论文部分内容阅读
摘要:路由器组网过程中,OSPF协议是比较常用的一种网络协议,但因为OSPF路由协议在设计时本身的一些缺陷及安全考虑上的不足,导致该协议容易遭受黑客的攻击。本文在对OSPF路由协议研究的基础上,对其一些漏洞进行了分析,并提出了一些建议及配置,以巩固和加强OSPF协议的安全性。
关键词:OSPF;路由器安全;漏洞;防范
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
OSPF-based Router Security Protocol
Zhou Hongwei
(Shandong Province Rural Credit Cooperatives,Huangdao Technology Centre, Qingdao266555,China)
Abstract:The process of network routers,OSPF protocol is a commonly used network protocols,but because the OSPF routing protocol itself in the design of some deficiencies and lack of safety considerations led to the agreement vulnerable to hackers.In this paper,OSPF routing protocols on the basis of the study,analyzed some of its flaws,and made some suggestions and configuration,to consolidate and strengthen the security of OSPF protocol.
Keywords:OSPF;Router security;Vulnerability;Prevention
一、引言
OSPF路由协议,属于目前网络组网设计时普遍使用的一种内部网关路由协议,为自治系统内提供动态选择路由。随着因特网及城域网的快速发展,对网络安全的要求越来越高,OSPF路由协议安全性面临着严重的挑战[1]。尽管OSPF有一些安全措施,但在一些特定情况下,这些安全措施会存在失效的风险,仍面临着被攻击的风险,如对于虚假路由信息、重放LSA以及注入过期路由信息等攻击[2],需要特别的防护与配置。
二、OSPF漏洞分析
OSPF协议类型号为89,协议本身具有有一定的自我保护能力,例如可靠的扩散机制,验证机制,以及分层路由等[3],但是还存在一些漏洞情况。攻击着可以利用这些漏洞,通过重新注入或捕获等方式,进行对OSPF的路由攻击。
(一)协议细节上的漏洞。OSPF在进行通信时,以交换LSA数据包机制来更新网络的路由信息,所以,当攻击者篡改LSA数据包时,会导致区域内路由器的拓扑混乱,破坏网络的正常路由[4]。而且,攻击者能够很容易地修改OSPF的报文,造成路由的错误等各种难以预料的后果。
(二)认证机制的漏洞。OSPF路由协议定义了三种验证机制,分别是:空验证,即将Authentication type设置成0,即不实施不验证;简单口令验证,即将Authentication type设置成1;加密身份验证,即将Authentication type设置成2。
空验证安全漏洞。空验证为路由器OSPF配置时默认配置。在OSPF协议的包头中,64位的authentication域中没有基本的认证信息,当自治系统中的路由器进行路由交换时,没有任何的额外的身份验证保证,接收方仅需对OSPF校验和进行验证即可,如果没有错误就接收此分组,同时把LSA信息更新至链路状态数据库里面,因此,这种安全性最低。
三、OSPF安全防范措施
(一)针对空验证及简单口令验证漏洞的防范策略
对于空验证及简单的口令验证方式,建议使用密码验证方式。每个OSPF路由器发出的分组,均含有无符号的非递减加密序列号,在该路由器的全部邻接路由器里,储存着该路由器的最新加密序列号,存储的方式采用的是用静态存储方法,从而可以在路由器重启后加密的序列号不丢失,同时要求接收到的OSPF分组的加密序列号要大于或等于存储在路由器中的加密序列号。尽管在OSPF协议规范规定了加密序列号能够是1960年以来的秒数,也可以是路由器重启后的秒数,但推荐采用前者的方式,这样序列号到达最大值要到2096年,能够有效避免序列号到达最大值回归引起操作上的错误。
