路由協(xié)議認(rèn)證對(duì)比

1、路由協(xié)議認(rèn)證對(duì)比    摘  要 出于安全的原因，需要在路由協(xié)議中配置認(rèn)證，然而不同路由協(xié)議的認(rèn)證配置有很大的不同。本文通過大量的實(shí)驗(yàn)結(jié)果，對(duì)不同的路由協(xié)議的認(rèn)證規(guī)律進(jìn)行了詳細(xì)的總結(jié)。     關(guān)鍵詞 認(rèn)證、明文、密文、鑰匙鏈    0 前言     隨著網(wǎng)絡(luò)的發(fā)展，安全問題已成為一個(gè)嚴(yán)重問題，各種欺騙手段層出不窮，發(fā)布虛假路由是黑客常用的一種手段。為此在路由器上配置路由協(xié)議時(shí)，通常需要配置認(rèn)證。下面將對(duì)常見的路由協(xié)議認(rèn)證進(jìn)行詳細(xì)的總結(jié)。 1&#

2、160; RIP  V2協(xié)議的認(rèn)證    圖1 拓?fù)鋱D1     以圖1來說明RIP的認(rèn)證，RIP  Version2才支持認(rèn)證，有明文認(rèn)證和密文認(rèn)證兩種方法，這兩種方法中均需要配置鑰匙鏈key-chain。 1.1  明文認(rèn)證     RIP配置認(rèn)證是在接口上進(jìn)行的，首先選擇認(rèn)證方式，然后指定所使用的鑰匙鏈。R1上的明文認(rèn)證配置如下，R2上參照配置：     R1：     interface Seria

3、l1/1     ip rip authentication mode text        /指定采用明文認(rèn)證，明文認(rèn)證是默認(rèn)值，可以不配置     ip rip authentication key-chain rip-key-chain           /指定所使用的的鑰匙鏈     key chain rip-key-cha

4、in                  /配置鑰匙鏈     key 1     key-string cisco     /配置密鑰     RIP是距離向量路由協(xié)議，不需要建立鄰居關(guān)系，其認(rèn)證是單向的，即R1認(rèn)證了R2時(shí)（R2是被認(rèn)證方），R1就接收R2發(fā)送來的路由；反之，如果R1沒認(rèn)證R2時(shí)（

5、R2是被認(rèn)證方），R1將不能接收R2發(fā)送來的路由；R1認(rèn)證了R2（R2是被認(rèn)證方）不代表R2認(rèn)證了R1（R1是被認(rèn)證方）。明文認(rèn)證時(shí)，被認(rèn)證方發(fā)送key chian時(shí)，發(fā)送最低ID值的key，并且不攜帶ID；認(rèn)證方接收到key后，和自己key chain的全部key進(jìn)行比較，只要有一個(gè)key匹配就通過對(duì)被認(rèn)證方的認(rèn)證。圖1中R1和R2的鑰匙鏈配置如表1時(shí)，R1和R2的路由如表1中的規(guī)律。 表1  RIP明文認(rèn)證結(jié)果    R1的key chain    R2的key chain  &#

6、160; R1可以接收路由？    R2可以接收路由？    key 1=cisco    key 2=cisco    可以    可以    key 1=cisco    key 2=cisco key 1=abcde    無(wú)   &

7、#160;可以    key 1=cisco key 2=abcde    key 2=cisco key 1=abcde    可以    可以 1.2  密文認(rèn)證     RIP的密文認(rèn)證和明文認(rèn)證配置非常類似，只需要在指定認(rèn)證方式為MD5認(rèn)證即可。R1的配置如下，R2參照即可：     R1：     interface Seria

8、l1/1     ip rip authentication mode md5       /指定采密文認(rèn)證     ip rip authentication key-chain rip-key-chain           /指定所使用的鑰匙鏈     key chain rip-key-chain   

9、0;              /配置鑰匙鏈     key 1     key-string cisco     同樣RIP的密文認(rèn)證也是單向的，然而此時(shí)被認(rèn)證方發(fā)送key時(shí)，發(fā)送最低ID值的key，并且攜帶了ID；認(rèn)證方接收到key后，首先在自己key chain中查找是否具有相同ID的key，如果有相同ID的key并且key相同就通過認(rèn)證，key值不同就不通過認(rèn)證。如果沒

10、有相同ID的key，就查找該ID往后的最近ID的key；如果沒有往后的ID，認(rèn)證失敗。采用密文認(rèn)證時(shí)，圖1中R1和R2的鑰匙鏈配置如表2時(shí)，R1和R2的路由如表2中的規(guī)律。 表2  RIP 密文認(rèn)證結(jié)果    R1的key chain    R2的key chain    R1可以接收路由？    R2可以接收路由？    key 1=cisco   

