Mientras realizaba una evaluación de vulnerabilidad, me topé con ataques de tabla de enrutamiento de envenenamiento RIPv1. La recomendación es utilizar RIPv2 con autenticación MD5. La idea es que las rutas deben autenticarse con una contraseña antes de activarse.
¿No está roto el MD5? Me siento inseguro al recomendar esto al cliente, ¿es esto inseguro?
No está realmente "roto", solo tiene problemas con las colisiones. Se recomienda que no lo use porque es sin sal y es muy rápido para hacer hash. Todavía llevaría un muy mucho tiempo para romper. Aún así, no desea utilizarlo para contraseñas si no tiene que hacerlo.
MD5 nunca se rompió, pero se descubrió que se podrían generar colisiones y, por lo tanto, debilitarlo.
Sugeriría OSPFv3, permite SHA o MD5.
OSPF no es tan simple como RIP, está diseñado para redes más complejas, pero en mi humilde opinión sería una muy buena opción de seguridad de autenticación / complejidad.
Esta es una muestra de configuración de cisco que usa SHA-512 ( source )
interface GigabitEthernet 0/0
ospfv3 1 ipv4 authentication key-chain ospf-1
router ospfv3 1
address-family ipv6 unicast vrf vrf1
area 1 authentication key-chain ospf-1
area 1 virtual-link 1.1.1.1 authentication key-chain ospf-1
area 1 sham-link 1.1.1.1 authentication key-chain ospf-1
authentication mode deployment
!
key chain ospf-1
key 1
key-string ospf
cryptographic-algorithm hmac-sha-512
!
Lea otras preguntas en las etiquetas authentication hash vulnerability-assessment server