本文主要給大家介紹了對于思科路由器如何提高OSPF安全性�,本文通過兩方面給大家做了詳細的介紹,希望看過此文會你有所幫助�。
一、利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷
說句實話�,引入OSPF協(xié)議主要是用來解決RIP路由信息協(xié)議的一些缺陷。
如RIP與RIP2協(xié)議都具有15跳的限制�。如果網(wǎng)絡(luò)跨越超過了15跳限制的話,目的地會被認(rèn)為不可達�。所以,RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)�。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點,同時突破了這個15跳的限制�。另外,OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷�。筆者在談到OSPF的安全問題時,之所以簡要介紹OSPF協(xié)議與RIP路由信息協(xié)議的關(guān)系�,主要是想強調(diào)一下,OSPF協(xié)議也如同RIP協(xié)議一樣�,是目前企業(yè)網(wǎng)絡(luò)設(shè)計中常用的協(xié)議。所以�,如何提高這個協(xié)議的安全性�,對于網(wǎng)絡(luò)管理員來說也就顯得尤其的重要�。
二、OSPF的認(rèn)證方式
OSPF主要是通過路由更新認(rèn)證的方式提供了其鏈路的安全性�。如可以認(rèn)證OSPF分組,如此路由器就可以根據(jù)預(yù)先配置的密碼參與到路由域中�。不過默認(rèn)情況下,路由器往往不采用認(rèn)證�,有些書上也把它叫做NULL認(rèn)證。也就是說�,網(wǎng)絡(luò)上的路由器交換是不對彼此進行認(rèn)證的。這顯然不利于OSPF協(xié)議的安全性�。
通常情況下,為了提高OSPF協(xié)議的安全性�,往往要對其采取一些安全措施。常見的安全措施目前為止有兩種�。分別為簡單的密碼認(rèn)證與消息摘要認(rèn)證�。
簡單的密碼認(rèn)證允許在每一個區(qū)域中配置一個密碼,在同一個區(qū)域中的路由器要參與到路由域中�,就必須配置相同的密鑰。如果沒有密鑰的話�,則其他路由器是不會接受新加入的路由器的。這在一定程度上�,可以提高OSPF協(xié)議的安全性。不過這種方式確實是"簡單"�,其比較容易受到攻擊�。如現(xiàn)在有一種叫做"消極攻擊"的方式�,對這種簡單密碼認(rèn)證就很有效。在這個域中�,只要具有鏈路分析器這個工具,就可以輕而易舉的獲得這個密鑰�,從而進行一些破壞工作。
消息摘要認(rèn)證相對來說�,要比簡單密碼認(rèn)證安全的多。因為消息摘要認(rèn)證是加密的認(rèn)證�。再每一個思科路由器上都配置一個密鑰與一個密鑰ID。如果路由器采用OSPF協(xié)議的話�,則其就會采用一個基于OSPF的算法,并結(jié)合密鑰�、密鑰ID來創(chuàng)建一個消息摘要。
然后思科路由器會把這個消息摘要加入到OSPF分組的后面�。很簡單密碼認(rèn)證不同,不需要再鏈路上交換密鑰�。如此的話,即使不法攻擊者有鏈路分析工具的話�,也無法取得這個密鑰信息。為此�,可以有效提高這個密鑰的安全性。消息摘要認(rèn)證主要廣泛用于操作系統(tǒng)�、網(wǎng)絡(luò)設(shè)備的登陸認(rèn)證上,如Unix、各類BSD系統(tǒng)登錄密碼�、數(shù)字簽名等諸多方,或者思科的網(wǎng)絡(luò)設(shè)備中�。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認(rèn)證經(jīng)哈希運算后存儲在文件系統(tǒng)中。當(dāng)用戶登錄的時候�,系統(tǒng)把用戶輸入的密碼進行消息摘要認(rèn)證與哈希運算,然后再去和保存在文件系統(tǒng)中的消息摘要認(rèn)證值進行比較�,進而確定輸入的密碼是否正確。通過這樣的步驟�,系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。在思科路由器等網(wǎng)絡(luò)設(shè)備中�,身份認(rèn)證過程也是如此。
這就可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道�。消息摘要認(rèn)證將任意長度的"字節(jié)串"映射為一個128bit的大整數(shù),并且是通過該128bit反推原始字符串是困難的�,換句話說就是,即使你看到源程序和算法描述�,也無法將一個消息摘要認(rèn)證的值變換回原始的字符串,從數(shù)學(xué)原理上說�,是因為原始的字符串有無窮多個,這有點象不存在反函數(shù)的數(shù)學(xué)函數(shù)�。所以�,要遇到了消息摘要認(rèn)證密碼的問題,比較好的辦法是:你可以用這個系統(tǒng)中的消息摘要認(rèn)證函數(shù)重新設(shè)一個密碼�,把生成的一串密碼的Hash值覆蓋原來的Hash值就行了。而不用去想著如何破解�。破解基本上是不可能的�。除非你的運氣真的特別好�,給你蒙對了�?梢哉f,消息摘要認(rèn)證被破解比中500萬的幾率還要小500萬倍�。所以,消息摘要認(rèn)證比簡單密碼認(rèn)證安全程度要高的多�。
另外在OSPF協(xié)議中,在其分組中�,還包含了一個非降序的序列號。通過這個序列號�,可以防止黑客的重放攻擊。重放攻擊就是攻擊者發(fā)送一個目的主機已接收過的包�,通過占用接收系統(tǒng)的資源,來達到欺騙系統(tǒng)的目的�。重放攻擊往往用來攻擊身份認(rèn)證�?梢哉f,重放攻擊是黑客最喜歡采用的工具之一�。
關(guān)鍵詞標(biāo)簽:思科路由器,OSPF安全
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置