我知道要保护OSPF,您应该1)使用OSPF身份验证,2)在没有ospf邻居的接口上使用被动接口命令。如果我仅使用被动接口命令而不使用ospf身份验证,那么我仍然面临哪些漏洞?

#1 楼

一个问题是,身份验证可确保只有受信任的设备才能交换网络上的路由。如果不进行身份验证,则可能会引入不受信任的设备,并导致严重的路由问题。例如:

如果未对区域0进行身份验证,则将区域0中的路由器附加到null0的虚假路由。您甚至可以创建默认路由,并将其注入拓扑中,从而导致不良的路由器进入黑洞流量。否则,该路由可能会迫使流量流向旨在侦听连接的虚假网关,并在不正确的数据将其发送到正确的路径之前提取不安全的数据。

身份验证可确保只有您知道并信任的路由器才能交换信息。 br />

评论


@NetworkingNerd上的位置-具有身份验证和非被动接口比反向更好。

– Paul Gear
13年5月8日在8:03

但是,进行身份验证会使网络头痛。被动接口加上良好的物理安全性(即对设备的安全访问)就足够了。

– sikas
13年11月29日在9:38

#2 楼

这取决于您的网络拓扑。如果非被动链路是隔离的(点对点)并固定在堆栈的较低层(路由器的物理访问控制),那么我将很难确定可行的攻击媒介。当流氓路由器可能在给定链路上呈现任意流量时,身份验证至关重要。

#3 楼

如果有人要访问实际设备,并以某种方式在链接的远端插入另一台设备,那将使他们能够访问您的网络,将路由注入到路由表中,以及诸如此类的其他讨厌的东西。
这样的情况在诸如安全位置的骨干网之类的地方是非常合理的,但是如果链接转到客户或另一个第三方,则某种身份验证可能是非常明智的。 />

#4 楼

如果我们假设您的1-3层比OSPF身份验证安全,则没有任何意义。但是由于1-3层不一定是安全的,OSPF采用了它自己的安全方法-身份验证。

OSPF中的身份验证可防止攻击者嗅探数据包并将其注入愚蠢的路由器并修改OSPF拓扑。例如,结果是:如果攻击者以某些/所有流量流过由他控制的计算机的方式更改拓扑,则可能是MITM。当攻击者丢弃流经他的流量时拒绝服务。另一个结果可能是攻击者迅速宣布新信息时所有路由器崩溃,尽管这可以通过调整SPF计时器来部分解决。

身份验证还可以防止重放攻击,例如,它可以防止攻击者发布过期信息。从过去。此外,它还可以通过将路由器从具有现有OSPF配置的另一个网络中插入路由器来避免混乱,例如,它可以注入重叠的路由(由于这样做,即使您保护了1-3层,身份验证也很不错)。

#5 楼


是否可以加密OSPF?


OSPFv2仅支持身份验证。即使使用身份验证,您仍然可以看到LSA的有效负载。身份验证唯一要做的就是对邻居进行身份验证。没有有效载荷加密。
RFC 4552:


OSPF(开放式最短路径优先)版本2在其协议标头中定义了AuType和Authentication字段,以提供安全性。
在OSPF for IPv6(OSPFv3)中,两个身份验证字段都已从OSPF标头中删除。 OSPFv3依靠IPv6身份验证标头(AH)和IPv6封装安全有效载荷(ESP)来提供完整性,身份验证和/或机密性。通过IPSec。

#6 楼

一旦将接口设置为被动,就不会有太大的希望。身份验证确实增加了两个可能的麻烦因素:

CPU利用率-这不一定是一个大问题,但在进行计算时不应忘记。但是,如果您运行的网络收敛时间比您想要的长,那么每一点都很重要。

故障排除。容易遗漏某些东西,并且会减慢建立新连接,更换路由器等的速度。

如果您担心OSPF会被嗅探并被恶意入侵者注入数据,则应该运行比身份验证更强大的功能:从运行实际的加密开始,而不是从OSPFv2获得的较弱的MD5开始,并且BGP对于不受信任的链接更好。

评论


可以对OSPF进行加密吗?还是您会在内部使用BGP来实现这一目标?

–SimonJGreen
13年5月7日在21:47