authentification : Spcificit de la cl
(Opt.) Une dure de vie (Lifetime) : configur par la commande send-lifetime hour date et accept-lifetime hour date
Thomas Moegli 7
Authentification des protocoles de routage
Authentification : Key-Chain
R1(config-keychain)# key 2
R1(config-keychain-key)# key-string cisco2
R1(config-keychain-key)# accept-lifetime 09:00:00 Jun 1 2015 23:59:59 Jun 31 2015
R1(config-keychain-key)# send-lifetime 09:00:00 Jun 1 2015 23:59:59 Jun 31 2015
R1(config-keychain-key)# end
Thomas Moegli 8
Scurit EIGRP
Vrification : Key-Chain
Thomas Moegli 9
Authentification des protocoles de routage
Authentification : Key-Chain
Si aucune dure de vie nest spcifie pour une cl, elle est considre comme valide en permanence
Pour lutilisation des cls dans le cas dune chane contenant plusieurs cls, les rgles suivantes
sappliquent
Envoi de messages : Utilise la cl ayant lidentifiant le plus petit parmi toutes les cls valides
Rception de messages : Vrifie lempreinte MD5 en utilisant toutes les cls valides
Thomas Moegli 10
Authentification des protocoles de routage
Authentification : Key-Chain
Exemple
La dure de vie configure pour la cl 1 est expire
Les cls 2 et 3 ont des dures de vie valides
La cl 4 possde une dure de vie qui commence
ultrieurement. Elle nest donc pas encore valide
Paquet EIGRP
Valide ?
trouver une empreinte qui correspond au Empreinte
MD5
Hash Paquet EIGRP
Pas encore active 4
paquet entrant
Lors de lenvoi dun paquet, la cl avec
lidentifiant le plus petit parmi les cls valides
(ici, la cl 2) est utilis pour la fonction de
hachage
Thomas Moegli 11
Authentification des protocoles de routage
Rsum
Oui
OSPFv2 Oui Oui Oui
(avec trousseaux de cls)
Thomas Moegli 12
Authentification
Ajout dune cl
Router(config-keychain)# key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit
Thomas Moegli 14
Authentification des protocoles de routage
Configuration RIPv2 : Exemple
RIPv2
.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2
Il est ncessaire que les identifiants des cls ainsi que les mots de passe soient identiques sur les deux voisins
Thomas Moegli 16
Authentification des protocoles de routage
Vrification RIPv2
RIPv2
.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2
Thomas Moegli 17
Authentification
Ajout dune cl
Router(config-keychain)# key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit
Thomas Moegli 19
Authentification des protocoles de routage
Configuration EIGRP : Exemple
EIGRP 100
.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2
Thomas Moegli 20
Authentification des protocoles de routage
Vrification EIGRP
Thomas Moegli 21
Authentification des protocoles de routage
Vrification EIGRP
EIGRP 100
.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2
Thomas Moegli 22
Authentification
.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2
Thomas Moegli 24
Authentification des protocoles de routage
Authentification OSPF
Thomas Moegli 25
Authentification des protocoles de routage
Configuration OSPF (1)
Ajout dune cl
Router(config-keychain)#key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit
Thomas Moegli 26
Authentification des protocoles de routage
Configuration OSPF (2)
Thomas Moegli 27
Authentification des protocoles de routage
Configuration OSPF (2)
Thomas Moegli 28
Authentification des protocoles de routage
Configuration OSPF (2)
Thomas Moegli 29
Authentification des protocoles de routage
Configuration OSPF (2)
Thomas Moegli 30