Authentification des protocoles de routage

Thomas Moegli
Ing. HES Tlcommunications - Rseaux et Scurit IT
Authentification

Gnralits
Authentification des protocoles de routage

Un routeur authentifie la source de chaque paquet de mise jour de routage quil reoit
Plusieurs protocoles de routage supportent lauthentification
OSPF, RIPv2, BGP, EIGRP
Modes dauthentifications
Plain-Text / Mot de passe simple
Hashing / Authentification MD5/SHA

Thomas Moegli 3
Authentification des protocoles de routage
Authentification : Plain-Text

R1 R2

Dans ce mode, un mot de passe (cl) est configur sur chaque routeur
Chaque voisin doit tre configur avec la mme cl

Lorsque R1 envoie des informations de routage vers R2, la cl est envoye avec le paquet
Cette cl est envoye en clair, sans tre chiffre

R2 rceptionne la cl et vrifie si elle correspond celle contenue en mmoire

Si les deux cls correspondent, R2 accepte la mise jour reue.
Si les deux cls ne correspondent pas, R2 rejette le paquet
Les protocoles de routage qui supportent lauthentification Plan-Text sont RIPv2, OSPFv2, IS-IS

Thomas Moegli 4
Authentification des protocoles de routage
Authentification : Hashing
Paquet EIGRP Paquet EIGRP

Hash Hash

Empreinte H1 Empreinte H2
Paquet EIGRP
Empreinte H1

R1 R2

Empreinte H1 ? Empreinte H2
Dans ce mode, une fonction de hachage est utilise (MD5, SHA) =

Cette fonction prend en paramtre le paquet ainsi que la cl et gnre une empreinte dune longueur fixe
R1 transmet cette empreinte avec le paquet
R2 utilise la mme fonction de hachage avec sa cl stocke en mmoire et le paquet reu (sans lempreinte)
Il compare lempreinte gnre avec celle reue
Si les empreintes correspondent, R2 autorise ce paquet
Si les empreintes ne correspondent pas, R2 rejette le paquet

La fonction de hachage dpend du protocole utilis. Tous les protocoles de routage utilisent MD5 mais seuls OSPFv2, OSPFv3 et EIGRP
supportent les fonctions de hachage SHA
Thomas Moegli 5
Scurit EIGRP
Authentification : Time-Based Keys Chains
La scurit du protocole de routage peut tre accrue en
changeant souvent les cls
Toutefois, changer les cls implique de devoir temporairement
Key-Chain
interrompre les relations de voisinage entre routeurs
Quelques protocoles de routage supportent la fonction de
changement automatique de cls
Ladministrateur peut dfinir plusieurs cls en une seule fois et
dfinir pour chaque cl un temps dutilisation
Le protocole de routage change automatiquement de cl
suivant le temps dfini par cl
Pour dfinir plusieurs cls, il est ncessaire de dfinir dabord
un nouveau trousseau de cls (key-chain) puis rajouter les cls
ce trousseau
Thomas Moegli 6
Authentification des protocoles de routage
Authentification : Spcificit de la cl

Une chane de cls est cre via la commande de configuration globale :

Router(config)#key chain key-name

Le trousseau est caractris par :

Un identifiant de cl (Key ID) : configur par la commande key
key key-id
key-id . Lidentifiant peut tre de 1 255

Un mot de passe (Password) : configur par la commande key-string password

key-string password

(Opt.) Une dure de vie (Lifetime) : configur par la commande send-lifetime hour date et accept-lifetime hour date

Chaque cl dispose de deux dures de vie :

Accept lifetime : dure sur laquelle le routeur accepte la cl durant lchange de cls avec un autre routeur
Send lifetime : dure sur laquelle le routeur envoie la cl durant lchange de cls avec un autre routeur

Thomas Moegli 7
Authentification des protocoles de routage
Authentification : Key-Chain

