Анализ механизмов безопасности в протоколах динамической маршрутизации | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 12 февраля, печатный экземпляр отправим 16 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №43 (385) октябрь 2021 г.

Дата публикации: 20.10.2021

Статья просмотрена: 25 раз

Библиографическое описание:

Рыленков, Д. А. Анализ механизмов безопасности в протоколах динамической маршрутизации / Д. А. Рыленков. — Текст : непосредственный // Молодой ученый. — 2021. — № 43 (385). — С. 13-16. — URL: https://moluch.ru/archive/385/84745/ (дата обращения: 29.01.2022).



Безопасность телекоммуникационной инфраструктуры играет важную роль в связи с автоматизацией бизнес-процессов компаний в современных условиях. В компьютерных сетях компаний больших масштабов применяются протоколы динамической маршрутизации для автоматического распределения маршрутной информации между узлами. В данной статье проведен анализ механизмов обеспечения безопасности при использовании протоколов динамической маршрутизации.

Ключевые слова: компьютерные сети, информационная безопасность, динамическая маршрутизация, телекоммуникации, информационные технологии, системы связи.

Процессом маршрутизации компьютерных сетях является определение оптимального пути пересылки пакета данных. Маршруты могут быть заданы следующими методами:

1) Статически — сетевой администратор вручную задает необходимые параметры

2) Динамически — при помощи протоколов маршрутизации.

Использование статических маршрутов подходит для простых локальных вычислительных сетей. Основным преимуществом статических маршрутов является высокая безопасность, так как для внесения записей в таблицу маршрутизации необходимо непосредственное редактирование конфигурации сетевым администратором. Также при использовании статических маршрутов не потребляются ресурсы маршрутизатора (Память, центральный процессор), и полоса пропускания каналов [1].

Несмотря на перечисленные преимущества, в крупных сетях использование статических маршрутов связанно с рядом проблем. Прежде всего, возможны ошибки при конфигурации администратором необходимых маршрутов. Обслуживание крупных сетей, использующих статические маршруты, становится очень трудоемким, требует больших временных затрат [2].

Протоколы динамической маршрутизации глобально разделены на следующие 2 класса:

1) Внутренние протоколы динамической маршрутизации;

2) Внешние протоколы динамической маршрутизации;

Внутренние протоколы маршрутизации используются для работы внутри автономных систем (AS), внешние протоколы маршрутизации для обмена маршрутной информацией между автономными системами [3].

К внутренним протоколам динамической маршрутизации относятся RIP, OSPF, EIGRP и IS-IS.

Общая классификация протоколов динамической маршрутизации показана на рисунке 1.

Классификация протоколов динамической маршрутизации

Рис. 1. Классификация протоколов динамической маршрутизации

Протоколы внутренней маршрутизации, в свою очередь, разделяются на дистанционно-векторные (distance-vector protocols) и протоколы на основе состояния канала (link-state protocols). К дистанционно-векторным протоколам динамической маршрутизации относятся RIP и EIGRP. К протоколам маршрутизации на основе состояния канала относятся OSPF и IS-IS [4].

Несмотря на достоинства использования протоколов динамической маршрутизации, при их использовании в сетевой инфраструктуре возможны атаки на системы маршрутизации за счет манипуляции передаваемыми обновлениями маршрутов в корпоративной сети. Злоумышленник, выполняя подмену маршрутов, может заставить сетевой трафик идти через подконтрольный сетевой узел с целью его анализа и перехвата конфиденциальной информации (паролей, передаваемых файлов и т.д.). Также злоумышленник может выполнять перенаправление траффика для создания петель маршрутизации, нарушения работы сетевых служб, или перенаправлять трафик для его сброса, что может инициировать DoS-атаку на сетевую инфраструктуру [5]. Детально угрозы для протоколов динамической маршрутизации описаны в официальном документе RFC 4593 [6].

Для защиты от атак подобного рода используется аутентификация сообщений протокола маршрутизации. Аутентификация сообщений протокола динамической маршрутизации необходима для выполнения проверки подлинности передаваемых в компьютерной сети маршрутов. Для функционирования данного механизма применяется механизм ключей безопасности. На каждом из маршрутизаторов в корпоративной сети необходимо задать общий ключ безопасности (shared secret key) в конфигурации. При использовании криптографической аутентификации каждый маршрутизатор добавляет цифровую подпись (message digest) к передаваемым служебным пакетам. Цифровая подпись создается с помощью необратимой (one-way) хэш-функции на основе содержимого полей отправляемого пакета OSPF и заданного в конфигурации маршрутизатора секретного ключа. На принимающей стороне для проверки аутентичности пакетов протокола маршрутизации используется сконфигурированный ключ безопасности и цифровая подпись из принятого пакета. Сам ключ безопасности по сети не отправляется, чтобы обезопасить его от прочтения злоумышленником в процессе передачи пакетов. Уровень безопасности при криптографической аутентификации полностью определяется используемым алгоритмом. Данную технологию поддерживают практически все известные протоколы маршрутизации: OSPF, RIP, BGP, EIGRP, RIPv2. В OSPFv3 аутентификации не предусмотрено, вместо этого применяется аутентификация заголовков пакетов в IPv6.

Применяется криптографическая аутентификация сообщений протокола динамической маршрутизации на основе алгоритмов MD5 и SHA. Аутентификация на основе алгоритма MD5 в настоящее время считается уязвимой перед различными атаками и должна использоваться только в тех случаях, когда недоступна более надежные методы аутентификации. Аутентификация SHA для протокола маршрутизации OSPF описана в стандарте RFC 5709 [7]. Стоит обратить внимание на то, что ни один из перечисленных типов алгоритмов аутентификации пакетов не обеспечивает конфиденциальности служебных сообщений протокола маршрутизации и лишь защищает их от несанкционированной модификации.

Таким образом, показана классификация протоколов динамической маршрутизации, проанализированы угрозы безопасности при их использовании, показаны механизмы аутентификации сообщений протоколов маршрутизации.

Литература:

  1. Таненбаум, Э. С. Компьютерные сети / Э. С. Таненбаум, Д. Уэзеролл. — СПб.: Питер, 2018. — 512 c.
  2. Олифер, В. Компьютерные сети. Принципы, технологии, протоколы: Учебник / В. Олифер, Н. Олифер. — СПб.: Питер, 2016. — 318 c.
  3. Максимов, Н. В. Компьютерные сети: Учебное пособие / Н. В. Максимов, И. И. Попов. — М.: Форум, 2017. — 320 c.
  4. Кузьменко, Николай Гаврилович Компьютерные сети и сетевые технологии / Кузьменко Николай Гаврилович. — М.: Наука и техника, 2015. — 564 c.
  5. Баринов, Андрей Безопасность сетевой инфраструктуры предприятия / Андрей Баринов. — М.: LAP Lambert Academic Publishing, 2016. — 331 c
  6. RFC 4593. Generic Threats to Routing Protocols. A. Barbir Nortel S. Murphy Y. Yang. October 2006
  7. RFC 5709. OSPFv2 HMAC-SHA Cryptographic Authentication. M. Bhatia M. Fanto R. White M. Barnes. October 2009
Основные термины (генерируются автоматически): динамическая маршрутизация, OSPF, EIGRP, RIP, IS-IS, RFC, SHA, протокол, цифровая подпись, корпоративная сеть.


Задать вопрос