Risposte:
Un problema è che l'autenticazione garantisce che solo i dispositivi fidati siano in grado di scambiare route sulla rete. Senza autenticazione, è possibile introdurre un dispositivo non attendibile e causare problemi di routing significativi. Per esempio:
Se l'area 0 non è autenticata, collegare un router nell'area 0 con percorsi fasulli su null0. È anche possibile creare un percorso predefinito e inserirlo nella topologia che porta al router danneggiato al traffico del buco nero. Oppure il percorso potrebbe forzare il traffico verso un gateway fasullo progettato per sniffare connessioni ed estrarre dati non sicuri prima di inviarli sulla strada giusta.
L'autenticazione garantisce che solo i router conosciuti e affidabili si scambino informazioni.
Dipende dalla topologia di rete. Se i collegamenti non passivi sono isolati (punto a punto) e fissati agli strati inferiori dello stack (controllo dell'accesso fisico dei router), allora sarei difficile trovare un vettore di attacco praticabile. L'autenticazione è fondamentale quando è possibile per un router non autorizzato presentare traffico arbitrario su un determinato collegamento.
Se qualcuno dovesse ottenere l'accesso all'attrezzatura reale e in qualche modo inserire un altro dispositivo all'estremità del collegamento, ciò darebbe loro l'accesso alla rete, per iniettare percorsi nella tabella di routing e altre cose brutte come quella.
Uno scenario come questo sarebbe molto teorico in luoghi come le reti backbone che si trovano in posizioni protette, ma se il collegamento dovesse andare a un cliente oa un'altra terza parte, una sorta di autenticazione sarebbe probabilmente molto saggia.
Se assumiamo che i tuoi livelli 1-3 siano sicuri dell'autenticazione OSPF non ha alcun senso. Ma poiché i layer 1-3 non sono necessariamente sicuri, OSPF utilizza il proprio metodo di sicurezza: l'autenticazione.
L'autenticazione in OSPF impedisce a un utente malintenzionato in grado di annusare e iniettare pacchetti per ingannare i router e modificare la topologia OSPF. I risultati sono ad esempio: possibile del MITM quando un utente malintenzionato modifica la topologia in modo tale che determinati / tutto il traffico fluisca attraverso la macchina da lui controllata. Negazione del servizio quando l'attaccante scarta il traffico che lo attraversa. Un altro risultato potrebbe essere il crollo di tutti i router quando un utente malintenzionato annuncia nuove informazioni molto rapidamente, sebbene ciò possa essere parzialmente risolto ottimizzando i timer SPF.
L'autenticazione impedisce anche gli attacchi di riproduzione, ad esempio impedisce agli aggressori di pubblicizzare informazioni scadute del passato. Inoltre impedisce il caos collegando un router da un'altra rete con una configurazione OSPF esistente che potrebbe iniettare percorsi sovrapposti, ad esempio (grazie a ciò, l'autenticazione è buona anche se il tuo livello 1-3 è protetto).
È possibile crittografare OSPF?
OSPFv2 supporta solo l' autenticazione . Puoi comunque vedere il payload degli LSA anche se usi l'autenticazione. L'unica cosa che fa l'autenticazione è autenticare i vicini. Non esiste alcuna crittografia del payload .
RFC 4552:
OSPF (Apri prima il percorso più breve) La versione 2 definisce i campi AuType e Authentication nell'intestazione del protocollo per fornire sicurezza. In OSPF per IPv6 (OSPFv3), entrambi i campi di autenticazione sono stati rimossi dalle intestazioni OSPF. OSPFv3 si affida all'intestazione di autenticazione IPv6 (AH) e al payload di sicurezza incapsulante IPv6 (ESP) per fornire integrità, autenticazione e / o riservatezza.
Quindi, se OSPFv3 possiamo cifrare l'intero pacchetto con IPSec.
Una volta che hai le interfacce impostate su passive, non sei aperto a molto. L'autenticazione aggiunge due possibili vettori per problemi:
Utilizzo della CPU: questo non è necessariamente un grosso problema, ma non dovrebbe essere dimenticato quando si eseguono i calcoli. Tuttavia, se si utilizza una rete in cui i tempi di convergenza richiedono più tempo del necessario, ogni bit conta.
Risoluzione dei problemi. È facile perdere qualcosa e questo può rallentare la creazione di una nuova connessione, router sostitutivo, ecc.
Se sei preoccupato di far annusare OSPF e avere un intruso dannoso che inietta dati, probabilmente dovresti eseguire qualcosa di più forte dell'autenticazione: inizia con l'esecuzione della crittografia effettiva anziché dell'MD5 debole che otterrai con OSPFv2, e BGP è migliore per collegamenti non attendibili.