本文主要給大家介紹了對(duì)于思科路由器如何提高OSPF安全性,本文通過(guò)兩方面給大家做了詳細(xì)的介紹�,希望看過(guò)此文會(huì)你有所幫助����。
一、利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷
說(shuō)句實(shí)話���,引入OSPF協(xié)議主要是用來(lái)解決RIP路由信息協(xié)議的一些缺陷����。
如RIP與RIP2協(xié)議都具有15跳的限制��。如果網(wǎng)絡(luò)跨越超過(guò)了15跳限制的話���,目的地會(huì)被認(rèn)為不可達(dá)����。所以����,RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)�。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點(diǎn)�,同時(shí)突破了這個(gè)15跳的限制。另外��,OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷��。筆者在談到OSPF的安全問(wèn)題時(shí)����,之所以簡(jiǎn)要介紹OSPF協(xié)議與RIP路由信息協(xié)議的關(guān)系,主要是想強(qiáng)調(diào)一下����,OSPF協(xié)議也如同RIP協(xié)議一樣����,是目前企業(yè)網(wǎng)絡(luò)設(shè)計(jì)中常用的協(xié)議。所以���,如何提高這個(gè)協(xié)議的安全性���,對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)也就顯得尤其的重要���。
二、OSPF的認(rèn)證方式
OSPF主要是通過(guò)路由更新認(rèn)證的方式提供了其鏈路的安全性���。如可以認(rèn)證OSPF分組���,如此路由器就可以根據(jù)預(yù)先配置的密碼參與到路由域中。不過(guò)默認(rèn)情況下�,路由器往往不采用認(rèn)證,有些書(shū)上也把它叫做NULL認(rèn)證���。也就是說(shuō)��,網(wǎng)絡(luò)上的路由器交換是不對(duì)彼此進(jìn)行認(rèn)證的��。這顯然不利于OSPF協(xié)議的安全性����。
通常情況下��,為了提高OSPF協(xié)議的安全性��,往往要對(duì)其采取一些安全措施����。常見(jiàn)的安全措施目前為止有兩種�。分別為簡(jiǎn)單的密碼認(rèn)證與消息摘要認(rèn)證���。
簡(jiǎn)單的密碼認(rèn)證允許在每一個(gè)區(qū)域中配置一個(gè)密碼��,在同一個(gè)區(qū)域中的路由器要參與到路由域中���,就必須配置相同的密鑰。如果沒(méi)有密鑰的話����,則其他路由器是不會(huì)接受新加入的路由器的。這在一定程度上���,可以提高OSPF協(xié)議的安全性。不過(guò)這種方式確實(shí)是"簡(jiǎn)單"����,其比較容易受到攻擊。如現(xiàn)在有一種叫做"消極攻擊"的方式���,對(duì)這種簡(jiǎn)單密碼認(rèn)證就很有效����。在這個(gè)域中,只要具有鏈路分析器這個(gè)工具�,就可以輕而易舉的獲得這個(gè)密鑰,從而進(jìn)行一些破壞工作���。
消息摘要認(rèn)證相對(duì)來(lái)說(shuō)�,要比簡(jiǎn)單密碼認(rèn)證安全的多�。因?yàn)橄⒄J(rèn)證是加密的認(rèn)證。再每一個(gè)思科路由器上都配置一個(gè)密鑰與一個(gè)密鑰ID�。如果路由器采用OSPF協(xié)議的話,則其就會(huì)采用一個(gè)基于OSPF的算法��,并結(jié)合密鑰����、密鑰ID來(lái)創(chuàng)建一個(gè)消息摘要。
然后思科路由器會(huì)把這個(gè)消息摘要加入到OSPF分組的后面��。很簡(jiǎn)單密碼認(rèn)證不同���,不需要再鏈路上交換密鑰���。如此的話����,即使不法攻擊者有鏈路分析工具的話���,也無(wú)法取得這個(gè)密鑰信息���。為此,可以有效提高這個(gè)密鑰的安全性��。消息摘要認(rèn)證主要廣泛用于操作系統(tǒng)���、網(wǎng)絡(luò)設(shè)備的登陸認(rèn)證上��,如Unix���、各類(lèi)BSD系統(tǒng)登錄密碼、數(shù)字簽名等諸多方�,或者思科的網(wǎng)絡(luò)設(shè)備中。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認(rèn)證經(jīng)哈希運(yùn)算后存儲(chǔ)在文件系統(tǒng)中���。當(dāng)用戶登錄的時(shí)候,系統(tǒng)把用戶輸入的密碼進(jìn)行消息摘要認(rèn)證與哈希運(yùn)算���,然后再去和保存在文件系統(tǒng)中的消息摘要認(rèn)證值進(jìn)行比較����,進(jìn)而確定輸入的密碼是否正確。通過(guò)這樣的步驟��,系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性����。在思科路由器等網(wǎng)絡(luò)設(shè)備中,身份認(rèn)證過(guò)程也是如此��。
這就可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道���。消息摘要認(rèn)證將任意長(zhǎng)度的"字節(jié)串"映射為一個(gè)128bit的大整數(shù)�,并且是通過(guò)該128bit反推原始字符串是困難的��,換句話說(shuō)就是���,即使你看到源程序和算法描述�,也無(wú)法將一個(gè)消息摘要認(rèn)證的值變換回原始的字符串���,從數(shù)學(xué)原理上說(shuō)�,是因?yàn)樵嫉淖址袩o(wú)窮多個(gè),這有點(diǎn)象不存在反函數(shù)的數(shù)學(xué)函數(shù)���。所以����,要遇到了消息摘要認(rèn)證密碼的問(wèn)題��,比較好的辦法是:你可以用這個(gè)系統(tǒng)中的消息摘要認(rèn)證函數(shù)重新設(shè)一個(gè)密碼��,把生成的一串密碼的Hash值覆蓋原來(lái)的Hash值就行了��。而不用去想著如何破解���。破解基本上是不可能的����。除非你的運(yùn)氣真的特別好����,給你蒙對(duì)了??梢哉f(shuō)����,消息摘要認(rèn)證被破解比中500萬(wàn)的幾率還要小500萬(wàn)倍���。所以,消息摘要認(rèn)證比簡(jiǎn)單密碼認(rèn)證安全程度要高的多��。
另外在OSPF協(xié)議中����,在其分組中,還包含了一個(gè)非降序的序列號(hào)���。通過(guò)這個(gè)序列號(hào)����,可以防止黑客的重放攻擊�。重放攻擊就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包,通過(guò)占用接收系統(tǒng)的資源���,來(lái)達(dá)到欺騙系統(tǒng)的目的����。重放攻擊往往用來(lái)攻擊身份認(rèn)證?�?梢哉f(shuō)���,重放攻擊是黑客最喜歡采用的工具之一����。
關(guān)鍵詞標(biāo)簽:思科路由器,OSPF安全
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程