11、60;key 2=cisco    不可以    可以    key 1=cisco    key 2=cisco key 1=abcde    不可以    不可以    key 1=cisco key 5=cisco    key 2=cisco  

12、60; 可以    可以    key 1=cisco key 3=abcde key 5=cisco    K2=cisco    不可以    可以 2   OSPF認(rèn)證    圖2  拓?fù)鋱D2     以圖2說明OSPF認(rèn)證配置和規(guī)律，R3和R4上建立虛鏈路。OSPF是鏈路狀態(tài)路由協(xié)

13、議，所以能否收到路由取決于能否和鄰居路由器建立毗鄰關(guān)系；如果能夠建立毗鄰關(guān)系，則互相能接收路由，不像RIP協(xié)議是單向的。 2.1 區(qū)域認(rèn)證、鏈路認(rèn)證、虛鏈路認(rèn)證 2.1.1 區(qū)域認(rèn)證     區(qū)域明文認(rèn)證配置如下，R1/R2/R3上，打開明文認(rèn)證，在接口上先不配置密碼，如下：     R1/R2/R3:     router ospf 100          area 0 authentication &

14、#160;  /area 0采用明文認(rèn)證     這時(shí)使用“show ip ospf interface”命令可以看到：R1/R2/R3在area 0上的接口將繼承area 0的配置而采用明文認(rèn)證。由于沒有在接口上配置密碼，采用空密碼，認(rèn)證仍可以通過。 可以在接口上，配置明文認(rèn)證的密碼，R1上的配置如下，R2/R3上參照配置，如下：     R1:     interface s1/1     ip ospf authentication-key cisco

15、0;     /配置明文認(rèn)證密碼，密碼只能有一個(gè)。 區(qū)域采用密文認(rèn)證配置如下，R1/R2/R3上，打開密文認(rèn)證，在接口上配置密碼，如下：     R1:     router ospf 100          area 0 authentication message-digest      /采用密文認(rèn)證     inter

16、face Serial1/1     ip ospf message-digest-key 1 md5 cisco           /在接口上配置ID 1的密碼為cisco     同樣，如果不在接口上配置密碼，認(rèn)證也可以成功，這時(shí)密文認(rèn)證采用ID=0的空密碼。 2.1.2 鏈路認(rèn)證     雖然接口自動(dòng)繼承所在區(qū)域的認(rèn)證方式，但是可以在接口下進(jìn)行鏈路認(rèn)證配置，從而覆蓋繼承下來的認(rèn)證方式，采用如下配置，

17、R1和R2的毗鄰關(guān)系正常建立：     R1:     router ospf 100          area 0 authentication message-digest      /區(qū)域采用密文認(rèn)證     interface Serial1/1     ip ospf authentication   &#

18、160; /鏈路采用的卻是明文認(rèn)證     ip ospf authentication-key cisco2              /配置明文密碼     R2     router ospf 100     area 0 authentication message-digest     &

19、#160;  /區(qū)域采用密文認(rèn)證     interface Serial1/0     ip ospf authentication     /鏈路采用的卻是明文認(rèn)證     ip ospf authentication-key cisco2              /配置明文密碼     如果

20、鏈路要采用密文認(rèn)證，以R1為例的配置如下：     R1:     interface Serial1/1     ip ospf authentication message-digest                /鏈路采用的是密文認(rèn)證     ip ospf message-digest-key 1 md5 cisco

21、                     /配置密文密碼 2.1.3 虛鏈路認(rèn)證 虛鏈路的配置和鏈路的配置很類似，雖然也是繼承區(qū)域0的配置，但是可以在虛鏈路上進(jìn)行覆蓋。以下是在R3和R4之間的虛鏈路上進(jìn)行明文認(rèn)證：     R3:     router ospf 100     area 0 authenti

22、cation message-digest        /區(qū)域采用密文認(rèn)證     area 1 virtual-link 4.4.4.4 authentication          /虛鏈路卻采用明文認(rèn)證     area 1 virtual-link 4.4.4.4 authentication-key cisco3 /配置明文認(rèn)證密碼   以下是R3和R4之間的虛鏈

23、路上進(jìn)行密文認(rèn)證：     R3:     router ospf 100     area 1 virtual-link 4.4.4.4 authentication message-digest    /虛鏈路采用密文認(rèn)證     area 1 virtual-link 4.4.4.4 message-digest-key 1 md5 cisco4        

