Um dos protocolos de roteamento cobrados na certificação Cisco CCNA é o OSPF ou Open Shortest Path First, o qual é um protocolo aberto baseado no algorítmo de Djakstra.
Por padrão o OSPF não utiliza esquemas de autenticação quando habilitamos ele no IOS da Cisco, porém existem 2 métodos de autenticação que podem ser utilizados opcionalmente para aumentar a segurança da troca de informações de roteamento entre os roteadores OSPF, conforme veremos na sequência.
Para aumentar a segurança do protocolo OSPF você pode configurar a autenticação de pacotes com ou sem criptografia, possibilitando que os routers participem de domínios de roteamento baseados em senhas pré-configuradas pelo administrador com maior ou menor segurança.
Autenticação Simples (em texto claro)
Nesse primiero método as chaves são trocadas em texto claro e podem ser interceptadas e decodificadas facilmente. Exemplo de configuração:
R2>enable R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface loopback 0 R2(config-if)#ip address 10.1.1.1 255.255.255.255 R2(config-if)#interface fast 0/0 R2(config-if)#ip address 10.10.1.1 255.255.255.0 R2(config-if)#ip ospf authentication-key senhasec R2(config-if)#! R2(config-if)#router ospf 10 R2(config-router)#network 10.10.1.0 0.0.0.255 area 0 R2(config-router)#area 0 authentication R2(config-router)#end R2#
Autenticação Forte (com hash MD-5)
Já na segunda opção os routeres utilizam um algoritmo baseado no próprio pacote OSPF, na chave e no ID da chave para gerar um “message digest” ou hash MD5, o qual é inserido no pacote e enviado para a outra ponta. Portanto, se o pacote for interceptado o atacante não terá a senha e sim um hash baseado em uma senha. Exemplo de configuração:
interface loopback 0 ip address 10.1.1.1 255.255.255.255 ! interface fast 0/0 ip address 10.10.1.1 255.255.255.0 ip ospf message-digest-key 2 md5 senhasecreta ! router ospf 10 network 10.10.1.0 0.0.0.255 area 0 area 0 authentication message-digest
Com certeza a segunda opção de configuração é a mais recomendada e documentada nas bibliografias, porém tudo depende do que seus equipamentos suportam, pois é melhor uma autenticação fraca que nenhuma autenticação.
E se você quer aprender mais sobre roteadores e switches Cisco venha estudar conosco. Nosso Curso CCNA Online cobre toda a matéria do CCNA e você ainda terá a sua disposição diversos recursos para melhorar o seu aprendizado. Simulados onlines, práticas em simuladores, fóruns de discussão e instrutores certificados para tirar suas dúvidas online.
