logo search
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Конфигурирование аутентификации в протоколе ospf

Уровень безопасности в сети повышается, если известно, что информация о маршру­тизации поступила из конкретного источника. Протокол OSPF позволяет маршрутиза­торам выполнять взаимную аутентификацию. По умолчанию маршрутизатор полагается на то, что информация о маршрутах поступает от того маршрутизатора, который должен ее отправлять. Маршрутизатор также полагается на то, что в процессе передачи эта ин­формация не была искажена . Для того, чтобы гарантировать это, на маршрутизаторах одной зоны может быть сконфигурирована взаимная аутентификация.

Аутентификация представляет собой другой тип конфигурирования отдельных интерфейсов. Каждому OSPF-интерфейсу маршрутизатора может быть задан отлич­ный от других ключ аутентификации, который выполняет функции пароля для маршрутизаторов OSPF одной и той же зоны. При конфигурировании OSPF- аутентификации используется команда со следующим синтаксисом:

router(config-if)#ip ospf authentication-key password

После того, как сконфигурирован пароль, в зоне можно включить функцию ау­тентификации с помощью команды, имеющей следующий синтаксис: (эта команда должна быть выполнена на всех маршрутизаторах, участвующих в аутентификации):

router(config-router)#area number authentication [message-digest]

Хотя ключевое слово message-digest не является обязательным, рекомендует­ся всегда использовать его в данной команде. По умолчанию пароли аутентифика­ции пересылаются открытым текстом. Поэтому анализатор пакетов (packet sniffer)легко может перехватить пакет OSPF и расшифровать пароль. Однако при ис­пользовании ключевого слова message-digest вместо самого пароля пересылает­ся дайджест сообщения, или хеш пароля. Если у получателя сконфигурирован соот­ветствующий ключ аутентификации, то потенциальный взломщик не сможет понять смысл этого дайджеста.

Если выбрана аутентификация с использованием дайджеста сообщения, то ключ аутентификации не используется. Вместо этого на интерфейсе OSPF-маршрутизатора должен быть сконфигурирован ключ дайджеста сообщения. Эта команда имеет сле­дующий синтаксис:

router(config-if)#ip ospf message-digest-key key-id md5

[ encryption-type] password

Аутентификация MD5 создает дайджест сообщения. Он представляет собой ко­дированные данные, созданные на базе пароля и содержания пакета. Маршрутиза­тор-получатель использует для восстановления дайджеста совместно используемый пароль и этот пакет. Если дайджесты совпадают, то маршрутизатор считает, что ис­точнику пакета можно доверять и содержимое пакета не было искажено или подде­лано в процессе передачи.

Тип аутентификации указывает вид аутентификации, если она используется. В случае аутентификации использованием дайджеста сообщения поле данных аутентификации содержит идентификатор ключа и длину приложенного к пакету дайджеста. Дайджест сообщения можно сравнить с водяным знаком, который не может быть подделан.

Лабораторная работа: конфигурирование аутентификации протокола OSPF

В этой лабораторной работе рассматривается повышение уровня безопасности в сети протокола OSPF путем конфигурирования аутентификации маршрутизаторов в зоне протокола OSPF.