對于思科路由器，我們已經(jīng)使用的很是成熟了，但是針對OSPF協(xié)議的安全性，我們該怎樣去設(shè)置提高呢？下面的文章就給我們進行了詳細的介紹。

一、利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷

說句實話，引入OSPF協(xié)議主要是用來解決RIP路由信息協(xié)議的一些缺陷。

如RIP與RIP2協(xié)議都具有15跳的限制。如果網(wǎng)絡(luò)跨越超過了15跳限制的話，目的地會被認為不可達。所以，RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點，同時突破了這個15跳的限制。另外，OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷。筆者在談到OSPF的安全問題時，之所以簡要介紹OSPF協(xié)議與RIP路由信息協(xié)議的關(guān)系，主要是想強調(diào)一下，OSPF協(xié)議也如同RIP協(xié)議一樣，是目前企業(yè)網(wǎng)絡(luò)設(shè)計中常用的協(xié)議。所以，如何提高這個協(xié)議的安全性，對于網(wǎng)絡(luò)管理員來說也就顯得尤其的重要。

二、OSPF的認證方式

OSPF主要是通過路由更新認證的方式提供了其鏈路的安全性。如可以認證OSPF分組，如此路由器就可以根據(jù)預先配置的密碼參與到路由域中。不過默認情況下，路由器往往不采用認證，有些書上也把它叫做NULL認證。也就是說，網(wǎng)絡(luò)上的路由器交換是不對彼此進行認證的。這顯然不利于OSPF協(xié)議的安全性。

通常情況下，為了提高OSPF協(xié)議的安全性，往往要對其采取一些安全措施。常見的安全措施目前為止有兩種。分別為簡單的密碼認證與消息摘要認證。

簡單的密碼認證允許在每一個區(qū)域中配置一個密碼，在同一個區(qū)域中的路由器要參與到路由域中，就必須配置相同的密鑰。如果沒有密鑰的話，則其他路由器是不會接受新加入的路由器的。這在一定程度上，可以提高OSPF協(xié)議的安全性。不過這種方式確實是“簡單”，其比較容易受到攻擊。如現(xiàn)在有一種叫做“消極攻擊”的方式，對這種簡單密碼認證就很有效。在這個域中，只要具有鏈路分析器這個工具，就可以輕而易舉的獲得這個密鑰，從而進行一些破壞工作。

消息摘要認證相對來說，要比簡單密碼認證安全的多。因為消息摘要認證是加密的認證。再每一個思科路由器上都配置一個密鑰與一個密鑰ID。如果路由器采用OSPF協(xié)議的話，則其就會采用一個基于OSPF的算法，并結(jié)合密鑰、密鑰ID來創(chuàng)建一個消息摘要。

然后思科路由器會把這個消息摘要加入到OSPF分組的后面。很簡單密碼認證不同，不需要再鏈路上交換密鑰。如此的話，即使不法攻擊者有鏈路分析工具的話，也無法取得這個密鑰信息。為此，可以有效提高這個密鑰的安全性。消息摘要認證主要廣泛用于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的登陸認證上，如Unix、各類BSD系統(tǒng)登錄密碼、數(shù)字簽名等諸多方，或者思科的網(wǎng)絡(luò)設(shè)備中。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認證經(jīng)哈希運算后存儲在文件系統(tǒng)中。當用戶登錄的時候，系統(tǒng)把用戶輸入的密碼進行消息摘要認證與哈希運算，然后再去和保存在文件系統(tǒng)中的消息摘要認證值進行比較，進而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。在思科路由器等網(wǎng)絡(luò)設(shè)備中，身份認證過程也是如此。

這就可以避免用戶的密碼被具有系統(tǒng)管理員權(quán)限的用戶知道。消息摘要認證將任意長度的“字節(jié)串”映射為一個128bit的大整數(shù)，并且是通過該128bit反推原始字符串是困難的，換句話說就是，即使你看到源程序和算法描述，也無法將一個消息摘要認證的值變換回原始的字符串，從數(shù)學原理上說，是因為原始的字符串有無窮多個，這有點象不存在反函數(shù)的數(shù)學函數(shù)。所以，要遇到了消息摘要認證密碼的問題，比較好的辦法是：你可以用這個系統(tǒng)中的消息摘要認證函數(shù)重新設(shè)一個密碼，把生成的一串密碼的Hash值覆蓋原來的Hash值就行了。而不用去想著如何破解。破解基本上是不可能的。除非你的運氣真的特別好，給你蒙對了?？梢哉f，消息摘要認證被破解比中500萬的幾率還要小500萬倍。所以，消息摘要認證比簡單密碼認證安全程度要高的多。

另外在OSPF協(xié)議中，在其分組中，還包含了一個非降序的序列號。通過這個序列號，可以防止黑客的重放攻擊。重放攻擊就是攻擊者發(fā)送一個目的主機已接收過的包，通過占用接收系統(tǒng)的資源，來達到欺騙系統(tǒng)的目的。重放攻擊往往用來攻擊身份認證。可以說，重放攻擊是黑客最喜歡采用的工具之一。