RIP v2路由安全认证综合实验
实验拓扑:
实验要求:通过认证防范攻击者获得通信设备的相关信息。
实验步骤:
1.完成基本配置
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1
[AR1]undo in e
Info: Information center is disabled.
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.1 24
[AR1-GigabitEthernet0/0/1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 200.1.1.1 24
[AR1-GigabitEthernet0/0/0]
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR2
[AR2]undo in e
Info: Information center is disabled.
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[AR2-GigabitEthernet0/0/1]
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR3
[AR3]undo in e
Info: Information center is disabled.
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 200.1.1.3 24
[AR3-GigabitEthernet0/0/0]
2.配置RIP v2
AR1路由器不指定RIP的版本,AR2路由器指定RIP的版本为V2,两者之间是否能通信。
额外实验:
两个路由器都不指定RIP的版本。
[AR1]rip 1
[AR1-rip-1]net 192.168.1.0
[AR1-rip-1]net 200.1.1.0
[AR1-rip-1]
[AR2]rip 1
[AR2-rip-1]net 200.1.1.0
[AR2-rip-1]net 192.168.2.0
[AR2-rip-1]
测试网络连通性
攻击者AR3只是做了简单的RIP路由,而且只是宣告了自己的200.1.1.0网段就能获得AR1和AR2的路由表项
[AR3]rip 1
[AR3-rip-1]net 200.1.1.0
[AR3-rip-1]q
小结:RIP 没有指定版本时候默认是RIP V1的路由条目,且很不安全。容易被攻击者拿到路由条目。
假设一个应用场景是:AR1这边路由不支持RIPv2,智能配置V1或者不指定版本;AR2可以支持RIPV1和RIP V2。
[AR2]rip 1
[AR2-rip-1]ver 2
[AR2-rip-1]
配置过后的网络情况是AR1没有指定路由RIP的版本,AR2指定的版本是RIP V2,请问两者能否通信?
现在把AR1的RIP版本修改为V2
[AR1]rip 1
[AR1-rip-1]ver 2
[AR1-rip-1]
测试网络联通情况
小结:网络设备两端AR1和AR2都采用RIP V2的版本后网络可以通信了(RIP V2是支持认证的,方便后期做认证)
在没有认证前攻击者可以向内网设备发起攻击,如下图所示
小结:AR3攻击者可以任意攻击内网的设备。
-----------我们开始做RIP V2认证-------------------
先用明文认证进程尝试
在AR1的出接口上做明文认证,必须在对端的接口上也做同样的认证
[AR1-GigabitEthernet0/0/0]rip authentication-mode simple huawei111
[AR2-GigabitEthernet0/0/0]rip authentication-mode simple huawei111
因为采用了认证,攻击者AR3的路由表中就不能获取到内网的路由表项了,只有直连路由了。如下图所示
但是攻击者并不甘心,采用抓包分析,能够发现AR1和AR2之间只是采用明文的加密模式且密码是huawei111,于是攻击者AR3也做同样的认证,然后再查看自己的路由表
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]rip authentication-mode simple huawei111
小结:明文的RIP认证对于这样的攻击者来说是失效的。解决方案是采用MD5加密认证方式继续尝试
[AR1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher huawei666
[AR2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher huawei666
尝试抓包是否还能看到密码
只能看到加密的摘要,且数据长度是120,并不能看到任何密码
这时候看看攻击者AR3的路由表中是否还有内网的表项
至此,采用RIP接口的MD5加密模式可以有效避开攻击者的攻击,使得攻击者没法获得密码信息而继续对内网发起攻击或流量欺骗。
总结:
如果没有进行加密的认证,被攻击者如果做两个回环地址用上内网的IP地址,就会进行流量欺骗,其中PC1发给PC2的数据会被攻击者所收到。采用了MD5加密模式后安全了很多。