Otentikasi EIGRP

  • By Unknown
  • Postado Jumat, 06 Agustus 2010 at 13.57

Otentikasi Router

  • Beberapa protokol routing mendukung otentikasi supaya router dapat meng-otentikasi router sumber/pengirim dari setiap paket update routing yang diterima.
  • Otentikasi sederhana menggunakan password di dukung oleh:
    • IS-IS
    • OSPF
    • RIPv2
  • Otentika dengan MD5 didukung oleh:
    • OSPF
    • RIPv2
    • BGP
    • EIGRP
Secara default, tidak ada otentikasi yang diaktifkan untuk paket-paket protokol routing. Ketika otentikasi router neighbor telah diaktifkan, maka router akan meng-otentikasi sumber pengirim dari setiap paket update yang diterima, hal ini dapat dijalankan dengan cara saling bertukar kunci (password) otentikasi yang dikenali oleh router pengirim dan penerima.
Ada 2 tipe otentikasi: password otentikasi sederhana dan otentikasi MD5.


Password Sederhana vs. Otentikas MD5

  • Password otentikasi sederhana :
    • Router mengirim paket dan kunci
    • Neighbor mengecek apakah key yang dikirimkan sesuia dengan key yang dimiliki.
    • Proses otentikasi seperti ini kurang aman.
  • Otentikasi MD5:
    • Key (password) dan Key ID dikonfigurasi; router menghasilkan message digest atau hash dari key,Key ID dan data.
    • Message digest dikirimkan bersamaan dengan paket; key tidak dikirimkan
    • Proses otentikasi lebih aman.
Dengan otentikasi sederhana, sebuah password (key) dikonfigurasi pada router; setiap router neighbor yang berpartisipasi dalam proses routing harus dikonfigurasi dengan menggunakan password (key) yang sama.
Otentikasi MD5 termasuk otentikasi cryptographic. Sebuah password (key) dan key ID dikonfigurasi pada setiap router. Router menggunakan algoritma berdasarkan pada paket protokol routing, key dan key ID untuk menghasilkan message digest (disebut juga hash) yang akan ditambahkan pada paket. Tidak seperti otentikasi sederhana, password (key) tidak dikirim melintasi kabel, sebagai gantinya yang dikirimkan adalah message digest yang pasti tidak ada seorangpun yang dapat “mencuri dengar” atau mempelajari key pada saat transmisi.

