La primera línea de defensa ante este posible ataque es la verificación del origen de la información de enrutamiento para asegurar que se trata de información generada por vecinos legítimos. De esta manera se incluye en la base de datos de información de los protocolos solamente información de origen comprobado.
Esto se puede hacer utilizando llaves de autenticación compartidas entre dispositivos vecinos.
Hay 2 tipos básicos de autenticación:
Intercambiando claves en texto plano o intercambiando claves que han pasado antes por un algoritmo de hashing.
Autenticación con llaves en texto plano:
- Requiere la configuración de la misma llave en ambos vecinos que deben intercambiar información de enrutamiento.
- Las llaves de autenticación se envían en texto plano con el paquete generado por el protocolo de enrutamiento.
- Los vecinos verifican si la clave coinciden con la que tienen configurada y en base a eso procesan o descartan la información.
- Este procedimiento permite evitar cambios accidentales en el enrutamiento durante procesos de cambio en la infraestructura.
El uso de llaves en texto plano es un procedimiento inseguro y no recomendado dado que es vulnerable a ataques pasivos que parten de una simple captura de paquetes que permite al atacante obtener la llave de validación.
Autenticación con llave cifrada utilizando un algoritmo de hashing:
- Requiere la configuración de la misma llave, el mismo ID de llave y el mismo algoritmo de hashing en ambos vecinos que deben intercambiar información.
- Se puede utilizar como algoritmo de cifrado MD5 o SHA.
- No se envían las llaves de autenticación sino el resultado (hash) de pasar esas llaves por el algoritmo de hashing. Como consecuencia, las llaves no circulan en texto plano por la red.
- Los algoritmos de hashing no son reversibles, por lo que aún cuando se capture tráfico no es posible recuperar la llave de validación utilizada.
- Es solamente un mecanismo de autenticación, no cifra o encripta la información de enrutamiento enviada.
Proceso de autenticación con cifrado
- Las actualizaciones de enrutamiento se envían con un hash adjunto en reemplazo de la clave en texto plano. De este modo la clave de autenticación nunca es intercambiada entre dispositivos.
- El hash que se envía se genera utilizando como punto de partida el paquete de actualización y la llave de autenticación.
- El algoritmo de hashing utilizado puede ser MD5 o SHA.
El mecanismo de operación es el siguiente:
- El dispositivo de origen toma el paquete de actualización y la llave de cifrado y genera un hash que adjunta a la actualización y lo envía al vecino.
- El receptor del paquete ejecuta localmente el algoritmo de hashing tomando como punto de partida la actualización recibida y la llave que está configurada localmente.
- Si el resultado de la ejecución local del hash coincide con el que ha recibido como adjunto de la actualización se acepta la información de enrutamiento recibida. Si el resultado no coincide se descarta el paquete.
Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.
Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/
O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking
o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.
buena info Oscar gracias
ResponderBorrar