Asegurar OSPF con solo interfaces pasivas

15

Sé que para asegurar OSPF debe 1) usar la autenticación OSPF, 2) usar el comando de interfaz pasiva en las interfaces que no tienen vecinos ospf. Si solo uso el comando de interfaz pasiva y no la autenticación ospf, ¿a qué vulnerabilidades me dejo abierto?

todo rojo
fuente

Respuestas:

24

Un problema es que la autenticación garantiza que solo los dispositivos de confianza sean capaces de intercambiar rutas en la red. Sin autenticación, podría introducir un dispositivo no confiable y causar problemas de enrutamiento importantes. Por ejemplo:

Si el área 0 no está autenticada, conecte un enrutador en el área 0 con rutas falsas a null0. Incluso podría crear una ruta predeterminada e inyectarla en la topología que conduce al enrutador defectuoso al tráfico de agujeros negros. O la ruta podría forzar el tráfico hacia una puerta de enlace falsa diseñada para detectar conexiones y extraer datos inseguros antes de enviarlos por el camino correcto.

La autenticación asegura que solo los enrutadores que conoce y en los que confía intercambian información.

NetworkingNerd
fuente
Spot en @NetworkingNerd: es mucho mejor tener autenticación e interfaces no pasivas que al revés.
Paul Gear
Pero tener autenticación pone dolor de cabeza en la red. La interfaz pasiva más una buena seguridad física (es decir, acceso seguro a los dispositivos) debería ser suficiente.
sikas
8

Depende de su topología de red. Si los enlaces no pasivos están aislados (punto a punto) y asegurados en las capas inferiores de la pila (control de acceso físico de los enrutadores), entonces sería difícil identificar un vector de ataque viable. La autenticación es crítica cuando es posible que un enrutador falso presente tráfico arbitrario en un enlace dado.

neirbowj
fuente
6

Si alguien tuviera acceso al equipo real e insertara de alguna manera otro dispositivo en el extremo más alejado del enlace, eso le daría acceso a su red, para inyectar rutas en su tabla de enrutamiento y otras cosas desagradables como esa.

Un escenario como este sería muy teórico en lugares como las redes troncales que se encuentran en ubicaciones seguras, pero si el enlace va a un cliente u otro tercero, algún tipo de autenticación probablemente sea muy inteligente.

Allan Eising
fuente
5

Si suponemos que sus capas 1-3 son seguras, la autenticación OSPF no tiene ningún sentido. Pero debido a que las capas 1-3 no son necesariamente seguras, OSPF emplea su propio método de seguridad: autenticación.

La autenticación en OSPF impide que un atacante pueda oler e inyectar paquetes para engañar a los enrutadores y modificar la topología de OSPF. Los resultados son, por ejemplo: posible de MITM cuando el atacante cambia la topología de tal manera que cierto / todo el tráfico fluye a través de la máquina controlada por él. Denegación de servicio cuando el atacante descarta el tráfico que fluye a través de él. Otro resultado podría ser la fusión de todos los enrutadores cuando el atacante anuncia nueva información muy rápidamente, aunque esto podría resolverse parcialmente ajustando los temporizadores SPF.

La autenticación también evita ataques de repetición, por ejemplo, evita que el atacante anuncie información vencida del pasado. También previene el caos conectando un enrutador de otra red con la configuración OSPF existente que podría inyectar rutas superpuestas, por ejemplo (gracias a esto, la autenticación es buena incluso si tiene su capa 1-3 asegurada).

Kveri
fuente
2

¿Es posible encriptar OSPF?

OSPFv2 solo admite autenticación . Aún puede ver la carga útil de LSA incluso si usa autenticación. Lo único que hace la autenticación es autenticar a los vecinos. No hay cifrado de carga útil .

RFC 4552:

OSPF (Open Shortest Path First) Version 2 define los campos AuType y Authentication en su encabezado de protocolo para proporcionar seguridad. En OSPF para IPv6 (OSPFv3), ambos campos de autenticación se eliminaron de los encabezados de OSPF. OSPFv3 se basa en el Encabezado de autenticación de IPv6 (AH) y la Carga de seguridad de encapsulación de IPv6 (ESP) para proporcionar integridad, autenticación y / o confidencialidad.

Entonces, si OSPFv3 podemos encriptar todo el paquete con IPSec.

t3mp
fuente
1

Una vez que tiene las interfaces configuradas en pasivo, no está abierto a mucho. La autenticación agrega dos posibles vectores para problemas:

Utilización de la CPU: esto no es necesariamente un gran problema, pero no debe olvidarse cuando realiza sus cálculos. Sin embargo, si está ejecutando una red donde los tiempos de convergencia tardan más de lo que desea, cada poquito cuenta.

Solución de problemas. Es fácil perderse algo, y eso puede ralentizar la aparición de una nueva conexión, un enrutador de reemplazo, etc.

Si le preocupa que se detecte OSPF y que un intruso malintencionado inyecte datos, probablemente debería ejecutar algo más fuerte que la autenticación: comience con el cifrado real en lugar del débil MD5 que obtendrá con OSPFv2, y BGP es mejor para enlaces no confiables.

David Barak
fuente
¿Es posible encriptar OSPF? ¿O usarías BGP internamente para lograr esto?
SimonJGreen