uwierzytelnianie routingu

[rysic]

Czy ktoś wie gdzie jest opisane na czym dokładnie polega uwierzytelnianie routingu? Interesuje mnie czy jest to jakoś kryptograficznie rozwiązane, czy to tylko jakiś taki bajer, żeby było a w praktyce można to złamać w kilka sekund.

Znalazłem już, że uwierzytelnianie nie szyfruje tablicy routingu - da się to włączyć?

[lbromirs]

Czy ktoś wie gdzie jest opisane na czym dokładnie polega uwierzytelnianie routingu? Interesuje mnie czy jest to jakoś kryptograficznie rozwiązane, czy to tylko jakiś taki bajer, żeby było a w praktyce można to złamać w kilka sekund.

Poczytaj o tym, jak to działa po prostu - w RFC dla protokołów takich jak OSPF, BGP czy IS-IS. Do normalnego pakietu routingu dodawany jest hash. W dużym uproszczeniu routery dysponując współdzielonym hasłem weryfikują, czy dla tak otrzymanego pakietu otrzymują ten sam hash, innymi słowy, czy pakiet nie został po drodze zmodyfikowany lub wręcz wysłany z routera, które zna złe hasło. Nie stosuje się operacyjnie szyfrowania całego ruchu protokołów routingu, poza sytuacjami, gdy i tak znajdują się one np. w tunelu IPsec.

Znalazłem już, że uwierzytelnianie nie szyfruje tablicy routingu - da się to włączyć?

A po co? Miałoby to dramatycznie negatywny wpływ na wydajnośc routera, a jeśli ktoś uzyskuje już dostęp do routera, podejrzenie zawartości tablicy routingu można zablokować. Jeśli jest to niemożliwe, albo takie zabezpieczenie zostanie przełamane, masz większe problemy niż to, że ktoś podejrzy że ruch do przykładowego portalu routujesz przez interfejs X.

O co tak naprawdę chodzi?

[drake]

O co tak naprawdę chodzi?

Pewnie kolejne pytanie z jakiejs uczelni...

[rysic]

O co tak naprawdę chodzi?

Pewnie kolejne pytanie z jakiejs uczelni...

Nie, to nie jest zadanie domowe
Czytam sobie materiały od CISCO do kursu CCNA i nachodzą mnie często tego typu pytania, bo sporo rzeczy jest tam słabo opisanych a znając życie, CISCO mogło użyć kryptografii ala "rozkoduje mnie gimnazjalista" (przepraszam, ja sporo siedzę pod Linux-ami i ciężko mi czasem zrozumieć niektóre rozwiązania CISCO)

Ibromirs, co przez to rozumiesz?

podejrzenie zawartości tablicy routingu można zablokować

Zdaję sobie sprawę, że zwiększyłoby to narzut na protokół routingu, aczkolwiek tak jest z większością systemów bezpieczeństwa.
Wiem też, że poznanie tablicy routingu, to nie jest jakaś mega dziura w bezpieczeństwie, ale zawsze jest to jakieś ułatwienie dla atakującego.

[selu]

@rysic
Hej spróbuje prosto
nie opłaca się szyfrować tablicy FIB lepiej zabezpieczyć protokół routingu,zabezpieczyć dostępny, wgrać patche, i tak jak chłopaki napisali można ograniczyć również dostęp do tablicy


powodzenia i wytrwałości w zdobywaniu wiedzy

[lbromirs]

a znając życie, CISCO mogło użyć kryptografii ala "rozkoduje mnie gimnazjalista" (przepraszam, ja sporo siedzę pod Linux-ami i ciężko mi czasem zrozumieć niektóre rozwiązania CISCO)

A tak konkretnie o czym mówisz i gdzie to się stało? IPsec to IPsec. Mówisz o starym sposobie zamaskowania haseł w konfiguracjach, sposobie dawno nie używanym i nie zalecanym przez wszystkie podręczniki 'najlepszych praktyk'? To tylko jeden przypadek, ale chętnie dowiem się czegoś nowego.

Ibromirs, co przez to rozumiesz?

podejrzenie zawartości tablicy routingu można zablokować

Wydanie polecenia 'sh ip|ipv6 route' na danym poziomie uprzywilejowania osoby zalogowanej do routera można zablokować. Podobnie jak inne wariacje na temat oglądania tablicy CEF, zawartości TCAMów, statystyk rozłożenia prefixów, etc.

Zdaję sobie sprawę, że zwiększyłoby to narzut na protokół routingu, aczkolwiek tak jest z większością systemów bezpieczeństwa.

