ฉันรู้ว่าการรักษาความปลอดภัย OSPF คุณควร 1) ใช้การรับรองความถูกต้องของ OSPF 2) ใช้คำสั่ง passive interface บนอินเตอร์เฟสที่ไม่มี ospf เพื่อนบ้าน ถ้าฉันใช้คำสั่ง passive interface เท่านั้นไม่ใช่การรับรองความถูกต้องของ ospf ฉันจะเปิดช่องโหว่อะไรได้บ้าง
คำตอบ:
ปัญหาหนึ่งคือการรับรองความถูกต้องทำให้มั่นใจได้ว่าเฉพาะอุปกรณ์ที่เชื่อถือได้เท่านั้นที่สามารถแลกเปลี่ยนเส้นทางบนเครือข่าย หากไม่มีการตรวจสอบสิทธิ์คุณสามารถแนะนำอุปกรณ์ที่ไม่น่าเชื่อถือและทำให้เกิดปัญหาการกำหนดเส้นทางที่สำคัญ ตัวอย่างเช่น:
หากพื้นที่ 0 ไม่ได้รับการรับรองความถูกต้องให้เชื่อมต่อเราเตอร์ในพื้นที่ 0 ที่มีเส้นทางปลอมไปที่ null0 คุณสามารถสร้างเส้นทางเริ่มต้นและฉีดเข้าไปในโทโพโลยีที่นำไปสู่เราเตอร์ที่ไม่ดีต่อการรับส่งข้อมูลของหลุมดำ หรือเส้นทางนั้นสามารถบังคับให้ทราฟฟิกไปยังเกตเวย์ปลอมที่ออกแบบมาเพื่อดมกลิ่นการเชื่อมต่อและดึงข้อมูลที่ไม่ปลอดภัยออกก่อนที่จะส่งมันบนเส้นทางที่ถูกต้อง
การรับรองความถูกต้องทำให้มั่นใจว่ามีเพียงเราเตอร์ที่คุณรู้จักและเชื่อถือเท่านั้นที่กำลังแลกเปลี่ยนข้อมูล
ขึ้นอยู่กับโครงสร้างเครือข่ายของคุณ หากการเชื่อมโยงที่ไม่ใช่แบบพาสซีฟถูกแยก (จุดต่อจุด) และรักษาความปลอดภัยที่ชั้นล่างของสแต็ค (การควบคุมการเข้าถึงทางกายภาพของเราเตอร์) จากนั้นฉันจะกดยากที่จะระบุเวกเตอร์โจมตีที่ทำงานได้ การรับรองความถูกต้องเป็นสิ่งสำคัญเมื่อเป็นไปได้ที่เราเตอร์โกงจะแสดงทราฟฟิกโดยพลการบนลิงก์ที่กำหนด
หากใครต้องการเข้าถึงอุปกรณ์จริงและเสียบอุปกรณ์อื่นไปยังส่วนท้ายสุดของลิงก์ซึ่งจะทำให้พวกเขาเข้าถึงเครือข่ายของคุณเพื่อฉีดเส้นทางลงในตารางเส้นทางของคุณและสิ่งที่น่ารังเกียจอื่น ๆ เช่นนั้น
สถานการณ์เช่นนี้น่าจะเป็นเชิงทฤษฎีในสถานที่ต่าง ๆ เช่นเครือข่ายแกนหลักที่อยู่ในสถานที่ปลอดภัย แต่หากลิงก์ไปยังลูกค้าหรือบุคคลที่สามอื่นการรับรองความถูกต้องบางอย่างอาจเป็นเรื่องที่ฉลาด
ถ้าเราสมมุติว่าเลเยอร์ 1-3 ของคุณมีความปลอดภัยกว่าการตรวจสอบสิทธิ์ OSPF ก็ไม่สมเหตุสมผล แต่เนื่องจากเลเยอร์ 1-3 ไม่จำเป็นต้องมีความปลอดภัย OSPF ใช้วิธีการรักษาความปลอดภัยของตัวเองนั่นคือการพิสูจน์ตัวตน
