如何通過(guò)思科路由器提高OSPF安全性

　　OSPF也是一種路由協(xié)議，它是鏈路狀態(tài)協(xié)議的開(kāi)放版本。在實(shí)際工作中，在一些大型網(wǎng)絡(luò)、混合型的網(wǎng)絡(luò)中，常常使用OSPF協(xié)議。那么你知道如何通過(guò)思科路由器提高OSPF安全性嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于通過(guò)思科路由器提高OSPF安全性的相關(guān)資料，供你參考。

　　通過(guò)思科路由器提高OSPF的安全性的方法：

　　那么思科路由器是如何來(lái)保障OSPF協(xié)議的安全性的呢?在思科網(wǎng)絡(luò)產(chǎn)品中，采取了比較完整的解決方案。

　　一是將所有受影響的設(shè)備都設(shè)置為非廣播模式。在非廣播模式中，OSPF設(shè)備需要明確配置才能同有效的OSPF鄰居(即與某個(gè)OSPF路由器直接相連的網(wǎng)絡(luò)設(shè)備)進(jìn)行通信。在非廣播模式中，提供了一個(gè)基本的安全層，可以防止配置錯(cuò)誤。因?yàn)樵谂渲媚Ｊ较拢挥蓄A(yù)先配置成可以與這臺(tái)OSPF路由器通信的網(wǎng)絡(luò)設(shè)備才能夠與其進(jìn)行通信，更新路由信息。而在廣播環(huán)境中，任何具有正確配置的OSPF設(shè)備都可以參與到OSPF路由中。如在簡(jiǎn)單密碼認(rèn)證模式下，只要知道這個(gè)密鑰就能夠參與到路由更新信息中。其實(shí)，這跟服務(wù)器或者路由器的遠(yuǎn)程管理類似。如可以通過(guò)訪問(wèn)控制列表或者防火墻限制只有特定MAC地址或者IP地址的主機(jī)才可以遠(yuǎn)程連接到路由器上進(jìn)行遠(yuǎn)程管理。如此的話，就可以提高遠(yuǎn)程訪問(wèn)的安全性。而這里采用非廣播模式，其安全思路與此是相同的。在思科的路由器產(chǎn)品中，默認(rèn)情況是采用廣播模式的。這主要是出于兼容性的考慮，如在不需要額外配置的情況下，就可以直接聯(lián)入網(wǎng)絡(luò)。不過(guò)為了提高OSPF的安全性，我們往往需要把其模式配置為非廣播模式。如需要更換這個(gè)模式，需要在路由器的接口配置提示符中執(zhí)行如下的命令：

　　IP ospf network non-broadcast.

　　二是為OSPF路由設(shè)置合適的認(rèn)證方案。在OSPF路由協(xié)議中，主要支持三種認(rèn)證方式，分別為NULL認(rèn)證、簡(jiǎn)單密碼認(rèn)證與消息摘要認(rèn)證。NULL認(rèn)證即為空認(rèn)證，也就是說(shuō)不需要認(rèn)證即可以加入到OSPF網(wǎng)絡(luò)中。在簡(jiǎn)單認(rèn)證中，密鑰在網(wǎng)絡(luò)中是通過(guò)明文傳輸?shù)摹９手枰粽哂斜O(jiān)聽(tīng)器等工具就可以輕而易舉的獲取密鑰，從而就可以輕松的對(duì)網(wǎng)絡(luò)進(jìn)行破壞。而消息摘要認(rèn)證就如同上面所說(shuō)的，其密鑰不直接在網(wǎng)絡(luò)上傳播。到目前為止，其采用了國(guó)際上普遍承認(rèn)的消息摘要算法?？梢哉f(shuō)，其是現(xiàn)在最安全的OSPF認(rèn)證模式。故一般情況下，筆者建議網(wǎng)絡(luò)管理員采用消息摘要身份認(rèn)證。因?yàn)椴捎煤?jiǎn)單認(rèn)證方式，跟采用NULL空認(rèn)證方式差不多，都不能夠有效保障OSPF網(wǎng)絡(luò)環(huán)境的安全。

