Обеспечение безопасности протокола RIP.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
Прежде всего, говоря о безопасности протокола RIP, следует заметить, что для него требуются все те же меры защиты, что и описанные в разделе, посвященном безопасности статической маршрутизации. В дополнение к этим мерам можно повысить безопасность RIP с помощью следующих средств:
проверка подлинности RIP версии 2;
задание равных маршрутизаторов;
фильтры маршрутов;
соседи.
Рекомендую использовать эти средства в комплексе.
Начнем с проверки подлинности RIP. Злоумышленник может передать маршрутизаторам, участвующим в обмене маршрутной информацией по протоколу RIP, неверный маршрут с целью заставить передавать весь трафик через контролируемый им узел (пример приводился выше). Чтобы предотвратить изменение маршрутов RIP не имеющими на это разрешения RIP-маршрутизаторами в среде с протоколом RIP версии 2, можно настроить интерфейсы маршрутизатора, использующие RIP v2, на простую парольную проверку подлинности. Получаемые объявления RIP с паролями, не совпадающими с заданным, будут отклоняться. Учтите, что пароли пересылаются в виде обычного текста. Любой пользователь, имеющий средство прослушивания сети, например какой-либо сниффер (по аналогии с тем примером, что мы использовали в разделе, посвященном концентраторам), может перехватывать объявления RIP v2 и просматривать содержащиеся в них пароли.
Передавать пароли можно в открытом виде и в виде MD5. По умолчанию используется открытая аутентификация. Однако я настоятельно рекомендую в промышленных сетях применять исключительно аутентификацию MD5.
В качестве примера приведу настройку аутентификации по MD5 на маршрутизаторах Cisco:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
В этом примере необходимо указать цепочку ключей, имя цепочки, а также тип аутентификации: открытая или MD5. Более подробную информацию по настройке аутентификации в RIP можно узнать на официальном сайте разработчика.
Задание равных маршрутизаторов.
На каждом RIP-маршрутизаторе можно задать список маршрутизаторов (по IP-адресам), от которых должны приниматься объявления RIP. По умолчанию принимаются объявления RIP от всех источников. Задание списка равных RIP-маршрутизаторов позволяет не принимать объявления RIP от нежелательных маршрутизаторов.
Фильтры маршрутов.
Можно настроить фильтры маршрутов на каждом интерфейсе RIP, чтобы в таблицу маршрутизации могли добавляться только те маршруты, которые ведут к достижимым адресам сетей в объединенной сети. Например, если в организации используются подсети локальной сети с адресом 10.0.0.0, то можно задействовать фильтрацию маршрутов, чтобы RIP-маршрутизаторы отклоняли все маршруты, кроме тех, которые связывают подсети сети 10.0.0.0.
Соседи.
По умолчанию протокол RIP распространяет свои объявления с помощью широковещательной (RIP версии 1 или RIP версии 2) или многоадресной рассылки (только RIP v2). Можно ограничить обмен информацией о маршрутах только с соседними маршрутизаторами. Однако этот способ будет работать не со всеми моделями маршрутизаторов по причине особенностей реализации.
Делается это с помощью следующей команды:
Router(config-router)# neighbor ip-address
Протокол маршрутизации RIP обладает множеством недостатков. Прежде всего это ограничение в 15 подсетей между любыми двумя хостами. Данный недостаток не позволяет использовать RIP в больших сетях. Еще одним недостатком является необходимость пересылать каждые 30 секунд всю таблицу маршрутов. Это создает дополнительную нагрузку на пропускную способность каналов связи. Также этот протокол неэффективен в сетях с каналами связи, имеющими различную пропускную способность, так как RIP не учитывает при построении маршрутов эту важную характеристику каналов связи.
Более распространенным на сегодняшний день протоколом маршрутизации является OSPF, к обсуждению которого мы и переходим в следующем посте.
