Sichern von OSPF nur mit passiven Schnittstellen

15

Ich weiß, dass Sie zum Sichern von OSPF 1) die OSPF-Authentifizierung verwenden sollten, 2) den Befehl "Passive Schnittstelle" für Schnittstellen verwenden sollten, die keine OSPF-Nachbarn haben. Wenn ich nur den passiven Schnittstellenbefehl und nicht die ospf-Authentifizierung verwende, für welche Sicherheitslücken bin ich dann offen?

alles rot
quelle

Antworten:

24

Ein Problem ist, dass durch die Authentifizierung sichergestellt wird, dass nur vertrauenswürdige Geräte Routen im Netzwerk austauschen können. Ohne Authentifizierung könnten Sie ein nicht vertrauenswürdiges Gerät einführen und erhebliche Routingprobleme verursachen. Beispielsweise:

Wenn Bereich 0 nicht authentifiziert ist, schließen Sie einen Router in Bereich 0 mit falschen Routen an null0 an. Sie können sogar eine Standardroute erstellen und diese in die Topologie einfügen, die dazu führt, dass der Router den Datenverkehr von Schwarzen Löchern beeinträchtigt. Oder die Route könnte den Verkehr zu einem falschen Gateway zwingen, das Verbindungen abhören und unsichere Daten herausholen soll, bevor sie auf den richtigen Weg gesendet werden.

Durch die Authentifizierung wird sichergestellt, dass nur Router, die Sie kennen und denen Sie vertrauen, Informationen austauschen.

NetworkingNerd
quelle
Spot on @NetworkingNerd - Authentifizierung und nicht passive Schnittstellen sind viel besser als umgekehrt.
Paul Gear
Die Authentifizierung bereitet dem Netzwerk jedoch Kopfschmerzen. Passive-Interfaces und eine gute physische Sicherheit (dh sicherer Zugriff auf Geräte) sollten ausreichen.
Sikas
8

Dies hängt von Ihrer Netzwerktopologie ab. Wenn die nicht passiven Verbindungen isoliert (Punkt-zu-Punkt) und auf unteren Ebenen des Stapels gesichert sind (physische Zugriffskontrolle der Router), würde es mir schwer fallen, einen brauchbaren Angriffsvektor zu identifizieren. Die Authentifizierung ist von entscheidender Bedeutung, wenn ein betrügerischer Router beliebigen Datenverkehr auf einer bestimmten Verbindung darstellen kann.

neirbowj
quelle
6

Wenn jemand Zugriff auf die eigentliche Ausrüstung erhält und ein anderes Gerät an das andere Ende der Verbindung anschließt, erhält er Zugriff auf Ihr Netzwerk, um Routen in Ihre Routing-Tabelle und andere böse Dinge wie diese einzufügen.

Ein solches Szenario wäre an Orten wie Backbone-Netzwerken, die sich an gesicherten Standorten befinden, sehr theoretisch. Sollte die Verbindung jedoch zu einem Kunden oder zu einem anderen Dritten führen, wäre eine Art Authentifizierung wahrscheinlich sehr sinnvoll.

Allan Eising
quelle
5

Wenn wir davon ausgehen, dass Ihre Layer 1-3 sicher sind, ergibt die OSPF-Authentifizierung keinen Sinn. Da Layer 1-3 jedoch nicht unbedingt sicher sind, verwendet OSPF eine eigene Sicherheitsmethode - die Authentifizierung.

Die Authentifizierung in OSPF verhindert, dass ein Angreifer Pakete aufspüren und in falsche Router einspeisen und die OSPF-Topologie ändern kann. Ergebnisse sind zum Beispiel: von MITM möglich, wenn Angreifer die Topologie so ändern, dass bestimmter / aller Verkehr durch die von ihm kontrollierte Maschine fließt. Denial of Service, wenn der Angreifer den durch ihn fließenden Verkehr verwirft. Ein weiteres Ergebnis könnte ein Zusammenbruch aller Router sein, wenn der Angreifer sehr schnell neue Informationen ankündigt. Dies könnte jedoch teilweise durch die Optimierung der SPF-Timer behoben werden.

Die Authentifizierung verhindert auch Wiederholungsangriffe. Beispielsweise verhindert sie, dass der Angreifer abgelaufene Informationen aus der Vergangenheit ankündigt. Außerdem verhindert es Chaos, indem ein Router aus einem anderen Netzwerk mit vorhandener OSPF-Konfiguration gesteckt wird, wodurch sich beispielsweise überlappende Routen ergeben könnten (dank dieser Funktion ist die Authentifizierung auch dann gut, wenn Sie Layer 1-3 gesichert haben).

Kveri
quelle
2

Ist es möglich, OSPF zu verschlüsseln?

OSPFv2 unterstützt nur die Authentifizierung . Sie können die LSAs-Nutzdaten auch dann anzeigen, wenn Sie die Authentifizierung verwenden. Die einzige Authentifizierung ist die Authentifizierung der Nachbarn. Es gibt keine Nutzlastverschlüsselung .

RFC 4552:

OSPF (Open Shortest Path First) Version 2 definiert die Felder AuType und Authentication in seinem Protokollheader, um die Sicherheit zu gewährleisten. In OSPF für IPv6 (OSPFv3) wurden beide Authentifizierungsfelder aus den OSPF-Headern entfernt. OSPFv3 basiert auf dem IPv6-Authentifizierungsheader (AH) und der IPv6-Encapsulating-Security-Payload (ESP), um Integrität, Authentifizierung und / oder Vertraulichkeit zu gewährleisten.

Wenn also OSPFv3 verwendet wird , können wir das gesamte Paket mit IPSec verschlüsseln.

t3mp
quelle
1

Sobald Sie Schnittstellen auf passiv gesetzt haben, sind Sie nicht mehr für vieles offen. Durch die Authentifizierung werden zwei mögliche Fehlerquellen hinzugefügt:

CPU-Auslastung - dies ist nicht unbedingt ein großes Problem, sollte aber bei der Berechnung nicht vergessen werden. Wenn Sie jedoch ein Netzwerk betreiben, in dem die Konvergenzzeiten länger dauern als gewünscht, zählt jedes bisschen.

Fehlerbehebung. Es ist leicht, etwas zu verpassen, und das kann das Aufrufen einer neuen Verbindung, eines Ersatz-Routers usw. verlangsamen.

Wenn Sie befürchten, OSPF-Sniffing zu bekommen und dass ein böswilliger Eindringling Daten einschleust, sollten Sie wahrscheinlich etwas Stärkeres als die Authentifizierung verwenden: Beginnen Sie mit der eigentlichen Verschlüsselung und nicht mit dem schwachen MD5, das Sie mit OSPFv2 erhalten, und BGP ist besser für nicht vertrauenswürdige Links.

David Barak
quelle
Ist es möglich, OSPF zu verschlüsseln? Oder würden Sie BGP intern verwenden, um dies zu erreichen?
SimonJGreen