　　消息摘要算法的典型應(yīng)用是對(duì)一段信息產(chǎn)生信息摘要，以防止被篡改。比如，舉一個(gè)發(fā)生在我們身邊的實(shí)際例子。在UNIX下有很多軟件在下載的時(shí)候都有一個(gè)文件名相同，文件擴(kuò)展名為.md5的文件，在這個(gè)文件中通常只有一行文本。這就是某個(gè)下載文件的數(shù)字簽名。MD5將整個(gè)文件當(dāng)作一個(gè)大文本信息，通過(guò)其不可逆的字符串變換算法，產(chǎn)生了這個(gè)唯一的MD5信息摘要。通過(guò)這種方式，就可以保障下載文件的合法性。

　　若網(wǎng)絡(luò)管理員需要采用消息摘要認(rèn)證，也是比較簡(jiǎn)單的一件事情。現(xiàn)在思科的路由器都支持摘要消息認(rèn)證的方式。如果要在思科路由器中啟用消息摘要認(rèn)證的話，則需要在接口配置提示符下進(jìn)行操作。

　　另外，企業(yè)可能不需要對(duì)所有的OSPF進(jìn)程采用這么高的安全認(rèn)證方法。對(duì)于一些安全性需求不要的地方，可以只采用簡(jiǎn)單認(rèn)證或者空認(rèn)證。畢竟采用摘要消息認(rèn)證，需要花費(fèi)一定的系統(tǒng)資源。雖然這個(gè)消耗的比例比較少，但是會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生不利的影響。為此，在思科路由器中，可以有選擇的對(duì)OSPF協(xié)議進(jìn)程ID設(shè)置不同的認(rèn)證方式，以實(shí)現(xiàn)不同的安全需求。

　　利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷：

　　說(shuō)句實(shí)話，引入OSPF協(xié)議主要是用來(lái)解決RIP路由信息協(xié)議的一些缺陷。

　　如RIP與RIP2協(xié)議都具有15跳的限制。如果網(wǎng)絡(luò)跨越超過(guò)了15跳限制的話，目的地會(huì)被認(rèn)為不可達(dá)。所以，RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點(diǎn)，同時(shí)突破了這個(gè)15跳的限制。另外，OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷。筆者在談到OSPF的安全問(wèn)題時(shí)，之所以簡(jiǎn)要介紹OSPF協(xié)議與RIP路由信息協(xié)議的關(guān)系，主要是想強(qiáng)調(diào)一下，OSPF協(xié)議也如同RIP協(xié)議一樣，是目前企業(yè)網(wǎng)絡(luò)設(shè)計(jì)中常用的協(xié)議。所以，如何提高這個(gè)協(xié)議的安全性，對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)也就顯得尤其的重要。

　　OSPF的認(rèn)證方式：

　　OSPF主要是通過(guò)路由更新認(rèn)證的方式提供了其鏈路的安全性。如可以認(rèn)證OSPF分組，如此路由器就可以根據(jù)預(yù)先配置的密碼參與到路由域中。不過(guò)默認(rèn)情況下，路由器往往不采用認(rèn)證，有些書(shū)上也把它叫做NULL認(rèn)證。也就是說(shuō)，網(wǎng)絡(luò)上的路由器交換是不對(duì)彼此進(jìn)行認(rèn)證的。這顯然不利于OSPF協(xié)議的安全性。

　　通常情況下，為了提高OSPF協(xié)議的安全性，往往要對(duì)其采取一些安全措施。常見(jiàn)的安全措施目前為止有兩種。分別為簡(jiǎn)單的密碼認(rèn)證與消息摘要認(rèn)證。

