Búsqueda de seguridad del protocolo de enrutamiento OSPF: revisión de la literatura
Volumen 23, Número 4
Revista de la Universidad de Comercio de Harbin (Edición de Ciencias Naturales) Agosto de 2007
Revista de la Universidad de Comercio de Harbin (Edición de Ciencias Naturales)
Volumen 23, N°4
Agosto 2007
Fecha de recepción: 22 de mayo de 2006.
Acerca del autor: Li Changshan, hombre, doctorado, ingeniero senior, tutor de maestría, dirección de investigación: tecnología de realidad virtual, seguridad de redes informáticas1.
Investigación sobre la seguridad del protocolo de enrutamiento OSPF protegido mediante firma digital
Li Changshan1
, Qian Zhijun2
, Yang Youhong2 p>
(1. Centro de Información de la Oficina de Administración del Petróleo de Daqing, Daqing, Heilongjiang 153453; 2. Escuela de Ingeniería Informática y de la Información, Instituto del Petróleo de Daqing, Daqing, Heilongjiang 163453)
Resumen: El protocolo de enrutamiento OSPF se utiliza en la red. Uno de los protocolos de estado de enlace más extendidos, utilizado para distribuir información de enrutamiento en la red, pero
Sin embargo, este importante protocolo responsable de distribuir información de enrutamiento en Internet no tenía seguridad efectiva en el momento de su formulación. Por lo tanto,
IETF propuso el protocolo de enrutamiento OSPF con protección de firma digital y desarrolló las ideas de diseño y la implementación del protocolo OSPF con protección de firma digital.
Se construyó una red experimental compuesta por enrutadores con funciones de protección de firma digital y se simuló el esquema de firma digital del protocolo de enrutamiento.
Se probaron y obtuvieron datos del sistema. Sobre esta base se analizan las características de seguridad del protocolo OSPF protegido por firmas digitales.
Palabras clave: enrutador; abra primero el camino más corto; sistema autónomo; anuncio de estado del enlace de firma digital
Número de clasificación de la biblioteca china: TP393 Código de identificación del documento: A 1672-0946(2007)04-00484-04
Investigación sobre la seguridad del protocolo de enrutamiento OSPF basado en protección de firma digital
Montaña Yichang
1
, An Qi Zhijun
2
Yang Youhong
2
(1. Centro deportivo de caballos de la Administración de Petróleo de Daqing Departamento de Información, Daqing 163453; 2. Escuela
Información de Ingeniería y Computación, Instituto del Petróleo de Daqing, Daqing 163453
Resumen: El protocolo de enrutamiento OSPF es uno de los protocolos de enrutamiento de estado de enlace más populares.
El protocolo utilizado para propagar información de enrutamiento corporal a través de Internet no es el Protocolo 2
Protección contra intrusos o enrutadores defectuosos. Por estas razones, el IETF agregó firmas digitales
<. p>Proteger OSPF Este artículo analiza sus características de seguridad y métodos de implementaciónUtilice el protocolo de enrutamiento OSPF y la protección de firma digital para construir una red de enrutamiento
Hay cuatro en el enrutador sOSPF. protecciones de firma digital. Y analizar estos datos
Desde el punto de vista experimental: r externo; AS; nivel máximo de firma digital; de los protocolos de enrutamiento, generalmente se cree que es necesario fortalecer la seguridad ligeramente débil de los protocolos de enrutamiento actuales.
Abrir primero la ruta más corta, OS2)
PF) es uno de los protocolos de enrutamiento de puertas de enlace interiores más utilizados.
(IGP), que proporciona autenticación de clave simple pero no es adecuado para la transmisión entre vecinos.
La autenticación de clave MD5 en el grupo está en curso.
Medio [1]
La autenticación de clave simple es una medida de autenticación insegura porque
porque durante la transmisión de la clave, cualquiera puede interceptarla y usarla.
La autenticación con clave MD5 es una medida de autenticación eficaz, pero
no puede garantizar la exactitud de la fuente de información de enrutamiento [2]
.
Los problemas de seguridad de la información de enrutamiento en sistemas autónomos incluyen principalmente
Segundo: Primero, los intrusos manipulan, eliminan o corren el riesgo de alterar la información de enrutamiento.
Los enrutadores en la red de facturación envían información de enrutamiento falsa; el segundo es la emergencia.
Un enrutador defectuoso y no sabemos que hay un problema con el enrutador.
