Bereitstellung von RIP-Sicherheit.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
Wenn Sie zunächst über die Sicherheit von RIP sprechen, sollten Sie beachten, dass es die gleichen Sicherheitsmaßnahmen erfordert, die im Abschnitt zur Sicherheit für statisches Routing beschrieben werden. Zusätzlich zu diesen Maßnahmen können Sie die RIP-Sicherheit mit folgenden Tools erhöhen:
RIP-Authentifizierung Version 2;
festlegen gleicher Router;
routenfilter;
die Nachbarn.
Ich empfehle, diese Mittel in einem Komplex zu verwenden.
Beginnen wir mit der RIP-Authentifizierung. Ein Angreifer könnte den Routern, die an der Weitergabe von Routeninformationen über das RIP-Protokoll beteiligt sind, eine falsche Route übergeben, um den gesamten Datenverkehr über den von ihm kontrollierten Knoten zu übertragen (Beispiel oben). Sie können die Router-Schnittstellen, die RIP v2 verwenden, so konfigurieren, dass RIP-Routen von nicht berechtigten RIP-Routern in einer Umgebung mit RIP-Protokoll Version 2 geändert werden, um eine einfache Passwortauthentifizierung zu verhindern. Empfangene RIP-Anzeigen mit Kennwörtern, die nicht den angegebenen Kennwörtern entsprechen, werden abgelehnt. Beachten Sie, dass die Kennwörter im Klartext gesendet werden. Jeder Benutzer, der über einen Netzwerk-Listener wie einen Sniffer verfügt (ähnlich dem Beispiel im Hub-Abschnitt), kann RIP v2-Anzeigen abfangen und die darin enthaltenen Passwörter einsehen.
Sie können Passwörter im Klartext und als MD5 übertragen. Standardmäßig wird die offene Authentifizierung verwendet. Ich empfehle jedoch dringend, in Industrienetzen ausschließlich die MD5-Authentifizierung zu verwenden.
Hier ist ein Beispiel für die Konfiguration der MD5-Authentifizierung auf Cisco-Routern:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
In diesem Beispiel müssen Sie den Schlüsselbund, den Namen der Kette sowie den Authentifizierungstyp "Offen" oder "MD5" angeben. Weitere Informationen zum Einrichten der RIP-Authentifizierung finden Sie auf der offiziellen Website des Entwicklers.
Legt gleiche Router fest.
Sie können auf jedem RIP-Router eine Liste der Router (nach IP-Adressen) angeben, von denen RIP-Deklarationen akzeptiert werden sollen. Standardmäßig werden RIP-Anzeigen aus allen Quellen akzeptiert. Wenn Sie eine Liste mit gleichen RIP-Routern angeben, können Sie verhindern, dass RIP-Anzeigen von unerwünschten Routern akzeptiert werden.
Filter für Routen.
Sie können Routenfilter auf jeder RIP-Schnittstelle konfigurieren, sodass nur Routen, die zu erreichbaren Netzwerkadressen im zusammengeführten Netzwerk führen, der Routingtabelle hinzugefügt werden können. Wenn Ihre Organisation beispielsweise LAN-Subnetze mit der Adresse 10.0.0.0 verwendet, können Sie die Routenfilterung aktivieren, sodass RIP-Router alle Routen ablehnen, mit Ausnahme derjenigen, die die Subnetze des 10.0.0.0-Netzwerks verknüpfen.
Die Nachbarn.
Standardmäßig verteilt RIP seine Anzeigen über Broadcast (RIP Version 1 oder RIP Version 2) oder Multicast (nur RIP v2). Sie können den Austausch von Routeninformationen nur mit benachbarten Routern einschränken. Diese Methode funktioniert jedoch aufgrund der Implementierungsmerkmale nicht mit allen Routermodellen.
Dies geschieht mit dem folgenden Befehl:
Router(config-router)# neighbor ip-address
Das RIP-Routingprotokoll weist viele Nachteile auf. In erster Linie ist dies die Beschränkung auf 15 Subnetze zwischen zwei beliebigen Hosts. Dieser Nachteil verhindert, dass RIP in großen Netzwerken verwendet wird. Ein weiterer Nachteil ist die Notwendigkeit, alle 30 Sekunden die gesamte Routentabelle weiterzuleiten. Dadurch wird die Bandbreite der Kommunikationskanäle zusätzlich belastet. Dieses Protokoll ist auch in Netzwerken mit Kommunikationskanälen mit unterschiedlicher Bandbreite ineffizient, da RIP diese wichtige Funktion der Kommunikationskanäle beim Erstellen von Routen nicht berücksichtigt.
Das bis heute gängigere Routingprotokoll ist OSPF, zu dessen Diskussion wir im nächsten Beitrag übergehen.