Otentikasi MD5

  • EIGRP mendukung otentikasi MD5.
  • Router menghasilkan dan mengecek setiap paket EIGRP. Router mengotentikasi pengirim untuk setiap paket update yang diterima.
  • Sebuah key (password) dan key ID dikonfigurasi; setiap neighbor yang berpartisipasi dalam proses routing harus memiliki dikonfigurasi dengan key yang sama.
Otentikasi neighbor EIGRP dapat dikonfigurasi supaya router-router neighbor dapat ikut berpartisipasi dalam proses routing menggunakan password yang telah ditentukan. Secara default, tidak ada otentikasi untuk setiap paket EIGRP. EIGRP dapat dikonfigurasi agar menggunakan otentikasi MD5.
Ketika otentikasi neighbor telah dikonfigurasi pada sebuah router, router akan mengotentikasi pengirim dari setiap paket update yang diterima. Untuk otentikasi MD5 pada EIGRP, key(password) dan key ID harus dikonfigurasi pada kedua router pengirim dan penerima.
Otentikasi MD5 pada EIGRP:
  • Router menghasilkan message digest/hars berdasarkan key,key ID, dan message.
  • Pengaturan key pada EIGRP dapat dilakukan dengan memanfaatkan key chains.
  • Tentukan key ID (number), key, dan lifetime (waktu hidup) dari key tersebut.
  • Key valid pertama yang telah diaktifkan akan digunakan.
Setiap key memiliki key ID sendiri-sendiri yang tersimpan pada router lokal. Kombinasi dari key ID dan interface yang bersesuaian dengan message akan secara unik mengidentifikasikan algoritma otentikasi dan key yang digunakan pada otentikasi MD5.
EIGRP memungkinkan pengaturan key dengan menggunakan key chains. Setiap definisi key dalam key chain dapat menentukan interval waktu dimana key tersebut akan diaktifkan. Kemudian selama umur hidup sebuah key, paket update routing akan dikirimkan menggunakan key yang telah diaktifkan tersebut. Hanya satu paket otentikasi yang dikirimkan, terlepas dari berapa banyak key valid yang ada. Software akan memeriksa nomor key dengan urutan dari yang paling kecil sampai paling besar, dan akan menggunakan key valid yang pertama yang ditentukan.
Key-key tidak dapat digunakan pada periode dimana key tidak diaktifkan. Karena itu, direkomendasikan agar untuk setiap key chain, waktu pengaktifan key saling tumpang tindih untuk menghindari adanya periode waktu dimana tidak terdapat key yang aktif. Jika ada periode dimana tidak terdapat satupun key yang aktif, maka otentikasi neighbor tidak dapat terjadi, dan karena itu update routing tidak akan berjalan.
Perlu diingat bahwa router-router harus tahu waktu untuk dapat merotasi key-key yang digunakan dalam sinkronisasi dengan router-router lain, sehingga semua router akan menggunakan key yang sama pada waktu yang sama. Manfaatkan NTP untuk membantu konfigurasi waktu pada router.

Mengkonfigurasi Otentikasi MD5 pada EIGRP

Router(config-if)#
ip authentication mode eigrp autonomous-system md5
  • Menentukan otentikasi MD5 untuk paket-paket EIGRP
Router(config-if)#
ip authentication key-chain eigrp autonomous-system name-of-chain
  • Meng-enable otentikasi paket EIGRP menggunakan key dalam keychain.
Router(config)#
key chain name-of-chain
  • Memasuki mode konfigurasi keychain
Router(config-keychain)#
key key-id
  • Mengidentifikasi key dan memasuki mode konfigurasi keyid
Router(config-keychain-key)#
key-string text
  • Menentukan key string (password)
Router(config-keychain-key)#
accept-lifetime start-time {infinite | end-time | duration seconds}
  • Optional: menentukan kapan key dapat digunakan untuk paket-paket yang diterima.
Router(config-keychain-key)#
send-lifetime start-time {infinite | end-time | duration seconds}
  • Optional: menentukan kapan key dapat digunakan untuk mengirim paket.
Untuk mengkonfigurasi otentikasi MD5 pada EIGRP, ikuti langkah-langkah berikut:
  1. Masuki mode konfigurasi untuk interface dimana otentikasi akan diterapkan.
  2. Tentukan otentikasi MD5 bagi paket EIGRP dengan menggunakan perintah ip authentication mode eigrp md5, seperti pada contoh diatas.
  3. Aktifkan otentikasi paket-paket EIGRP dengan key yang telah ditentukan dalam key chain dengan perintah ip authentication key-chain eigrp, seperti pada contoh.
  4. Masuk kedalam mode konfigurasi key chain dengan menggunakan perintah key chain.
  5. Tentukan key ID yang akan digunakan, dan masuk ke mode konfigurasi key tersebut dengan perintah key key-id.
  6. Tentukan key string (password) untuk key tersebut dengan perintah key-string seperti pada contoh diatas.
  7. Optional, tentukan periode waktu dimana key ini dapat digunakan untuk menerima paket dengan perintah accept-lifetime seperti pada contoh diatas.
  8. Optional, tentukan periode waktu dimana key ini dapat digunakan untuk mengirim paket dengan menggunakan perintah send-lifetime seperti pada contoh diatas.
These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google
  • Furl
  • Reddit
  • Spurl
  • StumbleUpon
  • Technorati
Tags: