Configuration de l’authentification OSPF

Les étudiants sont généralement intéressés par les sniffeurs de paquets. Utilisez donc ce concept pour présenter la configuration de l'authentification OSPF. Les professeurs les plus aventureux peuvent illustrer l'utilisation de sniffeurs de paquets sur un mot de passe en texte clair. Analysez la commande suivante :

Router(config-if)#ip ospf message-digest-key 1 md5 7 asecret

La commande message-digest est requise pour que le mot de passe ne soit pas envoyé en texte clair. La commande message-digest-key id identifie le processus md5 exécuté car un routeur peut exécuter plusieurs instances d'authentification. Le chiffre 7 de cette commande fait référence au type de cryptage propriétaire de Cisco, suivi par le mot de passe asecret.

ATTENTION: La commande d'authentification est longue et si les étudiants appuient par inadvertance sur la touche Entrée ou la Barre d'espace, par exemple, cette action est prise en compte. Ceci peut représenter une leçon utile de dépannage.

Le TP de cette section permettra aux étudiants d'apprendre à configurer l'authentification OSPF.

Par défaut, un routeur s’attend à recevoir les informations de routage d’un autre routeur qui doit les lui envoyer. Il s’attend également à ce que ces informations ne soient pas altérées en chemin.

Pour sécuriser cet échange, les routeurs d’une zone spécifique peuvent être configurés pour s’authentifier mutuellement.

Chaque interface OSPF peut présenter une clé d’authentification à l’usage des routeurs qui envoient des informations OSPF aux autres routeurs du segment. La clé d’authentification, ou mot de passe, est une secret partagé entre les routeurs. Elle permet de générer les données d’authentification dans l’en-tête de paquet OSPF. Le mot de passe peut comporter jusqu’à huit caractères. Utilisez la syntaxe de commande suivante pour configurer l’authentification OSPF:

Router(config-if)#ip ospf authentication-key mot de passe

Une fois le mot de passe configuré, l’authentification doit être activée:

Router(config-router)#area numéro-de-zone authentication

Si vous configurez une authentification simple, le mot de passe est envoyé sous forme de texte en clair. Cela veut dire qu’il peut être facilement décodé si un analyseur de paquets capture un paquet OSPF.

Il est recommandé de crypter les informations d’authentification. Pour envoyer des informations d’authentification cryptées et pour renforcer la sécurité, le mot-clé MD5 (Message Digest 5) est utilisé. Le mot-clé MD5 spécifie le type d’algorithme de hachage (MD) à utiliser, et le champ de type de cryptage correspond au type de cryptage, où 0 signifie aucun et où 7 signifie propriétaire.

Utilisez la syntaxe de commande de configuration d’interface suivante:

Router(config-if)#ip ospf message-digest-key identificateur-de-clé type-d-encryption md5 clé

L'identificateur-de-clé est un identifiant dont la valeur est comprise entre 1 et 255. La clé est un mot de passe alphanumérique qui comporte jusqu’à seize caractères. Les routeurs voisins doivent utiliser le même identifiant de clé et la même valeur de clé.

La commande suivante est configurée en mode de configuration de routeur:

Router(config-router)#area id-de-zone authentication message-digest

L’authentification MD5 crée un condensé de message. Ce dernier est composé de données brouillées qui sont basées sur le mot de passe et sur le contenu du paquet. Le routeur récepteur utilise le mot de passe partagé et le paquet pour recalculer le condensé de message via l'algorithme MD5. Si les résultats (condensés de message) de l'application des algorithmes MD5 correspondent, le routeur détermine que la source et le contenu du paquet n’ont pas été altérés. L’authentification, si elle est utilisée, est identifiée par un champ type. Dans le cas de l’authentification par algorithme MD5, le champ de données d’authentification contient l’id de clé et la longueur du condensé de message qui est ajouté au paquet. L'algorithme MD5 est comme un filigrane infalsifiable.

Exercice: Configuration de l’authentification OSPF

Dans ce TP, les étudiants vont configurer l'authentification sous OSPF (Open Shortest Path First).

Activité en ligne: Configuration de l’authentification OSPF

Au cours de ce TP, l’étudiant va configurer un système d’adressage IP pour une zone OSPF, configurer et vérifier le routage OSPF, puis instaurer l’authentification OSPF dans la zone.

area authentication