回答:
1つの問題は、認証により、信頼できるデバイスのみがネットワーク上のルートを交換できることを保証することです。認証がなければ、信頼できないデバイスが導入され、重大なルーティングの問題が発生する可能性があります。例えば:
エリア0が認証されない場合、null0への偽のルートを持つエリア0のルーターを接続します。デフォルトルートを作成し、それをトポロジに挿入して、不良ルーターがブラックホールトラフィックにつながるようにすることもできます。または、ルートは、接続をスニッフィングし、安全でないデータを引き出して正しいパスで送信するように設計された偽のゲートウェイにトラフィックを強制する可能性があります。
認証は、あなたが知っている信頼できるルーターのみが情報を交換していることを保証します。
レイヤー1-3が安全であると仮定すると、OSPF認証は意味をなしません。しかし、レイヤー1-3は必ずしもセキュアではないため、OSPFは独自のセキュリティ方式である認証を採用しています。
OSPFの認証は、ルーターをだまし、OSPFトポロジを変更するためにパケットをスニッフィングおよび注入できる攻撃者を防ぎます。たとえば、結果は次のとおりです。攻撃者が特定の/すべてのトラフィックが自分の制御するマシンを通過するようにトポロジを変更すると、MITMが可能になります。攻撃者が自分を通過するトラフィックを破棄した場合のサービス拒否。別の結果として、攻撃者が新しい情報を非常に迅速にアナウンスすると、すべてのルーターがメルトダウンする可能性がありますが、SPFタイマーを調整することで部分的に解決できます。
また、認証はリプレイ攻撃も防ぎます。たとえば、過去の期限切れの情報を攻撃者が広告するのを防ぎます。また、たとえば重複するルートを挿入する可能性がある既存のOSPF構成を使用して別のネットワークからルーターを接続することで混乱を防ぎます(これにより、レイヤー1-3を保護しても認証は良好です)。
OSPFを暗号化することはできますか?
OSPFv2は認証のみをサポートします。認証を使用している場合でも、LSAペイロードを引き続き表示できます。認証が行うことは、ネイバーの認証だけです。ペイロード暗号化はありません。
RFC 4552:
OSPF(Open Shortest Path First)バージョン2は、セキュリティを提供するためにプロトコルヘッダーにAuTypeフィールドとAuthenticationフィールドを定義しています。OSPF for IPv6(OSPFv3)では、両方の認証フィールドがOSPFヘッダーから削除されました。OSPFv3は、IPv6認証ヘッダー(AH)およびIPv6カプセル化セキュリティペイロード(ESP)に依存して、整合性、認証、および/または機密性を提供します。
したがって、OSPFv3の場合、IPSecでパケット全体を暗号化できます。
インターフェイスをパッシブに設定すると、あまりオープンになりません。認証により、トラブルの可能性のある2つのベクトルが追加されます。
CPU使用率-これは必ずしも大きな問題ではありませんが、計算を行っているときに忘れてはいけません。ただし、収束時間が予想よりも長いネットワークを実行している場合は、少しずつカウントされます。
トラブルシューティング。何かを見逃すのは簡単です。そして、新しい接続や交換用のルーターなどの起動が遅くなる可能性があります。
OSPFを盗聴し、悪意のある侵入者がデータを注入することを心配している場合は、おそらく認証よりも強力なものを実行する必要があります。OSPFv2で取得する弱いMD5ではなく、実際の暗号化を実行することから始めます。信頼できないリンクの場合。