Аутентификация протоколов маршрутизации

Сетевые администраторы должны знать, что маршрутизаторы подвержены риску атак так же, как и устройства конечных пользователей. Любой пользователь с анализатором пакетов, например программой Wireshark, может прочесть данные, распространяемые между маршрутизаторами. Как правило, системы маршрутизации подвергаются атакам через нарушение безопасности равноправных устройств или фальсификацию сведений о маршрутах.

Нарушение безопасности равноправных устройств — это наименее опасная угроза из двух упомянутых, поскольку протоколы маршрутизации сами восстанавливают свою систему безопасности, благодаря чему угроза исчезает вскоре после самой атаки.

Фальсификация сведений маршрутизации — это более опасный вид атаки, целью которой являются сведения, передаваемые протоколом маршрутизации. К последствиям фальсификации данных о маршрутах относятся:

Для защиты сведений о маршрутах в сети используется аутентификация пакетов протокола маршрутизации с помощью алгоритма Message Digest 5 (MD5). Алгоритм MD5 позволяет маршрутизаторам сравнивать подписи, которые должны быть одинаковыми, для подтверждения, что они получены от надежного источника.

Такая система состоит из трех компонентов:

На рисунке нажмите кнопку «Воспроизведение», чтобы просмотреть анимацию, демонстрирующую процесс аутентификации сведений о маршрутах. Как правило, автор сведений о маршрутах создает подпись, используя ключ и данные маршрутизации, которые он собирается отправить, в качестве шифруемых данных. Затем маршрутизатор, получающий сведения маршрутизации, может повторить этот процесс, используя тот же ключ и те же данные маршрутизации, которые он получил. Если подпись, которую создает получатель, совпадает с подписью отправителя, то обновление успешно аутентифицировано и признается надежным.

Различные формы аутентификации MD5 поддерживаются протоколами RIPv2, EIGRP, OSPF, IS-IS и BGP.