技巧分享：通过思科路由器提高OSPF安全性.pdf

技巧分享：通过思科路由器提高OSPF安全性 来源：刷钻 / OSPF也是一种路由协议，它是链路状态协议的开放版本。在实 际工作中，在一些大型网络、混合型的网络中，常常使用OSPF协议。 在上一篇文章中，笔者谈到过RIP协议的缺陷。而网络专家之所以开 发OSPF协议，就主要是为了应对RIP协议的缺陷。 一、利用OSPF协议解决RIP路由信息协议的缺陷 说句实话，引入OSPF协议主要是用来解决RIP路由信息协议的 一些缺陷。 如RIP与RIP2协议都具有15跳的限制。如果网络跨越超过了 15跳限制的话，目的地会被认为不可达。所以，RIP路由信息协议其 使用范围就被定义在小型网络。而OSPF协议继承了RIP路由信息协 议原有的优点，同时突破了这个15跳的限制。另外，OSPF还可以解 决RIP路由信息协议汇聚缓慢等缺陷。笔者在谈到OSPF的安全问题 时，之所以简要介绍OSPF协议与RIP路由信息协议的关系，主要是 想强调一下，OSPF协议也如同RIP协议一样，是目前企业网络设计 中常用的协议。所以，如何提高这个协议的安全性，对于网络管理员 来说也就显得尤其的重要。 三、通过思科路由器提高OSPF的安全性 那么思科路由器是如何来保障OSPF协议的安全性的呢?在思科 网络产品中，采取了比较完整的解决方案。 一是将所有受影响的设备都设置为非广播模式。在非广播模式 中，OSPF设备需要明确配置才能同有效的OSPF邻居(即与某个OSPF 路由器直接相连的网络设备)进行通信。在非广播模式中，提供了一 个基本的安全层，可以防止配置错误。因为在配置模式下，只有预先 配置成可以与这台OSPF路由器通信的网络设备才能够与其进行通 信，更新路由信息。而在广播环境中，任何具有正确配置的OSPF设 备都可以参与到OSPF路由中。如在简单密码认证模式下，只要知道 这个密钥就能够参与到路由更新信息中。其实，这跟服务器或者路由 器的远程管理类似。如可以通过访问控制列表或者防火墙限制只有特 定MAC地址或者IP地址的主机才可以远程连接到路由器上进行远程 管理。如此的话，就可以提高远程访问的安全性。而这里采用非广播 模式，其安全思路与此是相同的。在思科的路由器产品中，默认情况 是采用广播模式的。这主要是出于兼容性的考虑，如在不需要额外配 置的情况下，就可以直接联入网络。不过为了提高OSPF的安全性， 我们往往需要把其模式配置为非广播模式。如需要更换这个模式，需 要在路由器的接口配置提示符中执行如下的命令： IP ospf network non-broadcast. 二是为OSPF路由设置合适的认证方案。在OSPF路由协议中，主 要支持三种认证方式，分别为NULL认证、简单密码认证与消息摘要 认证。NULL认证即为空认证，也就是说不需要认证即可以加入到OSPF 网络中。在简单认证中，密钥在网络中是通过明文传输的。故知需要 攻击者有监听器等工具就可以轻而易举的获取密钥，从而就可以轻松 的对网络进行破坏。而消息摘要认证就如同上面所说的，其密钥不直 接在网络上传播。到目前为止，其采用了国际上普遍承认的消息摘要 算法。可以说，其是现在最安全的OSPF认证模式。故一般情况下， 笔者建议网络管理员采用消息摘要身份认证。因为采用简单认证方 式，跟采用NULL空认证方式差不多，都不能够有效保障OSPF网络环 境的安全。 消息摘要算法的典型应用是对一段信息产生信息摘要，以防止被 篡改。比如，举一个发生在我们身边的实际例子。在UNIX下有很多 软件在下载的时候都有一个文件名相同，文件扩展名为.md5的文件， 在这个文件中通常只有一行文本。这就是某个下载文件的数字签名。 MD5将整个文件当作一个大文本信息，通过其不可逆的字符串变换算 法，产生了这个唯一的MD5信息摘要。通过这种方式，就可以保障下 载文件的合法性。 若网络管理员需要采用消息摘要认证，也是比较简单的一件事 情。现在思科的路由器都支持摘要消息认证的方式。如果要在思科路 由器中启用消息摘要认证的话，则需要在接口配置提示符下进行操 作。 另外，企业可能不需要对所有的OSPF进程采用这么高的安全认 证方法。对于一些安全性需求不要的地方，可以只采用简单认证或者 空认证。毕竟采用摘要消息认证，需要花费一定的系统资源。虽然这 个消耗的比例比较少，但是会对网络性能产生不利的影响。为此，在 思科路由器中，可以有选择的对OSPF协议进程ID设置不同的认证