Seguridad del protocolo RIP. 1
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
En primer lugar, hablando de la seguridad del protocolo RIP, debe tenerse en cuenta que requiere las mismas medidas de protección que se describen en la sección sobre la seguridad del enrutamiento estático. Además de estas medidas, puede mejorar la seguridad de RIP con las siguientes herramientas:
autenticación RIP versión 2;
establecer enrutadores iguales;
filtros de ruta;
gente.
Recomiendo usar estas herramientas en el complejo.
Comencemos con la autenticación RIP. Un atacante puede transmitir una ruta incorrecta a los enrutadores que participan en el intercambio de información de enrutamiento a través del protocolo RIP, con el fin de obligar a transmitir todo el tráfico a través del nodo que controla (ejemplo anterior). Para evitar que los enrutadores RIP no autorizados modifiquen las rutas RIP en un entorno Rip versión 2, puede configurar las interfaces del enrutador que usan RIP v2 para una autenticación de contraseña simple. Los anuncios de RIP que se reciban con contraseñas que no coincidan con las especificadas serán rechazados. Tenga en cuenta que las contraseñas se envían en texto sin formato. Cualquier usuario que tenga una herramienta de escucha de red, como un sniffer (similar al ejemplo que usamos en la sección dedicada a los concentradores), puede interceptar anuncios de RIP v2 y ver las contraseñas que contienen.
Las contraseñas se pueden transmitir en formato claro y en formato MD5. El valor predeterminado es la autenticación abierta. Sin embargo, recomiendo encarecidamente que las redes industriales utilicen exclusivamente la autenticación MD5.
Como ejemplo, configuraré la autenticación MD5 en los enrutadores Cisco:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
En este ejemplo, debe especificar el llavero, el nombre de la cadena y el tipo de autenticación: abierto o MD5. Puede encontrar más información sobre cómo configurar la autenticación en RIP en el sitio web oficial del desarrollador.
Establecer enrutadores iguales.
En cada enrutador RIP, puede especificar una lista de enrutadores (por dirección IP) desde los cuales se deben recibir los anuncios RIP. De forma predeterminada, se aceptan anuncios RIP de todas las Fuentes. Establecer una lista de enrutadores Rip iguales le permite evitar aceptar declaraciones RIP de enrutadores no deseados.
Filtros de ruta.
Puede configurar filtros de ruta en cada interfaz RIP para que solo se agreguen a la tabla de enrutamiento las rutas que conducen a direcciones de red accesibles en la red combinada. Por ejemplo, si su organización usa subredes de red local con una dirección 10.0.0.0, puede activar el filtrado de rutas para que los enrutadores RIP rechacen todas las rutas excepto las que enlazan las subredes de red 10.0.0.0.
Gente.
De forma predeterminada, el protocolo RIP distribuye sus anuncios mediante difusión (Rip versión 1 o Rip versión 2) o multidifusión (solo RIP v2). Puede limitar el intercambio de información de ruta solo con enrutadores cercanos. Sin embargo, este método no funcionará con todos los modelos de enrutadores debido a las características de la implementación.
Esto se hace con el siguiente comando:
Router(config-router)# neighbor ip-address
El protocolo de enrutamiento RIP tiene muchos inconvenientes. En primer lugar, es un límite de 15 subredes entre dos hosts. Esta falla no permite el uso de RIP en redes grandes. Otro inconveniente es la necesidad de reenviar cada 30 segundos toda la tabla de rutas. Esto crea una carga adicional en el ancho de banda de los enlaces de comunicación. Además, este protocolo es ineficaz en redes con canales de comunicación que tienen diferentes ancho de banda, ya que RIP no tiene en cuenta esta importante característica de los canales de comunicación al construir rutas.
El protocolo de enrutamiento más común hoy en día es OSPF, que discutimos en el próximo post.
