Segurança do protocolo RIP. 2
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
Em primeiro lugar, quando se trata de segurança, o RIP requer as mesmas proteções descritas na seção sobre segurança de roteamento estático. Além dessas medidas, você pode aumentar a segurança do RIP usando as seguintes ferramentas::
autenticação RIP versão 2;
definir roteadores iguais;
filtros de rota;
vizinhança.
Recomendo o uso desses recursos no complexo.
Vamos começar com a autenticação RIP. Um invasor pode transmitir uma rota incorreta aos roteadores envolvidos na troca de informações de roteamento através do protocolo RIP, a fim de forçar todo o tráfego a passar por um nó controlado por ele (o exemplo acima). Para evitar que roteadores RIP não autorizados alterem rotas RIP em um ambiente RIP versão 2, é possível configurar interfaces de roteador que usam RIP v2 para autenticação de senha simples. Os anúncios RIP recebidos com senhas que não coincidem com o especificado serão rejeitados. Observe que as senhas são enviadas em texto simples. Qualquer pessoa que tenha uma ferramenta de escuta de rede, como um sniffer (semelhante ao exemplo que usamos na seção sobre Hubs), pode interceptar anúncios RIP v2 e visualizar as senhas contidas neles.
A transferência de senhas pode ser feita de forma simples e na forma de MD5. Por padrão, a autenticação aberta é usada. No entanto, eu recomendo fortemente que as redes industriais usem apenas a autenticação MD5.
Um exemplo é configurar a autenticação MD5 em roteadores Cisco:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
Neste exemplo, você precisa especificar a cadeia de chaves, o nome da cadeia e o tipo de autenticação: aberta ou MD5. Mais informações sobre como configurar a autenticação no RIP podem ser encontradas no site oficial do desenvolvedor.
Definição de roteadores iguais.
Em cada roteador RIP, você pode especificar uma lista de roteadores (por endereço IP) dos quais os anúncios RIP devem ser recebidos. Por padrão, os anúncios RIP de todas as fontes são aceitos. Definir uma lista de roteadores RIP iguais permite que você não aceite anúncios RIP de roteadores indesejados.
Filtros de rotas.
É possível configurar filtros de rota em cada interface RIP para que somente as rotas que levam aos endereços de rede alcançáveis na rede mesclada possam ser adicionadas à tabela de roteamento. Por exemplo, se a sua organização usa sub-redes de LAN 10.0.0.0, você pode usar a filtragem de rotas para que os roteadores RIP rejeitem todas as rotas, exceto aquelas que ligam sub-redes da rede 10.0.0.0.
Vizinhança.
Por padrão, o RIP distribui seus anúncios por transmissão (RIP versão 1 ou RIP versão 2) ou multicast (somente RIP v2). Você pode limitar a comunicação de rotas apenas com roteadores vizinhos. No entanto, este método não funcionará com todos os modelos de roteadores devido às peculiaridades da implementação.
Isso é feito com o seguinte comando:
Router(config-router)# neighbor ip-address
O protocolo de roteamento RIP tem muitas desvantagens. Em primeiro lugar, é um limite de 15 sub-redes entre quaisquer dois hosts. Esta falha não permite o uso de RIP em grandes redes. Outra desvantagem é a necessidade de encaminhar toda a tabela de rotas a cada 30 segundos. Isso coloca uma carga adicional na largura de banda dos canais de comunicação. Além disso, o protocolo é ineficiente em redes com canais de comunicação com diferentes taxas de Transferência, uma vez que o RIP não leva em conta essa característica importante dos canais de comunicação ao traçar rotas.
O protocolo de roteamento mais comum hoje é o OSPF, que discutiremos no próximo post.
