Garantire la sicurezza del protocollo RIP.
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
Prima di tutto, parlando della sicurezza del protocollo RIP, va notato che richiede tutte le stesse misure di protezione descritte nella sezione relativa alla sicurezza del routing statico. Oltre a queste misure, è possibile aumentare la sicurezza RIP con i seguenti strumenti:
autenticazione RIP versione 2;
impostazione di router uguali;
filtri percorso;
vicinato.
Consiglio di utilizzare questi fondi nel complesso.
Iniziamo con L'autenticazione RIP. Un utente malintenzionato può trasmettere un percorso errato ai router coinvolti nello scambio di informazioni di instradamento tramite il protocollo RIP per forzare il trasferimento di tutto il traffico attraverso il nodo che controlla (l'esempio sopra riportato). Per evitare che i router RIP non autorizzati in un ambiente RIP versione 2 modifichino le rotte RIP, è possibile configurare le interfacce del router che utilizzano RIP v2 per una semplice autenticazione con password. Gli annunci RIP ricevuti con password non corrispondenti verranno rifiutati. Tieni presente che le password vengono inoltrate in testo normale. Qualsiasi utente con un mezzo di ascolto della rete, come uno sniffer (simile all'esempio che abbiamo usato nella sezione hub), può intercettare gli annunci RIP v2 e visualizzare le password in essi contenute.
È possibile trasferire le password in chiaro e sotto forma di MD5. L'impostazione predefinita è l'autenticazione aperta. Tuttavia, consiglio vivamente nelle reti industriali di applicare esclusivamente L'autenticazione MD5.
Ad esempio, fornirò la configurazione DELL'autenticazione MD5 sui router Cisco:
Router(config-if)# ip rip authentication key-chain name-of-chain
Router(config-if)# ip rip authentication mode {text | md5}
In questo esempio, è necessario specificare il portachiavi, il nome della catena e il tipo di autenticazione: pubblico o MD5. Ulteriori informazioni sulla configurazione dell'autenticazione in RIP sono disponibili sul sito ufficiale dello sviluppatore.
Specifica router uguali.
Su ogni router RIP è possibile specificare un elenco di router (per indirizzo IP) da cui ricevere gli annunci RIP. Per impostazione predefinita, vengono accettati annunci RIP da tutte le fonti. L'impostazione di un elenco di router rip uguali consente di non accettare annunci RIP da router indesiderati.
Filtri percorso.
È possibile impostare filtri di routing su ciascuna interfaccia RIP in modo che solo i percorsi che portano agli indirizzi di rete raggiungibili nella rete unita possano essere aggiunti alla tabella di routing. Ad esempio, se l'organizzazione utilizza sottoreti LAN con indirizzo 10.0.0.0, è possibile utilizzare il filtro route per consentire ai router RIP di rifiutare tutte le route tranne quelle che collegano le sottoreti di rete 10.0.0.0.
Vicinato.
Per impostazione predefinita, il protocollo RIP distribuisce i suoi annunci tramite broadcast (RIP versione 1 o RIP versione 2) o multicast (solo RIP v2). È possibile limitare la condivisione delle informazioni di percorso solo con i router vicini. Tuttavia, questo metodo non funzionerà con tutti i modelli di router a causa delle specifiche di implementazione.
Questo viene fatto con il seguente comando:
Router(config-router)# neighbor ip-address
Il protocollo di routing RIP presenta molti svantaggi. Prima di tutto è il limite di 15 sottoreti tra due host qualsiasi. Questo svantaggio non consente L'uso di RIP su reti di grandi dimensioni. Un altro svantaggio è la necessità di inoltrare ogni 30 secondi l'intera tabella dei percorsi. Ciò mette a dura prova la larghezza di banda dei collegamenti di comunicazione. Inoltre, questo protocollo è inefficiente nelle reti con canali di comunicazione con larghezza di banda diversa, poiché RIP non tiene conto di questa importante caratteristica dei canali di comunicazione durante la costruzione di percorsi.
Il protocollo di routing più comune oggi è OSPF, di cui parleremo nel prossimo post.
