IP : IP ルーティング

RIPv2 での認証のための設定例

2002 年 10 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 8 月 10 日) | フィードバック

目次


概要

この文書では、Routing Information Protocol version 2(RIPv2)におけるルーティング情報交換プロセスの認証の設定例について説明します。

今日のネットワーク設計者にとって、セキュリティは最も重要な関心事の 1 つになっています。ネットワークのセキュリティには、ルータ間でのルーティング情報の交換に関するセキュリティも含まれます。たとえば、ルーティング テーブルに書き込まれる情報が有効なものであること、これがネットワークの妨害を意図するような発信者から送られたり、改ざんされたりしたものではないことの確認などです。攻撃者は、不正な更新情報を持ち込んでルータが誤った宛先にデータを送るようにしたり、ネットワークのパフォーマンスを著しく低下させようとします。さらに、不正なルート更新によってルーティング テーブルの内容が破壊されることもありますが、これは設定がよくないこと(ネットワークの境界に対して passive interface コマンドが使用されていないなど)、あるいはルータの動作不良が原因で発生します。したがって、ルータ上で実行されるルーティング更新プロセスの認証は慎重に行われます。

シスコの RIPv2 の実装では、平文認証と Message Digest 5(MD5)認証の 2 種類のモードの認証をサポートしています。平文認証は、各 RIPv2 パケットにおけるデフォルトの設定です。セキュリティが問題になっている場合には、平文認証は使用しないでください。

表記法

文書の表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するための情報を記載します。

注:この文書で使用されているコマンドの詳細を調べるには、IOS Command Lookup ツールを使用してください。

使用するコンポーネント

この設定方法は、特定のソフトウェアやハードウェアのバージョンに制限されるものではありません。

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。この文書で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

上記のネットワークは、次に説明する設定例で使用されるもので、ルータ RA およびルータ RB の 2 台のルータで構成されています。どちらのルータでも RIP が実行され、定期的にルーティング更新が交換されています。このシリアル リンクを経由するルーティング情報の交換は、認証を受ける必要があります。

平文認証の設定

RIP 更新を認証する 2 種類の方法のうちの 1 つは、平文認証を使用する方法です。この方法は、次の表に示すように設定します。

RA

 key chain kal

 !--- キーチェーンの名前。キーチェーンには、セキュリティ機能を強化するために、

 !--- 1 つ以上のキーを含めることができます。

  key 1

 !--- キーチェーンの中の最初のキーを定義するコマンドが

 !--- 次に設定されます。

  key-string 234

 !--- 実際のキー。リモート ルータ上のキーと同一である

 !--- 必要があります。

  !

  interface Loopback0

   ip address 70.70.70.70 255.255.255.255

  !

  interface Serial0

   ip address 141.108.0.10 255.255.255.252

   ip rip authentication key-chain kal

 !--- インターフェイスに対する認証を有効にし、

 !--- 使用されるキーチェーンを設定します。

  !

  router rip

   version 2

   network 141.108.0.0

   network 70.0.0.0

 

RB

 key chain kal

 key 1

 key-string 234

 !

 interface Loopback0

  ip address 80.80.80.1 255.255.255.0

 !

 interface Serial0

  ip address 141.108.0.9 255.255.255.252

  ip rip authentication key-chain kal

  clockrate 64000

 !

 router rip

  version 2

  network 141.108.0.0

  network 80.0.0.0

  

MD5 認証の設定

MD5 認証は、シスコによって追加されたオプションの認証モードであり、RFC 1723 で定義された平文認証を基にしています。設定は平文認証の場合と同じですが、ip rip authentication mode md5 コマンドを追加する部分が異なっています。また、MD5 認証では、リンクの両端のルータ インターフェイスを設定して、キー番号とキー ストリングが両側で一致するようにする必要があります。

RA

 key chain kal

  key 1

  key-string 234

  !

  interface Loopback0

   ip address 70.70.70.70 255.255.255.255

  !

  interface Serial0

   ip address 141.108.0.10 255.255.255.252

   ip rip authentication mode md5

   ip rip authentication key-chain kal

  !

  router rip

   version 2

   network 141.108.0.0

   network 70.0.0.0

 

RB

 key chain kal

 key 1

 key-string 234

 !

 interface Loopback0

  ip address 80.80.80.1 255.255.255.0

 !

 interface Serial0

  ip address 141.108.0.9 255.255.255.252

  ip rip authentication mode md5

  ip rip authentication key-chain kal

  clockrate 64000

 !

 router rip

  version 2

  network 141.108.0.0

  network 80.0.0.0

 

確認

平文認証の確認

上記のようにルータを設定することで、すべてのルーティング更新の交換が、許可される前に認証されるようになります。このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。


 R1-7010#debug ip rip

 RIP: received packet with text authentication 234

 RIP: received v2 update from 141.108.0.10 on Serial0

      70.0.0.0/8 via 0.0.0.0 in 1 hops


 R1-7010#show ip route

 R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:25, Serial0

      80.0.0.0/24 is subnetted, 1 subnets

 C       80.80.80.0 is directly connected, Loopback0

      141.108.0.0/30 is subnetted, 1 subnets

 C       141.108.0.8 is directly connected, Serial0

平文認証を使用することで、ローカルのルーティング交換プロセスには参加し得ないルータからのルーティング更新を排除でき、ネットワーク設計が向上します。しかし、この認証方式は万全ではありません。平文認証では、パスワード(この例では 234)が交換されます。これは簡単に捕捉され、利用されてしまう可能性があります。先に述べたように、セキュリティが問題になる場合には、平文認証よりも MD5 認証の方を使用してください。

MD5 認証の確認

上記のように RA と RB を設定することで、すべてのルーティング更新の交換が、受け入れの前に認証されるようになります。このことは、debug ip rip コマンドおよび show ip route コマンドから得られる出力を調べることによって確認できます。


 R1-7010#debug ip rip

 RIP: received packet with MD5 authentication

 RIP: received v2 update from 141.108.0.10 on Serial0

      70.0.0.0/8 via 0.0.0.0 in 1 hops

 

 R1-7010#show ip route

 R    70.0.0.0/8 [120/1] via 141.108.0.10, 00:00:03, Serial0

      80.0.0.0/24 is subnetted, 1 subnets

 C       80.80.80.0 is directly connected, Loopback0

      141.108.0.0/30 is subnetted, 1 subnets

 C       141.108.0.8 is directly connected, Serial0

 

MD5 認証では、強力なハッシング アルゴリズムとして知られている単方向の MD5 ハッシュ アルゴリズムを使用しています。このモードの認証では、ルーティング更新によって認証の目的でパスワードが搬送されることはありません。その代わり、MD5 アルゴリズムによって 128 ビットのメッセージがパスワードの目的で作成され、このメッセージが認証用に送信されます。したがって、MD5 の方がより安全な方法であるため、平文認証よりも MD5 認証を使うことを推奨します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13719