Durante l'esecuzione di una valutazione della vulnerabilità, sono incappato in attacchi di tabella di routing avvelenamento RIPv1. La raccomandazione è di utilizzare RIPv2 con l'autenticazione MD5. L'idea è che i percorsi devono essere autenticati da una password prima di diventare attivi.
Non è MD5 rotto? Non sono sicuro di raccomandare questo al cliente, è insicuro?
Non è davvero "rotto", ha solo problemi con le collisioni. Si consiglia di non usarlo perché è il non salato ed è molto veloce da hash. Ci vorrebbe ancora un molto tempo per craccare. Tuttavia, non si desidera utilizzarlo per le password se non è necessario.
MD5 non è mai stato rotto, ma è stato scoperto che potrebbero esserci collisioni generate, indebolendolo.
Suggerirei OSPFv3, consente SHA o MD5.
OSPF non è semplice come RIP, è pensato per reti più complesse, ma IMHO sarebbe una scelta di complessità / autenticazione molto buona.
Questo è un esempio di configurazione di cisco usando SHA-512 ( fonte )
interface GigabitEthernet 0/0
ospfv3 1 ipv4 authentication key-chain ospf-1
router ospfv3 1
address-family ipv6 unicast vrf vrf1
area 1 authentication key-chain ospf-1
area 1 virtual-link 1.1.1.1 authentication key-chain ospf-1
area 1 sham-link 1.1.1.1 authentication key-chain ospf-1
authentication mode deployment
!
key chain ospf-1
key 1
key-string ospf
cryptographic-algorithm hmac-sha-512
!
Leggi altre domande sui tag authentication server hash vulnerability-assessment