การรักษาความปลอดภัย OSPF ด้วยอินเตอร์เฟสแบบพาสซีฟเท่านั้น


15

ฉันรู้ว่าการรักษาความปลอดภัย OSPF คุณควร 1) ใช้การรับรองความถูกต้องของ OSPF 2) ใช้คำสั่ง passive interface บนอินเตอร์เฟสที่ไม่มี ospf เพื่อนบ้าน ถ้าฉันใช้คำสั่ง passive interface เท่านั้นไม่ใช่การรับรองความถูกต้องของ ospf ฉันจะเปิดช่องโหว่อะไรได้บ้าง

คำตอบ:


24

ปัญหาหนึ่งคือการรับรองความถูกต้องทำให้มั่นใจได้ว่าเฉพาะอุปกรณ์ที่เชื่อถือได้เท่านั้นที่สามารถแลกเปลี่ยนเส้นทางบนเครือข่าย หากไม่มีการตรวจสอบสิทธิ์คุณสามารถแนะนำอุปกรณ์ที่ไม่น่าเชื่อถือและทำให้เกิดปัญหาการกำหนดเส้นทางที่สำคัญ ตัวอย่างเช่น:

หากพื้นที่ 0 ไม่ได้รับการรับรองความถูกต้องให้เชื่อมต่อเราเตอร์ในพื้นที่ 0 ที่มีเส้นทางปลอมไปที่ null0 คุณสามารถสร้างเส้นทางเริ่มต้นและฉีดเข้าไปในโทโพโลยีที่นำไปสู่เราเตอร์ที่ไม่ดีต่อการรับส่งข้อมูลของหลุมดำ หรือเส้นทางนั้นสามารถบังคับให้ทราฟฟิกไปยังเกตเวย์ปลอมที่ออกแบบมาเพื่อดมกลิ่นการเชื่อมต่อและดึงข้อมูลที่ไม่ปลอดภัยออกก่อนที่จะส่งมันบนเส้นทางที่ถูกต้อง

การรับรองความถูกต้องทำให้มั่นใจว่ามีเพียงเราเตอร์ที่คุณรู้จักและเชื่อถือเท่านั้นที่กำลังแลกเปลี่ยนข้อมูล


Spot on @NetworkingNerd - เป็นการดีกว่ามากที่จะมีการรับรองความถูกต้องและส่วนต่อประสานที่ไม่ใช่แบบ passive
พอลเกียร์

แต่การมีการรับรองความถูกต้องทำให้ปวดหัวในเครือข่าย Passive-Interface รวมกับความปลอดภัยทางกายภาพที่ดี (เช่นการเข้าถึงอุปกรณ์อย่างปลอดภัย) ควรเพียงพอ
sikas

8

ขึ้นอยู่กับโครงสร้างเครือข่ายของคุณ หากการเชื่อมโยงที่ไม่ใช่แบบพาสซีฟถูกแยก (จุดต่อจุด) และรักษาความปลอดภัยที่ชั้นล่างของสแต็ค (การควบคุมการเข้าถึงทางกายภาพของเราเตอร์) จากนั้นฉันจะกดยากที่จะระบุเวกเตอร์โจมตีที่ทำงานได้ การรับรองความถูกต้องเป็นสิ่งสำคัญเมื่อเป็นไปได้ที่เราเตอร์โกงจะแสดงทราฟฟิกโดยพลการบนลิงก์ที่กำหนด


6

หากใครต้องการเข้าถึงอุปกรณ์จริงและเสียบอุปกรณ์อื่นไปยังส่วนท้ายสุดของลิงก์ซึ่งจะทำให้พวกเขาเข้าถึงเครือข่ายของคุณเพื่อฉีดเส้นทางลงในตารางเส้นทางของคุณและสิ่งที่น่ารังเกียจอื่น ๆ เช่นนั้น

สถานการณ์เช่นนี้น่าจะเป็นเชิงทฤษฎีในสถานที่ต่าง ๆ เช่นเครือข่ายแกนหลักที่อยู่ในสถานที่ปลอดภัย แต่หากลิงก์ไปยังลูกค้าหรือบุคคลที่สามอื่นการรับรองความถูกต้องบางอย่างอาจเป็นเรื่องที่ฉลาด


5

ถ้าเราสมมุติว่าเลเยอร์ 1-3 ของคุณมีความปลอดภัยกว่าการตรวจสอบสิทธิ์ OSPF ก็ไม่สมเหตุสมผล แต่เนื่องจากเลเยอร์ 1-3 ไม่จำเป็นต้องมีความปลอดภัย OSPF ใช้วิธีการรักษาความปลอดภัยของตัวเองนั่นคือการพิสูจน์ตัวตน

