OSPF को केवल निष्क्रिय इंटरफेस के साथ सुरक्षित करना

15

मुझे पता है कि OSPF को सुरक्षित करने के लिए आपको 1) OSPF प्रमाणीकरण का उपयोग करना चाहिए, 2) इंटरफेस पर निष्क्रिय इंटरफ़ेस कमांड का उपयोग करना चाहिए जिसमें ospf पड़ोसी न हों। यदि मैं केवल निष्क्रिय इंटरफ़ेस कमांड का उपयोग करता हूं और ospf प्रमाणीकरण नहीं, तो मुझे किन कमजोरियों के लिए खुला छोड़ दिया गया है?

ospf  security 
सभी लाल
स्रोत

जवाबों:

24

एक मुद्दा यह है कि प्रमाणीकरण सुनिश्चित करता है कि केवल विश्वसनीय डिवाइस नेटवर्क पर मार्गों का आदान-प्रदान करने में सक्षम हैं। प्रमाणीकरण के बिना, आप एक गैर-विश्वसनीय डिवाइस पेश कर सकते हैं और महत्वपूर्ण रूटिंग मुद्दों का कारण बन सकते हैं। उदाहरण के लिए:

यदि क्षेत्र 0 प्रमाणित नहीं है, तो क्षेत्र 0 में बोगस मार्गों के साथ null0 के लिए एक राउटर संलग्न करें। आप एक डिफ़ॉल्ट मार्ग भी बना सकते हैं और इसे ब्लैक होल ट्रैफ़िक के लिए खराब राउटर की ओर ले जाने वाले टोपोलॉजी में इंजेक्ट कर सकते हैं। या मार्ग सही दिशा में भेजने से पहले कनेक्शन को सूँघने और असुरक्षित डेटा खींचने के लिए डिज़ाइन किए गए एक फर्जी प्रवेश द्वार की ओर यातायात को मजबूर कर सकता है।

प्रमाणीकरण सुनिश्चित करता है कि केवल राउटर के बारे में आप जानते हैं और विश्वास जानकारी का आदान-प्रदान कर रहे हैं।

NetworkingNerd
स्रोत
@NetworkingNerd पर स्पॉट - रिवर्स की तुलना में प्रमाणीकरण और गैर-निष्क्रिय इंटरफेस होना बहुत बेहतर है।
पॉल गियर
लेकिन प्रमाणीकरण होने से नेटवर्क पर सिरदर्द होता है। पैसिव-इंटरफेस प्लस अच्छी शारीरिक सुरक्षा (यानी उपकरणों तक सुरक्षित पहुंच) पर्याप्त होनी चाहिए।
सीकास
8

यह आपके नेटवर्क टोपोलॉजी पर निर्भर करता है। यदि गैर-निष्क्रिय लिंक को अलग-अलग किया जाता है (बिंदु-से-बिंदु) और स्टैक की निचली परतों (राउटर्स के भौतिक अभिगम नियंत्रण) पर सुरक्षित किया जाता है, तो मैं एक व्यवहार्य हमले वेक्टर की पहचान करने के लिए कठोर दबाया जाएगा। प्रमाणीकरण महत्वपूर्ण है जब एक रगड़ राउटर के लिए किसी दिए गए लिंक पर मनमाना यातायात प्रस्तुत करना संभव है।

neirbowj
स्रोत
6

यदि किसी को वास्तविक उपकरण तक पहुंच प्राप्त करना था और किसी तरह लिंक के दूर के अंत तक किसी अन्य उपकरण को सम्मिलित करना था, जो उन्हें आपके नेटवर्क तक पहुंच प्रदान करेगा, मार्गों को आपकी रूटिंग टेबल और उस जैसे अन्य गंदा सामान में इंजेक्ट करने के लिए।

इस तरह का एक परिदृश्य बहुत ही सैद्धांतिक होगा जैसे कि बैकबोन नेटवर्क जो सुरक्षित स्थानों पर हैं, लेकिन क्या लिंक किसी ग्राहक या किसी अन्य तीसरे पक्ष को जाना चाहिए, किसी प्रकार का प्रमाणीकरण शायद बहुत बुद्धिमान होगा।

एलन ईजिंग
स्रोत
5

यदि हम यह अनुमान लगाते हैं कि आपके परत 1-3 OSPF प्रमाणीकरण से सुरक्षित हैं तो इसका कोई मतलब नहीं है। लेकिन क्योंकि परत 1-3 आवश्यक नहीं है कि सुरक्षित ओएसपीएफ कार्यरत है यह स्वयं की सुरक्षा पद्धति है - प्रमाणीकरण।

