Sou a: Inici / Usuaris / Victor Carceler / c5 / na2 / a2

Actividad 2: OSPF con autentificación MD5

En la anterior actividad se pudo ver cómo los encaminadores que ejecutan OSPF descubren a sus vecinos e intercambian rutas. Esto permite que al añadir un router nuevo automáticamente pueda aprender la topología de la red, al tiempo que informa al resto de routers que a través de él es posible alcanzar nuevas redes.

Qué ocurriría si en una red con encaminadores OSPF se conecta un nuevo router que anuncia rutas falsas ? Si los encaminadores originales confiasen en este nuevo router, pronto adaptarian sus tablas de rutas para incluir información errónea, provocando un mal funcionamiento en la red. Por esto es necesario que el intercambio de mensajes OSPF haga uso de algún tipo de autentificación. Quagga permite utilizar autentificación MD5.

 

Autentificación con MD5

En el fichero de configuración de OSPF, es posible activar la autentificación MD5 por cada interfaz del encaminador.

Ejemplo:

! Declaración de una interfaz con autentificación MD5
!
interface eth0
ip ospf authentication message-digest ! Activa la autentificación
ip ospf message-digest-key 1 md5 ABCDEFGHIJK ! Fija el ID y la clave

interfaz eth1
ip ospf authentication message-digest
ip ospf message-digest-key 2 md5 OTRACLAVE

! Sección router
!
router ospf
network 192.168.0.0/16 area 0.0.0.1
area 0.0.0.1 authentication message-digest
network 172.0.0.0/8 area 0.0.0.2
area 0.0.0.2 authentication message-digest

Cuando se utiliza la autentificación MD5:

  1. Nunca se puede atrasar la fecha/hora de un router. Se recomienda que los equipos estén ejecutando NTP.
  2. Debe indicarse que se utilizará autentificación message-digest tanto en la sección de la interfaz como en el área correspondiente.
  3. En la interfaz, se declarará:
    • El ID de la clave, en el ejemplo anterior 1. El ID es parte del protocolo y debe ser consistente entre todos los encaminadores del enlace. El ID queda asociado con la clave.
    • La clave a utilizar, en el ejemplo ABCDEFGHIJK. La clave estará formada por una cadena de hasta 16 carácteres. Si se utiliza una cadena más larga se truncará de forma automática. La clave está asociada con el ID.

 

Enunciado de la práctica:

Para poner en práctica la autentificación MD5 de los routers OSPF se pondrá en marcha el siguiente escenario:

 

OSPF_MD5_W650px.png

 

Cada alumno será responsable de la configuración de un encaminador, de manera que:

  1. La LAN del aula (192.168.11.0/24) se utilizará como área 0
  2. Cada router estará conectado con el área 0 mediante su interfaz eth0
  3. En cada router se utilizará OpenVPN en modo servidor funcionando en el puerto UDP 1194 para que otras estaciones puedan establecer un enlace. La interfaz local del servidor de túneles será tap0 y tendrá por IP la primera IP disponible de la red 172.16.X.0/24. Dicha interfaz formará parte del Área X.
  4. Cada router establecerá VPN en modo cliente con otro servidor, la interfaz local de dicho túnel será tap1. Y tendrá una IP asignada por el servidor.
  5. Se utilizará autentificación MD5 en todos los encaminadores y para todos los mensajes OSPF

 

Actividades

  1. Asegúrese de que su estación tiene instalados los paquetes necesarios para utilizar OpenVPN y Quagga. Después compruebe que la estación no lanza durante el arranque los servicios correspondientes a protocolos de encaminamiento que no se vayan a utilizar. Disponga lo necesario para que su estación active el reenvío de paquetes (ip forwarding) de forma automática en cada arranque.
  2. Escriba un fichero de configuración para zebra en el que:
    • se define el hostname de su encaminador
    • se define 'zebra' como contraseña para el usuario sin privilegios y 'supersecreto' para el usuario con privilegios administrativos
    • Se declaran las interfaces eth0, tap0 y tap1
    • Se declara como puerta de enlace por defecto a 192.168.11.8/24
    • Se declara como fichero de registro a /var/log/quagga/zebra.log
    • El demonio logrotate se encarga de la rotación de los ficheros de registro. Puede encontrar las configuraciones que utilizará para rotar los ficheros de diferentes servicios en /etc/logrotate.d. Compruebe que está preparado para rotar los ficheros de registro de zebra y ospfd.
    • Arranque el demonio zebra y compruebe que arranca sin problemas
  3. Escriba un fichero de configuración para ospfd de manera que:
    • se defina el hostname de su encaminador
    • se define 'zebra' como contraseña para el usuario sin privilegios y 'supersecreto' para el usuario con privilegios administrativos
    • Se declara como fichero de registro a /var/log/quagga/ospfd.log
    • Se declara la interfaz eth0 perteneciente al área 0, utilizando la clave "AREA0" con ID 100 para la autentificación MD5
    • Se utilizará como ID del router la dirección IP de la interfaz eth0
    • Arranque el servicio ospfd, acceda a la consola de ospf (telnet localhost ospfd) y utilice el comando  show ip ospf database network para consultar la base de datos de su encaminador
  4. Construya una nueva PKI con los siguientes parámetros:
    • KEY_COUNTRY="ES", KEY_PROVINCE="CAT", KEY_CITY="Santa Coloma de Gramenet", KEY_ORG="IES Puig Castellar", KEY_EMAIL="<login>@iespuigcastellar.xeill.net", Organizatinal Unit="<login>", Common name="<login>CA"
    • Una clave de servidor con nombre "servidor"
    • Tres claves de cliente con nombre "cliente1", "cliente2" y "cliente3"
    • Parámetros Diffie Hellman de 1024 bits
    • Haga un archivo <login>_pki.tgz con el contenido del directorio keys y déjelo en valinor, en el interior de ~/public_html/c5/na2/a2
  5. Siguiendo la tabla que se muestra a continuación, configure un proceso servidor de VPNs en su estación, en el puerto 1194 y con la opción client-to-client para que los clientes se vean entre sí. Después, modifique el fichero de configuración de OSPF para que incluya dicha interfaz. La interfaz pertenecerá al área de la que usted se hace cargo, que tendrá por clave "AREA<X>" y <X> será el ID de dicha clave.
  6. Obtenga la PKI del compañero que en la siguiente tabla está antes que usted, y configure un tunel (tap1) con su servidor. Después modifique la configuración de OSPF para que se incluya dicha interfaz.

 

 

Tablas

AlumnoEstaciónRed propia
md5 (ID/PASSWD)
Álvarez, Silvia
192.168.0.160 172.16.1.0/24 1/AREA1
Cano, Iñaki
192.168.0.162 172.16.2.0/24 2/AREA2
Español, Jordi
192.168.0.157
172.16.3.0/24 3/AREA3
Francisco, Carlos
192.168.0.158 172.16.4.0/24 4/AREA4
Jurado, Óscar
192.168.0.153 172.16.5.0/24 5/AREA5
Murillo, David
192.168.0.154 172.16.6.0/24 6/AREA6
Núñez, Samuel
172.16.7.0/24 7/AREA7
Pérez, Ismael
192.168.0.152 172.16.8.0/24 8/AREA8
Romero, Juan Francisco
192.168.0.151 172.16.9.0/24 9/AREA9
Veiga, Begoña
192.168.0.156 172.16.10.0/24 10/AREA10

 

Enlaces