Umgebungen mit BGP-Protokoll.
Zusätzlich zu den Sicherheitsmaßnahmen, die in den Beiträgen zur Sicherheit für statisches Routing aufgeführt sind, können Sie die Sicherheit des OSPF-Protokolls mit den folgenden Tools verbessern:
authentifizierung;
filtert externe Routen auf den Edge-Routern des eigenständigen Systems.
Authentifizierung.
Standardmäßig werden die am OSPF-Austausch beteiligten Router-Schnittstellen so konfiguriert, dass das einfache Kennwort «12345678» in OSPF-Begrüßungsnachrichten gesendet wird. Das Kennwort hilft, unerwünschte Änderungen an OSPF-Daten durch nicht berechtigte OSPF-Router im Netzwerk zu verhindern. Das Passwort wird im Klartext weitergeleitet. Jeder Benutzer mit einem Netzwerk-Listener, z. B. einem Sniffer, kann OSPF-Begrüßungsnachrichten abfangen und die darin enthaltenen Kennwörter anzeigen.
Filtert externe Routen auf den Edge-Routern des eigenständigen Systems.
Damit unerwünschte Routen, die von externen Quellen wie RIP-Routen oder statischen Routen stammen, nicht in das eigenständige OSPF-System eindringen, können Sie Routenfilter auf den Edge-Routern des eigenständigen Systems konfigurieren. Routenfilter können entweder alle Routen ablehnen, die einer bestimmten Liste entsprechen, oder alle Routen, die dieser Liste nicht entsprechen.
Schutz vor Überflutung durch LSA-Pakete.
Möglicherweise versucht ein Angreifer, den OSPF-Router mit LSA-Statusmeldungen (Link State Advertisement) zu »überschwemmen". Es gibt verschiedene Arten von Nachrichten. Ein Hacker kann beginnen, diese Nachrichten in großen Mengen zu senden und dadurch eine Verlangsamung oder sogar eine vollständige Funktionsstörung des Routers verursachen.
Je nach Netzwerktyp gibt es zwei Möglichkeiten, sich gegen LSA-Überschwemmungen zu schützen. Für Broadcast-, Nonbroadcast- und Point-to-Point-Netzwerke können Sie das Überfluten auf OSPF blockieren.
In Point-to-Multipoint-Netzwerken können Sie Überschwemmungen für bestimmte Nachbarn blockieren.
Hier sind Beispiele für beide Fälle:
Sperren für die Schnittstelle
interface ethernet 0
ospf database-filter all out
Blockieren des Nachbarn 1.2.3.4
router ospf 109
neighbor 1.2.3.4 database-filter all out
Die dynamischen Routingprotokolle RIP und OSPF werden nur in lokalen Netzwerken verwendet. In globalen Netzwerken wird aufgrund ihrer Besonderheiten das BGP-Protokoll verwendet. Im nächsten Beitrag werden wir es genauer betrachten.
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