Zachęcam Cię zatem do wykonania ćwiczenia myślowego, w ramach którego tablica routingu jest szyfrowana i odszyfrowywana przy każdym otrzymaniu pakietu, aby wykonać decyzję o routingu. Jak już znajdziesz implementacje takiego pomysłu na linuxa, wrócimy do dyskusji o tym, jak przenieść to na grunt sprzętowy. Jeśli nie znajdziesz, zapewne szybko zorientujesz się dlaczego.

Wiem też, że poznanie tablicy routingu, to nie jest jakaś mega dziura w bezpieczeństwie, ale zawsze jest to jakieś ułatwienie dla atakującego.

Może napisałem poprzednio niejasno - atakujący, mając dostęp do routera, jest w stanie wykonywać wiele operacji. Poznanie zawartości tablicy routingu jest miłym zagadnieniem rekonesansowym, ale interesuje Cię raczej wpływanie na jej zawartość, a nie jej oglądanie. Plus, jeśli już możesz to robić - właściciel routera ma większy problem niż Twoje na nim grzebanie.

[tomekmorales]

a znając życie, CISCO mogło użyć kryptografii ala "rozkoduje mnie gimnazjalista" (przepraszam, ja sporo siedzę pod Linux-ami i ciężko mi czasem zrozumieć niektóre rozwiązania CISCO)

W juniperkach, które bazują na linuksie uwierzytelnianie wygląda tak samo,

poza tym wszystko opiera się na md5

[misz]

W juniperkach, które bazują na linuksie uwierzytelnianie wygląda tak samo

Przepraszam wiem, że to nie jest właściwym tematem dyskusji, ale nie do końca jest tak. Generalnie Junos - domyślam się, że o nim napomniałeś stoi na FreeBSD. Zresztą Panowie CCIE (z naciskiem na gangrena) dobrze to wyjaśniają: http://ccie.pl/viewtopic.php?t=13767 (bez urazy)

[defrag]

No a tak z ciekawości to MD5 chyba nie jest juz zbyt bezpieczne http://en.wikipedia.org/wiki/MD5 . Skoro można wygenerować treść o identycznym hashu.

[lbromirs]

No a tak z ciekawości to MD5 chyba nie jest juz zbyt bezpieczne http://en.wikipedia.org/wiki/MD5 . Skoro można wygenerować treść o identycznym hashu.

No i? Nie ustandaryzowano jeszcze ochrony przez SHA1, czy cokolwiek silniejszego. Dlaczego tak się stało? Bo w rzeczywistości MD5 używa się raczej jako mechanizmu zabezpieczającego przed wymieszaniem różnych sieci niż jakiegoś szczególnego mechanizmu bezpieczeństwa, choć zawsze zostaje tym dodatkowym etapem, który trzeba pokonać (w szczególności po pojawieniu się autokonfiguracji BGP dla całych podsieci a nie nazwanego przez IP sąsiada).

Realistycznie, próbę ataku siłowego na MD5 wykryje pierwszy lepszy system zarządzania. Dodatkowo, sama próba takiego ataku nie jest taka prosta - musisz podszyć się pod IP sąsiada, lub spróbować wstrzelić w istniejącą sesję TCP. Wszystko pięknie na papierze lub slajdzie. Dużo prościej jest zaatakować implementację TCP (na przykład za pomocą tzw. powolnego ataku) i rozerwać sesję pomiędzy dwoma sąsiadami, niż wejść o warstwę wyżej i spróbować skompromitować BGP.

Wrócę ponownie do swojej tezy - jeśli masz atakującego w swojej wewnętrznej sieci, masz większy problem niż tagi MD5. Stąd zresztą cała nauka o separacji ruchu klientów od własnego, najpierw za pomocą ACL a dzisiaj już w zasadzie w większości przypadków za pomocą MPLS, nawet w sieciach nieoperatorskich.

[Ajo]

Wydaje mi się, że nie chodzi mu o haszowanie tablic routingu tylko o to aby update wysyłane przez DRP były kodowane.

[lbromirs]

Wydaje mi się, że nie chodzi mu o haszowanie tablic routingu

Ależ, haszowanie tablic routingu dzieje się zdecydowanie. Oto hash tablicy routingu mojego domowego routera:

Kod: Zaznacz cały

33FCB4C0

Wątpie jednak, żeby ten hash coś wprowadzał do kwestii bezpieczeństwa. Ot, CEF buduje sobie sumę kontrolną, żeby wiedzieć czy ktoś w pamięci nie popisał mu po jego bloku.

tylko o to aby update wysyłane przez DRP były kodowane.

Po co? Pisałem o tym w pierwszej odpowiedzi. Dla purystów jest IPsec czy też GET VPN. Nikt tego praktycznie operacyjnie nie stosuje.