Среды с протоколом BGP.
В дополнение к тем мерам защиты, которые были перечислены в постах, посвященных безопасности статической маршрутизации, можно повысить безопасность протокола OSPF с помощью следующих средств:
проверка подлинности;
фильтры внешних маршрутов на граничных маршрутизаторах автономной системы.
Проверка подлинности.
По умолчанию интерфейсы маршрутизатора, участвующие в обмене OSPF, настраиваются на отправку простого пароля «12345678» в сообщениях приветствия OSPF. Пароль помогает предотвратить нежелательное изменение данных OSPF не имеющими на это разрешения OSPF-маршрутизаторами сети. Пароль пересылается в виде обычного текста. Любой пользователь, имеющий средство прослушивания сети, например сниффер, может перехватывать сообщения приветствия OSPF и просматривать содержащиеся в них пароли.
Фильтры внешних маршрутов на граничных маршрутизаторах автономной системы.
Чтобы предотвратить проникновение в автономную систему OSPF нежелательных маршрутов, полученных из внешних источников, таких как маршруты RIP или статические маршруты, можно настроить на граничных маршрутизаторах автономной системы фильтры маршрутов. Фильтры маршрутов могут отклонять либо все маршруты, соответствующие заданному списку, либо все маршруты, не соответствующие этому списку.
Защита от затопления LSA-пакетами.
Возможна ситуация, когда злоумышленник попытается «затопить» OSPF-маршрутизатор сообщениями о состоянии канала LSA (Link State Advertisement). Эти сообщения бывают различных типов. Хакер может начать отправлять данные сообщения в большом количестве и тем самым вызвать замедление или даже полную неработоспособность маршрутизатора.
В зависимости от типа сети защититься от LSA-затопления можно двумя способами. Для типов broadcast, nonbroadcast и point-to-point сетей можно заблокировать флудинг на OSPF.
В сетях point-to-multipoint вы можете заблокировать затопление для определенных соседей.
Вот примеры для обоих случаев:
Блокирование для интерфейса
interface ethernet 0
ospf database-filter all out
Блокирование соседа 1.2.3.4
router ospf 109
neighbor 1.2.3.4 database-filter all out
Протоколы динамической маршрутизации RIP и OSPF применяются только в локальных сетях. В глобальных сетях, в силу их особенностей, используется протокол BGP. В следующем посте рассмотрим его более подробно.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