　　簡(jiǎn)單的密碼認(rèn)證允許在每一個(gè)區(qū)域中配置一個(gè)密碼，在同一個(gè)區(qū)域中的路由器要參與到路由域中，就必須配置相同的密鑰。如果沒(méi)有密鑰的話，則其他路由器是不會(huì)接受新加入的路由器的。這在一定程度上，可以提高OSPF協(xié)議的安全性。不過(guò)這種方式確實(shí)是“簡(jiǎn)單，其比較容易受到攻擊。如現(xiàn)在有一種叫做“消極攻擊的方式，對(duì)這種簡(jiǎn)單密碼認(rèn)證就很有效。在這個(gè)域中，只要具有鏈路分析器這個(gè)工具，就可以輕而易舉的獲得這個(gè)密鑰，從而進(jìn)行一些破壞工作。

　　消息摘要認(rèn)證相對(duì)來(lái)說(shuō)，要比簡(jiǎn)單密碼認(rèn)證安全的多。因?yàn)橄⒄J(rèn)證是加密的認(rèn)證。再每一個(gè)路由器上都配置一個(gè)密鑰與一個(gè)密鑰ID。如果路由器采用OSPF協(xié)議的話，則其就會(huì)采用一個(gè)基于OSPF的算法，并結(jié)合密鑰、密鑰ID來(lái)創(chuàng)建一個(gè)消息摘要。然后路由器會(huì)把這個(gè)消息摘要加入到OSPF分組的后面。很簡(jiǎn)單密碼認(rèn)證不同，不需要再鏈路上交換密鑰。如此的話，即使不法攻擊者有鏈路分析工具的話，也無(wú)法取得這個(gè)密鑰信息。為此，可以有效提高這個(gè)密鑰的安全性。消息摘要認(rèn)證主要廣泛用于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的登陸認(rèn)證上，如Unix、各類BSD系統(tǒng)登錄密碼、數(shù)字簽名等諸多方，或者思科的網(wǎng)絡(luò)設(shè)備中。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認(rèn)證經(jīng)哈希運(yùn)算后存儲(chǔ)在文件系統(tǒng)中。當(dāng)用戶登錄的時(shí)候，系統(tǒng)把用戶輸入的密碼進(jìn)行消息摘要認(rèn)證與哈希運(yùn)算，然后再去和保存在文件系統(tǒng)中的消息摘要認(rèn)證值進(jìn)行比較，進(jìn)而確定輸入的密碼是否正確。通過(guò)這樣的步驟，系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。在思科路由器等網(wǎng)絡(luò)設(shè)備中，身份認(rèn)證過(guò)程也是如此。這就可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道。消息摘要認(rèn)證將任意長(zhǎng)度的“字節(jié)串映射為一個(gè)128bit的大整數(shù)，并且是通過(guò)該128bit反推原始字符串是困難的，換句話說(shuō)就是，即使你看到源程序和算法描述，也無(wú)法將一個(gè)消息摘要認(rèn)證的值變換回原始的字符串，從數(shù)學(xué)原理上說(shuō)，是因?yàn)樵嫉淖址袩o(wú)窮多個(gè)，這有點(diǎn)象不存在反函數(shù)的數(shù)學(xué)函數(shù)。所以，要遇到了消息摘要認(rèn)證密碼的問(wèn)題，比較好的辦法是：你可以用這個(gè)系統(tǒng)中的消息摘要認(rèn)證函數(shù)重新設(shè)一個(gè)密碼，把生成的一串密碼的Hash值覆蓋原來(lái)的Hash值就行了。而不用去想著如何破解。破解基本上是不可能的。除非你的運(yùn)氣真的特別好，給你蒙對(duì)了?？梢哉f(shuō)，消息摘要認(rèn)證被破解比中500萬(wàn)的幾率還要小500萬(wàn)倍。所以，消息摘要認(rèn)證比簡(jiǎn)單密碼認(rèn)證安全程度要高的多。

　　另外在OSPF協(xié)議中，在其分組中，還包含了一個(gè)非降序的序列號(hào)。通過(guò)這個(gè)序列號(hào)，可以防止黑客的重放攻擊。重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，通過(guò)占用接收系統(tǒng)的資源，來(lái)達(dá)到欺騙系統(tǒng)的目的。重放攻擊往往用來(lái)攻擊身份認(rèn)證?？梢哉f(shuō)，重放攻擊是黑客最喜歡采用的工具之一。