Анализ механизмов безопасности в протоколах динамической маршрутизации

Безопасность телекоммуникационной инфраструктуры играет важную роль в связи с автоматизацией бизнес-процессов компаний в современных условиях. В компьютерных сетях компаний больших масштабов применяются протоколы динамической маршрутизации для автоматического распределения маршрутной информации между узлами. В данной статье проведен анализ механизмов обеспечения безопасности при использовании протоколов динамической маршрутизации.

Ключевые слова: компьютерные сети, информационная безопасность, динамическая маршрутизация, телекоммуникации, информационные технологии, системы связи.

Процессом маршрутизации компьютерных сетях является определение оптимального пути пересылки пакета данных. Маршруты могут быть заданы следующими методами:

1) Статически — сетевой администратор вручную задает необходимые параметры

2) Динамически — при помощи протоколов маршрутизации.

Использование статических маршрутов подходит для простых локальных вычислительных сетей. Основным преимуществом статических маршрутов является высокая безопасность, так как для внесения записей в таблицу маршрутизации необходимо непосредственное редактирование конфигурации сетевым администратором. Также при использовании статических маршрутов не потребляются ресурсы маршрутизатора (Память, центральный процессор), и полоса пропускания каналов [1].

Несмотря на перечисленные преимущества, в крупных сетях использование статических маршрутов связанно с рядом проблем. Прежде всего, возможны ошибки при конфигурации администратором необходимых маршрутов. Обслуживание крупных сетей, использующих статические маршруты, становится очень трудоемким, требует больших временных затрат [2].

Протоколы динамической маршрутизации глобально разделены на следующие 2 класса:

1) Внутренние протоколы динамической маршрутизации;

2) Внешние протоколы динамической маршрутизации;

К внутренним протоколам динамической маршрутизации относятся RIP, OSPF, EIGRP и IS-IS.

Общая классификация протоколов динамической маршрутизации показана на рисунке 1.

Рис. 1. Классификация протоколов динамической маршрутизации

Протоколы внутренней маршрутизации, в свою очередь, разделяются на дистанционно-векторные (distance-vector protocols) и протоколы на основе состояния канала (link-state protocols). К дистанционно-векторным протоколам динамической маршрутизации относятся RIP и EIGRP. К протоколам маршрутизации на основе состояния канала относятся OSPF и IS-IS [4].

Несмотря на достоинства использования протоколов динамической маршрутизации, при их использовании в сетевой инфраструктуре возможны атаки на системы маршрутизации за счет манипуляции передаваемыми обновлениями маршрутов в корпоративной сети. Злоумышленник, выполняя подмену маршрутов, может заставить сетевой трафик идти через подконтрольный сетевой узел с целью его анализа и перехвата конфиденциальной информации (паролей, передаваемых файлов и т.д.). Также злоумышленник может выполнять перенаправление траффика для создания петель маршрутизации, нарушения работы сетевых служб, или перенаправлять трафик для его сброса, что может инициировать DoS-атаку на сетевую инфраструктуру [5]. Детально угрозы для протоколов динамической маршрутизации описаны в официальном документе RFC 4593 [6].

Для защиты от атак подобного рода используется аутентификация сообщений протокола маршрутизации. Аутентификация сообщений протокола динамической маршрутизации необходима для выполнения проверки подлинности передаваемых в компьютерной сети маршрутов. Для функционирования данного механизма применяется механизм ключей безопасности. На каждом из маршрутизаторов в корпоративной сети необходимо задать общий ключ безопасности (shared secret key) в конфигурации. При использовании криптографической аутентификации каждый маршрутизатор добавляет цифровую подпись (message digest) к передаваемым служебным пакетам. Цифровая подпись создается с помощью необратимой (one-way) хэш-функции на основе содержимого полей отправляемого пакета OSPF и заданного в конфигурации маршрутизатора секретного ключа. На принимающей стороне для проверки аутентичности пакетов протокола маршрутизации используется сконфигурированный ключ безопасности и цифровая подпись из принятого пакета. Сам ключ безопасности по сети не отправляется, чтобы обезопасить его от прочтения злоумышленником в процессе передачи пакетов. Уровень безопасности при криптографической аутентификации полностью определяется используемым алгоритмом. Данную технологию поддерживают практически все известные протоколы маршрутизации: OSPF, RIP, BGP, EIGRP, RIPv2. В OSPFv3 аутентификации не предусмотрено, вместо этого применяется аутентификация заголовков пакетов в IPv6.

Применяется криптографическая аутентификация сообщений протокола динамической маршрутизации на основе алгоритмов MD5 и SHA. Аутентификация на основе алгоритма MD5 в настоящее время считается уязвимой перед различными атаками и должна использоваться только в тех случаях, когда недоступна более надежные методы аутентификации. Аутентификация SHA для протокола маршрутизации OSPF описана в стандарте RFC 5709 [7]. Стоит обратить внимание на то, что ни один из перечисленных типов алгоритмов аутентификации пакетов не обеспечивает конфиденциальности служебных сообщений протокола маршрутизации и лишь защищает их от несанкционированной модификации.

Таким образом, показана классификация протоколов динамической маршрутизации, проанализированы угрозы безопасности при их использовании, показаны механизмы аутентификации сообщений протоколов маршрутизации.

1. Таненбаум, Э. С. Компьютерные сети / Э. С. Таненбаум, Д. Уэзеролл. — СПб.: Питер, 2018. — 512 c.
2. Олифер, В. Компьютерные сети. Принципы, технологии, протоколы: Учебник / В. Олифер, Н. Олифер. — СПб.: Питер, 2016. — 318 c.
3. Максимов, Н. В. Компьютерные сети: Учебное пособие / Н. В. Максимов, И. И. Попов. — М.: Форум, 2017. — 320 c.
4. Кузьменко, Николай Гаврилович Компьютерные сети и сетевые технологии / Кузьменко Николай Гаврилович. — М.: Наука и техника, 2015. — 564 c.
5. Баринов, Андрей Безопасность сетевой инфраструктуры предприятия / Андрей Баринов. — М.: LAP Lambert Academic Publishing, 2016. — 331 c
6. RFC 4593. Generic Threats to Routing Protocols. A. Barbir Nortel S. Murphy Y. Yang. October 2006
7. RFC 5709. OSPFv2 HMAC-SHA Cryptographic Authentication. M. Bhatia M. Fanto R. White M. Barnes. October 2009