24、        /配置密文認(rèn)證密碼 2.2  密文認(rèn)證時(shí)的密碼     OSPF可以在修改密碼過程中仍然保持毗鄰關(guān)系正常，實(shí)現(xiàn)密碼的平穩(wěn)過渡，為了實(shí)現(xiàn)此目的，OSPF會(huì)發(fā)送舊密碼。當(dāng)新加入key時(shí)，OSPF把最后添加的key做為Youngest key，把Youngest key發(fā)送給對(duì)方（并攜帶了ID）；對(duì)方收到后，把它和自己的全部key一一進(jìn)行比較（需要ID和密碼都相同才算是匹配，并且是根據(jù)反順序進(jìn)行的）；如果通過則采用該key，否則繼續(xù)采用舊的key。然而OSPF如果發(fā)現(xiàn)當(dāng)前正在

25、采用的key不是Youngest的key，則會(huì)把全部key（并攜帶ID）全部發(fā)送給對(duì)方；如果當(dāng)前key是Youngest的key，則只發(fā)送Youngest的key，之前的key不再進(jìn)行發(fā)送。表3是在R1和R2之間的鏈路上采用密文認(rèn)證時(shí)，不斷增加密碼的規(guī)律，用show ip ospf interface 命令可以看到從接口上發(fā)送出去的密碼。    表3 OSPF認(rèn)證密碼規(guī)律    序號(hào)    R1的密碼    R2的密碼 

26、60;  R1發(fā)送出的密碼    R2發(fā)送出的密碼    形成鄰居？    1    ID1=cisco    ID1=cisco    ID1    ID1    是，采用ID1    2  

27、60; 增加 ID2cisco2    不改變    ID1=cisco ID2cisco2    ID1    是，采用ID1    3    不改變    增加 ID2cisco2    ID2cisco2    ID2cis

28、co2    是 ，采用ID2    4    增加 ID4cisco34    增加 ID3cisco34    ID1=cisco ID2cisco2 ID4cisco34    ID1=cisco ID2cisco2 ID3cisco34    是，采用ID2    5&#

29、160;   不改變    增加 ID4cisco44    ID4cisco34    ID4cisco44    不成功，ID4的key值不同 3  EIGRP認(rèn)證     EIGRP只支持md5認(rèn)證，也只是在接口上配置認(rèn)證，EIGRP也需要建立鄰居關(guān)系。同樣以圖1為例，R1的配置如下，R2參照即可：     R1：  &#

30、160;  interface Serial1/1     ip authentication mode eigrp 90 md5        /采用密文認(rèn)證     ip authentication key-chain eigrp 90 eigrp-key-chain        /配置鑰匙鏈     key chain eigrp-key-chai

31、n     key 1     key-string cisco 表4  EIGRP密文認(rèn)證結(jié)果    R1的key chain    R2的key chain    可以形成鄰居？    key 1=cisco    key 2=cisco    不可以   

32、; key 1=cisco key 2=cisco    key 2=cisco key 1=abcde    不可以    key 1=cisco key 5=cisco    key 2=cisco    不可以    key 1=cisco key 2=12345    key 1=cisco Key

33、2=abced    可以     EIGRP認(rèn)證時(shí)，路由器發(fā)送最低ID的key，并且攜帶ID，只有ID和key值完全相同才能成功認(rèn)證。圖1中R1和R2的鑰匙鏈配置如表4時(shí)，R1和R2的鄰居關(guān)系如表4中的規(guī)律。 在RIP/OSPF/EIGRP中，key chain的名字都只是本地有效，key chain名字的不同不影響認(rèn)證。 4  BGP認(rèn)證     BGP只能采用MD5認(rèn)證，也需要建立鄰居關(guān)系，配置非常簡(jiǎn)單，配上密碼即可，以圖1中的R1為例，如下：    

34、; R1:     router bgp 100     bgp log-neighbor-changes     neighbor 12.2.2.2 remote-as 100     neighbor 12.2.2.2 password cisco              /配置密文認(rèn)證的密碼     BGP中，

35、只有雙方的密碼相同才能形成鄰居關(guān)系。 5  綜合比較     不同路由協(xié)議的認(rèn)證方式雖然不同，但是只要是明文認(rèn)證，安全性均存在很大的隱患；而密文認(rèn)證的安全性在可預(yù)見的時(shí)間內(nèi)是可以得到保證的，雖然密文認(rèn)證會(huì)給路由器帶來一些微不足道的負(fù)擔(dān)。表5是各種路由協(xié)議的綜合比較。      表5  路由協(xié)議認(rèn)證綜合比較    路由協(xié)議    支持認(rèn)證    明文認(rèn)證的安全性    密文認(rèn)證的安全性    支持單向認(rèn)證    支持key-chain    支持密碼平穩(wěn)過渡    RIP V1