4.6. Защита сети ospf

В данном курсовом проекте в качестве средств защиты предполагается использование пассивных интерфейсов и механизмов аутентификации OSPF. Аутентификация маршрутов необходима для того, чтобы маршрутизатор принимал анонсы только от авторизированных маршрутизаторов. Настройку средств аутентификации необходимо провести для каждого интерфейса маршрутизатора, те интерфейсы маршрутизаторов, которые подсоединены к пользовательским сетям, должны быть переведены в пассивный режим. Аутентификацию также необходимо проводить и для виртуального канала.

В программном обеспечении CiscoIOSдля протоколаOSPFпредусмотрено два механизма аутентификации с общим ключом: первый вариант, передача пароля в незашифрованном виде, второй вариант, использования алгоритмаMD5 для получения хэша от общего ключа и передача хэша вместо пароля, очевидно, что второй способ является более безопасным, поэтому в курсовой работе необходимо использовать именно его. Для каждой пары маршрутизаторов можно выбрать свой уникальный ключ, а можно использовать один ключ для всех каналов. Для включение средств аутентификации необходимо в режиме конфигурации протокола маршрутизации ввести командуarea [area id] authentication message-digest которая разрешает аутентификацию в области равной значениюarea-id, а затем в режиме конфигурации интерфейса находящегося в этой области ввести командуip ospf message-digest-key [key-ID] md5 [password], параметрkey-IDпозволяет за дать до 255 паролей на одном интерфейсе. В качестве примера настройки средств аутентификации будем использовать маршрутизаторы R1 иR2 рис. 4.3:

R1(config)#router ospf 1

R1(config-router)#area 0 authentication message-digest

R1(config-router)#exit

R1(config)#int f0/0

R1(config-if)#ip ospf message-digest-key 1 md5 qwerty

R2(config)#router ospf 1

R2(config-router)#area 0 authentication message-digest

R2(config-router)#exit

R2(config)#int f0/0

R2(config-if)#ip ospf message-digest-key 1 md5 qwerty

Для аутентификации виртуального канала между маршрутизатором R2 иR4 необходимо разрешить аутентификацию в области 200, так как интерфейсы виртуального канала лежат именно в этой области, после разрешения средств аутентификации в области 200 необходимо задать пароль для виртуального канала с помощью командыarea [area-id] virtual-link [router id] authentication-key [encryption type] [password], предварительно удалить существующий виртуальный канал, ниже показан пример конфигурации виртуального канала между маршрутизаторамиR2 иR4 на рис. 4.3:

R2(config)#router ospf 1

R2(config-router)#area 200 authentication message-digest

R2(config-router)#no area 100 virtual-link 6.0.0.1

R2(config-router)#area 100 virtual-link 6.0.0.1 authentication-key 0 qwerty

R4(config)#router ospf 1

R4(config-router)#area 200 authentication message-digest

R4(config-router)#no area 100 virtual-link 1.0.0.2

R4(config-router)#area 100 virtual-link 1.0.0.2 authentication-key 0 qwerty

После настройки средств аутентификации в режиме конфигурации протокола OSPFнеобходимо перевести все пользовательские интерфейсы в пассивный режим, тем самым прекратится передача анонсовOSPFв пользовательские сети, с помощью командыpassive-interface [interface]. На рисунке 1.1 интерфейсf0/1 подключен к пользовательской сети, поэтому этот интерфейс необходимо сделать пассивным, пример настройки пассивного интерфейса показан ниже:

R2(config-router)#passive-interface fastEthernet 0/1

Добавить маршрутные карты

Аутентификацию в рип

Списки доступа