Entorno con protocolo BGP.
Además de las medidas de seguridad enumeradas en las publicaciones sobre seguridad de enrutamiento estático, puede mejorar la seguridad del protocolo OSPF con las siguientes herramientas::
autenticación;
filtros de rutas externas en los enrutadores de borde de un sistema autónomo.
Autenticación.
De forma predeterminada, las interfaces de enrutador involucradas en el intercambio de OSPF están configuradas para enviar una contraseña simple "12345678" en los mensajes de bienvenida de OSPF. La contraseña ayuda a evitar que los enrutadores OSPF de la red que no tienen permiso modifiquen los datos de OSPF. La contraseña se reenvía en texto sin formato. Cualquier usuario que tenga una herramienta de escucha de red, como un sniffer, puede interceptar los mensajes de bienvenida de OSPF y ver las contraseñas que contienen.
Filtros de rutas externas en los enrutadores de borde de un sistema autónomo.
Para evitar que las rutas no deseadas derivadas de Fuentes externas, como las rutas RIP o las rutas estáticas, entren en el sistema OSPF autónomo, puede configurar filtros de ruta en los enrutadores de borde del sistema autónomo. Los filtros de ruta pueden rechazar todas las rutas que coincidan con una lista determinada o todas las rutas que no coincidan con esa lista.
Protección contra inundaciones con paquetes de LSA.
Es posible que un atacante intente "inundar" el enrutador OSPF con mensajes sobre el estado del canal LSA (Link State Advertisement). Estos mensajes vienen en varios tipos. Un hacker puede comenzar a enviar datos de mensajes en grandes cantidades y, por lo tanto, causar una desaceleración o incluso un completo mal funcionamiento del enrutador.
Dependiendo del tipo de red, hay dos formas de protegerse contra las inundaciones de LSA. Para los tipos de redes broadcast, nonbroadcast y point-to-point, puede bloquear el flujo en OSPF.
En las redes punto a multipunto, puede bloquear la inundación para ciertos vecinos.
Aquí hay ejemplos para ambos casos:
Bloqueo de la interfaz
interface ethernet 0
ospf database-filter all out
Bloqueo del vecino 1.2.3.4
router ospf 109
neighbor 1.2.3.4 database-filter all out
Los protocolos de enrutamiento dinámico RIP y OSPF solo se utilizan en redes locales. En las redes globales, debido a sus características, se utiliza el protocolo BGP. En el siguiente post, lo consideraremos con más detalle.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