OSPF में प्रमाणीकरण एक हमलावर को रोकता है जो मूर्ख राउटर को पैकेट को सूँघ और इंजेक्ट कर सकता है और OSPF टोपोलॉजी को संशोधित कर सकता है। उदाहरण के लिए परिणाम हैं: MITM के लिए संभव है जब हमलावर टोपोलॉजी को इस तरह से बदलता है कि उसके द्वारा नियंत्रित मशीन के माध्यम से कुछ / सभी ट्रैफ़िक बहते हैं। सेवा से इनकार जब हमलावर यातायात को छोड़ देता है जो उसके माध्यम से बहती है। एक और परिणाम सभी राउटर के मेल्टडाउन हो सकता है जब हमलावर नई सूचना की घोषणा बहुत तेजी से करता है, हालांकि यह एसपीएफ़ टाइमर को ट्यून करके आंशिक रूप से हल किया जा सकता है।

प्रमाणीकरण पुनरावृत्ति के हमलों को भी रोकता है, उदाहरण के लिए यह हमलावर को पिछले समय से समाप्त हो चुकी विज्ञापन की जानकारी से बचाता है। इसके अलावा यह मौजूदा OSPF कॉन्फ़िगरेशन के साथ किसी अन्य नेटवर्क से एक राउटर प्लग करने से तबाही को रोकता है जो उदाहरण के लिए अतिव्यापी मार्गों को इंजेक्ट कर सकता है (इसके लिए धन्यवाद, प्रमाणीकरण अच्छा है, भले ही आपकी परत 1-3 सुरक्षित हो)।

Kveri
स्रोत
2

क्या ओएसपीएफ को एन्क्रिप्ट करना संभव है?

OSPFv2 केवल प्रमाणीकरण का समर्थन करता है । यदि आप प्रमाणीकरण का उपयोग करते हैं तब भी आप LSAs पेलोड देख सकते हैं। प्रमाणीकरण केवल एक चीज पड़ोसियों को प्रमाणित करती है। नहीं है कोई पेलोड एन्क्रिप्शन।

RFC 4552:

OSPF (ओपन शॉर्टएस्ट पाथ फर्स्ट) संस्करण 2 सुरक्षा प्रदान करने के लिए अपने प्रोटोकॉल हेडर में AuType और प्रमाणीकरण क्षेत्रों को परिभाषित करता है। IPv6 (OSPFv3) के लिए OSPF में, दोनों प्रमाणीकरण क्षेत्रों को OSPF हेडर से हटा दिया गया था। OSPFv3 IPv6 ऑथेंटिकेशन हैडर (AH) और IPv6 एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) पर निर्भर करता है जो अखंडता, प्रमाणीकरण और / या गोपनीयता प्रदान करता है।

तो, अगर OSPFv3 हम IPSec द्वारा पूरे पैकेट को स्थानांतरित कर सकते हैं।

t3mp
स्रोत
1

एक बार जब आपके पास निष्क्रिय करने के लिए सेट किए गए इंटरफेस होते हैं, तो आप बहुत ज्यादा नहीं खोलते हैं। प्रमाणीकरण में परेशानी के लिए दो संभावित वैक्टर शामिल हैं:

सीपीयू उपयोग - यह जरूरी नहीं कि एक बड़ा मुद्दा है, लेकिन जब आप अपनी गणना कर रहे हैं तो इसे नहीं भूलना चाहिए। हालाँकि, यदि आप एक नेटवर्क चला रहे हैं जहाँ अभिसरण समय जितना आप चाहते हैं, उससे अधिक समय लगता है, तो हर छोटी-बड़ी गणना होती है।

समस्या निवारण। कुछ याद करना आसान है, और यह एक नया कनेक्शन, प्रतिस्थापन राउटर आदि लाने में धीमा कर सकता है।

यदि आप OSPF को सूँघने और एक दुर्भावनापूर्ण घुसपैठिये इंजेक्ट डेटा प्राप्त करने के बारे में चिंतित हैं, तो आपको संभवतः प्रमाणीकरण से कुछ अधिक मजबूत होना चाहिए: OSPFv2, और BGP के साथ मिलने वाले कमजोर MD5 के बजाय वास्तविक एन्क्रिप्शन चलाने से शुरू करें, तो बेहतर होगा अविश्वसनीय लिंक के लिए।

डेविड बराक
स्रोत
क्या ओएसपीएफ को एन्क्रिप्ट करना संभव है? या आप इसे प्राप्त करने के लिए आंतरिक रूप से बीजीपी का उपयोग करेंगे?
साइमनजग्रीन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.