如何通過思科路由器提高OSPF安全性
如何通過思科路由器提高OSPF安全性
OSPF也是一種路由協(xié)議,它是鏈路狀態(tài)協(xié)議的開放版本。在實(shí)際工作中,在一些大型網(wǎng)絡(luò)、混合型的網(wǎng)絡(luò)中,常常使用OSPF協(xié)議。那么你知道如何通過思科路由器提高OSPF安全性嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于通過思科路由器提高OSPF安全性的相關(guān)資料,供你參考。
通過思科路由器提高OSPF的安全性的方法:
那么思科路由器是如何來(lái)保障OSPF協(xié)議的安全性的呢?在思科網(wǎng)絡(luò)產(chǎn)品中,采取了比較完整的解決方案。
一是將所有受影響的設(shè)備都設(shè)置為非廣播模式。在非廣播模式中,OSPF設(shè)備需要明確配置才能同有效的OSPF鄰居(即與某個(gè)OSPF路由器直接相連的網(wǎng)絡(luò)設(shè)備)進(jìn)行通信。在非廣播模式中,提供了一個(gè)基本的安全層,可以防止配置錯(cuò)誤。因?yàn)樵谂渲媚J较?,只有預(yù)先配置成可以與這臺(tái)OSPF路由器通信的網(wǎng)絡(luò)設(shè)備才能夠與其進(jìn)行通信,更新路由信息。而在廣播環(huán)境中,任何具有正確配置的OSPF設(shè)備都可以參與到OSPF路由中。如在簡(jiǎn)單密碼認(rèn)證模式下,只要知道這個(gè)密鑰就能夠參與到路由更新信息中。其實(shí),這跟服務(wù)器或者路由器的遠(yuǎn)程管理類似。如可以通過訪問控制列表或者防火墻限制只有特定MAC地址或者IP地址的主機(jī)才可以遠(yuǎn)程連接到路由器上進(jìn)行遠(yuǎn)程管理。如此的話,就可以提高遠(yuǎn)程訪問的安全性。而這里采用非廣播模式,其安全思路與此是相同的。在思科的路由器產(chǎn)品中,默認(rèn)情況是采用廣播模式的。這主要是出于兼容性的考慮,如在不需要額外配置的情況下,就可以直接聯(lián)入網(wǎng)絡(luò)。不過為了提高OSPF的安全性,我們往往需要把其模式配置為非廣播模式。如需要更換這個(gè)模式,需要在路由器的接口配置提示符中執(zhí)行如下的命令:
IP ospf network non-broadcast.
二是為OSPF路由設(shè)置合適的認(rèn)證方案。在OSPF路由協(xié)議中,主要支持三種認(rèn)證方式,分別為NULL認(rèn)證、簡(jiǎn)單密碼認(rèn)證與消息摘要認(rèn)證。NULL認(rèn)證即為空認(rèn)證,也就是說(shuō)不需要認(rèn)證即可以加入到OSPF網(wǎng)絡(luò)中。在簡(jiǎn)單認(rèn)證中,密鑰在網(wǎng)絡(luò)中是通過明文傳輸?shù)?。故知需要攻擊者有監(jiān)聽器等工具就可以輕而易舉的獲取密鑰,從而就可以輕松的對(duì)網(wǎng)絡(luò)進(jìn)行破壞。而消息摘要認(rèn)證就如同上面所說(shuō)的,其密鑰不直接在網(wǎng)絡(luò)上傳播。到目前為止,其采用了國(guó)際上普遍承認(rèn)的消息摘要算法。可以說(shuō),其是現(xiàn)在最安全的OSPF認(rèn)證模式。故一般情況下,筆者建議網(wǎng)絡(luò)管理員采用消息摘要身份認(rèn)證。因?yàn)椴捎煤?jiǎn)單認(rèn)證方式,跟采用NULL空認(rèn)證方式差不多,都不能夠有效保障OSPF網(wǎng)絡(luò)環(huán)境的安全。
