Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Salve a tutti
Stavo rivedendo l'autenticazione tra due apparati tramite il protocollo EIGRP e mi sono posto una domanda. Ossia in un ottica di ottimimazione e maggiore security è possibile settare un router affinche in fase di send invia una sola key-string che puo essere ricevuta solamente dal secondo router e viceversa con un'altra key-string ? Come dall'output che riporto ? R1#show running-config <output omitted> key chain R1chain key 1 key-string firstkey send-lifetime 04:00:00 Jan 1 2014 infinite key 2 key-string secondkey accept-lifetime 04:00:00 Jan 1 2014 infinite <output omitted> R2#show running-config <output omitted> key chain R2chain key 1 key-string firstkey accept-lifetime 04:00:00 Jan 1 2014 infinite key 2 key-string secondkey send-lifetime 04:00:00 Jan 1 2014 infinite <output omitted> Vi è mai capitato di avere questo tipo di configurazione in un ambiente di esercizio ? Ha senzo averla per avere maggiore Security ? In quanto immagino ci sono meno transiti di pachetti in un scenario di MitM ? Grazie a tutti e Cordiali Saluti Cordiali Saluti
|
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Eros,
veramente una bella osservazione, diciamo che un approccio del genere ha senso soprattutto per la rotazione delle chiavi, ad esempio se configuri i due router come: R1#show running-config
<output omitted>
key chain R1chain
key 1
key-string firstkey
send-lifetime 00:00:00 JAn 1 2013 00:00:00 Jan 1 2014
accept-lifetime 23:55:00 Jan 1 2012 00:05:00 Jan 1 2014
key 2
key-string secondkey
send-lifetime 00:00:00 JAn 1 2014 00:00:00 Jan 1 2015
accept-lifetime 23:55:00 Jan 1 2013 00:05:00 Jan 1 2015 Invece avere una autenticazione con chiavi diverse non aggiunge molto alla sicurezza, perchè essendo l'IGP gestito da una sola organizzazione e tipicamente da un solo gruppo di esercizio, le persone dovrebbero necessariamente conoscere entrambi le chiavi. Valgono le considerazioni fatte sulla cattiva idea di far ruotare le chiavi a capodanno, ma l'esempio è così didattico! |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da instructor.
|
|
Ciao Virgilio
Grazie per le tue costanti informazioni e spiegazioni che per noi sono sempre preziose e fondamentali. Avevo pensato, per il discorso inerente alla sicurezza, tale scenario a fronte di una disposizione di tre o quattro router in un Design Hub and Spoke. Dove il router Hub in sent manda una key-string RHub ( e i router Spoke di conseguenza in accept devono settare tale dicitura ) mentre per ogni relativo Spoke in sent manda una key-string RSpoke1 per R1 key-string RSpoke2 per R2 e cosi via ...settando in conseguenza il router Hub in accept tali diciture. Questo perchè immaginavo, in caso di MitM tra Hub e uno spoke, che la frequenza di utilizzo gruppi di lettere in un testo cifrato,dove è il punto forza della crittoanalisi, sarebbe stato minore se avessi utilizzato una chiave in un senso e un'altra completamente diversa nel senso inverso invece di lasciarne una sola chiave sia in un senso che l'altro aumentando così la possibilità di far passare testi cifrati uguali e permettendo un eventuale attuazione sull'analisi sulle frequenze. Mi rendo conto di aver pensato troppo I'm Sorry Un saluto a tutti voi Cordiali Saluti
|
Si prega Accedi a partecipare alla conversazione. |