Я знаю, что для защиты OSPF вы должны 1) использовать аутентификацию OSPF, 2) использовать команду пассивного интерфейса на интерфейсах, которые не имеют соседей ospf. Если я использую только команду пассивного интерфейса, а не аутентификацию ospf, какие уязвимости я оставлю открытыми?
Одна проблема заключается в том, что аутентификация гарантирует, что только доверенные устройства способны обмениваться маршрутами в сети. Без аутентификации вы могли бы представить ненадежное устройство и вызвать значительные проблемы с маршрутизацией. Например:
Если область 0 не аутентифицирована, подключите маршрутизатор в области 0 с фиктивными маршрутами к null0. Вы можете даже создать маршрут по умолчанию и внедрить его в топологию, ведущую к плохому маршрутизатору с трафиком черной дыры. Или маршрут может заставить трафик двигаться к фиктивному шлюзу, предназначенному для перехвата соединений и извлечения незащищенных данных перед отправкой по правильному пути.
Аутентификация гарантирует, что только маршрутизаторы, о которых вы знаете и которым доверяете, обмениваются информацией.
Спот на @NetworkingNerd - гораздо лучше иметь аутентификацию и непассивные интерфейсы, чем обратный.
Пол Гир
Но аутентификация создает головную боль в сети. Пассивный интерфейс плюс хорошая физическая безопасность (т.е. безопасный доступ к устройствам) должны быть достаточными.
Сикас
8
Это зависит от топологии вашей сети. Если непассивные каналы связи изолированы (точка-точка) и защищены на нижних уровнях стека (физическое управление доступом к маршрутизаторам), то мне будет сложно определить жизнеспособный вектор атаки. Аутентификация имеет решающее значение, когда мошеннический маршрутизатор может представить произвольный трафик по данной ссылке.
Если кто-то получит доступ к реальному оборудованию и каким-то образом вставит другое устройство в дальний конец канала, это даст им доступ к вашей сети, чтобы внедрить маршруты в таблицу маршрутизации и другие неприятные вещи, подобные этому.
Подобный сценарий был бы очень теоретическим в таких местах, как магистральные сети, которые находятся в защищенных местах, но если ссылка идет к клиенту или другой третьей стороне, некоторая аутентификация, вероятно, будет очень мудрой.
Если мы предположим, что ваши уровни 1-3 безопасны, тогда аутентификация OSPF не имеет никакого смысла. Но поскольку уровни 1-3 не обязательно безопасны, OSPF использует свой собственный метод безопасности - аутентификацию.
Аутентификация в OSPF предотвращает злоумышленника, который может прослушивать и внедрять пакеты, чтобы обмануть маршрутизаторы и изменить топологию OSPF. Например, возможны результаты MITM, когда злоумышленник меняет топологию таким образом, что определенный / весь трафик проходит через контролируемую им машину. Отказ в обслуживании, когда злоумышленник отбрасывает трафик, проходящий через него. Другим результатом может быть обвал всех маршрутизаторов, когда злоумышленник очень быстро объявляет новую информацию, хотя это может быть частично решено путем настройки таймеров SPF.
Аутентификация также предотвращает повторные атаки, например, предотвращает объявление злоумышленником устаревшей информации из прошлого. Кроме того, он предотвращает беспорядки, подключая маршрутизатор из другой сети с существующей конфигурацией OSPF, которая может, например, вводить перекрывающиеся маршруты (благодаря этому аутентификация хороша, даже если ваш уровень 1-3 защищен).
OSPFv2 поддерживает только аутентификацию . Вы все еще можете видеть полезную нагрузку LSA, даже если вы используете аутентификацию. Единственное, что делает аутентификация - это аутентификация соседей. Там нет шифрования полезной нагрузки .
RFC 4552:
Версия 2 OSPF (Open Shortest Path First) определяет поля AuType и Authentication в своем заголовке протокола для обеспечения безопасности. В OSPF для IPv6 (OSPFv3) оба поля аутентификации были удалены из заголовков OSPF. OSPFv3 использует заголовок аутентификации IPv6 (AH) и полезную нагрузку инкапсуляции IPv6 (ESP) для обеспечения целостности, аутентификации и / или конфиденциальности.
