OSPF'nin güvenliğini sağlamak için 1) OSPF kimlik doğrulaması kullanmalı, 2) ospf komşuları olmayan arabirimlerde pasif arabirim komutu kullanmalısınız. Ospf kimlik doğrulamasını değil yalnızca pasif arabirim komutunu kullanırsam hangi güvenlik açıklarına açık kalırım?
Yanıtlar:
Bir sorun, kimlik doğrulamasının yalnızca güvenilir cihazların ağdaki rotaları değiştirebilmesini sağlamasıdır. Kimlik doğrulama olmadan, güvenilir olmayan bir cihaz ekleyebilir ve önemli yönlendirme sorunlarına neden olabilirsiniz. Örneğin:
Alan 0'ın kimliği doğrulanmazsa, alan 0'a null0 değerine sahte yollar içeren bir yönlendirici ekleyin. Hatta varsayılan bir rota oluşturabilir ve kötü yönlendiriciye kara delik trafiğine yol açan topolojiye enjekte edebilirsiniz. Ya da yol, trafiği bağlantıları koklamak ve güvenli olmayan verileri doğru yola göndermeden önce çıkarmak için tasarlanmış sahte bir ağ geçidine doğru zorlayabilir.
Kimlik doğrulama, yalnızca bildiğiniz ve güvendiğiniz yönlendiricilerin bilgi alışverişinde bulunmasını sağlar.
Ağ topolojinize bağlıdır. Pasif olmayan bağlantılar izole edilirse (noktadan noktaya) ve yığının alt katmanlarına sabitlenirse (yönlendiricilerin fiziksel erişim kontrolü), o zaman uygun bir saldırı vektörünü tanımlamak zor olurdu. Bir dolandırıcı yönlendiricinin belirli bir bağlantıda rastgele trafik sunması mümkün olduğunda kimlik doğrulaması çok önemlidir.
Birisi gerçek ekipmana erişim elde edecek ve bir şekilde bağlantının en ucuna başka bir cihaz takacaksa, ağınıza erişmelerini sağlayacak, yönlendirme tablonuza ve bunun gibi diğer kötü şeylere rota enjekte edebilir.
Böyle bir senaryo, omurga ağları gibi güvenli yerlerde bulunan yerlerde çok teorik olacaktır, ancak bağlantı bir müşteriye veya başka bir üçüncü tarafa giderse, muhtemelen bir tür kimlik doğrulama çok akıllıca olacaktır.
1-3 katmanlarınızın OSPF kimlik doğrulamasından daha güvenli olduğunu varsayarsak, hiçbir anlam ifade etmez. Ancak katman 1-3 mutlaka güvenli olmadığı için OSPF kendi güvenlik yöntemini kullanır - kimlik doğrulama.
OSPF'de kimlik doğrulama, yönlendiricileri kandırmak ve OSPF topolojisini değiştirmek için paketleri koklayıp enjekte edebilen bir saldırganın önlenmesini sağlar. Sonuçlar örneğin: saldırgan topolojiyi belirli / tüm trafik tarafından kontrol edilen makineden akacak şekilde değiştirdiğinde MITM mümkündür. Saldırgan, içinden geçen trafiği attığında servis reddi. Bir başka sonuç, saldırgan yeni bilgileri çok hızlı bir şekilde duyurduğunda tüm yönlendiricilerin erimesi olabilir, ancak bu SPF zamanlayıcılarını ayarlayarak kısmen çözülebilir.
Kimlik doğrulama aynı zamanda tekrar saldırılarını da önler, örneğin saldırganın geçmişinden geçmiş bilgilerin reklamını yapmasını önler. Ayrıca, örneğin üst üste binen rotaları enjekte edebilen mevcut OSPF yapılandırmasına sahip başka bir ağdan bir yönlendirici takarak kargaşayı önler (bu nedenle, katmanınız 1-3 güvenli olsa bile kimlik doğrulaması iyidir).
OSPF'yi şifrelemek mümkün mü?
OSPFv2 yalnızca kimlik doğrulamayı destekler . Kimlik doğrulama kullansanız bile, LSA'ların yükünü görebilirsiniz. Kimlik doğrulamanın yaptığı tek şey komşuları doğrulamaktır. Orada hiçbir yük şifreleme.
RFC 4552:
OSPF (Önce En Kısa Yolu Aç) Sürüm 2, güvenlik sağlamak için protokol başlığında AuType ve Authentication alanlarını tanımlar. IPv6 için OSPF'de (OSPFv3), kimlik doğrulama alanlarının her ikisi de OSPF başlıklarından kaldırıldı. OSPFv3, bütünlük, kimlik doğrulama ve / veya gizlilik sağlamak için IPv6 Kimlik Doğrulama Başlığı (AH) ve IPv6 Kapsüllenen Güvenlik Yükü'ne (ESP) güvenir.
Yani, OSPFv3 ise tüm paketi IPSec ile şifreleyebiliriz .
Pasif olarak ayarlanmış arayüzlere sahip olduğunuzda, çok fazla açık olmazsınız. Kimlik doğrulama, sorun için iki olası vektör ekler:
CPU kullanımı - bu mutlaka büyük bir sorun değildir, ancak hesaplamalarınızı yaparken unutulmamalıdır. Ancak, yakınsama sürelerinin istediğinizden daha uzun sürdüğü bir ağ çalıştırıyorsanız, her küçük değer önemlidir.
Sorun giderme. Bir şeyi kaçırmak kolaydır ve bu, yeni bir bağlantı, yedek yönlendirici vb.
OSPF'yi koklamaktan ve kötü niyetli bir davetsiz misafir veri enjekte etmekten endişe ediyorsanız, muhtemelen kimlik doğrulamasından daha güçlü bir şey çalıştırmalısınız: OSPFv2 ile alacağınız zayıf MD5 yerine gerçek şifreleme ile başlayın ve BGP daha iyidir güvenilmeyen bağlantılar için.