Obstáculos
Basado en los riesgos de seguridad anteriores, el IETF propuso la implementación de OSPF.
Estrategia actual de protección de firma digital. El núcleo de la firma digital OSPF es
firmar el LSA de OSPF.
Nombre. El mensaje firmado quedará abrumado por el mensaje original.
(flotante) a una zona o sistema autónomo (sistema autónomo), la firma hará que la cadena
información de estado del enlace (información de estado del enlace) sea Protección de extremo a extremo y precisión de origen para los enrutadores de destino.
Garantizado [3, 4]
.
1 Gestión y distribución de protección de firma digital OSPF
1. 1 clave
Protección de firma digital OSPF utiliza tecnología de clave asimétrica.
Ahora, el enrutador de origen tiene un par de claves pública y privada y una te esclava.
(Entidad de confianza) y utiliza LSA.
El mecanismo de distribución confiable basado en flotación divide la clave pública en dos partes.
Envíelo para asegurarse de que cada enrutador que acepte su LSA haya recibido la clave pública para descifrarlo. Esta distribución basada en inundaciones
El mecanismo se implementa en base a un nuevo LSA
LSA es pklsa (estado de tinta de enlace de clave pública ad 2.
La estructura de pklsa se muestra en la Figura 1.
Figura 1 Diagrama de estructura de PKLSA
Para los enrutadores en el área, PKLSA no se inunda fuera del área. Se dice que se inunda fuera del área.
El enrutador no necesita conocer la ruta dentro del área [5]
Cuando una ruta
el enrutador proviene de otra en el área El enrutador recibe la PK. LSA.
El enrutador verifica el certificado utilizando la clave pública de la entidad de certificación (TE) que posee y, si se verifica, guarda esta PK LSA en el formulario vinculado /p>
Base de datos estatal (. LSDB) para uso futuro en la verificación de información de LSA
Certificado [6]
1.2 LS A. Firma y autenticación
Una firma Se propone un método para la información del encabezado LS A.
En este esquema, se omite la firma de la parte de datos LS más grande.
Esta solución ayuda a ahorrar el costo del enrutador sin afectar. seguridad.
La base principal es el LS en el encabezado LSA. La suma de comprobación LS se utiliza para detectar errores dentro del encabezado LSA, aunque esto no incluye el campo año en el encabezado LSA. con el LSA estándar de OSPF v2.
El formato se muestra en la Figura 2.
Figura 2 Encabezado LSA
Cuando un enrutador genera un LSA firmado digitalmente, usa LSA
.La parte que excluye el campo de edad se genera y luego la ruta se firma usando la clave del dispositivo y la información firmada se agrega a la cola de LSA. Luego agregue la ID de clave, la ID de entidad de autenticación. y Longitud de firma a MaxAge del enrutador de origen en el área, en el encabezado de toda la firma LSA, incluida la parte de edad.
El formato LSA firmado se muestra en la Figura 3.
Figura 3 LSA cifrada
La LSA firmada se inunda en el enrutador de destino. Cuando
recibe la LSA firmada, el enrutador la utiliza para obtener la LSA.
La clave pública del enrutador de origen que envió este LSA se utiliza para verificar la recepción.
LSA. Si este LSA pasa la verificación, es decir, el enrutador de destino.
Estoy seguro de que proviene del enrutador de origen correcto y que no se vio afectado durante la inundación.
En caso de manipulación y sustitución maliciosas, el enrutador de destino considera aprobada la verificación y la fusiona.
Guarde este LSA recibido para futuros cálculos de ruta.
Si la verificación falla, el enrutador de destino asumirá que el LSA no
proviene del enrutador de origen correcto o fue robado durante la transmisión.
Si el ataque cambia, el enrutador de destino abandonará el LSA. De lo contrario,
Además, existe un caso especial del enrutador de origen.
La clave pública de PKLSA no es válida, en cuyo caso el enrutador la firmará.
Los LSA se almacenan temporalmente durante un período de tiempo. Este tiempo de almacenamiento temporal se define mediante
MAX_TRANSIT_DELAY si se encuentra dentro de este intervalo de tiempo
Si el enrutador interno se reenvía. En el PK LSA, se procesarán firmas temporales.
584 No.4 Li Changshan et al.: Investigación sobre la seguridad del protocolo de enrutamiento OSPF protegido por firma digital LSA. Si no, descarte el LSA firmado. Esto está asegurado.
En caso de que el LSA firmado llegue al router de destino antes que el PK LSA.
No se descartará la información de ruta útil.
El proceso de firma y verificación se muestra en la Figura 41.
Figura 4 Gestión de claves y distribución de claves públicas
1.3 Procesamiento del campo Edad
En el protocolo OSPF, el campo edad del encabezado LSA
es una parte muy importante. Este campo se utiliza para determinar el LSA.
Tiempo de existencia en el sistema de enrutamiento. Cuando el campo de edad alcanza el valor máximo
Cuando el valor de MaxAge es grande, el enrutador dejará de usar LSA.
Una vez llega el LSA en el router se calcula la ruta.
MaxAge, entonces el enrutador alcanzará el LSA con la edad máxima.
Una vez que otros enrutadores reciban este mensaje, se inundará el sistema autónomo
LSA con el campo de edad MaxAge, LS en su propia base de datos
LSA del del mismo tipo se eliminan. De manera similar, según los principios anteriores, el enrutamiento
también tiene un mecanismo de envejecimiento prematuro.
Durante el proceso prematuro, el enrutador de origen establece el campo de antigüedad del LSA
Para MaxAge y LSA recargados, puede eliminar los LSA redundantes de la base de datos distribuida
Eliminar este LS A[7,8].
1
Debido a la importancia y vulnerabilidad
características del campo de edad anterior, debes
Protege. Sin embargo, el campo de edad pasa por cada enrutador
A veces debe ser modificado por el enrutador, lo que a su vez hace que este campo se represente como un número.
Es difícil proteger las firmas. Para proteger el campo de edad, solo se puede sobrescribir si
Solo cuando el valor del campo Edad es MaxAge, de manera similar, solo
Solo cuando el valor del campo Edad; es la edad máxima, el campo Edad se puede sobrescribir de manera eficiente. Sí.
Solo se pueden generar LSA con el campo de edad MaxAge.
Solo el enrutador de origen puede firmar el campo de edad de este LSA.
Protección; de manera similar, cuando un enrutador recibe un LSA, si el campo de edad del LSA
es MaxAge y está cubierto por una firma digital, pero
El enrutador firmado digitalmente no es la fuente del LSA.
Enrutador, el enrutador abandonará este LSA. Las reglas anteriores
Entonces, el enrutador que genera el LSA firmado puede pasar prematura o normalmente
el mecanismo de eliminar el LSA de la base de datos distribuida redundante, y
Puede proteger el LSA generado por él para que no sea manipulado por otros enrutadores maliciosos.
Campo Edad [9, 10]
.
Análisis de seguridad de la firma digital OSPF
2.1 Entorno experimental
La topología del entorno experimental se muestra en la Figura 5, con cuatro grupos que tienen etiquetas digitales.
Un anillo de enrutadores que admiten OSPF forma una red. Cabe destacar que cuando uno de ellos falla, no afectará el funcionamiento de toda la red.
Los datos pasarán por alto automáticamente el enrutador fallido.
Figura 5 Topología del dominio de enrutamiento
2. Dos ataques a los números de secuencia
El número de secuencia es un campo importante en el encabezado LSA. Se pueden utilizar cuando
dos enrutadores tienen dos instancias del mismo LSA.
Compare los campos del número de serie de LS de las instancias para determinar cuál es más nueva. Porque
OSPF LSA se propaga por inundación, por lo que es una inundación.
Un intruso o un router defectuoso podría ser el correcto.
Ataque de información LSA y manipulación de su contenido. Número de secuencia de ataque
Hay dos tipos de ataques: número de secuencia más un ataque y ataque de número de secuencia máximo.
Tipo 1, ataque de número de secuencia máximo: el atacante envía directamente el número de secuencia LSA.
Cambie el valor de al valor máximo positivo de 0x7fffffff y vuelva a calcular la suma de comprobación.
Después de la inundación, el LSA mantendrá el valor máximo en el dominio de enrutamiento
El tiempo se borra, lo que retrasa la actualización de la información de enrutamiento. Ver Tabla 1.
Como se muestra en la figura, el ID de estado del enlace de LSA es 10. 8.6.123 se debe a LS.
Si el número de secuencia se modifica artificialmente al valor máximo, está en los datos de estado del enlace.
Cuando la base de datos permanece en MaxAge-1, son 59 minutos en el sistema.
Aún no se ha borrado.
