Eu sei que, para proteger o OSPF, você deve 1) usar a autenticação OSPF, 2) usar o comando passive interface em interfaces que não possuem vizinhos ospf. Se eu usar apenas o comando passive interface e não a autenticação ospf, para quais vulnerabilidades eu deixo em aberto?
Um problema é que a autenticação garante que apenas dispositivos confiáveis sejam capazes de trocar rotas na rede. Sem autenticação, você pode introduzir um dispositivo não confiável e causar problemas significativos de roteamento. Por exemplo:
Se a área 0 não for autenticada, conecte um roteador na área 0 com rotas falsas para null0. Você pode até criar uma rota padrão e injetá-la na topologia que leva ao roteador com defeito no tráfego do buraco negro. Ou a rota pode forçar o tráfego em direção a um gateway falso, projetado para detectar conexões e extrair dados inseguros antes de enviá-los no caminho certo.
A autenticação garante que apenas os roteadores que você conhece e confia estejam trocando informações.
Spot on @NetworkingNerd - É muito melhor ter interfaces de autenticação e não passivas do que o contrário.
Paul Gear
Mas ter autenticação coloca dor de cabeça na rede. A interface passiva mais a boa segurança física (por exemplo, acesso seguro aos dispositivos) devem ser suficientes.
sikas
8
Depende da sua topologia de rede. Se os links não passivos forem isolados (ponto a ponto) e protegidos nas camadas inferiores da pilha (controle de acesso físico dos roteadores), seria difícil pressionar para identificar um vetor de ataque viável. A autenticação é crítica quando é possível que um roteador não autorizado apresente tráfego arbitrário em um determinado link.
Se alguém tivesse acesso ao equipamento real e, de alguma forma, inserisse outro dispositivo no outro extremo do link, isso daria acesso à sua rede, para injetar rotas na sua tabela de roteamento e outras coisas desagradáveis como essa.
Um cenário como esse seria muito teórico em locais como redes de backbone que estão em locais seguros, mas, se o link fosse direcionado a um cliente ou a terceiros, algum tipo de autenticação provavelmente seria muito inteligente.
Se assumirmos que suas camadas 1 a 3 são seguras, a autenticação OSPF não faz sentido. Mas como a camada 1-3 não é necessariamente segura, o OSPF emprega seu próprio método de segurança - autenticação.
A autenticação no OSPF impede que um invasor possa detectar e injetar pacotes para enganar os roteadores e modificar a topologia do OSPF. Os resultados são, por exemplo: possível do MITM quando o invasor altera a topologia de forma que certo / todo o tráfego flua através da máquina controlada por ele. Negação de serviço quando o atacante descarta o tráfego que flui através dele. Outro resultado pode ser o colapso de todos os roteadores quando o invasor anuncia novas informações muito rapidamente, embora isso possa ser parcialmente resolvido ajustando os temporizadores do SPF.
A autenticação também evita ataques de repetição, por exemplo, impede que o invasor anuncie informações expiradas do passado. Além disso, evita o caos conectando um roteador de outra rede com a configuração OSPF existente que pode injetar rotas sobrepostas, por exemplo (graças a isso, a autenticação é boa mesmo se você tiver sua camada 1-3 protegida).
O OSPFv2 suporta apenas autenticação . Ainda é possível ver a carga útil dos LSAs, mesmo se você usar autenticação. A única coisa que a autenticação faz é autenticar vizinhos. Não há criptografia de carga útil .
RFC 4552:
A versão 2 do OSPF (Caminho mais curto aberto primeiro) define os campos AuType e Authentication em seu cabeçalho de protocolo para fornecer segurança. No OSPF para IPv6 (OSPFv3), os dois campos de autenticação foram removidos dos cabeçalhos do OSPF. O OSPFv3 depende do cabeçalho de autenticação IPv6 (AH) e da carga útil de segurança de encapsulamento IPv6 (ESP) para fornecer integridade, autenticação e / ou confidencialidade.
