Environnements avec le protocole BGP. 1
Outre les mesures de sécurité énumérées dans les articles sur la sécurité du routage statique, vous pouvez améliorer la sécurité du protocole OSPF en utilisant les outils suivants :
authentification ;
filtres de routage externe sur les routeurs de limites du système autonome.
Authentification.
Par défaut, les interfaces de routeur participant à l'échange OSPF sont configurées pour envoyer un mot de passe simple «12345678» dans les messages d'accueil OSPF. Le mot de passe empêche les routeurs OSPF non autorisés de modifier les données OSPF. Le mot de passe est envoyé en texte brut. Tout utilisateur disposant d'un outil d'écoute réseau, comme un renifleur, peut intercepter les messages d'accueil OSPF et afficher les mots de passe qu'ils contiennent.
Filtres de routage externe sur les routeurs de limites du système autonome.
Pour empêcher les itinéraires indésirables provenant de sources externes telles que les itinéraires RIP ou les itinéraires statiques d'entrer dans le système OSPF autonome, vous pouvez configurer des filtres d'itinéraire sur les routeurs de limites du système autonome. Les filtres d'itinéraire peuvent rejeter tous les itinéraires qui correspondent à une liste donnée ou tous les itinéraires qui ne correspondent pas à cette liste.
Protection contre les inondations par paquets LSA.
Il est possible qu'un attaquant tente d'inonder le routeur OSPF de messages indiquant l'état du canal LSA (Link State Advertisement). Ces messages sont de différents types. Un pirate informatique peut commencer à envoyer des messages de données en grand nombre, causant ainsi un ralentissement ou même une défaillance complète du routeur.
Selon le type de réseau, vous pouvez vous protéger contre les inondations LSA de deux manières. Pour les types de réseaux de diffusion, de non-diffusion et de point à point, vous pouvez bloquer l'inondation sur OSPF.
Dans les réseaux point-à-multipoint, vous pouvez bloquer les inondations pour certains voisins.
Voici des exemples pour les deux cas :
Blocage de l'interface
interface Ethernet 0
ospf database-filter tout out
Blocage du voisin 1.2.3.4
router ospf 109
neighbor 1.2.3.4 database-filter all out
Les protocoles de routage dynamique RIP et OSPF s'appliquent uniquement aux réseaux locaux. Dans les réseaux étendus, en raison de leurs caractéristiques, le protocole BGP est utilisé. Dans le prochain billet, considérez-le plus en détail.
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel: online@legascom.ru
#sécuritéinformations #informationsécurité
