Я знаю, що для захисту OSPF вам слід 1) використовувати автентифікацію OSPF, 2) використовувати команду пасивного інтерфейсу на інтерфейсах, у яких немає OSPF-сусідів. Якщо я використовую лише команду пасивного інтерфейсу, а не автентифікацію ospf, то які уразливості я залишаю відкритими?
Відповіді:
Одне питання полягає в тому, що аутентифікація забезпечує те, що лише надійні пристрої можуть обмінюватися маршрутами в мережі. Без аутентифікації ви можете ввести ненадійний пристрій і викликати значні проблеми з маршрутизацією. Наприклад:
Якщо область 0 не підтверджена автентифікацією, приєднайте маршрутизатор в області 0 з хибними маршрутами до null0. Ви навіть можете створити маршрут за замовчуванням і ввести його в топологію, що призводить до поганого маршрутизатора до трафіку в чорну діру. Або маршрут може примусити рух до неправдивого шлюзу, призначеного для обнюхування з'єднань та витягування небезпечних даних, перш ніж надсилати їх на правильний шлях.
Автентифікація забезпечує лише обмін інформацією лише маршрутизаторам, про яких ви знаєте та яким довіряєте.
Це залежить від вашої топології мережі. Якщо не пасивні ланки ізольовані (точка-точка) і закріплені на нижніх шарах стека (фізичний контроль доступу маршрутизаторів), то мені буде важко натиснути, щоб визначити життєздатний вектор атаки. Автентифікація є критичною, коли шахрайський маршрутизатор може представляти довільний трафік на даному посиланні.
Якщо хто-небудь мав отримати доступ до власного обладнання та якось вставити інший пристрій до дальнього кінця посилання, це дасть їм доступ до вашої мережі, вводити маршрути у вашу таблицю маршрутизації та інші подібні неприємні речі.
Такий сценарій був би дуже теоретичним у таких місцях, як магістральні мережі, які знаходяться в захищених місцях, але якщо посилання перейде до замовника або до іншої третьої сторони, певна аутентифікація, ймовірно, буде дуже мудрою.
Якщо ми припускаємо, що ваші шари 1-3 захищені, ніж аутентифікація OSPF, не має сенсу. Але оскільки шар 1-3 не обов'язково захищений, OSPF використовує власний метод захисту - автентифікацію.
Автентифікація в OSPF запобігає зловмиснику, який може нюхати та вводити пакети, щоб обдурити маршрутизатори та змінити топологію OSPF. Наприклад, такі результати: можливий MITM, коли зловмисник змінює топологію таким чином, що певний / весь трафік протікає через керовану ним машину. Відмова в службі, коли зловмисник відкидає рух, який протікає через нього. Іншим результатом може стати зрив усіх маршрутизаторів, коли зловмисник дуже швидко оголошує нову інформацію, хоча це може бути частково вирішене шляхом налаштування таймерів SPF.
Аутентифікація також запобігає повторному нападу, наприклад, заважає зловмиснику рекламувати інформацію про минулу минуту. Крім того, це запобігає хаосу, підключаючи маршрутизатор з іншої мережі з існуючою конфігурацією OSPF, яка може вводити маршрути, що перекриваються, наприклад (завдяки цьому, автентифікація хороша, навіть якщо у вас захищений шар 1-3).
Чи можливо зашифрувати OSPF?
OSPFv2 підтримує лише автентифікацію . Ви все ще можете бачити навантаження LSA, навіть якщо ви використовуєте автентифікацію. Єдине, що робить автентифікація - це автентифікація сусідів. Там немає ні корисного навантаження шифрування.
RFC 4552:
OSPF (Open Shortest Path First) Версія 2 визначає поля AuType та Authentication у своєму заголовку протоколу для забезпечення безпеки. У OSPF для IPv6 (OSPFv3) обидва поля аутентифікації були видалені з заголовків OSPF. OSPFv3 покладається на заголовок аутентифікації IPv6 (AH) та IPv6 Encapsulating Security load (ESP) для забезпечення цілісності, автентичності та / або конфіденційності.
Отже, якщо OSPFv3 ми можемо шифрувати весь пакет за допомогою IPSec.
Після того, як у вас інтерфейси встановлені на пасивні, ви не дуже відкриті. Автентифікація додає два можливі вектори для проблем:
Використання процесора - це не обов'язково величезна проблема, але його не слід забувати, коли ви робите свої розрахунки. Однак якщо ви працюєте в мережі, де тривалість конвергенції займає більше часу, ніж ви хочете, кожен маленький показник рахується.
Вирішення проблем. Легко щось пропустити, і це може сповільнити створення нового з'єднання, маршрутизатора заміни тощо.
Якщо ви переживаєте, щоб OSPF нюхав та мав зловмисних даних про вторгнення, вам, ймовірно, слід запустити щось сильніше, ніж автентифікація: почніть із запуску фактичного шифрування, а не слабкого MD5, який ви збираєтеся отримати з OSPFv2, і BGP краще для ненадійних посилань.