quarta-feira, 13 de fevereiro de 2013

Autenticação IPSec/OSPFv3 no Roteamento IPv6

Olá Pessoal.

No Lab05 do livro "Laboratórios de Tecnologias Cisco" é explicado ao leitor o processo básico de configuração de roteamento em IPv6 através dos principais protocolos de roteamento dinâmico. Quando se começa a estudar o IPv6 conceitualmente, uma das primeiras lições ensinadas aos alunos diz respeito às vantagens do IPv6 em relação ao IPv4 - que são várias:

  • Espaço quase "ilimitado" de endereços;
  • Possui cabeçalho simplificado e de tamanho fixo (40 bytes);
  • Processamento simplificado nos roteadores;
  • Existe uma política internacional de agregação de prefixos;
  • Possui segurança nativa com o IPSec;
  • Suporte a mobilidade com o MIPv6
  • Dispensa a adoção de NAT;

Quando faço essa apresentação em sala de aula, uma primeira confusão muito comum que observo e tenho que corrigir está relacionada à afirmação de que "IPv6 possui segurança nativa com o IPSec". A maioria dos alunos pressupõe equivocadamente que todo o tráfego v6 sempre é criptografado automaticamente sem nenhum intervenção ou configuração do administrador. Essa idéia é ERRADA!

O fato do IPv6 possuir segurança nativa quer dizer que agora a solução de segurança IPSec faz parte da suíte de protocolos da arquitetura TCP/IPv6. Ou seja, se uma "caixa" qualquer tem suporte a IPv6, então nativamente ela deve ter suporte ao IPSec. Dessa forma o IPSec é uma solução de segurança embutida em dispositivos que suportam IPv6, diferente do que ocorre com dispositivos IPv4 em que o profissional de redes tem que estar atento se existe suporte ao IPSec. 

No entanto, o IPSec estar embutido nos dispositivos não quer dizer que a solução de segurança é auto-configurada. As principais soluções de segurança, a exemplo de autenticação e criptografia, deverão ser manualmente configuradas pelo administrador.

Uma vez que o IPSec agora é nativo no IPv6, então as soluções independentes de segurança que os protocolos de roteamento dinâmico utilizavam com IPv4 foram removidas das suas estruturas internas de funcionamento. Dessa forma os métodos de autenticação que eram utilizados em v4 para viabilizar a vizinhança segura entre roteadores mudou bastante, já que agora devemos utilizar o IPSec. Felizmente o processo de configuração do IPSec no OSPFv3 é bem fácil e direto (requer uma única linha de comando), diferente da tradicional configuração do IPSec para outras finalidades.

Para facilitar o entendimento desse conceito a prática é uma ótima ferramenta. Por isso o objetivo desse artigo é mostrar as diferenças na configuração da autenticação da vizinhança entre os protocolos de roteamento dinâmico OSPFv2 (IPv4) e OSPFv3 (IPv6). Para exemplificar esse processo vamos considerar o cenário abaixo que é muito simples, possuindo apenas dois roteadores na Área 0 que irão estabelecer vizinhança OSPF através de um mecanismo de pilha-dupla, ou seja, via IPv4 e IPv6 simultaneamente. 


 

1) Autenticação de Vizinhança no OSPFv2 (IPv4)

R1(config)# router ospf 110
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 192.168.100.0 0.0.0.255 area 0
R1(config-router)# exit
R1(config)# int s0/0
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf authentication-key SENHA  

R2(config)# router ospf 110
R2(config-router)# router-id 2.2.2.2
R2(config-router)# network 192.168.100.0 0.0.0.255 area 0
R2(config-router)# exit
R2(config)# int s0/0
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf authentication-key SENHA

2) Autenticação de Vizinhança no OSPFv3 (IPv6)

R1(config)# ipv6 router ospf 160
R1(config-router)# router-id 1.1.1.1
R1(config-router)# exit
R1(config)# int s0/1
R1(config-if)# ipv6 enable
R1(config-if)# ipv6 ospf 160 area 0
R1(config-if)# ipv6 ospf authentication ipsec spi 500 md5 1234560ABCD...EF

R2(config)# ipv6 router ospf 160
R2(config-router)# router-id 2.2.2.2
R2(config-router)# exit
R2(config)# int s0/1
R2(config-if)# ipv6 enable
R2(config-if)# ipv6 ospf 160 area 0
R2(config-if)# ipv6 ospf authentication ipsec spi 500 md5 1234560ABCD...EF


Na linha destacada na configuração do  IPSec/OSPFv3 estamos informando que a autenticação será realizada via IPSec (AH) usando uma chave que deve conter 32 dígitos hexadecimais (observe que no exemplo eu reduzi o tamanho real). Também poderíamos optar por fazer a autenticação (header AH) com criptografia (header ESP) através do comando "ipv6 ospf encryption (...)"

Abraço.

Samuel.

4 comentários:

  1. Olá Samuel,

    Queria saber se existe um comando para verificar se a autenticação está funcionando corretamente no OSPFv2 (IPv4)?

    Pelo que pesquisei o "digest de mensagem" a senha não é enviada pela interface e este método é utilizado para alterar a senha sem interromper a comunicação.

    Desde já agradeço a atenção.

    ResponderExcluir
    Respostas
    1. Olá Vinicius,

      Você pode utilizar o comando "show ip ospf interface INT" e procurar por uma linha com o texto "Simple password authentication enabled" (texto simples) ou "Message digest authentication enabled" (para MD5).

      Abraço.

      Excluir
  2. Boa noite, Samuel

    Primeiramente parabéns pelos posts, são excelentes, estou trabalhando em meu trabalho de conclusão de graduação com a proposta para IPV6, gostaria de perguntar qual melhor modelo de IOS para emular junto ao GNS3 que funcionasse bem uma estrutura mista : IPV4 e IPV6 com algumas tecnicas de transição
    Grata!

    ResponderExcluir
    Respostas
    1. Você deve utilizar alguma imagem do IOS a partir da versão 15 que tenha suporte às features IPv6. No repositório do blog você encontra a imagem "C7200-v151.image" que deve te ajudar.

      Excluir