Portanto, se o OSPFv3 pudermos criptografar pacotes inteiros pelo IPSec.
Depois de definir as interfaces como passivas, você não estará aberto a muitas coisas. A autenticação adiciona dois vetores possíveis para problemas:
Utilização da CPU - isso não é necessariamente um grande problema, mas não deve ser esquecido quando você está fazendo seus cálculos. No entanto, se você estiver executando uma rede em que os tempos de convergência demoram mais do que você deseja, cada pouquinho conta.
Solução de problemas. É fácil perder algo, e isso pode diminuir a velocidade de abrir uma nova conexão, roteador de substituição etc.
Se você está preocupado em obter o OSPF detectado e ter um invasor malicioso injetando dados, provavelmente deve estar executando algo mais forte que a autenticação: comece executando a criptografia real em vez do fraco MD5 que você obterá com o OSPFv2 e o BGP é melhor para links não confiáveis.
Depende da sua topologia de rede. Se os links não passivos forem isolados (ponto a ponto) e protegidos nas camadas inferiores da pilha (controle de acesso físico dos roteadores), seria difícil pressionar para identificar um vetor de ataque viável. A autenticação é crítica quando é possível que um roteador não autorizado apresente tráfego arbitrário em um determinado link.
fonte
Se alguém tivesse acesso ao equipamento real e, de alguma forma, inserisse outro dispositivo no outro extremo do link, isso daria acesso à sua rede, para injetar rotas na sua tabela de roteamento e outras coisas desagradáveis como essa.
Um cenário como esse seria muito teórico em locais como redes de backbone que estão em locais seguros, mas, se o link fosse direcionado a um cliente ou a terceiros, algum tipo de autenticação provavelmente seria muito inteligente.
fonte
Se assumirmos que suas camadas 1 a 3 são seguras, a autenticação OSPF não faz sentido. Mas como a camada 1-3 não é necessariamente segura, o OSPF emprega seu próprio método de segurança - autenticação.
A autenticação no OSPF impede que um invasor possa detectar e injetar pacotes para enganar os roteadores e modificar a topologia do OSPF. Os resultados são, por exemplo: possível do MITM quando o invasor altera a topologia de forma que certo / todo o tráfego flua através da máquina controlada por ele. Negação de serviço quando o atacante descarta o tráfego que flui através dele. Outro resultado pode ser o colapso de todos os roteadores quando o invasor anuncia novas informações muito rapidamente, embora isso possa ser parcialmente resolvido ajustando os temporizadores do SPF.
A autenticação também evita ataques de repetição, por exemplo, impede que o invasor anuncie informações expiradas do passado. Além disso, evita o caos conectando um roteador de outra rede com a configuração OSPF existente que pode injetar rotas sobrepostas, por exemplo (graças a isso, a autenticação é boa mesmo se você tiver sua camada 1-3 protegida).
fonte
O OSPFv2 suporta apenas autenticação . Ainda é possível ver a carga útil dos LSAs, mesmo se você usar autenticação. A única coisa que a autenticação faz é autenticar vizinhos. Não há criptografia de carga útil .
RFC 4552:
Portanto, se o OSPFv3 pudermos criptografar pacotes inteiros pelo IPSec.
fonte
Depois de definir as interfaces como passivas, você não estará aberto a muitas coisas. A autenticação adiciona dois vetores possíveis para problemas:
Utilização da CPU - isso não é necessariamente um grande problema, mas não deve ser esquecido quando você está fazendo seus cálculos. No entanto, se você estiver executando uma rede em que os tempos de convergência demoram mais do que você deseja, cada pouquinho conta.
Solução de problemas. É fácil perder algo, e isso pode diminuir a velocidade de abrir uma nova conexão, roteador de substituição etc.
Se você está preocupado em obter o OSPF detectado e ter um invasor malicioso injetando dados, provavelmente deve estar executando algo mais forte que a autenticação: comece executando a criptografia real em vez do fraco MD5 que você obterá com o OSPFv2 e o BGP é melhor para links não confiáveis.
fonte