Buscando la seguridad del protocolo de enrutamiento OSPF--Revisión de la literatura
El protocolo de enrutamiento OSPF es uno de los protocolos de estado de enlace más utilizados en la red. Se utiliza para distribuir información de enrutamiento en la red. Sin embargo, este importante protocolo es responsable de la tarea de distribuir información de enrutamiento en la red. Internet no se desarrolló antes de su formulación. Al principio, no existía un método de seguridad eficaz. Por esta razón, el IETF propuso el protocolo de enrutamiento OSPF protegido por firma digital. Expuso las ideas de diseño y la tecnología de implementación del protocolo OSPF protegido por firma digital. , y construyó una red experimental compuesta por enrutadores con función de protección de firma digital, realizó una prueba de simulación en el esquema de firma digital del protocolo de enrutamiento y obtuvo datos del sistema, las características de seguridad del protocolo OSPF protegido por firmas digitales. analizado.
Volumen 23, Número 4
p>Revista de la Universidad de Comercio de Harbin (Edición de Ciencias Naturales), agosto de 2007
Revista de Harb i n Un Universidad de Comercio (Edición de Ciencias Naturales)
Vol. 23 No. 4
Agosto de 2007
Fecha de recepción: 2006. -05-22.
Acerca del autor: Li Changshan, hombre, doctorado, ingeniero senior, tutor de maestría, dirección de investigación: tecnología de realidad virtual, seguridad de redes informáticas 1
Investigación de seguridad en Protocolo de enrutamiento OSPF protegido por firma digital
Li Changshan1
, Qian Zhijun2
, Yang Youhong2
(1. Centro de información de Daqing Oficina de Administración del Petróleo, Daqing, Heilongjiang 153453; 2. Escuela de Ingeniería Informática y de la Información, Universidad del Petróleo de Daqing, Daqing, Heilongjiang 163453)
Resumen: el protocolo de enrutamiento OSPF es uno de los protocolos de estado de enlace más utilizados en la red se utiliza para distribuir información de enrutamiento en la red, pero
es este El importante protocolo responsable de distribuir información de enrutamiento en Internet no tenía medios de seguridad efectivos cuando se formuló por primera vez. ,
IETF propuso el protocolo de enrutamiento OSPF protegido por firmas digitales. Se desarrolló sobre la protección de firmas digitales basándose en las ideas de diseño y la tecnología de implementación del protocolo OSPF, una red experimental compuesta por enrutadores con protección de firma digital. Se construyó la función y se simuló, probó y obtuvo el esquema de firma digital del protocolo de enrutamiento. Se obtuvieron los datos del sistema y, sobre esta base, se analizaron las características de seguridad del protocolo OSPF protegido por firmas digitales.
Palabras clave: enrutador; abrir primero el camino más corto; edad máxima; estado del enlace - 00484 - 04
Investigación sobre la seguridad del protocolo de enrutamiento OSPF con la protección de firma digital
L IChang2 Shan
1
,QI AN Zhi2jun
2
, Y ANG You2 hong
2
(1. Centro de información , Daqing Petr oMinistrati on Bureau, Daqing 163453, China; 2. Escuela de
Ingeniería en Computación e Informática, Daqing Petr oleum Institute, Daqing 163453, China)
Resumen: OSPF r outing pro ocol es uno de los enlaces más populares
2state p r ot ocol. El p r o t ocol de enrutamiento que se utiliza para difundir información de enrutamiento a través de Internet no está protegido contra intrusos o enrutadores defectuosos por estas razones. ons, el IETF agrega una protección de firma digital al OSPF. Este artículo analiza las características seguras y la implementación2 del protocolo de enrutamiento OSPF. Configuración de firma digital, construya una red de ruta
con cuatro enrutadores sOSPF de configuración de firma digital y analice estos datos que se lograron
del experimento.
