Mengamankan OSPF dengan hanya antarmuka pasif

Saya tahu bahwa untuk mengamankan OSPF Anda harus 1) menggunakan otentikasi OSPF, 2) menggunakan perintah antarmuka pasif pada antarmuka yang tidak memiliki tetangga ospf. Jika saya hanya menggunakan perintah antarmuka pasif dan bukan otentikasi SPF, kerentanan apa yang saya buka?

Satu masalah adalah otentikasi memastikan bahwa hanya perangkat tepercaya yang dapat bertukar rute di jaringan. Tanpa otentikasi, Anda dapat memperkenalkan perangkat yang tidak tepercaya dan menyebabkan masalah perutean yang signifikan. Sebagai contoh:

Jika area 0 tidak diautentikasi, pasang router di area 0 dengan rute palsu ke null0. Anda bahkan dapat membuat rute default dan menyuntikkannya ke dalam topologi yang mengarah ke router buruk ke lalu lintas lubang hitam. Atau rute tersebut dapat memaksa lalu lintas menuju gateway palsu yang dirancang untuk mengendus koneksi dan mengeluarkan data yang tidak aman sebelum mengirimnya di jalur yang benar.

Otentikasi memastikan bahwa hanya router yang Anda kenal dan percayai yang bertukar informasi.

Itu tergantung pada topologi jaringan Anda. Jika tautan non-pasif diisolasi (point-to-point) dan diamankan di lapisan bawah stack (kontrol akses fisik router), maka saya akan kesulitan untuk mengidentifikasi vektor serangan yang layak. Otentikasi sangat penting ketika router nakal dapat menyajikan lalu lintas sewenang-wenang pada tautan yang diberikan.

Jika ada orang yang mendapatkan akses ke peralatan aktual dan entah bagaimana memasukkan perangkat lain ke ujung tautan, itu akan memberi mereka akses ke jaringan Anda, untuk menyuntikkan rute ke dalam tabel perutean Anda dan hal-hal buruk lainnya seperti itu.

Skenario seperti ini akan sangat teoretis di tempat-tempat seperti jaringan backbone yang berada di lokasi yang aman, tetapi jika tautan menuju ke pelanggan atau ke pihak ketiga lainnya, semacam otentikasi mungkin akan sangat bijaksana.

Jika kami membuat asumsi bahwa layer 1-3 Anda aman daripada otentikasi OSPF tidak masuk akal. Tetapi karena layer 1-3 tidak selalu aman, OSPF menggunakan metode keamanannya sendiri - otentikasi.

Otentikasi dalam OSPF mencegah penyerang yang dapat mengendus dan menyuntikkan paket untuk menipu router dan memodifikasi topologi OSPF. Hasilnya misalnya: kemungkinan MITM ketika penyerang mengubah topologi sedemikian rupa sehingga lalu lintas tertentu / semua melalui mesin dikendalikan olehnya. Penolakan layanan saat penyerang membuang lalu lintas yang mengalir melaluinya. Hasil lain bisa menjadi hancur semua router ketika penyerang mengumumkan informasi baru dengan sangat cepat, meskipun ini bisa sebagian diselesaikan dengan menyetel timer SPF.

Otentikasi juga mencegah serangan replay, misalnya mencegah penyerang mengiklankan informasi kedaluwarsa dari masa lalu. Juga mencegah kekacauan dengan menghubungkan router dari jaringan lain dengan konfigurasi OSPF yang sudah ada yang dapat menyuntikkan rute yang tumpang tindih misalnya (berkat ini, otentikasi baik bahkan jika Anda memiliki lapisan 1-3 diamankan).

Apakah mungkin mengenkripsi OSPF?

OSPFv2 hanya mendukung otentikasi . Anda masih dapat melihat muatan LSA bahkan jika Anda menggunakan otentikasi. Satu-satunya hal yang dilakukan otentikasi adalah mengesahkan tetangga. Tidak ada enkripsi payload .

RFC 4552:

OSPF (Open Shortest Path First) Versi 2 mendefinisikan bidang AuType dan Otentikasi di header protokol untuk memberikan keamanan. Dalam OSPF untuk IPv6 (OSPFv3), kedua bidang otentikasi dihapus dari header OSPF. OSPFv3 mengandalkan IPv6 Authentication Header (AH) dan IPv6 Encapsulating Security Payload (ESP) untuk memberikan integritas, otentikasi, dan / atau kerahasiaan.

Jadi, jika OSPFv3 kita dapat meng-ecrypt seluruh paket dengan IPSec.

Setelah antarmuka Anda diatur ke pasif, Anda tidak terbuka untuk banyak hal. Otentikasi memang menambah dua kemungkinan vektor untuk masalah:

Pemanfaatan CPU - ini tidak selalu merupakan masalah besar, tetapi tidak boleh dilupakan ketika Anda melakukan perhitungan Anda. Namun, jika Anda menjalankan jaringan di mana waktu konvergensi lebih lama dari yang Anda inginkan, setiap bit sedikit diperhitungkan.

Penyelesaian masalah. Sangat mudah untuk melewatkan sesuatu, dan itu bisa memperlambat memunculkan koneksi baru, router pengganti, dll.

Jika Anda khawatir tentang mengendus OSPF dan memiliki penyusup jahat menyuntikkan data, Anda mungkin harus menjalankan sesuatu yang lebih kuat daripada otentikasi: mulai dengan menjalankan enkripsi yang sebenarnya daripada MD5 lemah Anda akan dapatkan dengan OSPFv2, dan BGP lebih baik untuk tautan yang tidak tepercaya.