Actividad 2: OSPF con autentificación MD5

En la anterior actividad se pudo ver cómo los encaminadores que ejecutan OSPF descubren a sus vecinos e intercambian rutas. Esto permite que al añadir un router nuevo automáticamente pueda aprender la topología de la red, al tiempo que informa al resto de routers que a través de él es posible alcanzar nuevas redes.

Qué ocurriría si en una red con encaminadores OSPF se conecta un nuevo router que anuncia rutas falsas ? Si los encaminadores originales confiasen en este nuevo router, pronto adaptarian sus tablas de rutas para incluir información errónea, provocando un mal funcionamiento en la red. Por esto es necesario que el intercambio de mensajes OSPF haga uso de algún tipo de autentificación. Quagga permite utilizar autentificación MD5.

Autentificación con MD5

En el fichero de configuración de OSPF, es posible activar la autentificación MD5 por cada interfaz del encaminador.

Ejemplo:

! Declaración de una interfaz con autentificación MD5
!
interface eth0
	ip ospf authentication message-digest		! Activa la autentificación
	ip ospf message-digest-key 1 md5 ABCDEFGHIJK	! Fija el ID y la clave

interfaz eth1
	ip ospf authentication message-digest
	ip ospf message-digest-key 2 md5 OTRACLAVE

! Sección router
!
router ospf
	network 192.168.0.0/16 area 0.0.0.1
	area 0.0.0.1 authentication message-digest
	network 172.0.0.0/8 area 0.0.0.2
	area 0.0.0.2 authentication message-digest

Cuando se utiliza la autentificación MD5:

1. Nunca se puede atrasar la fecha/hora de un router. Se recomienda que los equipos estén ejecutando NTP.
2. Debe indicarse que se utilizará autentificación message-digest tanto en la sección de la interfaz como en el área correspondiente.
3. En la interfaz, se declarará:

• El ID de la clave, en el ejemplo anterior 1. El ID es parte del protocolo y debe ser consistente entre todos los encaminadores del enlace. El ID queda asociado con la clave.
• La clave a utilizar, en el ejemplo ABCDEFGHIJK. La clave estará formada por una cadena de hasta 16 carácteres. Si se utiliza una cadena más larga se truncará de forma automática. La clave está asociada con el ID.

Enunciado de la práctica:

Para poner en práctica la autentificación MD5 de los routers OSPF se pondrá en marcha el siguiente escenario:

Cada alumno será responsable de la configuración de un encaminador, de manera que:

1. La LAN del aula (192.168.11.0/24) se utilizará como área 0
2. Cada router estará conectado con el área 0 mediante su interfaz eth0
3. En cada router se utilizará OpenVPN en modo servidor funcionando en el puerto UDP 1194 para que otras estaciones puedan establecer un enlace. La interfaz local del servidor de túneles será tap0 y tendrá por IP la primera IP disponible de la red 172.16.X.0/24. Dicha interfaz formará parte del Área X.
4. Cada router establecerá VPN en modo cliente con otro servidor, la interfaz local de dicho túnel será tap1. Y tendrá una IP asignada por el servidor.
5. Se utilizará autentificación MD5 en todos los encaminadores y para todos los mensajes OSPF

Actividades

1. Asegúrese de que su estación tiene instalados los paquetes necesarios para utilizar OpenVPN y Quagga. Después compruebe que la estación no lanza durante el arranque los servicios correspondientes a protocolos de encaminamiento que no se vayan a utilizar. Disponga lo necesario para que su estación active el reenvío de paquetes (ip forwarding) de forma automática en cada arranque.
2. Escriba un fichero de configuración para zebra en el que:

• se define el hostname de su encaminador
• se define 'zebra' como contraseña para el usuario sin privilegios y 'supersecreto' para el usuario con privilegios administrativos
• Se declaran las interfaces eth0, tap0 y tap1
• Se declara como puerta de enlace por defecto a 192.168.11.8/24
• Se declara como fichero de registro a /var/log/quagga/zebra.log
• El demonio logrotate se encarga de la rotación de los ficheros de registro. Puede encontrar las configuraciones que utilizará para rotar los ficheros de diferentes servicios en /etc/logrotate.d. Compruebe que está preparado para rotar los ficheros de registro de zebra y ospfd.
• Arranque el demonio zebra y compruebe que arranca sin problemas

• se defina el hostname de su encaminador
• se define 'zebra' como contraseña para el usuario sin privilegios y 'supersecreto' para el usuario con privilegios administrativos
• Se declara como fichero de registro a /var/log/quagga/ospfd.log
• Se declara la interfaz eth0 perteneciente al área 0, utilizando la clave "AREA0" con ID 100 para la autentificación MD5
• Se utilizará como ID del router la dirección IP de la interfaz eth0
• Arranque el servicio ospfd, acceda a la consola de ospf (telnet localhost ospfd) y utilice el comando  show ip ospf database network para consultar la base de datos de su encaminador

• KEY_COUNTRY="ES", KEY_PROVINCE="CAT", KEY_CITY="Santa Coloma de Gramenet", KEY_ORG="IES Puig Castellar", KEY_EMAIL="<login>@iespuigcastellar.xeill.net", Organizatinal Unit="<login>", Common name="<login>CA"
• Una clave de servidor con nombre "servidor"
• Tres claves de cliente con nombre "cliente1", "cliente2" y "cliente3"
• Parámetros Diffie Hellman de 1024 bits
• Haga un archivo <login>_pki.tgz con el contenido del directorio keys y déjelo en valinor, en el interior de ~/public_html/c5/na2/a2

Tablas

Enlaces

• Documentación de Quagga: Configuración de OSPF