Palabras clave: r externo ;OSPF; AS;edad máxima; firma digital; LSA
Debido a las consideraciones de seguridad de los protocolos de enrutamiento, generalmente se cree que existen
Es necesario fortalecer la seguridad ligeramente débil del protocolo de enrutamiento actual Open Shortest Path First (OS2
PF) es el protocolo de enrutamiento de puerta de enlace interno
(IGP) más utilizado. , que proporciona autenticación de clave simple, y se está trabajando en la implementación de la autenticación de clave MD5 para paquetes transmitidos entre vecinos
En [1]
. porque cualquiera puede interceptar y usar la clave durante el proceso de propagación.
La autenticación de clave MD5 es una medida de autenticación más efectiva, pero
no puede proporcionar una garantía de la precisión de la misma. fuente de información de enrutamiento [2]
.
Hay dos problemas principales de seguridad de la información de enrutamiento en los sistemas autónomos:
Primero, los intrusos manipulan, eliminan o suplantar información de enrutamiento
Los enrutadores en la red envían información de enrutamiento falsa el segundo es un enrutador que no funcionó correctamente
pero no sabemos que el enrutador no funcionó correctamente
.
Basado en los riesgos de seguridad anteriores, IETF propuso una estrategia para implementar protección de firma digital para OSPF
El núcleo de la firma digital OSPF es
. LSA (Link State Advertisement) de OSPF para firmar
La información firmada será inundada
( Flooding) al área (Area) o sistema autónomo (Aut onomous
juntos. con la información original) p>Cualquier nodo (Nodo) del Sistema La firma garantizará la protección de integridad de extremo a extremo de la información del estado del enlace (Link State Information) y garantizará la integridad del enrutador de destino. Proporciona precisión de fuente
Garantía [3, 4]
.
1 protección de firma digital OSPF
1 contraseña Gestión de claves y distribución
La firma digital protege OSPF
Implementado mediante tecnología de clave asimétrica
El enrutador de origen tiene un par de claves públicas y privadas y tiene un certificado de reconocimiento de clave pública obtenido de TE
(Trust Entity And Use LSA
: inundación para distribuir la clave pública
para garantizar que cada enrutador que acepte su LSA pueda
p>
Recibir su clave pública para el descifrado. Este mecanismo de distribución basado en inundaciones
se implementa sobre la base de un nuevo LSA, este nuevo
LSA es PK LSA (Public Key Link State Advertise2
<). p>ment). La estructura de PK LSA se muestra en la Figura 1.Figura 1 Diagrama de estructura de PKLSA
Para un enrutador dentro del área, su PKLSA
no inunda fuera del área, es decir, el área externa
El enrutador no necesita conocer la información dentro del área [ 5 ]
. El enrutador
recibe una PK LSA
de otro enrutador en el área, el enrutador utiliza la clave pública de la entidad de autenticación (TE)
verifica el certificado. Si la verificación es exitosa, el PK LSA se guardará en la base de datos del estado del enlace (LSDB) para su uso futuro en la información de LSA.
[6]
.
1.2 Firma y autenticación de LS A
Este documento propone un El esquema de firma de la información del encabezado de LS A
omite la firma de la parte de datos relativamente grande de LS A.
Este esquema es beneficioso sin afectar la seguridad. Al mismo tiempo, ahorra la sobrecarga del enrutador. La base principal para hacer esto es la existencia de una suma de verificación LS en el encabezado LSA. La suma de comprobación LS se utiliza para detectar el encabezado y el contenido de LSA
para adaptarse a las condiciones de error, aunque esto no incluye el campo de edad en el encabezado de LSA
. Un LSA OSPF v2 estándar. su encabezado LSA
El formato se muestra en la Figura 2.
Figura 2 encabezado LSA
Cuando el enrutador genera un LSA firmado digitalmente, el
no incluye la edad. Genere un resumen de parte del campo y luego use la clave del enrutador para firmar. La información firmada se agrega al final del LSA, y el ID de la clave, el ID de la entidad de autenticación y la longitud de la firma. Para un LSA con edad MaxAge
inundado por el enrutador de origen en el área, todo el encabezado del LSA, incluido el campo de edad, está firmado.
El formato LSA firmado se muestra en la Figura. 3.