Exemple de configuration dun trousseau de cls

R1(config)# key chain R1-Chain

R1(config-keychain)# key 1
R1(config-keychain-key)# key-string cisco1
R1(config-keychain-key)# accept-lifetime 09:00:00 Mar 1 2015 23:59:59 Mar 31 2015
R1(config-keychain-key)# send-lifetime 09:00:00 Mar 1 2015 23:59:59 Mar 31 2015

R1(config-keychain)# key 2
R1(config-keychain-key)# key-string cisco2
R1(config-keychain-key)# accept-lifetime 09:00:00 Jun 1 2015 23:59:59 Jun 31 2015
R1(config-keychain-key)# send-lifetime 09:00:00 Jun 1 2015 23:59:59 Jun 31 2015
R1(config-keychain-key)# end

Thomas Moegli 8
Scurit EIGRP
Vrification : Key-Chain

R1# show key chain

Key-chain R1-KeyChain:
key 1 -- text "CISCO1"
accept lifetime (09:00:00 UTC Apr 1 2015) - (23:59:59 UTC May 1 2015) [valid now]
send lifetime (09:00:00 UTC Apr 1 2015) - (23:59:59 UTC May 1 2015) [valid now]
key 2 -- text "CISCO2"
accept lifetime (09:00:00 UTC May 1 2015) - (23:59:59 UTC May 31 2015)
send lifetime (09:00:00 UTC May 1 2015) - (23:59:59 UTC May 31 2015)

Thomas Moegli 9
Authentification des protocoles de routage
Authentification : Key-Chain

Si aucune dure de vie nest spcifie pour une cl, elle est considre comme valide en permanence
Pour lutilisation des cls dans le cas dune chane contenant plusieurs cls, les rgles suivantes
sappliquent
Envoi de messages : Utilise la cl ayant lidentifiant le plus petit parmi toutes les cls valides

Rception de messages : Vrifie lempreinte MD5 en utilisant toutes les cls valides

Thomas Moegli 10
Authentification des protocoles de routage
Authentification : Key-Chain
Exemple
La dure de vie configure pour la cl 1 est expire
Les cls 2 et 3 ont des dures de vie valides
La cl 4 possde une dure de vie qui commence
ultrieurement. Elle nest donc pas encore valide
Paquet EIGRP

Hash Empreinte MD5

Lors de la rception dun paquet entrant, les Dure de vie expire 1

cls valides (2 et 3) sont utilises pour vrifier 2

lempreinte. Chaque cl est teste pour 3

Valide ?

Valide ?
trouver une empreinte qui correspond au Empreinte
MD5
Hash Paquet EIGRP
Pas encore active 4
paquet entrant
Lors de lenvoi dun paquet, la cl avec
lidentifiant le plus petit parmi les cls valides
(ici, la cl 2) est utilis pour la fonction de
hachage

Thomas Moegli 11
Authentification des protocoles de routage
Rsum

Authentification hachage Authentification hachage Gestion des trousseaux de

Authentification Plain Text
MD5 SHA cls

RIPv2 Oui Oui Non Oui

EIGRP Non Oui Oui (avec EIGRP nomm) Oui

Oui
OSPFv2 Oui Oui Oui
(avec trousseaux de cls)

OSPFv3 Non Oui Oui Non

BGP Non Oui Non Non

Thomas Moegli 12
Authentification

Authentification sur RIPv2

Authentification des protocoles de routage
Configuration RIPv2
Cration de la chane de cls
Router(config)# key-chain name-of-chain

Ajout dune cl
Router(config-keychain)# key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit

Configuration du mode dauthentification pour RIPv2

Router(config-keychain)#interface interface-id
Router(config-if)# ip rip authentication mode [md5 | text]

Liaison avec la chane de cls

Router(config-if)#ip rip authentication key-chain name-of-chain
Router(config-if)# end

Thomas Moegli 14
 Authentification des protocoles de routage
Configuration RIPv2 : Exemple
RIPv2

