パッシブインターフェイスのみでOSPFを保護する


15

OSPFを保護するには、1)OSPF認証を使用し、2)ospfネイバーを持たないインターフェイスでパッシブインターフェイスコマンドを使用する必要があることを知っています。ospf認証ではなく、passive interfaceコマンドのみを使用する場合、どのような脆弱性が残されていますか?

回答:


24

1つの問題は、認証により、信頼できるデバイスのみがネットワーク上のルートを交換できることを保証することです。認証がなければ、信頼できないデバイスが導入され、重大なルーティングの問題が発生する可能性があります。例えば:

エリア0が認証されない場合、null0への偽のルートを持つエリア0のルーターを接続します。デフォルトルートを作成し、それをトポロジに挿入して、不良ルーターがブラックホールトラフィックにつながるようにすることもできます。または、ルートは、接続をスニッフィングし、安全でないデータを引き出して正しいパスで送信するように設計された偽のゲートウェイにトラフィックを強制する可能性があります。

認証は、あなたが知っている信頼できるルーターのみが情報を交換していることを保証します。


@NetworkingNerdのスポット-認証と非パッシブインターフェイスを使用する方が、その逆よりもはるかに優れています。
ポール・ギア

しかし、認証を持つことはネットワークに頭痛の種を置きます。パッシブインターフェイスと優れた物理的セキュリティ(デバイスへのセキュアアクセス)で十分です。
シカ

8

ネットワークトポロジに依存します。非パッシブリンクが分離され(ポイントツーポイント)、スタックの下位層で保護されている場合(ルーターの物理アクセス制御)、実行可能な攻撃ベクトルを特定するのは難しいでしょう。認証は、不正なルーターが特定のリンクで任意のトラフィックを提示できる場合に重要です。


6

誰かが実際の機器にアクセスして、リンクの遠端に何らかの方法で別のデバイスを挿入すると、ネットワークにアクセスできるようになり、ルーティングテーブルなどの厄介なものにルートを挿入します。

このようなシナリオは、セキュリティで保護された場所にあるバックボーンネットワークなどの場所では非常に理論的ですが、リンクが顧客または別のサードパーティに行く場合、何らかの認証がおそらく非常に賢明です。


5

レイヤー1-3が安全であると仮定すると、OSPF認証は意味をなしません。しかし、レイヤー1-3は必ずしもセキュアではないため、OSPFは独自のセキュリティ方式である認証を採用しています。

OSPFの認証は、ルーターをだまし、OSPFトポロジを変更するためにパケットをスニッフィングおよび注入できる攻撃者を防ぎます。たとえば、結果は次のとおりです。攻撃者が特定の/すべてのトラフィックが自分の制御するマシンを通過するようにトポロジを変更すると、MITMが可能になります。攻撃者が自分を通過するトラフィックを破棄した場合のサービス拒否。別の結果として、攻撃者が新しい情報を非常に迅速にアナウンスすると、すべてのルーターがメルトダウンする可能性がありますが、SPFタイマーを調整することで部分的に解決できます。

また、認証はリプレイ攻撃も防ぎます。たとえば、過去の期限切れの情報を攻撃者が広告するのを防ぎます。また、たとえば重複するルートを挿入する可能性がある既存のOSPF構成を使用して別のネットワークからルーターを接続することで混乱を防ぎます(これにより、レイヤー1-3を保護しても認証は良好です)。


2

OSPFを暗号化することはできますか?

OSPFv2は認証のみをサポートします。認証を使用している場合でも、LSAペイロードを引き続き表示できます。認証が行うことは、ネイバーの認証だけです。ペイロード暗号化はありません

RFC 4552:

OSPF(Open Shortest Path First)バージョン2は、セキュリティを提供するためにプロトコルヘッダーにAuTypeフィールドとAuthenticationフィールドを定義しています。OSPF for IPv6(OSPFv3)では、両方の認証フィールドがOSPFヘッダーから削除されました。OSPFv3は、IPv6認証ヘッダー(AH)およびIPv6カプセル化セキュリティペイロード(ESP)に依存して、整合性、認証、および/または機密性を提供します。

したがって、OSPFv3の場合、IPSecでパケット全体を暗号化できます。


1

インターフェイスをパッシブに設定すると、あまりオープンになりません。認証により、トラブルの可能性のある2つのベクトルが追加されます。

CPU使用率-これは必ずしも大きな問題ではありませんが、計算を行っているときに忘れてはいけません。ただし、収束時間が予想よりも長いネットワークを実行している場合は、少しずつカウントされます。

トラブルシューティング。何かを見逃すのは簡単です。そして、新しい接続や交換用のルーターなどの起動が遅くなる可能性があります。

OSPFを盗聴し、悪意のある侵入者がデータを注入することを心配している場合は、おそらく認証よりも強力なものを実行する必要があります。OSPFv2で取得する弱いMD5ではなく、実際の暗号化を実行することから始めます。信頼できないリンクの場合。


OSPFを暗号化することは可能ですか?または、これを実現するために内部的にBGPを使用しますか?
SimonJGreen
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.