Figura 3 LSA cifrada
El LSA firmado se inunda en el enrutador de destino. Después de que
el enrutador recibe el LSA firmado, lo utiliza
. p>
la clave pública del enrutador de origen que envió el LSA para verificar el LSA recibido
Si este LSA pasa la verificación, significa que el enrutador de destino
cree. que proviene del enrutador de origen correcto y no ha sido manipulado maliciosamente
durante el proceso de inundación, el enrutador de destino considera que se pasó la verificación y
guarda el LSA recibido. para uso futuro en el cálculo de rutas.
Si la verificación no pasa, el enrutador de destino considerará que el LSA no es válido
Si proviene del enrutador de origen correcto o lo es. sujeto a ataques de manipulación durante la transmisión, el enrutador de destino descartará el LS A. Además,
, existe otro caso especial en el que la clave pública de la PKLSA del enrutador de origen no es válida. el enrutador guardará temporalmente el LSA firmado por un período de tiempo. Este tiempo de almacenamiento temporal está determinado por
MAX_TRANSI.
T_DELAY está definido Si el enrutador de origen interno reenvía el PK LSA durante este intervalo de tiempo
, la firma almacenada temporalmente será procesada
· 584 · Número 4 Li Changshan, et al. : Protección de firma digital Investigación de seguridad LSA del protocolo de enrutamiento OSPF; de lo contrario, descarte el LSA firmado. Esto puede garantizar que el LSA firmado llegue al enrutador de destino antes de que el PK LSA
No se descarte información de enrutamiento útil.
El proceso de firma y verificación se muestra en la Figura 41
Figura 4 Gestión de claves y distribución de claves públicas
1 Procesamiento del campo Edad
<. p>En el protocolo OSPF, el campo Edad en el encabezado LSAes una parte muy importante. Este campo se utiliza para determinar el LSA
El tiempo que existe en el sistema de enrutamiento. Cuando el campo Edad alcanza un valor máximo MaxAge, el enrutador dejará de usar el LSA para calcular rutas. Una vez que un enrutador alcanza
MaxAge, este enrutador inundará el LSA que alcance la edad máxima<. /p>
al sistema autónomo una vez que otros enrutadores reciban esto
Si el LSA cuyo campo de edad es MaxAge, elimine el LSA con el mismo tipo de LS
en el suyo. De manera similar, basándose en el principio anterior, el enrutador también tiene un mecanismo de envejecimiento prematuro. Mediante el proceso de envejecimiento prematuro, el enrutador de origen puede configurar el campo de edad del LSA en MaxAge y volver a inundar el LSA, eliminando así la redundancia. eliminó el LS A[7, 8] de la base de datos distribuida
Debido a la importancia y vulnerabilidad del campo Edad mencionado anteriormente
Característica, es necesario proteger LSA durante la firma proceso Sin embargo, el campo Edad pasa por cada enrutador
Debe ser modificado por el enrutador, lo que dificulta la protección de este campo en firmas digitales. Para proteger el campo Edad, solo puede ser. se sobrescribe cuando el valor del campo Edad es MaxAge; de manera similar, el campo Edad solo se verifica cuando la Edad es MaxAge. Para las LSA cuyo campo Edad es MaxAge,
solo el valor del campo Edad es MaxAge. Se permite generar LSA
El enrutador de origen puede firmar el campo Edad del LSA
para protección de manera similar, cuando un enrutador recibe un LSA, si el campo Edad del LSA; LSA
El campo es MaxAge y está cubierto por una firma digital, pero el enrutador que lo cubre con una firma digital no es la fuente de la LSA.
El enrutador descartará el. LSA De acuerdo con las reglas anteriores, el enrutador que genera el LSA firmado puede eliminar el LSA de la base de datos distribuida redundante mediante mecanismos prematuros o normales, y también puede proteger el LSA que genera para que no sea manipulado. otros enrutadores maliciosos
Campo Edad [9, 10]
.
