TP6 : scurisation des protocoles de routage

Mourad ABED

Scurisation des protocoles de routage : configuration de lauthentification OSPF

Diagramme de topologie

Table dadressage
Priphrique R1 Interface Fa0/1 S0/0/0 S0/0/0 S0/0/1 Fa0/1 S0/0/1 Carte rseau Carte rseau Adresse IP 192.168.10.1 10.1.1.1 10.1.1.2 10.2.2.1 192.168.30.1 10.2.2.2 192.168.10.10 192.168.30.10 Masque de sous-rseau 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0

R2

R3 PC1 PC3

Objectifs pdagogiques
Configurer une authentification simple OSPF Configurer une authentification MD5 OSPF Tester la connectivit

TP6 : scurisation des protocoles de routage

Mourad ABED

Prsentation
Ce TP porte sur lauthentification simple OSPF et sur lauthentification MD5 (message digest 5) OSPF. Vous pouvez activer lauthentification dans OSPF pour changer des informations de mis jour du routage de manire scurise. Si vous configurez une authentification simple, le mot de passe est envoy sur le rseau sous forme de texte en clair. Lauthentification simple est utilise lorsque les priphriques dune zone ne prennent pas en charge lauthentification MD5, qui est plus sre. Si vous configurez une authentification MD5, le mot de passe nest pas envoy sur le rseau. MD5 est considr comme le mode dauthentification OSPF le plus sr. Lorsque vous configurez lauthentification, vous devez utiliser le mme type dauthentification pour lintgralit de la zone. Dans ce TP, vous allez configurer une authentification simple entre R1 et R2, puis une authentification MD5 entre R2 et R3.

Tche 1 : configuration dune authentification simple OSPF

tape 1. Configuration dune authentification simple OSPF sur R1 Pour activer une authentification simple sur R1, passez en mode de configuration du routeur laide de la commande router ospf 1 linvite de configuration globale. Envoyez ensuite la commande area 0 authentication pour activer lauthentification. R1(config)#router ospf 1 R1(config-router)#area 0 authentication 00:02:30: %OSPF-5-ADJCHG: Process 1, Nbr 10.2.2.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired 00:02:30: %OSPF-5-ADJCHG: Process 1, Nbr 10.2.2.1 on Serial0/0/0 from FULL to Down: Interface down or detached Finalement, un message saffiche et indique que la contigut avec R2 est dsactive. Faites une capture cran. R1 perd toutes les routes OSPF de sa table de routage jusqu ce quil parvienne authentifier les routes avec R2. Que se passe-t-il en cas o le mot de passe nest pas encore configur ? . La commande area 0 authentication active lauthentification pour toutes les interfaces de la zone 0. Cette commande est suffisante pour R1, car il na pas besoin de prendre en charge dautre type dauthentification. Pour configurer R1 avec un mot de passe dauthentification simple, passez en mode de configuration dinterface pour la liaison avec R2. Envoyez alors la commande ip ospf authentication-key cisco123. Cette commande dfinit le mot de passe dauthentification cisco123. R1(config-router)#interface S0/0/0 R1(config-if)#ip ospf authentication-key cisco123 tape 2. Configuration dune authentification simple OSPF sur R2 Vous avez configur lauthentification sur R1 pour toute la zone. R2 pouvant prendre en charge la fois lauthentification simple et lauthentification MD5, les commandes sont saisies au niveau de linterface. Passez en mode de configuration dinterface pour S0/0/0. Prcisez que vous utilisez une authentification simple laide de la commande ip ospf authentication. Envoyez alors la commande ip ospf authentication-key cisco123 pour dfinir le mot de passe dauthentification cisco123. R2(config)#interface S0/0/0 R2(config-if)#ip ospf authentication R2(config-if)#ip ospf authentication-key cisco123 00:07:45: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from EXCHANGE to FULL, Exchange Done

TP6 : scurisation des protocoles de routage

Mourad ABED

Une fois ces tches de configuration termines, vous devez finalement voir un message indiquant que la contigut est rtablie entre R1 et R2. Faite une capture cran. Que se passe-t-il pour les routes OSPF ?

Tche 2 : configuration dune authentification MD5 OSPF

tape 1. Configuration dune authentification MD5 OSPF sur R3 Pour activer une authentification MD5 sur R3, passez en mode de configuration du routeur laide de la commande router ospf 1 linvite de configuration globale. Envoyez ensuite la commande area 0 authentication message-digest pour activer lauthentification. R3(config)#router ospf 1 R3(config-router)#area 0 authentication message-digest 00:10:00: %OSPF-5-ADJCHG: Process 1, Nbr 10.2.2.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Dead timer expired 00:10:00: %OSPF-5-ADJCHG: Process 1, Nbr 10.2.2.1 on Serial0/0/1 from FULL to Down: Interface down or detached Finalement, un message saffiche et indique que la contigut avec R2 est dsactive. R3 perd toutes les routes OSPF de sa table de routage jusqu ce quil parvienne authentifier les routes avec R2. Pour configurer R3 avec le mot de passe dauthentification MD5, passez en mode de configuration dinterface pour la liaison avec R2. Envoyez alors la commande ip ospf message-digest-key 1 md5 cisco123. Cette commande dfinit le mot de passe dauthentification OSPF cisco123, protg par lalgorithme MD5. R3(config-router)#interface S0/0/1 R3(config-if)#ip ospf message-digest-key 1 md5 cisco123 tape 2. Configuration dune authentification MD5 OSPF sur R2 Sur R2, passez en mode de configuration dinterface pour la liaison avec R3. Envoyez la commande ip ospf authentication message-digest pour activer lauthentification MD5. Cette commande est ncessaire sur R2 car ce routeur utilise deux types dauthentification. Envoyez alors la commande ip ospf message-digest-key 1 md5 cisco123 pour dfinir le mot de passe dauthentification. R2(config)#interface S0/0/1 R2(config-if)#ip ospf authentication message-digest R2(config-if)#ip ospf message-digest-key 1 md5 cisco123 00:13:51: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from EXCHANGE to FULL, Exchange Done Aprs lenvoi de cette commande, attendez quelques instants que les routeurs convergents. Faites une capture cran. Expliquez les rsultats affichs ? Vous pouvez confirmer que R2 a rinstall les routes OSPF et que R3 est un voisin OSPF de R2. Que reprsente R3 pour R2

TP6 : scurisation des protocoles de routage

R2#show ip route <rsultat omis> Gateway of last resort is not set C C O O

Mourad ABED

10.0.0.0/30 is subnetted, 2 subnets 10.1.1.0 is directly connected, Serial0/0/0 10.2.2.0 is directly connected, Serial0/0/1 192.168.10.0/24 [110/65] via 10.1.1.1, 00:06:13, Serial0/0/0 192.168.30.0/24 [110/65] via 10.2.2.2, 00:00:07, Serial0/0/1

R2#show ip ospf neighbor Neighbor ID Pri State 192.168.10.1 1 FULL/192.168.30.1 1 FULL/-

Dead Time 00:00:32 00:00:37

Address 10.1.1.1 10.2.2.2

Interface Serial0/0/0 Serial0/0/1

Tche 3 : test de la connectivit

Lauthentification doit maintenant tre correctement configure sur les trois routeurs. Par consquent, PC1 doit maintenant tre en mesure denvoyer une requte ping PC3. Travail demand : Une capture cran pour montrer les rsultats du ping. Documentez votre configuration en utilisant la commande show-run.