消息摘要算法的典型應(yīng)用是對(duì)一段信息產(chǎn)生信息摘要,以防止被篡改。比如,舉一個(gè)發(fā)生在我們身邊的實(shí)際例子。在UNIX下有很多軟件在下載的時(shí)候都有一個(gè)文件名相同,文件擴(kuò)展名為.md5的文件,在這個(gè)文件中通常只有一行文本。這就是某個(gè)下載文件的數(shù)字簽名。MD5將整個(gè)文件當(dāng)作一個(gè)大文本信息,通過其不可逆的字符串變換算法,產(chǎn)生了這個(gè)唯一的MD5信息摘要。通過這種方式,就可以保障下載文件的合法性。
若網(wǎng)絡(luò)管理員需要采用消息摘要認(rèn)證,也是比較簡(jiǎn)單的一件事情?,F(xiàn)在思科的路由器都支持摘要消息認(rèn)證的方式。如果要在思科路由器中啟用消息摘要認(rèn)證的話,則需要在接口配置提示符下進(jìn)行操作。
另外,企業(yè)可能不需要對(duì)所有的OSPF進(jìn)程采用這么高的安全認(rèn)證方法。對(duì)于一些安全性需求不要的地方,可以只采用簡(jiǎn)單認(rèn)證或者空認(rèn)證。畢竟采用摘要消息認(rèn)證,需要花費(fèi)一定的系統(tǒng)資源。雖然這個(gè)消耗的比例比較少,但是會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生不利的影響。為此,在思科路由器中,可以有選擇的對(duì)OSPF協(xié)議進(jìn)程ID設(shè)置不同的認(rèn)證方式,以實(shí)現(xiàn)不同的安全需求。
利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷:
說(shuō)句實(shí)話,引入OSPF協(xié)議主要是用來(lái)解決RIP路由信息協(xié)議的一些缺陷。
如RIP與RIP2協(xié)議都具有15跳的限制。如果網(wǎng)絡(luò)跨越超過了15跳限制的話,目的地會(huì)被認(rèn)為不可達(dá)。所以,RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點(diǎn),同時(shí)突破了這個(gè)15跳的限制。另外,OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷。筆者在談到OSPF的安全問題時(shí),之所以簡(jiǎn)要介紹OSPF協(xié)議與RIP路由信息協(xié)議的關(guān)系,主要是想強(qiáng)調(diào)一下,OSPF協(xié)議也如同RIP協(xié)議一樣,是目前企業(yè)網(wǎng)絡(luò)設(shè)計(jì)中常用的協(xié)議。所以,如何提高這個(gè)協(xié)議的安全性,對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)也就顯得尤其的重要。
OSPF的認(rèn)證方式:
OSPF主要是通過路由更新認(rèn)證的方式提供了其鏈路的安全性。如可以認(rèn)證OSPF分組,如此路由器就可以根據(jù)預(yù)先配置的密碼參與到路由域中。不過默認(rèn)情況下,路由器往往不采用認(rèn)證,有些書上也把它叫做NULL認(rèn)證。也就是說(shuō),網(wǎng)絡(luò)上的路由器交換是不對(duì)彼此進(jìn)行認(rèn)證的。這顯然不利于OSPF協(xié)議的安全性。
通常情況下,為了提高OSPF協(xié)議的安全性,往往要對(duì)其采取一些安全措施。常見的安全措施目前為止有兩種。分別為簡(jiǎn)單的密碼認(rèn)證與消息摘要認(rèn)證。
簡(jiǎn)單的密碼認(rèn)證允許在每一個(gè)區(qū)域中配置一個(gè)密碼,在同一個(gè)區(qū)域中的路由器要參與到路由域中,就必須配置相同的密鑰。如果沒有密鑰的話,則其他路由器是不會(huì)接受新加入的路由器的。這在一定程度上,可以提高OSPF協(xié)議的安全性。不過這種方式確實(shí)是“簡(jiǎn)單,其比較容易受到攻擊。如現(xiàn)在有一種叫做“消極攻擊的方式,對(duì)這種簡(jiǎn)單密碼認(rèn)證就很有效。在這個(gè)域中,只要具有鏈路分析器這個(gè)工具,就可以輕而易舉的獲得這個(gè)密鑰,從而進(jìn)行一些破壞工作。
