En las últimas semanas, varias personas me han preguntado sobre rutas que aparecen misteriosamente y luego desaparecen. Por ejemplo:
imprimir ruta Puerta de enlace predeterminada: 10.10.10.1 Dirección de red Dirección de puerta de enlace Máscara de subred Redireccionamiento Vida útil 172.16.0.0 10.10.10.172 255.255.0.0 |
| Figura 1: tabla de enrutamiento original |
Y luego
imprimir ruta
Puerta de enlace predeterminada: 10.10.10.1
Dirección de red Dirección de puerta de enlace Máscara de subred Redireccionamiento Vida útil
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 minutos
|
| Figura 2: ruta dinámica añadida |
Y 5 minutos después
imprimir ruta Puerta de enlace predeterminada: 10.10.10.1 Dirección de red Dirección de puerta de enlace Máscara de subred Redireccionamiento Vida útil 172.16.0.0 10.10.10.172 255.255.0.0 |
| Figura 3: ruta dinámica eliminada |
Estas rutas dinámicas se añaden cuando la pila STCP recibe un mensaje de redireccionamiento ICMP de un enrutador que le indica que utilice un enrutador diferente. Como se indica en la pantalla, las rutas tienen una duración de 5 minutos, por lo que después de 5 minutos se eliminan. Por supuesto, pueden volver inmediatamente si la pila recibe otro mensaje de redireccionamiento.
Para describir el proceso en detalle, supongamos que STCP se define con una ruta a la red 172.16.0.0/16 a través del enrutador 10.10.10.172. Además, hay otro enrutador en la red con la dirección IP 10.10.10.254. Me referiré a estos routers como R-172 y R-254. Tanto el R-172 como el R-254 pueden llegar a la red 172.16.0.0/16, pero el R-172 utiliza una conexión T3 de gran ancho de banda, mientras que el R-254 utiliza un enlace ISDN de bajo ancho de banda.
Las rutas STCP se ven como en la figura 1 arriba, fíjate que no hay una ruta explícita usando R-254.
Cuando el enlace T3 de R-172 se cae, ya no puede acceder a la red 172.16.0.0/16, pero sabe que R-254 sí puede, por lo que cuando llega un paquete para 172.16.1.2, lo reenvía a R-254 y también envía un mensaje ICMP de redireccionamiento al remitente. El remitente, STCP en este caso, crea una ruta de host dinámica que indica que para llegar a 172.16.1.2 necesita enviar el paquete a R-254, figura 2.
Dado que se trata de rutas de host, cada host de la red 172.16.0.0/16 al que se envíe un paquete obtendrá su propia ruta con su propio temporizador de 5 minutos. El comando route muestra el tiempo de vida restante actual para cada ruta.
imprimir ruta Puerta de enlace predeterminada: 10.10.10.1 Dirección de red Dirección de puerta de enlace Máscara de subred Redirigir Vida útil 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255 10.10.10.254 5 minutos 172.16.1.8 255.255.255.255 10.10.10.254 2 minutos 172.16.1.23 255.255.255.255 10.10.10.254 2 minutos 172.16.1.65 255.255.255.255 10.10.10.254 2 minutos 172.16.1.101 255.255.255.255 10.10.10.254 3 minutos 172.16.1.200 255.255.255.255 10.10.10.254 5 minutos |
| Figura 4: rutas de múltiples hosts |
Cuando se activa el enlace T3 del R-172, lo que debería ocurrir es que los hosts que no tienen una ruta de host utilicen el R-172 como si nada hubiera pasado. Los hosts con una ruta de host utilizan el R-254, que sabe que el enlace del R-172 está de nuevo operativo (los routers intercambian el estado de las rutas entre sí) y, por lo tanto, reenvía el paquete al R-172. El R-254 también debe enviar una redirección ICMP al remitente, lo que da como resultado una nueva ruta de host que utiliza el R-172 (figura 5).
imprimir ruta Puerta de enlace predeterminada: 10.10.10.1 Dirección de red Dirección de puerta de enlace Máscara de subred Redirigir Vida útil 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255 10.10.10.172 3 minutos 172.16.1.18 255.255.255.255 10.10.10.172 4 minutos 172.16.1.20 255.255.255.255 10.10.10.172 2 minutos |
| Figura 5: rutas del host redirigidas de vuelta al router original. |
En determinadas condiciones, puede tener sentido que STCP no cree ninguna ruta dinámica. Por ejemplo, ¿qué ocurre si R-254 está inactivo y la información de R-172 es una entrada estática que nunca se ha eliminado? En ese caso, los paquetes destinados a los hosts de la red 172.16.0.0/16 simplemente se descartan cuando no se puede acceder a R-254. Cuando el T3 de R-172 vuelve a funcionar, se da la situación de que los hosts 172.16.0.0/16 sin ruta de host son accesibles, pero los que tienen la ruta de host R-254 no lo son. Con el tiempo, a medida que las rutas R-254 agotan su tiempo de espera, cada vez más hosts serán accesibles, pero se tardará 5 minutos en recuperarse por completo.
Algunos expertos en seguridad también consideran que las rutas dinámicas creadas de esta manera suponen un problema de seguridad. Cualquier host de la red puede enviar un mensaje de redireccionamiento ICMP, redirigiendo los paquetes a una puerta de enlace diferente, en la que se pueden capturar paquetes con contenido confidencial, como contraseñas o información de cuentas.
¿Hay alguna forma de evitar que se creen estas rutas?
Sí, el parámetro de configuración listen_redirects de STCP controla cómo STCP gestiona los mensajes de redireccionamiento ICMP. La configuración predeterminada «on» indica a STCP que cree estas rutas dinámicas, mientras que la configuración «off» indica a STCP que ignore los mensajes de redireccionamiento ICMP.
como: list_stcp_params listen_redirects escuchar redireccionamientos ICMP [desactivado/activado] (listen_redirects) activado como: set_stcp_param listen_redirects desactivado Cambiar escuchar redireccionamientos ICMP (listen_redirects) de activado a desactivado |
| Figura 6: configuración del parámetro STCP listen_redirect |
Tenga en cuenta que este parámetro afecta al sistema en su conjunto, no se puede especificar que STCP escuche las redirecciones de algunos enrutadores pero no de otros.