.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2

Il est ncessaire que les identifiants des cls ainsi que les mots de passe soient identiques sur les deux voisins

R1(config)# router rip R2(config)# router rip

R1(config-router)# version 2 R2(config-router)# version 2
R1(config-router)# no auto-summary R2(config-router)# no auto-summary
R1(config-router)# network 172.10.1.0 R2(config-router)# network 172.10.1.0
R1(config-router)# network 10.12.0.0 R2(config-router)# network 10.12.0.0

R1(config)# key-chain MYPASSWORDS R2(config)# key-chain MYPASSWORDS

R1(config-keychain)# key 1 R2(config-keychain)# key 1
R1(config-keychain-key)# key-string Pa$w0rd1 R2(config-keychain-key)# key-string Pa$w0rd1
R1(config-keychain-key)# exit R2(config-keychain-key)# exit

R1(config)# interface Serial2/0 R2(config)# interface Serial2/0

R1(config-if)# ip rip authentication mode md5 R2(config-if)# ip rip authentication mode md5
R1(config-if)# ip rip authentication key-chain MYPASSWORDS R2(config-if)# ip rip authentication key-chain MYPASSWORDS
R1(config-if)# end R2(config-if)# end
Thomas Moegli 15
Authentification des protocoles de routage
Vrification RIPv2

Afficher la chane de cls :

Router#show key chain

Afficher les vnements dauthentification pour RIPv2 :

Router#debug ip rip events

Thomas Moegli 16
Authentification des protocoles de routage
Vrification RIPv2
RIPv2

.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2

Troubleshooting - Problme lie lauthentification

R1(config)# key-chain MYPASSWORDS

*Jan 19 10:10:42.828: RIP: sending v2 update to 224.0.0.9 via Serial2/0 (10.0.12.1) R1(config-keychain)# key 1
*Jan 19 10:10:42.828: RIP: Update contains 1 routes R1(config-keychain-key)# key-string Pa$w0rd1
*Jan 19 10:10:42.828: RIP: Update queued R1(config-keychain-key)# exit
*Jan 19 10:10:42.828: RIP: Update sent via Serial2/0
R1# R1(config)# key-chain MYPASSWORDS
*Jan 19 10:10:55.212: RIP: ignored v2 packet from 10.0.12.2 (invalid authentication) R1(config-keychain)# key 1
R1# R1(config-keychain-key)# key-string Pa$w0rd2
R1(config-keychain-key)# exit

Thomas Moegli 17
Authentification

Authentification sur EIGRP

Authentification des protocoles de routage
Configuration EIGRP
Cration de la chane de cls
Router(config)# key-chain name-of-chain

Ajout dune cl
Router(config-keychain)# key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit

Configuration du mode dauthentification pour EIGRP

Router(config-keychain)#interface interface-id
Router(config-if)# ip authentication mode eigrp as-number md5

Liaison avec la chane de cls

Router(config-if)#ip authentication key-chain eigrp as-number MYPASSWORDS
Router(config-if)# end

Thomas Moegli 19
 Authentification des protocoles de routage
Configuration EIGRP : Exemple
EIGRP 100

.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2

R1(config)# router eigrp 100 R2(config)# router eigrp 100

R1(config-router)# no auto-summary R2(config-router)# no auto-summary
R1(config-router)# network 172.10.1.0 R2(config-router)# network 172.10.1.0
R1(config-router)# network 10.0.0.0 R2(config-router)# network 10.0.0.0

R1(config)# key-chain MYPASSWORDS R2(config)# key-chain MYPASSWORDS

R1(config-keychain)# key 1 R2(config-keychain)# key 1
R1(config-keychain-key)# key-string Pa$w0rd1 R2(config-keychain-key)# key-string Pa$w0rd1

