通过思科路由器提高OSPF安全性3

通过思科路由器提高OSPF安全性3

　另外在OSPF协议中，在其分组中，还包含了一个非降序的序列号。通过这个序列号，可以防止黑客的重放攻击。重放攻击就是攻击者发送一个目的主机已接收过的包，通过占用接收系统的资源，来达到欺骗系统的目的。重放攻击往往用来攻击身份认证。可以说，重放攻击是黑客最喜欢采用的工具之一。

　　三、通过思科路由器提高OSPF的安全性

　　那么思科路由器是如何来保障OSPF协议的安全性的呢?在思科网络产品中，采取了比较完整的解决方案。

　　一是将所有受影响的设备都设置为非广播模式。在非广播模式中，OSPF设备需要明确配置才能同有效的OSPF邻居(即与某个OSPF路由器直接相连的网络设备)进行通信。在非广播模式中，提供了一个基本的安全层，可以防止配置错误。因为在配置模式下，只有预先配置成可以与这台OSPF路由器通信的网络设备才能够与其进行通信，更新路由信息。而在广播环境中，任何具有正确配置的OSPF设备都可以参与到OSPF路由中。如在简单密码认证模式下，只要知道这个密钥就能够参与到路由更新信息中。其实，这跟服务器或者路由器的远程管理类似。如可以通过访问控制列表或者防火墙限制只有特定MAC地址或者IP地址的主机才可以远程连接到路由器上进行远程管理。如此的话，就可以提高远程访问的安全性。而这里采用非广播模式，其安全思路与此是相同的。在思科的路由器产品中，默认情况是采用广播模式的。这主要是出于兼容性的考虑，如在不需要额外配置的情况下，就可以直接联入网络。不过为了提高OSPF的安全性，我们往往需要把其模式配置为非广播模式。如需要更换这个模式，需要在路由器的接口配置提示符中执行如下的命令：

　　IP ospf network non-broadcast.

　　二是为OSPF路由设置合适的认证方案。在OSPF路由协议中，主要支持三种认证方式，分别为NULL认证、简单密码认证与消息摘要认证。NULL认证即为空认证，也就是说不需要认证即可以加入到OSPF网络中。在简单认证中，密钥在网络中是通过明文传输的。故知需要攻击者有监听器等工具就可以轻而易举的获取密钥，从而就可以轻松的对网络进行破坏。而消息摘要认证就如同上面所说的，其密钥不直接在网络上传播。到目前为止，其采用了国际上普遍承认的消息摘要算法。可以说，其是现在最安全的OSPF认证模式。故一般情况下，笔者建议网络管理员采用消息摘要身份认证。因为采用简单认证方式，跟采用NULL空认证方式差不多，都不能够有效保障OSPF网络环境的安全。

　　消息摘要算法的典型应用是对一段信息产生信息摘要，以防止被篡改。比如，举一个发生在我们身边的实际例子。在UNIX下有很多软件在下载的时候都有一个文件名相同，文件扩展名为.md5的文件，在这个文件中通常只有一行文本。这就是某个下载文件的数字签名。MD5将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的MD5信息摘要。通过这种方式，就可以保障下载文件的合法性。

　　若网络管理员需要采用消息摘要认证，也是比较简单的一件事情。现在思科的路由器都支持摘要消息认证的方式。如果要在思科路由器中启用消息摘要认证的话，则需要在接口配置提示符下进行操作。

　　另外，企业可能不需要对所有的OSPF进程采用这么高的安全认证方法。对于一些安全性需求不要的地方，可以只采用简单认证或者空认证。毕竟采用摘要消息认证，需要花费一定的系统资源。虽然这个消耗的比例比较少，但是会对网络性能产生不利的影响。为此，在思科路由器中，可以有选择的对OSPF协议进程ID设置不同的认证方式，以实现不同的安全需求。