답변:
한 가지 문제는 인증으로 인해 신뢰할 수있는 장치 만 네트워크에서 경로를 교환 할 수 있다는 것입니다. 인증이 없으면 신뢰할 수없는 장치가 생겨 심각한 라우팅 문제가 발생할 수 있습니다. 예를 들면 다음과 같습니다.
영역 0이 인증되지 않은 경우 가짜 경로가있는 영역 0에 라우터를 null0에 연결하십시오. 기본 경로를 만들어 토폴로지에 주입하여 잘못된 라우터 대 블랙홀 트래픽을 유발할 수도 있습니다. 또는이 경로는 올바른 경로로 전송하기 전에 연결을 스니핑하고 안전하지 않은 데이터를 가져 오도록 설계된 가짜 게이트웨이로 트래픽을 강제 할 수 있습니다.
인증은 알고 있고 신뢰하는 라우터 만 정보를 교환하도록합니다.
계층 1-3이 OSPF 인증보다 안전하다고 가정하면 의미가 없습니다. 그러나 계층 1-3은 반드시 안전한 것은 아니기 때문에 OSPF는 자체 보안 방법 인 인증을 사용합니다.
OSPF에서의 인증은 패킷을 스니핑하고 라우터를 속여서 OSPF 토폴로지를 수정할 수있는 침입자를 방지합니다. 예를 들면 다음과 같습니다. 공격자가 특정 / 모든 트래픽이 자신이 제어하는 시스템을 통해 흐르도록 토폴로지를 변경하면 MITM이 가능합니다. 침입자가 자신을 통과하는 트래픽을 버릴 때 서비스 거부. SPF 타이머를 조정하면 부분적으로 해결할 수 있지만 공격자가 새로운 정보를 매우 빠르게 발표하면 모든 라우터가 중단 될 수 있습니다.
인증은 또한 재생 공격을 방지합니다 (예 : 공격자가 만료 된 정보를 과거에 광고하지 못하도록 차단). 또한 기존 OSPF 구성으로 다른 네트워크에서 라우터를 연결하여 겹치는 경로를 삽입 할 수 있습니다 (이로 인해 계층 1-3 보안이 있어도 인증이 좋습니다).
OSPF를 암호화 할 수 있습니까?
OSPFv2는 인증 만 지원 합니다 . 인증을 사용하더라도 LSA 페이로드를 계속 볼 수 있습니다. 인증이하는 유일한 작업은 이웃을 인증하는 것입니다. 페이로드 암호화 가 없습니다 .
RFC 4552 :
OSPF (Open Shortest Path First) 버전 2는 보안을 제공하기 위해 프로토콜 헤더에 AuType 및 Authentication 필드를 정의합니다. IPv6 용 OSPF (OSPFv3)에서는 두 인증 필드가 모두 OSPF 헤더에서 제거되었습니다. OSPFv3는 IPv6 AH (Authentication Header) 및 IPv6 ESP (Encapsulating Security Payload)를 사용하여 무결성, 인증 및 / 또는 기밀성을 제공합니다.
따라서 OSPFv3 이면 IPSec으로 전체 패킷을 암호화 할 수 있습니다.
인터페이스를 패시브로 설정하면 크게 열리지 않습니다. 인증은 문제를 일으킬 수있는 두 가지 벡터를 추가합니다.
CPU 사용률-이것은 반드시 큰 문제는 아니지만 계산을 할 때 잊어서는 안됩니다. 그러나 수렴 시간이 원하는 시간보다 오래 걸리는 네트워크를 실행하는 경우 모든 비트 수가 중요합니다.
문제 해결. 무언가를 놓치기가 쉽고 새로운 연결, 교체 라우터 등의 속도가 느려질 수 있습니다.
OSPF를 스니핑하고 악의적 인 침입자가 데이터를 주입하는 것이 걱정된다면 인증보다 강력한 것을 실행해야 할 것입니다. OSPFv2로 얻을 약한 MD5보다는 실제 암호화를 실행하여 시작하고 BGP가 더 좋습니다. 신뢰할 수없는 링크