基于OSPF协议路由器安全防范.docVIP

基于OSPF协议路由器安全防范 　　摘要:路由器组网过程中,OSPF协议是比较常用的一种网络协议,但因为OSPF路由协议在设计时本身的一些缺陷及安全考虑上的不足,导致该协议容易遭受黑客的攻击。本文在对OSPF路由协议研究的基础上,对其一些漏洞进行了分析,并提出了一些建议及配置,以巩固和加强OSPF协议的安全性。 　　关键词:OSPF;路由器安全;漏洞;防范 　　中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01 　　OSPF-based Router Security Protocol 　　Zhou Hongwei 　　(Shandong Province Rural Credit Cooperatives,Huangdao Technology Centre, Qingdao266555,China) 　　Abstract:The process of network routers,OSPF protocol is a commonly used network protocols,but because the OSPF routing protocol itself in the design of some deficiencies and lack of safety considerations led to the agreement vulnerable to hackers.In this paper,OSPF routing protocols on the basis of the study,analyzed some of its flaws,and made some suggestions and configuration,to consolidate and strengthen the security of OSPF protocol. 　　Keywords:OSPF;Router security;Vulnerability;Prevention 　　一、引言 　　OSPF路由协议,属于目前网络组网设计时普遍使用的一种内部网关路由协议,为自治系统内提供动态选择路由。随着因特网及城域网的快速发展,对网络安全的要求越来越高,OSPF路由协议安全性面临着严重的挑战[1]。尽管OSPF有一些安全措施,但在一些特定情况下,这些安全措施会存在失效的风险,仍面临着被攻击的风险,如对于虚假路由信息、重放LSA以及注入过期路由信息等攻击[2],需要特别的防护与配置。 　　二、OSPF漏洞分析 　　OSPF协议类型号为89,协议本身具有有一定的自我保护能力,例如可靠的扩散机制,验证机制,以及分层路由等[3],但是还存在一些漏洞情况。攻击着可以利用这些漏洞,通过重新注入或捕获等方式,进行对OSPF的路由攻击。 　　(一)协议细节上的漏洞。OSPF在进行通信时,以交换LSA数据包机制来更新网络的路由信息,所以,当攻击者篡改LSA数据包时,会导致区域内路由器的拓扑混乱,破坏网络的正常路由[4]。而且,攻击者能够很容易地修改OSPF的报文,造成路由的错误等各种难以预料的后果。 　　(二)认证机制的漏洞。OSPF路由协议定义了三种验证机制,分别是:空验证,即将Authentication type设置成0,即不实施不验证;简单口令验证,即将Authentication type设置成1;加密身份验证,即将Authentication type设置成2。 　　空验证安全漏洞。空验证为路由器OSPF配置时默认配置。在OSPF协议的包头中,64位的authentication域中没有基本的认证信息,当自治系统中的路由器进行路由交换时,没有任何的额外的身份验证保证,接收方仅需对OSPF校验和进行验证即可,如果没有错误就接收此分组,同时把LSA信息更新至链路状态数据库里面,因此,这种安全性最低。 　　三、OSPF安全防范措施 　　(一)针对空验证及简单口令验证漏洞的防范策略 　　对于空验证及简单的口令验证方式,建议使用密码验证方式。每个OSPF路由器发出的分组,均含有无符号的非递减加密序列号,在该路由器的全部邻接路由器里,储存着该路由器的最新加密序列号,存储的方式采用的是用静态存储方法,从而可以在路由器重启后加密的序列号不丢失,同时要求接收到的OSPF分组的加密序列号要大于或等于存储在路由器中的加密序列号。尽管在OSPF协议规范规定了加密序列号能够是1960年以来的秒数,也可以是路由器重启后的秒数,但推荐采用前者的方式,这样序列号到达最大值要到2096年,能够有效避免序列号到达最大值回归引起操作上的错误。 　　(二)针对明文验证漏