14 sept 2010

CCNP ROUTER 2: EIGRP Autenticacion

EIGRP permite autenticacion cifrada para intercambiar mensajes EIGRP, el modo de encriptacion es MD5.

Por que debe utilizar autenticar el proceso EIGRP?

Con esto protegemos la red de ataques de intruso. El uso de Passive-interface, ACL y  de autenticacion MD5 aumenta al máximo la protección en un AS( ingles : Sistema Autónomo) con EIGRP. Si un Equipo de Borde en EIGRP no tiene configurada la autenticacion no usa passive-interface y no tiene filtros ACL cualquier intruso puede pegar un equipo que maneje EIGRP aprendiendo y distribuyendo rutas en el AS.

Escenario
Laboratorio con GNS3 con dos Router 1700 previamente configurado EIGRP de forma Básica.
Configuración de Autenticación en EIGRP

Configuracion R1
R1(config)#key chain llavero_R1
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string clave

R1(config)#interface f0/0
R1(config-if)#ip authentication mode eigrp 10 md5
R1(config-if)#ip authentication key-chain eigrp 10 llavero_R1


Configuracion R2
R2(config)#key chain llavero_R2
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string clave

R2(config)#interface f0/0
R2(config-if)#ip authentication mode eigrp 10 md5
R2(config-if)#ip authentication key-chain eigrp 10 llavero_R2


Para su funcionamiento debemos tener en cuenta los siguiente:
  • los Key chain no tienen necesidad de ser iguales en los router.
  • El numero del KEY debe ser igual en los router
  • El key-string debe ser la igual en los router.
  • se debe utilizar ambos comandos sobre las interfaces Ip authentication ( mode eigrp [AS] md5)  y ( key-chain eigrp [AS] [nombre del llavero])
  • Sobre las interfaces que no se configure autenticacion seguirá trabajando con EIGRP de forma normal.

Esquema  símil del Key chain en EIGRP
se tiene una idea clara de los objetos utilizados en la autenticacion.

Monitorizar el funcionamiento

Con el comando debug eigpr packets podemos observar el correcto funcionamiento de  la autenticacion.

R2#debug eigrp packets
EIGRP Packets debugging is on
    (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
R2#
*Mar  1 01:00:35.343: EIGRP: Sending HELLO on FastEthernet0/0
*Mar  1 01:00:35.343:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Mar  1 01:00:37.035: EIGRP: Sending HELLO on Loopback20
*Mar  1 01:00:37.035:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Mar  1 01:00:37.039: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1
*Mar  1 01:00:37.043:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0
*Mar  1 01:00:37.043: EIGRP: Packet from ourselves ignored
*Mar  1 01:00:37.515: EIGRP: received packet with MD5 authentication, key id = 1
*Mar  1 01:00:37.515: EIGRP: Received HELLO on FastEthernet0/0 nbr 192.168.1.1
*Mar  1 01:00:37.515:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0


Si en R1 cambiamos el key-string   entonces el debug nos arrojara un error de la siguiente forma.
R2#debug eigrp packets
EIGRP Packets debugging is on
    (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
R2#
*Mar  1 01:07:09.999: EIGRP: Sending HELLO on Loopback20
*Mar  1 01:07:09.999:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Mar  1 01:07:09.999: EIGRP: Received HELLO on Loopback20 nbr 192.168.20.1
*Mar  1 01:07:09.999:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0
*Mar  1 01:07:09.999: EIGRP: Packet from ourselves ignored
*Mar  1 01:07:11.423: EIGRP: Sending HELLO on FastEthernet0/0
*Mar  1 01:07:11.423:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Mar  1 01:07:11.531: EIGRP: pkt key id = 1, authentication mismatch
*Mar  1 01:07:11.531: EIGRP: FastEthernet0/0: ignored packet from 192.168.1.1, opcode = 5 (invalid authentication)
*Mar  1 01:07:14.855: EIGRP: Sending HELLO on Loopback20
*Mar  1 01:07:14.855:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0


Seudotag
MD5 EIGRP , autenticacion EIGRP , authentication EIGRP , key chain , key EIGRP , key-string , contraseña en EIGRP ,  cifrar EIGRP

7 comentarios:

  1. Tengo problemas al configurar la autenticacion no me reconoce el primer comando:

    key chain llavero_R1

    el router dice::

    % Invalid input detected at '^' marker.


    si me pudieran ayudar lo agradeceria mucho Gracias

    ResponderBorrar
  2. Hola
    Si estas colocando
    Router(config)#key chain llavero_R1
    <> y no te reconoce el comando key chain pude ser el IOS.
    Este comando funciona para Cisco IOS Software Release 11.2 y superior.

    Saludos

    ResponderBorrar
  3. el packet tracer 5.3 no tiene varios comandos como hold-time key chan supervista y varios mas que se usan en ccnp. a medida que pasa el tiempo se le agrega alguno que otro de a poco.

    ResponderBorrar
  4. El Packettracert es muy limitado, para realizar estos laboratorios se debe utilizar GNS3.
    Saludos.

    ResponderBorrar
  5. Hola una consulta alli donde esta en EIRPG 10 en el grafico ESO VENDRIA SER EL SISTEMA AUTONOMO CUANDO VAS A ENRUTAR???

    ResponderBorrar
  6. de paso se puede poner su key alas wan(seriales)?

    ResponderBorrar
  7. Muy bueno el aporte, mejor aun el sistema de esquema con los dibujos, me quedo clarisimo.

    saludos desde chile.
    atte Joel Alvarez

    ResponderBorrar