Answers:
一个问题是,身份验证可确保只有受信任的设备才能交换网络上的路由。如果不进行身份验证,则可能会引入不受信任的设备,并导致严重的路由问题。例如:
如果区域0未通过身份验证,请在区域0中将带有虚假路由的路由器附加到null0。您甚至可以创建默认路由,并将其注入拓扑中,从而导致不良的路由器黑洞流量。否则,该路由可能会迫使流量流向伪造的网关,该网关旨在嗅探连接并拉出不安全的数据,然后再将其发送到正确的路径。
身份验证可确保只有您了解并信任的路由器才能交换信息。
如果有人要访问实际设备,并以某种方式在链接的远端插入另一台设备,那将使他们能够访问您的网络,将路由注入到路由表中,以及其他类似的东西。
在诸如安全位置的骨干网之类的地方,这种情况是非常理论的,但是如果链接转到客户或另一第三方,则某种身份验证可能非常明智。
如果我们假设您的1-3层比OSPF身份验证安全,则没有任何意义。但是由于第1-3层不一定是安全的,OSPF会采用它自己的安全方法-身份验证。
OSPF中的身份验证可防止攻击者嗅探数据包并将其注入傻瓜路由器并修改OSPF拓扑。例如,结果是:当攻击者以某些/所有流量流经其控制的机器的方式更改拓扑时,可能会产生MITM。当攻击者丢弃流经他的流量时拒绝服务。另一个结果可能是,当攻击者非常迅速地宣布新信息时,所有路由器都会崩溃,尽管可以通过调整SPF计时器来部分解决。
身份验证还可以防止重放攻击,例如,它可以防止攻击者发布过去的过期信息。此外,它还可以通过将路由器从具有现有OSPF配置的其他网络插入路由器来防止混乱,例如,可能注入重叠的路由(由于这样做,即使您保护了1-3层,身份验证也很不错)。
可以对OSPF进行加密吗?
OSPFv2仅支持身份验证。即使使用身份验证,您仍然可以看到LSA的有效负载。身份验证唯一要做的就是对邻居进行身份验证。有没有有效载荷加密。
RFC 4552:
OSPF(开放式最短路径优先)第2版在其协议标头中定义了AuType和Authentication字段以提供安全性。在用于IPv6的OSPF(OSPFv3)中,两个身份验证字段均已从OSPF标头中删除。OSPFv3依靠IPv6身份验证标头(AH)和IPv6封装安全有效载荷(ESP)来提供完整性,身份验证和/或机密性。
因此,如果使用OSPFv3,我们可以通过IPSec加密整个数据包。
一旦将接口设置为被动,就不会有太多的开放。身份验证确实添加了两种可能的故障向量:
CPU利用率-这不一定是一个大问题,但在进行计算时不应忘记。但是,如果您正在运行一个收敛时间比您想要的更长的网络,那么每一点都很重要。
故障排除。容易遗漏某些东西,这会减慢建立新连接,更换路由器等的速度。
如果您担心被OSPF嗅探到并被恶意入侵者注入数据,那么您可能应该运行比身份验证更强大的功能:从运行实际加密开始,而不是通过OSPFv2获得较弱的MD5,BGP会更好对于不可信的链接。