การพิสูจน์ตัวตนใน OSPF ป้องกันผู้โจมตีที่สามารถสูดดมและฉีดแพ็คเก็ตเพื่อหลอกเราเตอร์และปรับเปลี่ยนโทโพโลยี OSPF ผลลัพธ์เป็นตัวอย่าง: ความเป็นไปได้ของ MITM เมื่อผู้โจมตีเปลี่ยนโทโพโลยีในลักษณะที่ทำให้การรับส่งข้อมูลบางอย่าง / ทั้งหมดไหลผ่านเครื่องที่เขาควบคุมอยู่ การปฏิเสธบริการเมื่อผู้โจมตีทิ้งการจราจรที่ไหลผ่านเขา ผลอีกประการหนึ่งคือการล่มสลายของเราเตอร์ทั้งหมดเมื่อผู้โจมตีประกาศข้อมูลใหม่อย่างรวดเร็วแม้ว่าจะสามารถแก้ไขบางส่วนได้ด้วยการปรับค่าตัวจับเวลา SPF
การพิสูจน์ตัวตนยังป้องกันการโจมตีซ้ำเช่นป้องกันการโจมตีจากการโฆษณาข้อมูลที่หมดอายุจากที่ผ่านมา นอกจากนี้ยังป้องกันการทำร้ายร่างกายด้วยการเสียบเราเตอร์จากเครือข่ายอื่นที่มีการกำหนดค่า OSPF ที่มีอยู่ซึ่งสามารถฉีดเส้นทางที่ทับซ้อนกันได้ (เช่นนี้การรับรองความถูกต้องจะดีแม้ว่าคุณจะมีเลเยอร์ 1-3 ที่ปลอดภัย)
เป็นไปได้ไหมที่จะเข้ารหัส OSPF?
OSPFv2 รองรับการตรวจสอบสิทธิ์เท่านั้น คุณยังสามารถดูอัตรา LSAs ได้แม้ว่าคุณจะใช้การพิสูจน์ตัวตน การรับรองความถูกต้องสิ่งเดียวเท่านั้นคือรับรองความถูกต้อง มีน้ำหนักบรรทุกที่ไม่มีการเข้ารหัส
RFC 4552:
OSPF (Open Shortest Path First) เวอร์ชัน 2 กำหนดฟิลด์ AuType และ Authentication ในส่วนหัวของโปรโตคอลเพื่อให้ความปลอดภัย ใน OSPF สำหรับ IPv6 (OSPFv3) ฟิลด์การตรวจสอบความถูกต้องทั้งสองถูกลบออกจากส่วนหัว OSPF OSPFv3 อาศัยหัวข้อการตรวจสอบความถูกต้องของ IPv6 (AH) และ IPv6 Encapsulating Security Payload (ESP) เพื่อมอบความสมบูรณ์การตรวจสอบความถูกต้องและ / หรือการรักษาความลับ
ดังนั้นหากOSPFv3เราสามารถเข้ารหัสแพ็กเก็ตทั้งหมดด้วย IPSec
เมื่อคุณตั้งค่าอินเทอร์เฟซเป็นพาสซีฟแล้วคุณจะไม่เปิดรับมากนัก การตรวจสอบความถูกต้องเพิ่มสองเวกเตอร์ที่เป็นไปได้สำหรับปัญหา:
การใช้งาน CPU - นี่ไม่ได้เป็นปัญหาใหญ่ แต่ไม่ควรลืมเมื่อคุณทำการคำนวณ อย่างไรก็ตามหากคุณใช้เครือข่ายที่เวลาการบรรจบใช้เวลานานกว่าที่คุณต้องการทุก ๆ นิดก็จะนับ
การแก้ไขปัญหา. เป็นเรื่องง่ายที่จะพลาดบางสิ่งบางอย่างและอาจทำให้การเชื่อมต่อใหม่เปลี่ยนเราเตอร์ทดแทนเป็นต้น
หากคุณกังวลเกี่ยวกับการได้รับการดมกลิ่น OSPF และการฉีดข้อมูลผู้บุกรุกที่เป็นอันตรายคุณน่าจะใช้งานบางอย่างที่แข็งแกร่งกว่าการพิสูจน์ตัวตน: เริ่มต้นด้วยการใช้การเข้ารหัสที่แท้จริงมากกว่า MD5 ที่อ่อนแอที่คุณจะได้รับด้วย OSPFv2 สำหรับลิงค์ที่ไม่น่าเชื่อถือ