22 de julio de 2019

Configuración de "llavero" para autenticación de enrutamiento

Inicialmente Cisco IOS permitía autenticar el origen de la información de enrutamiento configurando una clave de autenticación sobre la interfaz que debía negociar el intercambio con el dispositivo adyacente.
A partir de IOS 12.0 este procedimiento se enriqueció con la introducción del concepto de "llavero" (key chain).
El llavero generó varios beneficios:

  • Permitió pre-definir múltiples claves
  • Facilitó la renovación de claves
  • Posibilitó la reutilización de una misma configuración en múltiples interfaces o protocolos.

Un llavero es un conjunto de claves (o llaves) utilizadas para autenticar comunicaciones entre dispositivos.

Características
Un llavero es identificado por un nombre y está compuesto por un conjunto organizado de elementos:

  • Para autenticar tráfico saliente se utiliza la primera llave que se encuentre activa en ese momento.
  • Para autenticar tráfico entrante el paquete se verifica con cada una de las llaves válidas al momento de la recepción.
  • Las llaves se analizan según ID en orden creciente.
  • Esto facilita la rotación permanente de claves de autenticación en los protocolos sin provocar interrupciones en el flujo de tráfico o intercambio de actualizaciones de enrutamiento.
  • El período de validez de una llave se establece definiendo un start-time y un end-time. No se aceptan llaves fuera de su período de validez.
  • Si la autenticación está activada y en ese momento no hay una llave activa disponible, entonces la autenticación falla y no se establece (o se rechaza) una relación de vecindad o adyacencia.

Configuración

Router(config)#key chain [nombre]

  • Crea un llavero identificado con el nombre que se le asigna, e ingresa al modo de configuración del llavero. El nombre es de relevancia puramente local.

Router(config-keychain)#key [ID]

  • Cada llave está identificada internamente con un ID, que es un número entero diferente de cero.

Router(config-keychain-key)#key-string [llave]

  • Establece la llave o contraseña
Router(config-keychain-key)#accept-lifetime [desde] [hasta]

  • Define el período de tiempo durante el cual la llave será aceptable para que otro dispositivo se autentique ante el dispositivo local.
  • En primer lugar se indica el inicio del período de validez señalando la hora (hh:mm:ss) y fecha (month date year o date month year). Si se ingresa el keyword now será válida a partir del momento en que se complete la configuración.
  • A continuación se indica la finalización del período de validez, con el mismo formato. Si se ingresa el keyword infinite el período de validez no finalizará. Por defecto el comando asume infinito.

Router(config-keychain-key)#send-lifetime [desde] [hasta]

  • Define el período de tiempo durante el cual la llave será válida para que este dispositivo se autentique ante dispositivos vecinos.
  • El formato de definición del período de tiempo es el mismo que el utilizado para el período de aceptación.

Router(config-keychain-key)#exit
Router(config-keychain)#key [ID]

Router(config-keychain-key)#key-string [llave]





Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.