Zabezpieczanie OSPF za pomocą tylko pasywnych interfejsów
15
Wiem, że aby zabezpieczyć OSPF, należy 1) użyć uwierzytelnienia OSPF, 2) użyć pasywnego polecenia interfejsu na interfejsach, które nie mają sąsiadów OSPF. Jeśli używam tylko polecenia interfejsu pasywnego, a nie uwierzytelniania OSPF, na jakie luki jestem otwarty?
Jednym z problemów jest to, że uwierzytelnianie zapewnia, że tylko zaufane urządzenia mogą wymieniać trasy w sieci. Bez uwierzytelnienia można wprowadzić niezaufane urządzenie i spowodować poważne problemy z routingiem. Na przykład:
Jeśli obszar 0 nie jest uwierzytelniony, podłącz router w obszarze 0 z fałszywymi trasami do wartości null0. Możesz nawet utworzyć domyślną trasę i wprowadzić ją do topologii prowadzącej do złego routera do ruchu czarnej dziury. Albo trasa może zmusić ruch do fałszywej bramy zaprojektowanej do wąchania połączeń i wyciągania niepewnych danych przed wysłaniem ich na właściwą ścieżkę.
Uwierzytelnianie zapewnia, że tylko routery, o których wiesz i którym ufasz, wymieniają informacje.
Spot na @NetworkingNerd - Znacznie lepiej jest mieć uwierzytelnianie i nie pasywne interfejsy niż na odwrót.
Paul Gear
Ale uwierzytelnianie powoduje ból głowy w sieci. Interfejs pasywny oraz dobre bezpieczeństwo fizyczne (tj. Bezpieczny dostęp do urządzeń) powinny wystarczyć.
sikas
8
To zależy od topologii sieci. Jeśli niepasywne łącza są izolowane (punkt-punkt) i zabezpieczone na niższych warstwach stosu (fizyczna kontrola dostępu routerów), trudno byłoby mi znaleźć realny wektor ataku. Uwierzytelnianie ma kluczowe znaczenie, gdy nieuczciwy router może prezentować dowolny ruch na danym łączu.
Jeśli ktoś miałby uzyskać dostęp do rzeczywistego sprzętu i w jakiś sposób włożyć inne urządzenie do odległego końca łącza, to dałoby mu dostęp do sieci, aby wstrzyknąć trasy do tablicy routingu i inne nieprzyjemne rzeczy.
Taki scenariusz byłby bardzo teoretyczny w miejscach takich jak sieci szkieletowe, które znajdują się w bezpiecznych lokalizacjach, ale gdyby łącze prowadziło do klienta lub innej strony trzeciej, pewna metoda uwierzytelnienia byłaby prawdopodobnie bardzo mądra.
Jeśli założymy, że Twoje warstwy 1-3 są bezpieczne, uwierzytelnianie OSPF nie ma żadnego sensu. Ale ponieważ warstwa 1-3 niekoniecznie jest bezpieczna OSPF stosuje własną metodę bezpieczeństwa - uwierzytelnianie.
Uwierzytelnianie w OSPF zapobiega osobie atakującej, która może wąchać i wstrzykiwać pakiety w celu oszukiwania routerów i modyfikowania topologii OSPF. Wyniki są na przykład: możliwe dla MITM, gdy atakujący zmieni topologię w taki sposób, że pewien / cały ruch przepływa przez kontrolowaną przez niego maszynę. Odmowa usługi, gdy atakujący odrzuca ruch, który przez niego przepływa. Innym rezultatem może być stopienie wszystkich routerów, gdy atakujący bardzo szybko ogłasza nowe informacje, chociaż można to częściowo rozwiązać poprzez dostrajanie timerów SPF.
Uwierzytelnianie zapobiega również atakom związanym z odtwarzaniem, na przykład uniemożliwia atakującemu reklamę informacji, które wygasły z przeszłości. Zapobiega także chaosowi poprzez podłączenie routera z innej sieci z istniejącą konfiguracją OSPF, która może na przykład wstrzykiwać nakładające się trasy (dzięki temu uwierzytelnianie jest dobre, nawet jeśli masz warstwę 1-3).
OSPFv2 obsługuje tylko uwierzytelnianie . Nadal możesz zobaczyć ładunek LSA, nawet jeśli używasz uwierzytelniania. Jedyne, co robi uwierzytelnianie, to uwierzytelnianie sąsiadów. Brak szyfrowania danych .
RFC 4552:
OSPF (Open Shortest Path First) Wersja 2 definiuje pola AuType i Authentication w swoim nagłówku protokołu, aby zapewnić bezpieczeństwo. W OSPF dla IPv6 (OSPFv3) oba pola uwierzytelnienia zostały usunięte z nagłówków OSPF. OSPFv3 wykorzystuje nagłówek uwierzytelniania IPv6 (AH) i enkapsulujący ładunek bezpieczeństwa IPv6 (ESP) w celu zapewnienia integralności, uwierzytelnienia i / lub poufności.
