Câu trả lời:
Một vấn đề là xác thực đảm bảo rằng chỉ những thiết bị đáng tin cậy mới có khả năng trao đổi các tuyến trên mạng. Nếu không xác thực, bạn có thể giới thiệu một thiết bị không đáng tin cậy và gây ra các sự cố định tuyến quan trọng. Ví dụ:
Nếu khu vực 0 không được xác thực, hãy gắn bộ định tuyến trong khu vực 0 với các tuyến không có thật vào null0. Bạn thậm chí có thể tạo một tuyến đường mặc định và đưa nó vào cấu trúc liên kết dẫn đến bộ định tuyến xấu cho lưu lượng lỗ đen. Hoặc tuyến đường có thể buộc lưu lượng truy cập đến một cổng không có thật được thiết kế để đánh hơi các kết nối và rút ra dữ liệu không an toàn trước khi gửi nó trên đường dẫn đúng.
Xác thực đảm bảo rằng chỉ các bộ định tuyến bạn biết và tin tưởng được trao đổi thông tin.
Nó phụ thuộc vào cấu trúc liên kết mạng của bạn. Nếu các liên kết không thụ động được cách ly (điểm-điểm) và được bảo mật ở các lớp thấp hơn của ngăn xếp (điều khiển truy cập vật lý của các bộ định tuyến), thì tôi sẽ khó có thể xác định được một vectơ tấn công khả thi. Xác thực là rất quan trọng khi một bộ định tuyến giả mạo có thể hiển thị lưu lượng tùy ý trên một liên kết nhất định.
Nếu bất cứ ai có quyền truy cập vào thiết bị thực tế và bằng cách nào đó chèn một thiết bị khác vào đầu xa của liên kết, điều đó sẽ cho phép họ truy cập vào mạng của bạn, để đưa các tuyến vào bảng định tuyến của bạn và những thứ khó chịu khác như thế.
Một kịch bản như thế này sẽ rất lý thuyết ở những nơi như mạng đường trục nằm ở các vị trí được bảo mật, nhưng nếu liên kết đến khách hàng hoặc bên thứ ba khác, một số xác thực có lẽ sẽ rất khôn ngoan.
Nếu chúng tôi đưa ra một giả định rằng các lớp 1-3 của bạn an toàn hơn xác thực OSPF sẽ không có ý nghĩa gì. Nhưng vì lớp 1-3 không nhất thiết phải bảo mật, OSPF sử dụng phương thức bảo mật của riêng nó - xác thực.
Xác thực trong OSPF ngăn chặn kẻ tấn công có thể đánh hơi và tiêm các gói để đánh lừa các bộ định tuyến và sửa đổi cấu trúc liên kết OSPF. Kết quả là ví dụ: có thể của MITM khi kẻ tấn công thay đổi cấu trúc liên kết theo cách sao cho / tất cả lưu lượng truy cập chảy qua máy do anh ta điều khiển. Từ chối dịch vụ khi kẻ tấn công loại bỏ lưu lượng truy cập chảy qua anh ta. Một kết quả khác có thể là sự tan vỡ của tất cả các bộ định tuyến khi kẻ tấn công thông báo thông tin mới rất nhanh, mặc dù điều này có thể được giải quyết một phần bằng cách điều chỉnh bộ định thời SPF.
Xác thực cũng ngăn chặn các cuộc tấn công phát lại, ví dụ như nó ngăn chặn kẻ tấn công quảng cáo thông tin hết hạn từ quá khứ. Ngoài ra, nó ngăn chặn tình trạng lộn xộn bằng cách cắm một bộ định tuyến từ một mạng khác với cấu hình OSPF hiện có, có thể tiêm các tuyến trùng lặp (nhờ điều này, xác thực là tốt ngay cả khi bạn bảo vệ lớp 1-3 của mình).
Có thể mã hóa OSPF?
OSPFv2 chỉ hỗ trợ xác thực . Bạn vẫn có thể thấy tải trọng LSA ngay cả khi bạn sử dụng xác thực. Điều duy nhất xác thực là xác thực hàng xóm. Không có mã hóa tải trọng .
RFC 4552:
OSPF (Mở đường dẫn ngắn nhất đầu tiên) Phiên bản 2 xác định các trường AuType và Xác thực trong tiêu đề giao thức của nó để cung cấp bảo mật. Trong OSPF cho IPv6 (OSPFv3), cả hai trường xác thực đã bị xóa khỏi các tiêu đề OSPF. OSPFv3 dựa trên Tiêu đề xác thực IPv6 (AH) và Tải trọng bảo mật đóng gói IPv6 (ESP) để cung cấp tính toàn vẹn, xác thực và / hoặc bảo mật.
Vì vậy, nếu OSPFv3, chúng ta có thể mã hóa toàn bộ gói bằng IPSec.
Khi bạn có giao diện được đặt thành thụ động, bạn sẽ không mở nhiều. Xác thực không thêm hai vectơ có thể gây rắc rối:
Việc sử dụng CPU - đây không hẳn là một vấn đề lớn, nhưng không nên quên khi bạn thực hiện các tính toán của mình. Tuy nhiên, nếu bạn đang chạy một mạng trong đó thời gian hội tụ mất nhiều thời gian hơn bạn muốn, mỗi bit sẽ được tính.
Xử lý sự cố. Thật dễ dàng để bỏ lỡ một cái gì đó, và điều đó có thể làm chậm kết nối mới, bộ định tuyến thay thế, v.v.
Nếu bạn lo lắng về việc bị OSPF đánh hơi và có dữ liệu xâm nhập độc hại, có lẽ bạn nên chạy thứ gì đó mạnh hơn xác thực: bắt đầu bằng chạy mã hóa thực tế thay vì MD5 yếu mà bạn sẽ có với OSPFv2 và BGP tốt hơn cho các liên kết không tin cậy.