2 Seguridad de la firma digital Análisis de rendimiento OSPF
2. Entorno experimental
La topología del entorno experimental se muestra en la Figura 5. Cuatro enrutadores con capacidades de firma digital OSPF forman una red, cabe señalar que cuando
uno de ellos. falla, no afectará el funcionamiento de toda la red.
Los datos omitirán automáticamente el enrutador fallido.
Figura 5 Topología del dominio de enrutamiento
2. 2 Ataques a los números de secuencia
El número de secuencia es un campo importante en el encabezado LSA Cuando uno
Cuando dos enrutadores tienen dos instancias del mismo LSA, puede hacerlo.
Puede determinar cuál es más nuevo
comparando el campo de número de secuencia LS de la instancia. Dado que
OSPF LSA se propaga mediante inundación, también ocurre en la inundación
< p. >Los intrusos o enrutadores defectuosos en el área camino a la inundación pueden lanzar ataques a la información LSA y alterar su contenido. Hay dos tipos de ataques contra números de serie:Números de serie Más un ataque y ataque de número de secuencia máximo Tipo 1, ataque de número de secuencia máximo: el atacante cambia directamente el valor del número de secuencia LSA
al valor máximo positivo 0x7ffffff y luego reinicia Calcula la suma de comprobación.
y luego inundarlo. Este LSA permanecerá en el dominio de enrutamiento durante el tiempo MaxAge
antes de borrarse, lo que retrasa la actualización de la información de enrutamiento. Como se muestra en la Tabla 1
, el LSA con el ID de estado del enlace de 10. 8. 6. 123 está en los datos de estado del enlace porque el número de secuencia LS
se ha modificado artificialmente al valor máximo. .
La biblioteca permanece hasta MaxAge - 1, que son 59 minutos en el sistema
Aún no se ha borrado.
Tabla 1 LSADB bajo secuencia máxima ataque numérico
Estado del enlace I D LS Número de serie Suma de comprobación Edad 10. 8. 6. 123 0x7fffffff 0xbe17 59
10. 8. 6. 2 0x80000003 0xf1da 11
10. 8. 6. 3 0x80000009 0x101f 21
10. 8. 6. 1 0x80000007 0x4917 17
· 684 · Revista de Comercio de la Universidad de Harbin (Edición de Ciencias Naturales) Volumen 23 en Firma digital En el sistema, este LSA no se pudo verificar porque se modificó la secuencia LS
número de columna, por lo que el LSA con el ID de estado del enlace de 10. 8. 6.
123 se descartó como se muestra en la Tabla 2.
Tabla 2 LSDB después de adoptar la firma digital
Estado del enlace ID Número de secuencia LS Edad de la suma de verificación
10. 6. 2 0x80000003 0x12f2 12
10. 8. 6. 3 0x80000009 0x393a 21
10. , Número de secuencia más un ataque, la instancia con el número de secuencia LS más grande en el encabezado LSA se especifica como más nueva y el protocolo OSPF utilizará la última instancia para reemplazar la más nueva. En el experimento, imitamos un ejemplo. atacante que agregó uno al número de secuencia de un LSA, recalculó la suma de verificación del LSA y luego la extendió y siguió repitiendo esta operación.
La red se vuelve extremadamente inestable
bajo tal. Después de usar la firma digital, una vez que se modifica el número de serie agregando uno, incluso volver a calcular la suma de verificación no ayudará, ya que no hay una clave privada de firma. forma de volver a firmar dicho LSA en el enrutador receptor
La verificación falló y fue descartada.
2.3 Ataque de edad máxima
El atacante intercepta LSA y establece el campo Edad de LS en
El campo Edad no está dentro del alcance del cálculo de la suma de verificación,
por lo que este LSA puede inundarse sin calcular la suma de verificación. recibe
este LSA incorrecto será inundado de su El LSA correcto con el mismo número de secuencia que este
El LSA incorrecto se borrará de la base de datos, lo que resultará en la pérdida de enrutamiento
información [11]
. Aunque OSPF V2 estipula que solo el enrutador de origen que generó el LSA puede transferir la Ag del LSA.
