Autenticación mediante MD5 en EIGRP

Se explica cómo configurar la autenticación de EIGRP para asegurar que las actualizaciones de routing sean seguras. Se utiliza MD5 y se detallan comandos con ejemplos.

1. Autenticación de protocolos de routing

Los administradores de red deben tener en cuenta que los routers corren el mismo riesgo de sufrir ataques que los dispositivos para usuarios finales.

Cualquier persona con un programa detector de paquetes, como Wireshark, puede leer la información que se propaga entre los routers. En general, los sistemas de routing se pueden atacar mediante la interrupción de dispositivos peer o la falsificación de información de routing.

La interrupción de peers es el ataque menos crítico de los dos, debido a que los protocolos de routing se reparan a sí mismos, lo que hace que la interrupción solo dure un poco más que el ataque propiamente dicho.

La falsificación de información de routing es una clase de ataque más sutil que tiene como objetivo la información que se transporta dentro del protocolo de routing. Las consecuencias de falsificar información de routing son las siguientes:

• Redireccionamiento del tráfico para crear bucles de routing
• Redireccionamiento del tráfico para el control en una línea no segura
• Redireccionamiento del tráfico para descartarlo

Un método para proteger la información de routing de la red es autenticar los paquetes del protocolo de routing mediante el algoritmo de síntesis del mensaje 5 (MD5). MD5 permite que los routers comparen firmas que deberían ser iguales, a fin de confirmar que provienen de un origen verosímil.

Los tres componentes de este sistema son los siguientes:

• Algoritmo de cifrado, generalmente de conocimiento público
• Clave que se usa en el algoritmo de cifrado, un secreto que comparten los routers que autentican los paquetes
• Contenido del paquete

2. Configuración de EIGRP con autenticación MD5

La autenticación de mensajes EIGRP asegura que los routers solo acepten mensajes de routing de otros routers que conozcan la misma clave previamente compartida.

Sin la autenticación configurada, si una persona no autorizada introduce en la red otro router con información de ruta diferente o en conflicto, puede dañar las tablas de routing de los routers legítimos, lo que puede acompañarse de un ataque DoS.

Entonces, cuando se agrega autenticación a los mensajes EIGRP que se envían entre routers, se evita que alguien agregue otro router a la red —a propósito o por accidente— y cause un problema.

EIGRP admite la autenticación de protocolos de routing mediante MD5. La configuración de la autenticación de mensajes EIGRP consta de dos pasos: la creación de un llavero y una clave, y la configuración de la autenticación de EIGRP para usar el llavero y la llave.

2.1. Paso 1. Crear un llavero y una clave

Para funcionar, la autenticación del routing requiere una clave en un llavero. Para que se pueda habilitar la autenticación, cree un llavero y, al menos, una clave.

• a. En el modo de configuración global, cree el llavero. Aunque pueden configurarse varias claves, esta sección se centra en el uso de una sola clave.

Router(config)# key chain name-of-chain

• b. Especifique la ID de la clave. La ID de la clave es el número que se usa para identificar una clave de autenticación dentro de un llavero. El intervalo de claves es de 0 a 2 147 483 647. Se recomienda que el número de clave sea el mismo en todos los routers en la configuración.

Router(config-keychain)# key key-id

• c. Especifique la cadena de clave para la clave. La cadena de clave es parecida a una contraseña. Los routers que intercambian claves de autenticación deben configurarse con la misma cadena de clave.

Router(config-keychain-key )# key-string key-string-text

2.2. Paso 2. Configurar la autenticación de EIGRP con el llavero y la clave

Configure EIGRP para realizar la autenticación de mensajes con la clave definida anteriormente. Complete esta configuración en todas las interfaces habilitadas para EIGRP.

• a. En el modo de configuración global, especifique la interfaz en la que configurará la autenticación de mensajes EIGRP.

Router(config)# interface type number

• b. Habilite la autenticación de mensajes EIGRP. La palabra clave md5 indica que se usará el hash MD5 para la autenticación.

Router(config-if)# ip authentication mode eigrp as-number md5

• c. Especifique el llavero que debe usarse para la autenticación. El argumento name-of-chain especifica el llavero que se creó en el paso 1.

Router(config-if)# ip authentication key-chain eigrp as-number name-of-chain

Cada clave tiene su propia ID de clave, que se almacena localmente. La combinación de la ID de la clave y la interfaz asociada al mensaje identifica de manera exclusiva el algoritmo de autenticación y la clave de autenticación MD5 en uso.

El llavero y la actualización de routing se procesan con el algoritmo MD5 para producir una firma única.

3. Ejemplo de autenticación de EIGRP

Para autenticar las actualizaciones de routing, todas las interfaces con EIGRP habilitado deben estar configuradas para admitir la autenticación. En la Imagen 1, se muestra la topología IPv4 y las interfaces que tienen autenticación configurada.

En la Imagen 2, se muestra la configuración para el router R1 con el llavero EIGRP_KEY y la cadena de clave cisco123.

Una vez que el R1 está configurado, los otros routers reciben actualizaciones de routing autenticadas. Las adyacencias se pierden hasta que se configura la autenticación del protocolo de routing en los vecinos.

3.1. Configuración de la autenticación de EIGRP para IPv6

Los algoritmos y la configuración para autenticar mensajes EIGRP para IPv6 son los mismos que los correspondientes a EIGRP para IPv4. La única diferencia es que en los comandos del modo de configuración de interfaz se usa ipv6 en lugar de ip.

Router(config-if)# ipv6 authentication mode eigrp as-number md5

Router(config-if)# ipv6 authentication key-chain eigrp as-number name-of-chain

En la Imagen 3, se muestran los comandos para configurar la autenticación de EIGRP para IPv6 en el router R1 por medio del llavero EIGRP_IPV6_KEY y la cadena de clave cisco123.

En el R2 y el R3 se introducen configuraciones parecidas.

4. Verificación de la autenticación

Una vez que se configura la autenticación de mensajes EIGRP en un router, cualquier vecino adyacente que no se haya configurado para la autenticación deja de ser un vecino EIGRP.

Por ejemplo, cuando la interfaz Serial 0/0/0 del R1 estaba configurada con autenticación MD5, pero el R2 todavía no estaba configurado, apareció el siguiente mensaje del IOS en el R1:

%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: 
Neighbor 172.16.3.2 (Serial0/0/0) is 
down: authentication mode changed

Cuando se configura la interfaz Serial 0/0/0 adyacente en el R2, se vuelve a establecer la adyacencia y aparece el siguiente mensaje del IOS en el R1.

%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: 
Neighbor 172.16.3.2 (Serial0/0/0) is 
up: new adjacency

También aparecen mensajes parecidos en el R2.

Las adyacencias solo se forman cuando ambos dispositivos de conexión tienen configurada la autenticación, como se muestra en la Imagen 4.

Para verificar que se hayan formado las adyacencias EIGRP correctas después de configurarlas para la autenticación, utilice el comando show ip eigrp neighbors en cada router.

En la Imagen 5, se muestra que los tres routers volvieron a establecer adyacencias de vecinos después de que se configuró la autenticación de EIGRP.

Finalmente, para verificar las adyacencias de vecinos EIGRP para IPv6, use el comando show ipv6 eigrp neighbors.