(二)针对明文验证漏洞的防范配置
采用密文验证机制,可以有效地提高OSPF路由协议的安全。该加密验证的优点主要有两方面:1.该验证方式使用的为MD5加密算法,通过算法中的散列函数保障摘要防篡改,确保OSPF协议的分组报文不会被修改;2.在加密认证过程中,路由器通过发出具有散列函数的OSPF数据包,同时形成一串消息码,接收方通过数据包及散列函数重新产生消息码,然后与发送方消息码实施比较,如果一致则接收该数据包,此过程大大地提高了通信的安全性。
下面通过一个模拟的网络协议配置,来说明怎样加强配置OSPF协议的安全性。网络环境如图1所示。
关键实施步骤如下:
!启用MDS认证,Key为‘tang’
ROUTER1(config)#int s0/0
ROUTER1(config-if)#ip ospf message-digest-key 1 md5 tang
ROUTER1(config-if)#ip addr 192.168.1.1 255.255.255.0
ROUTER1(config-if)#exit
ROUTER1(config)#router ospf 1
ROUTER1(config-router)#network 192.168.1.0 255.255.255.0 area 0
ROUTER1(config-router)#area 0 authentication message-digest
!启用MDS密钥,Key为‘tang’
ROUTER2(config)#int s0/0
ROUTER2(config-if)#ip addr 192.168.2.1 255.255.255.0
ROUTER2(config-if)#ip ospf message-digest-key 1 md5 tang
ROUTER2(config-if)#exit
ROUTER2(config)#router ospf 1
ROUTER2(config-router)#network 192.168.2.0 255.255.255.0 area 0
ROUTER2(config-router)#area 0 authentication message-digest
四、结束语
综上所述,本文通过分析OSPF自身所具有的机制进行了研究,分析了协议本身还存在的一些漏洞,针对这些漏洞提出了现有加强OSPF安全性的措施和方法。
参考文献:
[1]陈海燕,季仲梅,李鸥.OSPF路由协议安全性分析及其攻击检测[J].微计算机信息,2008,2
[2]李鹏,王绍棣.携带数字签名的OSPF路由协议安全研究[J].南京邮电学院学报,2009,4
[3]刘魁星,汪斌强,贾娟.OSPF路由协议安全性分析与研究[J].电视技术,2007,4
[4]钱志军.OSPF路由协议安全性研究[D].大庆:大庆石油学院,2007,8
作者简介:
周宏伟(1981-),男,山东淄博人,职称:技术员,学位:学士
关键词:OSPF;路由器安全;漏洞;防范
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
OSPF-based Router Security Protocol
Zhou Hongwei
(Shandong Province Rural Credit Cooperatives,Huangdao Technology Centre, Qingdao266555,China)
Abstract:The process of network routers,OSPF protocol is a commonly used network protocols,but because the OSPF routing protocol itself in the design of some deficiencies and lack of safety considerations led to the agreement vulnerable to hackers.In this paper,OSPF routing protocols on the basis of the study,analyzed some of its flaws,and made some suggestions and configuration,to consolidate and strengthen the security of OSPF protocol.
