OSPF协议作为校园网中常见的路由协议,其配置的安全性和重要性是不言而喻的。 关于如何有效防范OSPF的安全风险,OSPF的设计师们在设计时加入了很多项目的安全设计,主要体现在以下两个方面。
1 .防攻击机制(fightback )即使攻击者用合法的伪造信息“混入”LSDB,OSPF也会将伪造信息回复给始发者,使其“在他人的道路上,也为他人治病”,并将其从网络中排除。
2 .认证机制:让密码管理员共享明文密码或MD5加密校验和。
本文主要针对OSPF的认证机制展开
在发布认证机制RFC 2178之前,OSPF认证功能仅支持区域范围内的认证。 也就是说,要启用认证功能,区域中的所有路由器都必须启用认证功能。 RFC2178修复了此要求,以在不同的链路上启用OSPF身份验证功能,也就是说,仅在区域中的一个或多个链路上启用OSPF身份验证功能,而不是启用区域中的所有链路。 但是,为了避免“xqdlf”导致全网崩溃,出现“老鼠屎坏一锅粥”的尴尬局面,建议在所有链接上启动认证功能。 RFC2178为网络管理员提供了更大的灵活性,以便在OSPF区域中部署不支持身份验证功能的路由器。 但是,这反过来意味着,不支持OSPF认证功能的路由器会在“启用认证功能的区域”出现,从而产生其他安全问题。
ospf认证根据类型分为三类。 在1.链路认证2.区域认证3.虚链路认证上,验证显示在ospf消息标头的Auth Type字段中,如果Auth Type为0,则打开非验证;如果Auth Type为1,则打开明文密码验证;如果Auth Type为2,则打开MD5加密验证。
1 .链接认证OSPF的链接认证是基于接口上的,正常声明后需要在R2的接口E0/0/1和R3的接口E0/0/0上配置认证,如下图所示,命令为ospfauthented
在R3的接口0上随意抓住OSPF软件包,即可查看认证的详细信息。 其中,字段Auth Type为00 02,表示MD5认证
2 .区域验证OSPF的区域验证是基于区域的,可以对通过区域的设备进行相互验证。 为了与区域之间的设备进行安全通信,必须在需要交互的区域之间配置区域验证。
如图3-13-3所示,如果区域0和区域1之间对安全性的要求较高,则可以在区域之间配置认证。 区域验证必须位于OSPF区域中,命令必须位于authentic ation-modesimplecipher 123 (明文验证:密码为123 ),同样,R2也必须位于相同的命令中,否则无法进行
通过R1的接口0任意抓取OSPF数据包并查看其头部信息,可以看到Auth Type字段显示为00 01,表示明文密码认证
3 .虚拟链接验证OSPF还存在一种特殊的验证,即虚拟链接验证。 从名称中可以看出,这种类型的身份验证只存在于虚拟链路的邻居之间。 虚拟链路位于R1和R2之间,要求一定的安全性,如下图所示。 在这种情况下,可以在R1和R2上配置虚拟链路验证,这更安全,其配置基于虚拟链路区域。 命令为vlink-peer3.3.3.3(2.2.2.2) MD 53 cipher 12345 (MD5加密:密码为12345 ),如果同时存在虚拟链路验证和区域验证,则虚拟链路验证优先
OSPF在长期进化后,为我们提供适应各种场景的认证。 另外,OSPF作为校园网的“常客”,经常出现在各种规模的网络中。 但是现在大多数校园网都有或多或少的安全需求。 因此,建议在部署OSPF时顺便进行认证配置。 不仅顾客放心,之后的运输也可以省去麻烦。