การพิสูจน์ตัวตนใน OSPF ป้องกันผู้โจมตีที่สามารถสูดดมและฉีดแพ็คเก็ตเพื่อหลอกเราเตอร์และปรับเปลี่ยนโทโพโลยี OSPF ผลลัพธ์เป็นตัวอย่าง: ความเป็นไปได้ของ MITM เมื่อผู้โจมตีเปลี่ยนโทโพโลยีในลักษณะที่ทำให้การรับส่งข้อมูลบางอย่าง / ทั้งหมดไหลผ่านเครื่องที่เขาควบคุมอยู่ การปฏิเสธบริการเมื่อผู้โจมตีทิ้งการจราจรที่ไหลผ่านเขา ผลอีกประการหนึ่งคือการล่มสลายของเราเตอร์ทั้งหมดเมื่อผู้โจมตีประกาศข้อมูลใหม่อย่างรวดเร็วแม้ว่าจะสามารถแก้ไขบางส่วนได้ด้วยการปรับค่าตัวจับเวลา SPF

การพิสูจน์ตัวตนยังป้องกันการโจมตีซ้ำเช่นป้องกันการโจมตีจากการโฆษณาข้อมูลที่หมดอายุจากที่ผ่านมา นอกจากนี้ยังป้องกันการทำร้ายร่างกายด้วยการเสียบเราเตอร์จากเครือข่ายอื่นที่มีการกำหนดค่า OSPF ที่มีอยู่ซึ่งสามารถฉีดเส้นทางที่ทับซ้อนกันได้ (เช่นนี้การรับรองความถูกต้องจะดีแม้ว่าคุณจะมีเลเยอร์ 1-3 ที่ปลอดภัย)


2

เป็นไปได้ไหมที่จะเข้ารหัส OSPF?

OSPFv2 รองรับการตรวจสอบสิทธิ์เท่านั้น คุณยังสามารถดูอัตรา LSAs ได้แม้ว่าคุณจะใช้การพิสูจน์ตัวตน การรับรองความถูกต้องสิ่งเดียวเท่านั้นคือรับรองความถูกต้อง มีน้ำหนักบรรทุกที่ไม่มีการเข้ารหัส

RFC 4552:

OSPF (Open Shortest Path First) เวอร์ชัน 2 กำหนดฟิลด์ AuType และ Authentication ในส่วนหัวของโปรโตคอลเพื่อให้ความปลอดภัย ใน OSPF สำหรับ IPv6 (OSPFv3) ฟิลด์การตรวจสอบความถูกต้องทั้งสองถูกลบออกจากส่วนหัว OSPF OSPFv3 อาศัยหัวข้อการตรวจสอบความถูกต้องของ IPv6 (AH) และ IPv6 Encapsulating Security Payload (ESP) เพื่อมอบความสมบูรณ์การตรวจสอบความถูกต้องและ / หรือการรักษาความลับ

ดังนั้นหากOSPFv3เราสามารถเข้ารหัสแพ็กเก็ตทั้งหมดด้วย IPSec


1

เมื่อคุณตั้งค่าอินเทอร์เฟซเป็นพาสซีฟแล้วคุณจะไม่เปิดรับมากนัก การตรวจสอบความถูกต้องเพิ่มสองเวกเตอร์ที่เป็นไปได้สำหรับปัญหา:

การใช้งาน CPU - นี่ไม่ได้เป็นปัญหาใหญ่ แต่ไม่ควรลืมเมื่อคุณทำการคำนวณ อย่างไรก็ตามหากคุณใช้เครือข่ายที่เวลาการบรรจบใช้เวลานานกว่าที่คุณต้องการทุก ๆ นิดก็จะนับ

การแก้ไขปัญหา. เป็นเรื่องง่ายที่จะพลาดบางสิ่งบางอย่างและอาจทำให้การเชื่อมต่อใหม่เปลี่ยนเราเตอร์ทดแทนเป็นต้น

หากคุณกังวลเกี่ยวกับการได้รับการดมกลิ่น OSPF และการฉีดข้อมูลผู้บุกรุกที่เป็นอันตรายคุณน่าจะใช้งานบางอย่างที่แข็งแกร่งกว่าการพิสูจน์ตัวตน: เริ่มต้นด้วยการใช้การเข้ารหัสที่แท้จริงมากกว่า MD5 ที่อ่อนแอที่คุณจะได้รับด้วย OSPFv2 สำหรับลิงค์ที่ไม่น่าเชื่อถือ


เป็นไปได้ไหมที่จะเข้ารหัส OSPF? หรือคุณจะใช้ BGP ภายในเพื่อทำสิ่งนี้?
SimonJGreen
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.