ویژگی احراز هویت در همه پروتکل های مسیریابی وجود دارد و هدف آن جلوگیری از مسیرهای غلطی است که ممکن است توسط هکرها ایجاد و منتشر شود. البته در همه پروتکل های مسیریابی این ویژگی اختیاری است. در پروتکل OSPF در صورت فعال کردن Authentication دو روش clear text و MD5 برای ارسال رمز وجود دارد.

بدیهی است که پیاده سازی احراز هویت به روش clear text اصلا پیشنهاد نمی شود زیرا هکر به راحتی و با شنود ترافیک های OSPF می تواند رمز را استخراج نماید. نوع Authention و کلید Authentication در بسته های Hello ارسال می گردد. سه شیوه Authentication در OSPF وجود دارد.

  • Null Authentication: این نوع احراز هویت در بسته hello با type 0 ارسال می شود و بدین معنی است که در هدر OSPF اطلاعات احراز هویت وجود ندارد.
  • Clear Text Authentication: این نوع احراز هویت در بسته hello با type 1 ارسال می شود و بدین معنی است که کلید احراز هویت بدون هیچگونه رمزی ارسال می گ.ردد
  • MD5 Authentication: این نوع احراز هویت در بسته hello با type 2 ارسال می شود و بدین معنی است که کلید احراز هویت با شیوه MD5 رمزگذاری و ارسال می گردد.

برای پیاده سازی دو گام وجود دارد:

گام اول: در این گام نوع Authentication را مشخص می کنیم. به دو شیوه می توان نوع Authentication را مشخص کنیم. یا اینکه نوع Authentication را برای کلیه اینترفیس های یک Area تعیین کنیم که از دستور area area-no authentication [message-digest] در محیط router ospf استفاده می کنیم و یا اینکه نوع authentication را به ازاء هر اینترفیس جداگانه تعریف می کنیم که در این صورت در محیط اینترفیس با دستور ip ospf authentication [message-digest] نوع Authentication را تعیین می کنیم.

گام دوم: در این گام خود کلید که برای احراز هویت استفاده می شود را تعریف می کنیم. برای تعریف کلید حتما از محیط اینترفیس استفاده می کنیم. اگر نوع Authetication را clear text انتخاب کرده باشیم، از دستور Ip ospf authentication-key و در غیر این صورت از دستور ip ospf message-digest-key id md5 key استفاده می کنیم که در حالت دوم هم id و هم کلید باید بین روترهای همسایه یکسان باشد.

برای درک بهتر چگونگی پیاده سازی احراز هویت در OSPF به دو مثال زیر توجه کنید که در آن ابتدا احراز هویت به شیوه Clear Text و سپس احراز هویت به شیوه MD5 نشان داده شده است. دو مثال به نحوی چیده شده است که در مثال اول نوع Authentication را به صورت کلی و در داخل Area تعریف کنیم ولی در مثال دوم نوع Authentication را با ازاء اینترفیس جداگانه تعریف خواهیم کرد.

h1

احراز هویت در OSPF

در مثال زیر احراز هویت در OSPF به شکل Clear Text و یا رمز نشده پیاده سازی شده است

!!! IOU1, IOU2

!
interface Ethernet0/0

 ip ospf authentication-key rayka

!

router ospf 1

 area 0 authentication

!

!

IOU1#sh ip ospf interface ethernet 0/0

!!! بخشی از خروجی حذف شده است

  Suppress hello for 0 neighbor(s)

  Simple password authentication enabled

!

!!! برای debug کردن احراز هویت از دستور debug ip ospf adj استفاده کنید. چنانچه کلید را در یکی از روترها اشتباه وارد کنید پیغام زیر را دریافت می کنید

IOU1#debug ip ospf adj

OSPF adjacency events debugging is on

IOU1#

*Sep  9 12:35:14.683: OSPF: Rcv pkt from 10.1.1.2, Ethernet0/0 : Mismatch Authentication Key - Clear Text

پیاده سازی احراز هویت در OSPF به شیوه Clear Text

در این مثال احراز هویت به صورت رمز شده و MD5 پیاده سازی شده است

!!! IOU1, IOU2

!
interface Ethernet0/0

 ip ospf authentication message-digest

 ip ospf message-digest-key 1 md5 rayka

!

!

IOU1#sh ip ospf interface ethernet 0/0

!!! بخشی از خروجی حذف شده است

  Suppress hello for 0 neighbor(s)

  Message digest authentication enabled

     Youngest key id is 1

!

!!! نوع بسته ارسالی OSPF در ذیل نشان داده شده است که در آن authentication type 2 و key id 1 مشخص می باشد

IOU1#debug ip ospf packet

OSPF packet debugging is on

IOU1#

*Sep  9 12:48:12.747: OSPF: Send with youngest Key 1

IOU1#

IOU1#

*Sep  9 12:48:21.499: OSPF: rcv. v:2 t:1 l:48 rid:10.1.1.2

      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x540EF6FA from Ethernet0/0

پیاده سازی احراز هویت در OSPF به شیوه MD5

یکی دیگر از قابلیت های احراز هویت در OSPF، پیاده سازی آن روی Virtual Link است. همانطور که می دانید OSPF روی virtual link بسته hello ارسال می کند و تشکیل همسایگی می دهد. همچنین روی virtual link انواع LSA Type 1 تا LSA Type 3 نیز ارسال می گردد. برای حفظ امنیت روی virtual link همانند دیگر لینک های شبکه قابلیت ویژگی احراز هویت روی این لینک نیز وجود دارد. در پیاده سازی احراز هویت روی لینک یک نکته مهم را به خاطر داشته باشید و آن اینکه virtual link همواره از لینک های Area 0 محسوب می شود و بنابراین اگر از شما خواسته می شود که احراز هویت را روی Area 0 پیاده سازی کنید، این نوع لینک ها را فراموش نکنید.

از ما خواسته شد در Area 0، احراز هویت را فعال کنیم. از آنجایی که virtual link از لینک های Area 0 محسوب می شود، بنابراین روی virtual link نیز باید احراز هویت را فعال کنیم. در ذیل نشان داده است که چگونه این ویژگی را یکبار به صورت clear text و یکبار هم به صورت md5 در virtual link فعال نماییم.

h2

پیاده سازی احراز هویت OSPF روی virtual link

!!! IOU1

interface Loopback0

 ip ospf authentication-key rayka

!

router ospf 1

 router-id 1.1.1.1

 log-adjacency-changes

 area 0 authentication

 area 1 virtual-link 3.3.3.3 authentication-key rayka

!

!!! IOU3

interface Loopback0

 ip ospf authentication-key rayka

!

router ospf 1

 router-id 3.3.3.3

 log-adjacency-changes

 area 0 authentication

 area 1 virtual-link 1.1.1.1 authentication-key rayka

فعال سازی احراز هویت به صورت clear text روی virtual link

!!! IOU1

iinterface Loopback0

 ip address 10.0.1.1 255.255.255.0

 ip ospf message-digest-key 1 md5 rayka

!

router ospf 1

 router-id 1.1.1.1

 log-adjacency-changes

 area 0 authentication message-digest

 area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 rayka

!

!!! IOU3
interface Loopback0

 ip ospf message-digest-key 1 md5 rayka

!

router ospf 1

 router-id 3.3.3.3

 log-adjacency-changes

 area 0 authentication message-digest

 area 1 virtual-link 1.1.1.1 message-digest-key 1 md5 rayka

فعال سازی احراز هویت به صورت MD5 روی virtual link

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید