基于Cisco網(wǎng)絡(luò)平臺(tái)的安全EIGRP路由配置

摘要:互聯(lián)網(wǎng)絡(luò)中的路由安全是網(wǎng)絡(luò)安全的核心內(nèi)容，路由器被攻擊會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，其破壞影響遠(yuǎn)遠(yuǎn)大于對(duì)單臺(tái)計(jì)算機(jī)或服務(wù)的攻擊。EIGRP是Cisco公司的一種專有路由協(xié)議，廣泛應(yīng)用于大中型的園區(qū)網(wǎng)絡(luò)。介紹了EIGRP路由協(xié)議的特點(diǎn)，分析了針對(duì)EIGRP路由可能的路由攻擊方式。以Cisco 3640路由器為背景，進(jìn)行了安全的EIGRP路由驗(yàn)證配置，使用DynamipsGUI2.8軟件對(duì)配置進(jìn)行了驗(yàn)證，結(jié)果表明，為EIGRP配置驗(yàn)證能夠有效地防止路由攻擊。

關(guān)鍵詞:EIGRP;路由攻擊;路由驗(yàn)證;Cisco 3640

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)05-1070-02

Cisco Network Platform Based on the Security of EIGRP Routing Configuration

PENG Zi-lin

(Hunan Normal University， History and Culture Institute， Changsha 410081， China)

Abstract: Routing in the Internet security is the core content of network security， router attack will lead to paralysis of the entire network， its impact is far more than the destruction of a single computer or service attack. EIGRP is a Cisco's proprietary routing protocol， is widely used in medium and large campus network. Describes the characteristics of EIGRP routing protocols， analysis of the possible route for the EIGRP routing attack. With Cisco 3640 router as the background to carry out a safe route EIGRP authentication configuration， use the DynamipsGUI2.8 software configuration has been verified results show that， in order to configure EIGRP authentication to prevent routing attacks effectively.

Key words: EIGRP; routing attacks; routing authentication; Cisco 3640

隨著互聯(lián)網(wǎng)規(guī)模與內(nèi)容的高速發(fā)展，越來(lái)越多的應(yīng)用程序依賴于互聯(lián)網(wǎng)絡(luò)，互聯(lián)網(wǎng)的可用性和安全性對(duì)依賴于它的應(yīng)用程序來(lái)說(shuō)十分重要。為了保證網(wǎng)絡(luò)的安全性，各種網(wǎng)絡(luò)安全手段不斷被推出和應(yīng)用，如防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、安全操作系統(tǒng)等。這些技術(shù)有效保證了處于網(wǎng)絡(luò)中的應(yīng)用的安全，但是對(duì)于網(wǎng)絡(luò)本身卻缺乏有效的保護(hù)手段。

計(jì)算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)組成[1]，所謂通信子網(wǎng)就是計(jì)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分;資源子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶的部分，負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作;而通信雙方必須共同遵守的規(guī)則和約定就稱為通信協(xié)議，它的存在與否是計(jì)算機(jī)網(wǎng)絡(luò)與一般計(jì)算機(jī)互連系統(tǒng)的根本區(qū)別。目前大部分的網(wǎng)絡(luò)安全技術(shù)都是保護(hù)資源子網(wǎng)的內(nèi)容，而對(duì)通信子網(wǎng)的保護(hù)手段相對(duì)缺乏，主要依靠路由器本身的安全防御技術(shù)，如路由驗(yàn)證。

首先介紹了EIGRP路由協(xié)議的特點(diǎn)以及路由攻擊的基本原理，以Cisco 3640路由器為背景，進(jìn)行了安全的EIGRP路由驗(yàn)證配置，使用DynamipsGUI2.8軟件對(duì)配置進(jìn)行了驗(yàn)證。

1 EIGRP路由協(xié)議介紹

1.1 路由的基本概念

給定網(wǎng)絡(luò)G(V，E)，V是節(jié)點(diǎn)集，|V|=N，E是邊集，|E| = M.P是路徑集對(duì)源節(jié)點(diǎn)S∈V及目的節(jié)點(diǎn)T∈V，找一條從S到T的路徑p∈P，使得開銷最小，而所有約束都能滿足[2]。設(shè)對(duì)每一個(gè)邊(u v) ∈E，有損失函數(shù)cost(u，v)及權(quán)向量(w1，w2，...，wk)，則要求:

最小化:

滿足約:

1.2 路由協(xié)議分類

網(wǎng)絡(luò)路由有多種分類。按網(wǎng)絡(luò)性質(zhì)可分為多計(jì)算機(jī)系統(tǒng)路由、有線網(wǎng)絡(luò)路由和無(wú)線網(wǎng)絡(luò)路由。網(wǎng)絡(luò)路由按通信方式分，可以分為單播路由、多播路由及Anycast 路由。網(wǎng)絡(luò)路由按路由算法來(lái)分，可以分為源路由算法、分布式路由算法和分級(jí)路由算法。[2]

1.3 EIGRP路由協(xié)議

EIGRP(Enhanced Interior Gateway Routing Protocol)即增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由協(xié)議，它是從IGRP(Interior Gateway Routing Protocol)改進(jìn)而來(lái)，都是屬于Cisco公司的專有路由協(xié)議。雖然EIGRP很多情況下都是與OSPF進(jìn)行比較，但EIGRP屬于距離矢量路由協(xié)議，而OSPF是鏈路狀態(tài)路由協(xié)議。

EIGRP結(jié)合了距離矢量和鏈路狀態(tài)的優(yōu)點(diǎn)以加快收斂，所使用的方法是DUAL(Diffusing Update Aigorithm)，當(dāng)路徑更改時(shí)DUAL會(huì)傳送變動(dòng)的部分而不是整個(gè)路徑表，而Router都有儲(chǔ)存鄰近的路徑表，當(dāng)路徑變動(dòng)時(shí)，Router可以快速地反應(yīng)，EIGRP也不會(huì)周期性地傳送變動(dòng)訊息以節(jié)省頻寬的使用，另外值得特別指出的是EIGRP具有支持多個(gè)網(wǎng)絡(luò)層的協(xié)議，例如IP層對(duì):IP層、IPX層對(duì)IPX層、AppleTalk的RTMP對(duì)RTMP，如圖1所示。

EIGRP協(xié)議具有以下優(yōu)點(diǎn)[3]:

1) EIGRP可以根據(jù)優(yōu)先級(jí)不同，自動(dòng)匹配流量。

2) 使用EIGRP 協(xié)議組建網(wǎng)絡(luò)，路由器配置非常簡(jiǎn)單，沒有復(fù)雜的區(qū)域設(shè)置，也無(wú)需針對(duì)不同網(wǎng)絡(luò)接口類型實(shí)施不同的配置方法。使用EIGRP 協(xié)議只需使用router eigrp命令在路由器上啟動(dòng)EIGRP 路由進(jìn)程，然后再使用network 命令使能網(wǎng)絡(luò)范圍內(nèi)的接口即可。

3) EIGRP路由的發(fā)送使用增量發(fā)送方法，當(dāng)路徑信息改變以后，DUAL只發(fā)送那條路由信息改變了的更新，而不是發(fā)送整個(gè)路由表。發(fā)送的路由更新報(bào)文采用可靠傳輸，如沒有收到確認(rèn)信息則重新發(fā)送，直至確認(rèn)。EIGRP還可以對(duì)發(fā)送的EIGRP報(bào)文進(jìn)行控制，減少EIGRP報(bào)文對(duì)接口帶寬的占用率，從而避免連續(xù)大量發(fā)送路由報(bào)文而影響正常數(shù)據(jù)業(yè)務(wù)的事情發(fā)生。

4) EIGRP 協(xié)議由于使用了DiffusingUpdate (DUAL)算法，EIGRP 在路由計(jì)算時(shí)，只會(huì)對(duì)發(fā)生變化的路由進(jìn)行重新計(jì)算。路由器使用EIGRP來(lái)存儲(chǔ)所有到達(dá)目的地的備份路由，以便進(jìn)行快速切換。如果沒有合適的或備份路由在本地路由表中的話，路由器向它的鄰居進(jìn)行查詢來(lái)選擇一條備份路由，使得路由計(jì)算的收斂時(shí)間也有好的保證。

2 路由攻擊原理

2.1 路由安全問題

路由算法的核心目的在于為網(wǎng)絡(luò)數(shù)據(jù)分組選擇有效的傳輸路由。按照其設(shè)計(jì)思想，在網(wǎng)絡(luò)安全方面存在著一定的漏洞[4]。主要表現(xiàn)如下:

1) 對(duì)路由表的過分依賴。在絕大多數(shù)情況下，路由表是路由算法的基礎(chǔ)。只要路由表提供的信息不正確，再高明的路由算法也難以保證結(jié)果的正確。而路由表是在網(wǎng)上廣泛傳輸?shù)模灰獝阂夤粽哌M(jìn)人網(wǎng)絡(luò)，就很容易獲取路由信息。這為維護(hù)路由表信息的正確性帶來(lái)了困難。

2) 法對(duì)相鄰節(jié)點(diǎn)盲目信任關(guān)系。大量網(wǎng)絡(luò)狀態(tài)信息來(lái)自于其它節(jié)點(diǎn)，特定節(jié)點(diǎn)的路由算法直接利用相鄰節(jié)點(diǎn)傳來(lái)的網(wǎng)絡(luò)狀態(tài)信息，這為針對(duì)這種信任關(guān)系的欺騙創(chuàng)造了條件。

3) 算法直接關(guān)系到網(wǎng)絡(luò)負(fù)載與流量。經(jīng)過惡意修改的路由表很容易造成網(wǎng)絡(luò)部分鏈路的阻塞，或者某些節(jié)點(diǎn)拒絕服務(wù)。

4) 路由算法對(duì)拓?fù)渥兓磻?yīng)需要一定的時(shí)間。這為針對(duì)算法收斂性與適應(yīng)性的攻擊提供了條件。如以一定速率對(duì)網(wǎng)絡(luò)不同鏈路實(shí)施阻塞，導(dǎo)致路由算法頻繁計(jì)算路由，而無(wú)法提供數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)。

5) 由器依靠不安全的網(wǎng)絡(luò)協(xié)議(如TCP協(xié)議，UDP協(xié)議等)傳輸路由信息。針對(duì)這類不安全協(xié)議的攻擊同樣可用于對(duì)路由系統(tǒng)的攻擊。

2.2 路由攻擊原理

由于網(wǎng)絡(luò)路由存在著不少安全漏洞，因此，針對(duì)路由系統(tǒng)的網(wǎng)絡(luò)攻擊方法也有許多。常見的網(wǎng)絡(luò)路由攻擊方法有:路由表偽造攻擊、路由欺騙攻擊、拒絕服務(wù)攻擊、路由振蕩攻擊、過時(shí)路由表重發(fā)攻擊等。其中最常見的攻擊有路由表偽造攻擊和路由欺騙攻擊。

路由表偽造攻擊是入侵方在對(duì)網(wǎng)絡(luò)路由協(xié)議分析的基礎(chǔ)上，識(shí)別出路由協(xié)議中的路由表，然后按照相應(yīng)的協(xié)議要求，構(gòu)造虛假的路由表，并向網(wǎng)絡(luò)中其它節(jié)點(diǎn)發(fā)送。通過虛假的路由表，引起網(wǎng)絡(luò)其它節(jié)點(diǎn)路由表的錯(cuò)誤更新，從而使網(wǎng)絡(luò)路由系統(tǒng)發(fā)生混亂甚至崩潰的攻擊方式。

路由欺騙攻擊是通過偵察、截獲網(wǎng)絡(luò)中的路由表，按照偵察或攻擊需求，更改路由表中的部分信息，然后再發(fā)送出去。通過這種攻擊，可以誘騙網(wǎng)絡(luò)路由器，使其按照攻擊方需要的信息傳輸路徑發(fā)送信息。為網(wǎng)絡(luò)偵察與信息獲取提供了方便。

3 EIGRP 路由驗(yàn)證配置

EIGRP路由協(xié)議支持兩種驗(yàn)證方式:簡(jiǎn)單驗(yàn)證和MD5驗(yàn)證。簡(jiǎn)單驗(yàn)證的密碼以明文的方式將密碼傳給鄰居路由器，因此密碼很容易被嗅探到，很不安全。使用MD5方式的驗(yàn)證能夠保證密碼不會(huì)被惡意竊聽，能夠提供比較高的安全保證。

在EIGRP中配置使用MD5驗(yàn)證的過程如下:

1) 在接口模式下對(duì)EIGRP協(xié)議指定MD5驗(yàn)證方式:

命令:ip authentication mode eigrp autonomous-system md5

2) 指定EIGRP驗(yàn)證的密鑰:

命令:ip authentication key-chain eigrp autonomous-system name-of-chain

3) 配置密鑰鏈:

命令:key chain name-of-chain

key key-id

key-string text

4) 制定密鑰有效時(shí)間:

accept-lifetime start-time {infinite | end-time | duration seconds}

send-lifetime start-time {infinite | end-time | duration seconds}

使用DynamipsGUI2.8對(duì)EIGRP驗(yàn)證進(jìn)行模擬，拓?fù)淙鐖D2所示。實(shí)驗(yàn)結(jié)果表明，攻擊路由器在沒有正確配置MD5密碼的情況下，無(wú)法對(duì)其他路由器進(jìn)行路由干擾，無(wú)法實(shí)現(xiàn)路由破壞。

4 總結(jié)

EIGRP廣泛適用于各種大中型園區(qū)網(wǎng)絡(luò)，它與OSPF相比有很多優(yōu)點(diǎn)，但是由于其是Cisco專有協(xié)議，沒有對(duì)外開放，限制了它的廣泛普及。在EIGRP中可以輕松的配置MD5路由驗(yàn)證，為路由器的安全和網(wǎng)絡(luò)的穩(wěn)定提供了保障。但是隨著云計(jì)算的發(fā)展，使得破解MD5只是時(shí)間問題，因此路由驗(yàn)證安全還有待進(jìn)一步研究和發(fā)展。

參考文獻(xiàn):

[1] 雷震甲.網(wǎng)絡(luò)工程師教程[M].2版.北京:清華大學(xué)出版社，2006.

[2] 閔應(yīng)驊. 計(jì)算機(jī)網(wǎng)絡(luò)路由研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2003，26(6):641-649.

[3] 李彥華，黃華，王玉，等.EIGRP與OSPF兩種動(dòng)態(tài)路由協(xié)議的分析比較[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006，16(10):35-37.

[4] 楊紅娃.網(wǎng)絡(luò)路由攻擊原理[J].通信對(duì)抗，2005(3):48-53.