Keywords:OSPF;Router security;Vulnerability;Prevention
一、引言
OSPF路由协议,属于目前网络组网设计时普遍使用的一种内部网关路由协议,为自治系统内提供动态选择路由。随着因特网及城域网的快速发展,对网络安全的要求越来越高,OSPF路由协议安全性面临着严重的挑战[1]。尽管OSPF有一些安全措施,但在一些特定情况下,这些安全措施会存在失效的风险,仍面临着被攻击的风险,如对于虚假路由信息、重放LSA以及注入过期路由信息等攻击[2],需要特别的防护与配置。
二、OSPF漏洞分析
OSPF协议类型号为89,协议本身具有有一定的自我保护能力,例如可靠的扩散机制,验证机制,以及分层路由等[3],但是还存在一些漏洞情况。攻击着可以利用这些漏洞,通过重新注入或捕获等方式,进行对OSPF的路由攻击。
(一)协议细节上的漏洞。OSPF在进行通信时,以交换LSA数据包机制来更新网络的路由信息,所以,当攻击者篡改LSA数据包时,会导致区域内路由器的拓扑混乱,破坏网络的正常路由[4]。而且,攻击者能够很容易地修改OSPF的报文,造成路由的错误等各种难以预料的后果。
(二)认证机制的漏洞。OSPF路由协议定义了三种验证机制,分别是:空验证,即将Authentication type设置成0,即不实施不验证;简单口令验证,即将Authentication type设置成1;加密身份验证,即将Authentication type设置成2。
空验证安全漏洞。空验证为路由器OSPF配置时默认配置。在OSPF协议的包头中,64位的authentication域中没有基本的认证信息,当自治系统中的路由器进行路由交换时,没有任何的额外的身份验证保证,接收方仅需对OSPF校验和进行验证即可,如果没有错误就接收此分组,同时把LSA信息更新至链路状态数据库里面,因此,这种安全性最低。
三、OSPF安全防范措施
(一)针对空验证及简单口令验证漏洞的防范策略
对于空验证及简单的口令验证方式,建议使用密码验证方式。每个OSPF路由器发出的分组,均含有无符号的非递减加密序列号,在该路由器的全部邻接路由器里,储存着该路由器的最新加密序列号,存储的方式采用的是用静态存储方法,从而可以在路由器重启后加密的序列号不丢失,同时要求接收到的OSPF分组的加密序列号要大于或等于存储在路由器中的加密序列号。尽管在OSPF协议规范规定了加密序列号能够是1960年以来的秒数,也可以是路由器重启后的秒数,但推荐采用前者的方式,这样序列号到达最大值要到2096年,能够有效避免序列号到达最大值回归引起操作上的错误。
(二)针对明文验证漏洞的防范配置
采用密文验证机制,可以有效地提高OSPF路由协议的安全。该加密验证的优点主要有两方面:1.该验证方式使用的为MD5加密算法,通过算法中的散列函数保障摘要防篡改,确保OSPF协议的分组报文不会被修改;2.在加密认证过程中,路由器通过发出具有散列函数的OSPF数据包,同时形成一串消息码,接收方通过数据包及散列函数重新产生消息码,然后与发送方消息码实施比较,如果一致则接收该数据包,此过程大大地提高了通信的安全性。
下面通过一个模拟的网络协议配置,来说明怎样加强配置OSPF协议的安全性。网络环境如图1所示。
关键实施步骤如下:
!启用MDS认证,Key为‘tang’
ROUTER1(config)#int s0/0
ROUTER1(config-if)#ip ospf message-digest-key 1 md5 tang
ROUTER1(config-if)#ip addr 192.168.1.1 255.255.255.0
ROUTER1(config-if)#exit
ROUTER1(config)#router ospf 1
ROUTER1(config-router)#network 192.168.1.0 255.255.255.0 area 0
ROUTER1(config-router)#area 0 authentication message-digest
!启用MDS密钥,Key为‘tang’
ROUTER2(config)#int s0/0
ROUTER2(config-if)#ip addr 192.168.2.1 255.255.255.0
ROUTER2(config-if)#ip ospf message-digest-key 1 md5 tang
ROUTER2(config-if)#exit
ROUTER2(config)#router ospf 1
ROUTER2(config-router)#network 192.168.2.0 255.255.255.0 area 0
ROUTER2(config-router)#area 0 authentication message-digest
四、结束语
综上所述,本文通过分析OSPF自身所具有的机制进行了研究,分析了协议本身还存在的一些漏洞,针对这些漏洞提出了现有加强OSPF安全性的措施和方法。
参考文献:
[1]陈海燕,季仲梅,李鸥.OSPF路由协议安全性分析及其攻击检测[J].微计算机信息,2008,2
[2]李鹏,王绍棣.携带数字签名的OSPF路由协议安全研究[J].南京邮电学院学报,2009,4
[3]刘魁星,汪斌强,贾娟.OSPF路由协议安全性分析与研究[J].电视技术,2007,4
[4]钱志军.OSPF路由协议安全性研究[D].大庆:大庆石油学院,2007,8
作者简介:
周宏伟(1981-),男,山东淄博人,职称:技术员,学位:学士