El campo e está configurado en
MaxAge, pero estas medidas no pueden evitar eficazmente que un
enrutador incorrecto lance un ataque de edad máxima [12]
. firma digital En OSPF
, para un LSA cuyo campo Edad es MaxAge, el LSA debe
estar firmado y solo puede estar firmado por el enrutador de origen que generó el LSA.
p>
Dicha verificación en el extremo receptor puede impedir eficazmente que los intrusos cambien el campo Edad a MaxAge. Sin embargo, OSPF firmado digitalmente no impide que los intrusos cambien el valor Edad a MaxAge Cerca del valor de Max2
.Edad, porque establecer el campo Edad del LSA en un valor que no sea
MaxAge no requiere una firma. Pero este ataque solo puede
acelerar la actualización. velocidad de LSA en el enrutador, pero no trae amenazas de seguridad graves al dominio de enrutamiento.
3 Conclusión
Para OSPF la protección de firma digital mejora enormemente la seguridad de la transmisión de información en el dominio de enrutamiento Debido a la protección de las firmas digitales, la manipulación de la información de enrutamiento por parte de los atacantes siempre se puede verificar en el extremo receptor y, por lo tanto, se descarta la información errónea. purificar la información de enrutamiento el esquema de firma OSPF propuesto en este artículo
mientras garantiza la seguridad
Reduce muy bien la sobrecarga del enrutador y el experimento muestra que el esquema es completamente factible
p>Bajo el esquema y el experimento anteriores, el protocolo OSPF de firma digital
Se realizó un análisis exhaustivo de la seguridad y se realizó un trabajo útil para mejorar aún más la seguridad del OSPF firmado digitalmente. protocolo.
Literatura de referencia:
[ 1 ] MURPHY S, BADGER M, WELL I NGTON B. RFC2154 [ R ].
OSPF con firma digital, Junio de 1997.
[2] JOHN T. Moy RFC2328 Versión 2 [R]1 de abril de 1998.
[3] Guo Wei, Yu Yahua. Mecanismo de liberación de clave pública OSPF de firma digital
[ J ]. Journal of Jianghan University: Natural Science Edition, 2003, 31 (3): 46 - 481
[ 4 ] Li Peng, Wang Shaodi, Wang Ruchuan, etc. Llevando a cabo investigaciones de seguridad de firmas digitales sobre el protocolo de enrutamiento OSPF
[J] Journal of Nanjing University of Posts and Telecommunications, 2005, 25 (2): 86 - 901
[ 5 ] MURPHY S, BADGER M. Protección de firma digital del
Protocolo de enrutamiento OSPF[ C ] // Actas del Simposio de 1996
um sobre red y Distribuir seguridad del sistema, [S. l]: [s. n],
1996.
[6] Lu Kaicheng. Criptografía informática [M]. 1990.
[ 7 ] JOHN TM1 OSPF Anatomía de un protocolo de enrutamiento de Internet [M].
[ S l ] : Addis onWesley, 1998. 11
[ 8 ] JOHN TM1 OSPF Implementación completa[M].[S.l1
] : Ad2
dis onWesley, 2000. 121
[ 9 ] Cai Lecai, Zhang Shibin Criptografía aplicada[M]. Beijing: China Electric Power Press,
<. p >2005.[ 10 ] MOHAN A, BEN J, HAMMOND Firma digital[M]. [ S .
l ] : McGraw Hill, 2002, 101
[ 11 ] Xie Di, Yang Jing. Un mecanismo de autenticación OSPF confiable y de bajo costo [J].
Aplicaciones informáticas, 2003, 23 (12): 33 - 34, 45.
[ 12 ] Qu Yingwei, Zheng Guanghai 1 Arquitectura de seguridad basada en un sistema multiagente [ J ] 1
Revista de la Universidad de Comercio de Harbin: Edición de Ciencias Naturales, 2005, 21 (2 ): 182 - 185,
2491
· 784 · Número 4 Li Changshan, et al.: Investigación de seguridad sobre el protocolo de enrutamiento OSPF protegido por firma digital