Итак, если OSPFv3, мы можем зашифровать весь пакет по IPSec.
После того, как вы настроили интерфейсы на пассивную, вы не открыты для многих. Аутентификация добавляет два возможных вектора проблем:
Использование ЦП - это не обязательно огромная проблема, но не стоит забывать, когда вы делаете расчеты. Однако, если вы работаете в сети, где время конвергенции занимает больше времени, чем нужно, каждый маленький бит имеет значение.
Исправление проблем. Легко что-то пропустить, и это может привести к замедлению установки нового соединения, замены маршрутизатора и т. Д.
Если вы беспокоитесь о том, что OSPF может быть прослушан и у вас есть данные, вводимые злоумышленником, вам, вероятно, следует выполнить что-то более сильное, чем аутентификация: начните с запуска фактического шифрования, а не слабого MD5, который вы получите с OSPFv2, и BGP лучше за ненадежные ссылки.
Это зависит от топологии вашей сети. Если непассивные каналы связи изолированы (точка-точка) и защищены на нижних уровнях стека (физическое управление доступом к маршрутизаторам), то мне будет сложно определить жизнеспособный вектор атаки. Аутентификация имеет решающее значение, когда мошеннический маршрутизатор может представить произвольный трафик по данной ссылке.
источник
Если кто-то получит доступ к реальному оборудованию и каким-то образом вставит другое устройство в дальний конец канала, это даст им доступ к вашей сети, чтобы внедрить маршруты в таблицу маршрутизации и другие неприятные вещи, подобные этому.
Подобный сценарий был бы очень теоретическим в таких местах, как магистральные сети, которые находятся в защищенных местах, но если ссылка идет к клиенту или другой третьей стороне, некоторая аутентификация, вероятно, будет очень мудрой.
источник
Если мы предположим, что ваши уровни 1-3 безопасны, тогда аутентификация OSPF не имеет никакого смысла. Но поскольку уровни 1-3 не обязательно безопасны, OSPF использует свой собственный метод безопасности - аутентификацию.
Аутентификация в OSPF предотвращает злоумышленника, который может прослушивать и внедрять пакеты, чтобы обмануть маршрутизаторы и изменить топологию OSPF. Например, возможны результаты MITM, когда злоумышленник меняет топологию таким образом, что определенный / весь трафик проходит через контролируемую им машину. Отказ в обслуживании, когда злоумышленник отбрасывает трафик, проходящий через него. Другим результатом может быть обвал всех маршрутизаторов, когда злоумышленник очень быстро объявляет новую информацию, хотя это может быть частично решено путем настройки таймеров SPF.
Аутентификация также предотвращает повторные атаки, например, предотвращает объявление злоумышленником устаревшей информации из прошлого. Кроме того, он предотвращает беспорядки, подключая маршрутизатор из другой сети с существующей конфигурацией OSPF, которая может, например, вводить перекрывающиеся маршруты (благодаря этому аутентификация хороша, даже если ваш уровень 1-3 защищен).
источник
OSPFv2 поддерживает только аутентификацию . Вы все еще можете видеть полезную нагрузку LSA, даже если вы используете аутентификацию. Единственное, что делает аутентификация - это аутентификация соседей. Там нет шифрования полезной нагрузки .
RFC 4552:
Итак, если OSPFv3, мы можем зашифровать весь пакет по IPSec.
источник
После того, как вы настроили интерфейсы на пассивную, вы не открыты для многих. Аутентификация добавляет два возможных вектора проблем:
Использование ЦП - это не обязательно огромная проблема, но не стоит забывать, когда вы делаете расчеты. Однако, если вы работаете в сети, где время конвергенции занимает больше времени, чем нужно, каждый маленький бит имеет значение.
Исправление проблем. Легко что-то пропустить, и это может привести к замедлению установки нового соединения, замены маршрутизатора и т. Д.
Если вы беспокоитесь о том, что OSPF может быть прослушан и у вас есть данные, вводимые злоумышленником, вам, вероятно, следует выполнить что-то более сильное, чем аутентификация: начните с запуска фактического шифрования, а не слабого MD5, который вы получите с OSPFv2, и BGP лучше за ненадежные ссылки.
источник