Cisco

Configurando autenticação no protocolo de roteamento OSPF – Curso Cisco CCNA

Marcelo Brenzink do Nascimento - 18 de novembro de 2011

Você sabia que podemos aumentar a segurança na troca de mensagens do OSPF através da autenticação?

Um dos protocolos de roteamento cobrados na certificação Cisco CCNA é o OSPF ou Open Shortest Path First, o qual é um protocolo aberto baseado no algorítmo de Djakstra.

Por padrão o OSPF não utiliza esquemas de autenticação quando habilitamos ele no IOS da Cisco, porém existem 2 métodos de autenticação que podem ser utilizados opcionalmente para aumentar a segurança da troca de informações de roteamento entre os roteadores OSPF, conforme veremos na sequência.

Para aumentar a segurança do protocolo OSPF você pode configurar a autenticação de pacotes com ou sem criptografia, possibilitando que os routers participem de domínios de roteamento baseados em senhas pré-configuradas pelo administrador com maior ou menor segurança.

Autenticação Simples (em texto claro)

Nesse primiero método as chaves são trocadas em texto claro e podem ser interceptadas e decodificadas facilmente. Exemplo de configuração:

R2>enable
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#interface loopback 0
R2(config-if)#ip address 10.1.1.1 255.255.255.255
R2(config-if)#interface fast 0/0
R2(config-if)#ip address 10.10.1.1 255.255.255.0
R2(config-if)#ip ospf authentication-key senhasec
R2(config-if)#!
R2(config-if)#router ospf 10
R2(config-router)#network 10.10.1.0 0.0.0.255 area 0
R2(config-router)#area 0 authentication
R2(config-router)#end
R2#

Autenticação Forte (com hash MD-5)

Já na segunda opção os routeres utilizam um algoritmo baseado no próprio pacote OSPF, na chave e no ID da chave para gerar um “message digest” ou hash MD5, o qual é inserido no pacote e enviado para a outra ponta. Portanto, se o pacote for interceptado o atacante não terá a senha e sim um hash baseado em uma senha. Exemplo de configuração:

interface loopback 0
ip address 10.1.1.1 255.255.255.255
!
interface fast 0/0
ip address 10.10.1.1 255.255.255.0
ip ospf message-digest-key 2 md5 senhasecreta
!
router ospf 10
network 10.10.1.0 0.0.0.255 area 0
area 0 authentication message-digest

Com certeza a segunda opção de configuração é a mais recomendada e documentada nas bibliografias, porém tudo depende do que seus equipamentos suportam, pois é melhor uma autenticação fraca que nenhuma autenticação.

DLTEC ACESSO PREMIUM

Acesse o curso de “CCNA CCENT e CCNA ICND-2 Online” em nossa área Premium.

Prepare-se para o CCNA e aprenda várias tecnologias fundamentais para área de Redes como STP, RSTP, OSPF, OSPFv3, troubleshooting e muito mais.

Clique aqui para ativar o curso e inciar seus estudos em nossa área de membros premium!

Não é membro premium? Clique aqui e saiba mais sobre a DlteC Premium.

Sou um dos fundadores do Portal da DlteC do Brasil, graduado em Engenharia Eletrônica/Telecomunicações em 1998 pela UTFPR e pós-graduado em Redes e Sistemas Distribuídos pela PUC-PR em 2003. Trabalho na área de Tecnologia da Informação e Telecomunicações desde 1996. Já passei por empresas como Siemens, Impsat (atualmente CenturyLink), Senai-PR, Dimension Data (atualmente NTT) e outras empresas. Sou certificado ITIL Foundations, CCNA, CCNP Enterprise, IPv6 Fórum Certified Network Engineer (Gold), IPv6 Fórum Certified Security Engineer (Silver) e Hurricane Electric IPv6 Certification Sage.

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.