Sécuriser OSPF avec seulement des interfaces passives

15

Je sais que pour sécuriser OSPF, vous devez 1) utiliser l'authentification OSPF, 2) utiliser la commande d'interface passive sur les interfaces qui n'ont pas de voisins ospf. Si j'utilise uniquement la commande d'interface passive et non l'authentification ospf, à quelles vulnérabilités suis-je laissé ouvert?

tout rouge
la source

Réponses:

24

Un problème est que l'authentification garantit que seuls les appareils de confiance sont capables d'échanger des itinéraires sur le réseau. Sans authentification, vous pourriez introduire un appareil non approuvé et provoquer des problèmes de routage importants. Par exemple:

Si la zone 0 n'est pas authentifiée, connectez un routeur dans la zone 0 avec de fausses routes à null0. Vous pouvez même créer une route par défaut et l'injecter dans la topologie menant au mauvais routeur vers le trafic de trou noir. Ou l'itinéraire pourrait forcer le trafic vers une passerelle bidon conçue pour renifler les connexions et extraire les données non sécurisées avant de les envoyer sur le bon chemin.

L'authentification garantit que seuls les routeurs que vous connaissez et auxquels vous faites confiance échangent des informations.

NetworkingNerd
la source
Spot on @NetworkingNerd - Il est beaucoup mieux d'avoir des interfaces d'authentification et non passives que l'inverse.
Paul Gear
Mais avoir une authentification crée des maux de tête sur le réseau. L'interface passive et une bonne sécurité physique (c'est-à-dire un accès sécurisé aux appareils) devraient suffire.
sikas
8

Cela dépend de la topologie de votre réseau. Si les liaisons non passives sont isolées (point à point) et sécurisées au niveau des couches inférieures de la pile (contrôle d'accès physique des routeurs), il me serait alors difficile d'identifier un vecteur d'attaque viable. L'authentification est essentielle lorsqu'il est possible pour un routeur non autorisé de présenter du trafic arbitraire sur une liaison donnée.

neirbowj
la source
6

Si quelqu'un devait accéder à l'équipement réel et insérer en quelque sorte un autre appareil à l'extrémité du lien, cela lui donnerait accès à votre réseau, pour injecter des routes dans votre table de routage et d'autres trucs désagréables comme ça.

Un scénario comme celui-ci serait très théorique dans des endroits tels que les réseaux dorsaux qui sont dans des emplacements sécurisés, mais si le lien devait aller à un client ou à un autre tiers, une sorte d'authentification serait probablement très sage.

Allan Eising
la source
5

Si nous supposons que vos couches 1-3 sont sécurisées, l'authentification OSPF n'a aucun sens. Mais parce que les couches 1-3 ne sont pas nécessairement sécurisées, OSPF utilise sa propre méthode de sécurité - l'authentification.

L'authentification dans OSPF empêche un attaquant qui peut renifler et injecter des paquets pour tromper les routeurs et modifier la topologie OSPF. Les résultats sont par exemple: possibles de MITM lorsque l'attaquant modifie la topologie de telle sorte que tout / partie du trafic passe par la machine qu'il contrôle. Déni de service lorsque l'attaquant rejette le trafic qui le traverse. Un autre résultat pourrait être l'effondrement de tous les routeurs lorsque l'attaquant annonce de nouvelles informations très rapidement, bien que cela puisse être partiellement résolu par le réglage des temporisateurs SPF.

L'authentification empêche également les attaques de réexécution, par exemple, elle empêche l'attaquant de publier des informations expirées du passé. Il empêche également le chaos en branchant un routeur d'un autre réseau avec la configuration OSPF existante qui pourrait injecter des routes qui se chevauchent par exemple (grâce à cela, l'authentification est bonne même si vous avez votre couche 1-3 sécurisée).

Kveri
la source
2

Est-il possible de crypter OSPF?

OSPFv2 prend uniquement en charge l' authentification . Vous pouvez toujours voir la charge utile des LSA même si vous utilisez l'authentification. La seule chose que l'authentification fait est d'authentifier les voisins. Il n'y a pas de chiffrement de charge utile .

RFC 4552:

La version 2 OSPF (Open Shortest Path First) définit les champs AuType et Authentication dans son en-tête de protocole pour assurer la sécurité. Dans OSPF pour IPv6 (OSPFv3), les deux champs d'authentification ont été supprimés des en-têtes OSPF. OSPFv3 s'appuie sur l'en-tête d'authentification IPv6 (AH) et la charge utile de sécurité d'encapsulation IPv6 (ESP) pour assurer l'intégrité, l'authentification et / ou la confidentialité.

Donc, si OSPFv3, nous pouvons chiffrer le paquet entier par IPSec.

t3mp
la source
1

Une fois que vous avez défini des interfaces passives, vous n'êtes pas ouvert à grand-chose. L'authentification ajoute deux vecteurs possibles de problèmes:

Utilisation du processeur - ce n'est pas nécessairement un énorme problème, mais ne doit pas être oublié lorsque vous effectuez vos calculs. Cependant, si vous exécutez un réseau où les temps de convergence prennent plus de temps que vous le souhaitez, chaque petit élément compte.

Dépannage. Il est facile de manquer quelque chose, ce qui peut ralentir l'apparition d'une nouvelle connexion, d'un routeur de remplacement, etc.

Si vous vous inquiétez d'obtenir OSPF reniflé et d'avoir un intrus malveillant injectant des données, vous devriez probablement exécuter quelque chose de plus fort que l'authentification: commencez par exécuter le cryptage réel plutôt que le faible MD5 que vous obtiendrez avec OSPFv2, et BGP est mieux pour les liens non fiables.

David Barak
la source
Est-il possible de crypter OSPF? Ou utiliseriez-vous BGP en interne pour y parvenir?
SimonJGreen