消息摘要認(rèn)證相對(duì)來(lái)說(shuō),要比簡(jiǎn)單密碼認(rèn)證安全的多。因?yàn)橄⒄J(rèn)證是加密的認(rèn)證。再每一個(gè)路由器上都配置一個(gè)密鑰與一個(gè)密鑰ID。如果路由器采用OSPF協(xié)議的話,則其就會(huì)采用一個(gè)基于OSPF的算法,并結(jié)合密鑰、密鑰ID來(lái)創(chuàng)建一個(gè)消息摘要。然后路由器會(huì)把這個(gè)消息摘要加入到OSPF分組的后面。很簡(jiǎn)單密碼認(rèn)證不同,不需要再鏈路上交換密鑰。如此的話,即使不法攻擊者有鏈路分析工具的話,也無(wú)法取得這個(gè)密鑰信息。為此,可以有效提高這個(gè)密鑰的安全性。消息摘要認(rèn)證主要廣泛用于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的登陸認(rèn)證上,如Unix、各類BSD系統(tǒng)登錄密碼、數(shù)字簽名等諸多方,或者思科的網(wǎng)絡(luò)設(shè)備中。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認(rèn)證經(jīng)哈希運(yùn)算后存儲(chǔ)在文件系統(tǒng)中。當(dāng)用戶登錄的時(shí)候,系統(tǒng)把用戶輸入的密碼進(jìn)行消息摘要認(rèn)證與哈希運(yùn)算,然后再去和保存在文件系統(tǒng)中的消息摘要認(rèn)證值進(jìn)行比較,進(jìn)而確定輸入的密碼是否正確。通過這樣的步驟,系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。在思科路由器等網(wǎng)絡(luò)設(shè)備中,身份認(rèn)證過程也是如此。這就可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道。消息摘要認(rèn)證將任意長(zhǎng)度的“字節(jié)串映射為一個(gè)128bit的大整數(shù),并且是通過該128bit反推原始字符串是困難的,換句話說(shuō)就是,即使你看到源程序和算法描述,也無(wú)法將一個(gè)消息摘要認(rèn)證的值變換回原始的字符串,從數(shù)學(xué)原理上說(shuō),是因?yàn)樵嫉淖址袩o(wú)窮多個(gè),這有點(diǎn)象不存在反函數(shù)的數(shù)學(xué)函數(shù)。所以,要遇到了消息摘要認(rèn)證密碼的問題,比較好的辦法是:你可以用這個(gè)系統(tǒng)中的消息摘要認(rèn)證函數(shù)重新設(shè)一個(gè)密碼,把生成的一串密碼的Hash值覆蓋原來(lái)的Hash值就行了。而不用去想著如何破解。破解基本上是不可能的。除非你的運(yùn)氣真的特別好,給你蒙對(duì)了。可以說(shuō),消息摘要認(rèn)證被破解比中500萬(wàn)的幾率還要小500萬(wàn)倍。所以,消息摘要認(rèn)證比簡(jiǎn)單密碼認(rèn)證安全程度要高的多。
另外在OSPF協(xié)議中,在其分組中,還包含了一個(gè)非降序的序列號(hào)。通過這個(gè)序列號(hào),可以防止黑客的重放攻擊。重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包,通過占用接收系統(tǒng)的資源,來(lái)達(dá)到欺騙系統(tǒng)的目的。重放攻擊往往用來(lái)攻擊身份認(rèn)證。可以說(shuō),重放攻擊是黑客最喜歡采用的工具之一。