En las últimas semanas varias personas me han preguntado sobre rutas que aparecen y desaparecen misteriosamente. Por ejemplo
ruta de impresión Pasarela por defecto: 10.10.10.1 Dirección de la red Dirección de la puerta de enlace Máscara de subred Redirigir la vida 172.16.0.0 10.10.10.172 255.255.0.0 |
Figura 1 - tabla de ruta original |
Y luego...
ruta de impresión
Pasarela por defecto: 10.10.10.1
Dirección de la red Dirección de la puerta de enlace Máscara de subred Redirigir la vida
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 minutos
|
Figura 2 - ruta dinámica añadida |
Y 5 minutos después
ruta de impresión Pasarela por defecto: 10.10.10.1 Dirección de la red Dirección de la puerta de enlace Máscara de subred Redirigir la vida 172.16.0.0 10.10.10.172 255.255.0.0 |
Figura 3 - ruta dinámica eliminada |
Estas rutas dinámicas se añaden cuando la pila STCP recibe un mensaje de redireccionamiento ICMP de un enrutador diciéndole que use un enrutador diferente. Como se indica en la pantalla, las rutas tienen una duración de 5 minutos, por lo que después de 5 minutos se eliminan. Por supuesto que pueden volver inmediatamente si la pila recibe otro mensaje de redirección.
Para describir el proceso en detalle; digamos que el STCP se define con una ruta a la red 172.16.0.0/16 a través del enrutador 10.10.10.172. Además, hay otro enrutador en la red con la dirección IP 10.10.10.254. Me referiré a estos enrutadores como R-172 y R-254. Tanto R-172 como R-254 pueden alcanzar la red 172.16.0.0/16 pero R-172 usa una conexión T3 de alto ancho de banda mientras que R-254 usa un enlace RDSI de bajo ancho de banda.
Las rutas del STCP se parecen a la figura 1 de arriba, note que no hay una ruta explícita usando el R-254.
Cuando el enlace T3 de R-172 se cae ya no puede alcanzar la red 172.16.0.0/16 pero sabe que R-254 sí puede, así que cuando un paquete entra por 172.16.1.2 reenvía el paquete a R-254 y también envía un mensaje de redireccionamiento ICMP de vuelta al remitente. El remitente, STCP en este caso, construye una ruta de host dinámica indicando que para llegar a 172.16.1.2 necesita enviar el paquete a R-254, figura 2.
Dado que estas son rutas de host, cada host de la red 172.16.0.0/16 al que se le envía un paquete recibirá su propia ruta con su propio temporizador de 5 minutos. El comando de ruta muestra la vida útil restante actual para cada ruta.
ruta de impresión Pasarela por defecto: 10.10.10.1 Dirección de la red Dirección de la puerta de enlace Máscara de subred Redirigir la vida 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255 10.10.10.254 5 minutos 172.16.1.8 255.255.255.255 10.10.10.254 2 minutos 172.16.1.23 255.255.255.255 10.10.10.254 2 minutos 172.16.1.65 255.255.255.255 10.10.10.254 2 minutos 172.16.1.101 255.255.255.255 10.10.10.254 3 minutos 172.16.1.200 255.255.255.255 10.10.10.254 5 minutos |
Figura 4 - múltiples rutas de hospedaje |
Cuando el enlace T3 del R-172 aparece, lo que debería suceder es que los anfitriones que no tienen una ruta de anfitrión usen el R-172 ya que nunca pasó nada. Esos anfitriones con una ruta de anfitrión usan R-254 que sabe que el enlace de R-172 está de vuelta (los enrutadores intercambian el estado de la ruta entre ellos) y así reenvía el paquete a R-172. R-254 también debería enviar una redirección ICMP de vuelta al remitente resultando en una nueva ruta de host usando R-172 (figura 5).
ruta de impresión Pasarela por defecto: 10.10.10.1 Dirección de la red Dirección de la puerta de enlace Máscara de subred Redirigir la vida 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255 10.10.10.172 3 minutos 172.16.1.18 255.255.255.255 10.10.10.172 4 minutos 172.16.1.20 255.255.255.255 10.10.10.172 2 minutos |
Figura 5 - Rutas del host redirigidas de vuelta al router original |
Bajo algunas condiciones puede tener sentido que el STCP no cree ninguna ruta dinámica. Por ejemplo, ¿qué pasa si R-254 está caído y la información de R-172 es una entrada estática que nunca fue eliminada? En ese caso los paquetes a los hosts en la red 172.16.0.0/16 se caen cuando R-254 no puede ser alcanzado. Cuando el T3 de R-172 vuelve a subir, se da la situación de que esos hosts 172.16.0.0/16 sin una ruta de host son alcanzables pero los que tienen la ruta de host R-254 no lo son. Con el tiempo, a medida que las rutas del R-254 se agoten, más y más anfitriones serán alcanzables, pero tomará 5 minutos recuperarse completamente.
Algunos expertos en seguridad también consideran que las rutas dinámicas creadas de esta manera son un problema de seguridad. Cualquier host de la red puede enviar un mensaje de redirección ICMP, redirigiendo los paquetes a una puerta de enlace diferente, una en la que se pueden capturar paquetes con contenido sensible como, contraseñas o información de la cuenta.
Entonces, ¿hay alguna forma de evitar que se creen estas rutas?
Sí, el parámetro de configuración de STCP listen_redirects controla cómo STCP maneja los mensajes de redireccionamiento de ICMP. El parámetro por defecto "on" le dice a STCP que cree estas rutas dinámicas, el parámetro "off" le dice a STCP que ignore los mensajes de redirección ICMP.
as: list_stcp_params listen_redirects escuchar las redirecciones ICMP [off/on] (listen_redirects) en as: set_stcp_param listen_redirects off Cambiar las redirecciones de escucha de ICMP (listen_redirects) de arriba a abajo |
Figura 6 - estableciendo el parámetro listen_redirect STCP |
Tenga en cuenta que este parámetro afecta al sistema en su conjunto, no puede especificar que el STCP debe escuchar las redirecciones de algunos routers pero no de otros.