Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
  • Pagina:
  • 1

ARGOMENTO:

EIGRP and Authentication 9 Anni 6 Mesi fa #1

  • verdini.office
  • Avatar di verdini.office Autore della discussione
  • Offline
  • Elite Member
  • Elite Member
  • Messaggi: 87
  • Ringraziamenti ricevuti 4
Salve a tutti :lol:

Stavo rivedendo l'autenticazione tra due apparati tramite il protocollo EIGRP
e mi sono posto una domanda.

Ossia in un ottica di ottimimazione e maggiore security è possibile settare un router
affinche in fase di send invia una sola key-string che puo essere ricevuta solamente dal
secondo router e viceversa con un'altra key-string ? Come dall'output che riporto ?


R1#show running-config
<output omitted>
key chain R1chain
key 1
key-string firstkey
send-lifetime 04:00:00 Jan 1 2014 infinite
key 2
key-string secondkey
accept-lifetime 04:00:00 Jan 1 2014 infinite
<output omitted>


R2#show running-config
<output omitted>
key chain R2chain
key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2014 infinite
key 2
key-string secondkey
send-lifetime 04:00:00 Jan 1 2014 infinite
<output omitted>

Vi è mai capitato di avere questo tipo di configurazione in un ambiente di esercizio ?
Ha senzo averla per avere maggiore Security ?
In quanto immagino ci sono meno transiti di pachetti in un scenario di MitM ?

Grazie a tutti :cheer: e
Cordiali Saluti
Cordiali Saluti

Si prega Accedi a partecipare alla conversazione.

EIGRP and Authentication 9 Anni 6 Mesi fa #2

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172
Ciao Eros,
veramente una bella osservazione, diciamo che un approccio del genere ha senso soprattutto per la rotazione delle chiavi, ad esempio se configuri i due router come:
R1#show running-config
<output omitted>
key chain R1chain
key 1
key-string firstkey
send-lifetime 00:00:00  JAn 1 2013  00:00:00  Jan 1 2014 
accept-lifetime  23:55:00 Jan 1 2012 00:05:00 Jan 1 2014
key 2
key-string secondkey
send-lifetime 00:00:00  JAn 1 2014  00:00:00  Jan 1 2015 
accept-lifetime  23:55:00 Jan 1 2013 00:05:00 Jan 1 2015
Questo di fatto innesca una rotazione di chiavi sicura dandoti 10 minuti di finestra di tolleranza in cui la chiave può ruotare.
Invece avere una autenticazione con chiavi diverse non aggiunge molto alla sicurezza, perchè essendo l'IGP gestito da una sola organizzazione e tipicamente da un solo gruppo di esercizio, le persone dovrebbero necessariamente conoscere entrambi le chiavi.

Valgono le considerazioni fatte sulla cattiva idea di far ruotare le chiavi a capodanno, ma l'esempio è così didattico! :)

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da instructor.

EIGRP and Authentication 9 Anni 6 Mesi fa #3

  • verdini.office
  • Avatar di verdini.office Autore della discussione
  • Offline
  • Elite Member
  • Elite Member
  • Messaggi: 87
  • Ringraziamenti ricevuti 4
Ciao Virgilio

Grazie per le tue costanti informazioni e spiegazioni che per noi sono sempre preziose :-) e fondamentali.

Avevo pensato, per il discorso inerente alla sicurezza, tale scenario a fronte di una disposizione di tre o quattro router in un Design Hub and Spoke.

Dove il router Hub in sent manda una key-string RHub ( e i router Spoke di conseguenza in accept devono settare tale dicitura ) mentre per ogni relativo Spoke in sent manda una key-string RSpoke1 per R1 key-string RSpoke2 per R2 e cosi via ...settando in conseguenza il router Hub in accept tali diciture.

Questo perchè immaginavo, in caso di MitM tra Hub e uno spoke, che la frequenza di utilizzo gruppi di lettere in un testo cifrato,dove è il punto forza della crittoanalisi, sarebbe stato minore se avessi utilizzato una chiave in un senso e un'altra completamente diversa nel senso inverso invece di lasciarne una sola chiave sia in un senso che l'altro aumentando così la possibilità di far passare testi cifrati uguali e permettendo un eventuale attuazione sull'analisi sulle frequenze.

Mi rendo conto di aver pensato troppo :oops:

I'm Sorry :oops:

Un saluto a tutti voi :lol:
Cordiali Saluti

Si prega Accedi a partecipare alla conversazione.

  • Pagina:
  • 1
Moderatori: jpalombi