R1(config)# interface Serial2/0 R2(config)# interface Serial2/0

R1(config-if)# ip authentication mode eigrp 100 md5 R2(config-if)# ip authentication mode eigrp 100 md5
R1(config-if)# ip authentication key-chain eigrp 100 MYPASSWORDS R2(config-if)# ip authentication key-chain eigrp 100 MYPASSWORDS
R1(config-if)# end R2(config-if)# end

Thomas Moegli 20
Authentification des protocoles de routage
Vrification EIGRP

Afficher la chane de cls :

Router#show key chain

Afficher les vnements dauthentification pour EIGRPP :

Router#debug eigrp events

Thomas Moegli 21
Authentification des protocoles de routage
Vrification EIGRP
EIGRP 100

.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2

Troubleshooting : configuration de lauthentification sur un voisin uniquement

*Jan 19 11:00:00.139: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 10.0.12.2 (Serial2/0) is down: Auth failure

Troubleshooting : Authentification errone due des mots de passes non identiques

*Jan19 11:24:04.888: EIGRP: pkt key id = 1, authentication mismatch
*Jan 19 11:23:18.931: EIGRP: Se2/0: ignored packet from 10.0.12.2, opcode = 5 (invalid authentication)

Thomas Moegli 22
Authentification

Authentification sur OSPF

Authentification des protocoles de routage
Authentification OSPF
OSPF 100
Area 0

.1 10.12.0.0/24 .2
172.10.1.0/24 S0/0 S0/0 172.20.1.0/24
R1 R2

Trois types dauthentification

Type 0 : Null
Type 1 : Mot de passe simple
Type 2 : Chiffrement (MD5/SHA)

Thomas Moegli 24
Authentification des protocoles de routage
Authentification OSPF

Lauthentification OSPF peut tre tablie

Pour tout larea OSPF

area [area-id ] authentication
Router(config-router)#area area-id authentication

Pour un lien entre deux voisins

ip ospf authentication
Router(config-if)#ip ospf authentication

Lauthentification du lien prime sur lauthentification OSPF globale

Thomas Moegli 25
Authentification des protocoles de routage
Configuration OSPF (1)

Cration de la chane de cls

Router(config)# key-chain name-of-chain

Ajout dune cl
Router(config-keychain)#key key-id
Router(config-keychain-key)# key-string password
Router(config-keychain-key)# exit

Thomas Moegli 26
Authentification des protocoles de routage
Configuration OSPF (2)

Configuration Mot de passe simple (Authentification du lien)

Activation de lauthentification pour OSPF
Router(config)#interface interface-id
Router(config-if)# ip ospf authentication

Saisie du mot de passe

Router(config-if)#ip ospf authentication-key password
Router(config-if)# end

Thomas Moegli 27
Authentification des protocoles de routage
Configuration OSPF (2)

Configuration Mot de passe simple (Authentification globale OSPF)

Configuration du mode dauthentification pour OSPF
Router(config)#router ospf process-id
Router(config-router)# area 0 authentication

Configuration sur linterface du mot de passe global

Router(config)#interface interface-id
Router(config-if)# ip ospf authentication-key password
Router(config-if)# end

Thomas Moegli 28
Authentification des protocoles de routage
Configuration OSPF (2)

Configuration MD5 (Authentification du lien)

Activation de lauthentification pour OSPF
Router(config)#interface interface-id
Router(config-if)# ip ospf authentication message-digest

Saisie du mot de passe

Router(config-if)#ip ospf message-digestkey 1 md5 password
Router(config-if)# end

Thomas Moegli 29
Authentification des protocoles de routage
Configuration OSPF (2)

Configuration MD5 (Authentification globale OSPF)

Configuration du mode dauthentification pour OSPF
Router(config)#router ospf process-id
Router(config-router)# area 0 authentication message-digest

Configuration sur linterface du mot de passe global

Router(config)#interface interface-id
Router(config-if)# ip ospf message-digestkey 1 md5 password
Router(config-if)# end

Thomas Moegli 30