Assurer la sécurité du protocole RIP.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
Tout d'abord, en ce qui concerne la sécurité du protocole RIP, il convient de noter qu'il nécessite les mêmes protections que celles décrites dans la section relative à la sécurité du routage statique. En plus de ces mesures, vous pouvez améliorer la sécurité RIP avec les outils suivants:
authentification RIP version 2;
définition de routeurs égaux;
filtres d'itinéraire;
voisinage.
Je recommande d'utiliser ces fonds dans le complexe.
Commençons par l'authentification RIP. Un attaquant peut transmettre à des routeurs participant à l'échange d'informations de routage via le protocole RIP un itinéraire incorrect afin de forcer tout le trafic à passer par l'hôte qu'il contrôle (voir l'exemple ci-dessus). Pour empêcher les routeurs RIP non autorisés de modifier les itinéraires RIP dans un environnement rip version 2, vous pouvez configurer les interfaces de routeur utilisant RIP v2 pour qu'elles soient authentifiées par mot de passe. Les annonces RIP reçues avec des mots de passe qui ne correspondent pas au mot de passe spécifié seront rejetées. Veuillez noter que les mots de passe sont envoyés en texte brut. Tout utilisateur disposant d'un outil d'écoute réseau, tel qu'un renifleur (similaire à l'exemple que nous avons utilisé dans la section consacrée aux concentrateurs) peut intercepter les annonces RIP v2 et afficher les mots de passe qu'elles contiennent.
Les mots de passe peuvent être transmis en clair et sous forme de MD5. L'authentification ouverte est utilisée par défaut. Cependant, je recommande fortement sur les réseaux industriels d'appliquer uniquement l'authentification MD5.
Voici un exemple de configuration de l'authentification MD5 sur les routeurs Cisco:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
Dans cet exemple, vous devez spécifier le trousseau, le nom du trousseau et le type d'authentification: public ou MD5. Pour plus d'informations sur la configuration de l'authentification dans RIP, consultez le site officiel du développeur.
Définir des routeurs égaux.
Sur chaque routeur RIP, vous pouvez spécifier une liste de routeurs (par adresse IP) à partir desquels les annonces RIP doivent être acceptées. Par défaut, les annonces RIP de toutes les sources sont acceptées. La définition d'une liste de routeurs rip égaux vous permet de ne pas accepter les annonces RIP provenant de routeurs indésirables.
Filtres d'itinéraire.
Vous pouvez configurer des filtres de routage sur chaque interface RIP afin que seules les routes menant aux adresses de réseau accessibles sur le réseau fusionné puissent être ajoutées à la table de routage. Par exemple, si votre organisation utilise des sous-réseaux LAN avec l'adresse 10.0.0.0, vous pouvez utiliser le filtrage d'itinéraire pour que les routeurs RIP rejettent tous les itinéraires, à l'exception de ceux qui associent les sous-réseaux 10.0.0.0.
Voisinage.
Par défaut, RIP diffuse ses annonces par diffusion (RIP V1 ou RIP v2) ou par multidiffusion (RIP v2 uniquement). Vous pouvez limiter l'échange d'informations de routage uniquement avec les routeurs voisins. Cependant, cette méthode ne fonctionnera pas avec tous les modèles de routeur en raison des particularités de l'implémentation.
Ceci est fait avec la commande suivante:
Router(config-router)# neighbor ip-address
Le protocole de routage RIP présente de nombreux inconvénients. Tout d'abord, il s'agit d'une limite de 15 sous-réseaux entre deux hôtes. Cet inconvénient ne permet pas l'utilisation de RIP sur de grands réseaux. Un autre inconvénient est la nécessité de transférer toutes les 30 secondes toute la table d'itinéraires. Cela crée une charge supplémentaire sur la bande passante des canaux de communication. Ce protocole est également inefficace sur les réseaux avec des canaux de communication ayant une bande passante différente, car RIP ne prend pas en compte cette caractéristique importante des canaux de communication lors de la construction des itinéraires.
Le protocole de routage le plus courant à ce jour est OSPF, dont nous discutons dans le prochain post.