Tak więc, jeśli OSPFv3 możemy ecrypt całą paczkę przez IPSec.
Gdy interfejsy zostaną ustawione jako pasywne, nie będziesz otwarty na wiele. Uwierzytelnianie dodaje dwa możliwe wektory problemów:
Wykorzystanie procesora - niekoniecznie jest to ogromny problem, ale nie należy zapominać o tym podczas wykonywania obliczeń. Jeśli jednak prowadzisz sieć, w której czasy konwergencji trwają dłużej, niż chcesz, liczy się każdy drobiazg.
Rozwiązywanie problemów. Łatwo coś przeoczyć, a to może spowolnić uruchamianie nowego połączenia, routera zastępczego itp.
Jeśli martwisz się, że OSPF zostanie powąchany i złośliwe wtargnięcie intruza, prawdopodobnie powinieneś uruchomić coś silniejszego niż uwierzytelnianie: zacznij od uruchomienia rzeczywistego szyfrowania zamiast słabego MD5, który dostaniesz z OSPFv2, a BGP jest lepszy dla niezaufanych linków.
To zależy od topologii sieci. Jeśli niepasywne łącza są izolowane (punkt-punkt) i zabezpieczone na niższych warstwach stosu (fizyczna kontrola dostępu routerów), trudno byłoby mi znaleźć realny wektor ataku. Uwierzytelnianie ma kluczowe znaczenie, gdy nieuczciwy router może prezentować dowolny ruch na danym łączu.
źródło
Jeśli ktoś miałby uzyskać dostęp do rzeczywistego sprzętu i w jakiś sposób włożyć inne urządzenie do odległego końca łącza, to dałoby mu dostęp do sieci, aby wstrzyknąć trasy do tablicy routingu i inne nieprzyjemne rzeczy.
Taki scenariusz byłby bardzo teoretyczny w miejscach takich jak sieci szkieletowe, które znajdują się w bezpiecznych lokalizacjach, ale gdyby łącze prowadziło do klienta lub innej strony trzeciej, pewna metoda uwierzytelnienia byłaby prawdopodobnie bardzo mądra.
źródło
Jeśli założymy, że Twoje warstwy 1-3 są bezpieczne, uwierzytelnianie OSPF nie ma żadnego sensu. Ale ponieważ warstwa 1-3 niekoniecznie jest bezpieczna OSPF stosuje własną metodę bezpieczeństwa - uwierzytelnianie.
Uwierzytelnianie w OSPF zapobiega osobie atakującej, która może wąchać i wstrzykiwać pakiety w celu oszukiwania routerów i modyfikowania topologii OSPF. Wyniki są na przykład: możliwe dla MITM, gdy atakujący zmieni topologię w taki sposób, że pewien / cały ruch przepływa przez kontrolowaną przez niego maszynę. Odmowa usługi, gdy atakujący odrzuca ruch, który przez niego przepływa. Innym rezultatem może być stopienie wszystkich routerów, gdy atakujący bardzo szybko ogłasza nowe informacje, chociaż można to częściowo rozwiązać poprzez dostrajanie timerów SPF.
Uwierzytelnianie zapobiega również atakom związanym z odtwarzaniem, na przykład uniemożliwia atakującemu reklamę informacji, które wygasły z przeszłości. Zapobiega także chaosowi poprzez podłączenie routera z innej sieci z istniejącą konfiguracją OSPF, która może na przykład wstrzykiwać nakładające się trasy (dzięki temu uwierzytelnianie jest dobre, nawet jeśli masz warstwę 1-3).
źródło
OSPFv2 obsługuje tylko uwierzytelnianie . Nadal możesz zobaczyć ładunek LSA, nawet jeśli używasz uwierzytelniania. Jedyne, co robi uwierzytelnianie, to uwierzytelnianie sąsiadów. Brak szyfrowania danych .
RFC 4552:
Tak więc, jeśli OSPFv3 możemy ecrypt całą paczkę przez IPSec.
źródło
Gdy interfejsy zostaną ustawione jako pasywne, nie będziesz otwarty na wiele. Uwierzytelnianie dodaje dwa możliwe wektory problemów:
Wykorzystanie procesora - niekoniecznie jest to ogromny problem, ale nie należy zapominać o tym podczas wykonywania obliczeń. Jeśli jednak prowadzisz sieć, w której czasy konwergencji trwają dłużej, niż chcesz, liczy się każdy drobiazg.
Rozwiązywanie problemów. Łatwo coś przeoczyć, a to może spowolnić uruchamianie nowego połączenia, routera zastępczego itp.
Jeśli martwisz się, że OSPF zostanie powąchany i złośliwe wtargnięcie intruza, prawdopodobnie powinieneś uruchomić coś silniejszego niż uwierzytelnianie: zacznij od uruchomienia rzeczywistego szyfrowania zamiast słabego MD5, który dostaniesz z OSPFv2, a BGP jest lepszy dla niezaufanych linków.
źródło