Tabla 1 LSADB bajo ataque de número de secuencia máximo
Estado del enlace ID LS suma de verificación del número de secuencia 10 8 .
10.8.6.2 0x 800000003 0xf 1da 11
10.8.6.3 0x 80000009 0x 101f 21
10.8.6.1 0x 80000007 0x 4917 17
684. Revista de la Universidad de Comercio de Harbin (Edición de Ciencias Naturales) Volumen 23 En el sistema de firma digital, este LSA modifica la secuencia LS.
El número de columna hace que la verificación falle, por lo que el ID del estado del enlace es 10. 8.6.
El LSA de 123 se descarta, como se muestra en la Tabla 2.
Tabla 2 LSDB con firma digital
Estado del enlace I D LS número de secuencia período de suma de verificación
10.8.6.2 0x 800000003 0x 12 F2 12
10.8.6.3 0x80000009 0x393a 21
10.8.6.123 0x 80000007 0x 1f 27 3
En segundo lugar, el número de secuencia más 1 ataque, la secuencia LS está en el encabezado LSA.
Las instancias más grandes se designan como más nuevas y el protocolo OSPF
reemplazará las instancias más antiguas por las más recientes. En el experimento, imitamos al atacante, agregamos uno al número de secuencia del LSA y luego reiniciamos.
Calcula la suma de comprobación del LSA y luego expándela. Se sigue repitiendo.
Con esta operación, la red se vuelve muy inestable bajo esta operación.
Con las firmas digitales, una vez que se modifica el número de serie, es decir,
recalcular la suma de comprobación no ayuda porque no se utiliza ninguna clave privada para la firma.
Y dicho LSA no se puede volver a firmar en el enrutador receptor.
Error de verificación y descartado.
2.3 Ataque de edad máxima
Después de interceptar LSA, el atacante establece el campo de edad de LS en
MaxAge porque el campo de edad no está incluido en la suma de verificación. cálculo Dentro del rango,
Por lo tanto, este LSA se puede inundar sin calcular la suma de verificación. Entendido
Los enrutadores con este error LSA serán eliminados de su base de datos.
El LSA incorrecto es el LSA correcto con el mismo número de secuencia, lo que genera enrutamiento.
Pérdida de información[11]
. Aunque OSPF·V2 estipula que sólo esta generación
Sólo el enrutador de origen del LSA puede establecer el campo de edad del LSA en
MaxAge, estas medidas no pueden prevenir eficazmente un error
Router lanza ataque de edad máxima [12]
OSPF en firmas digitales.
, para LSA con campo MaxAge, la LSA debe estar
firmada únicamente por el enrutador de origen que generó la LSA.
Esta verificación en el extremo receptor puede ser válido Evitar que intrusos cambien el campo
edad a la edad máxima. Sin embargo, OSPF con firmas digitales no
No puede evitar que los intrusos modifiquen el valor de edad a un valor cercano a Max2.
Porque el campo de edad del LSA está establecido en non.
Los valores MaxAge no requieren firmas. Sin embargo, este ataque sólo puede acelerar la actualización de LSA en el enrutador, pero no puede proporcionar la ruta.
El dominio supone una grave amenaza a la seguridad.
3 Conclusión
La protección de firma digital de OSPF mejora enormemente el enrutamiento.
Seguridad en la transmisión de información dentro del dominio. Con la protección de las firmas digitales, la manipulación de la información de enrutamiento por parte de los atacantes siempre puede verificarse en el extremo receptor.
Prueba de que los mensajes de error se descartan, purificando así la información de enrutamiento.
El esquema de firma OSPF propuesto en este artículo no solo garantiza la seguridad, sino que también
reduce en gran medida el costo del enrutador. Los experimentos muestran que el esquema está completo.
Ambos son factibles. En el caso de los esquemas y experimentos anteriores, la firma digital
El primer paso es un análisis exhaustivo de la seguridad del protocolo OSPF.
El uso de firmas digitales puede ayudar a mejorar la seguridad del protocolo OSPF.
Trabajo.
Referencias:
Murphy S, Badger M, Wells I, Clinton B. RFC2154 [R].
OSPF con firmas digitales, junio de 1997.
[ 2 ] John Moy RFC2328. OSPF versión 2[R]1 de abril de 1998.
[3]Guo Wei, Yu Yahua. Investigación sobre el mecanismo de distribución de clave pública de la firma digital OSPF.
[J]. Journal of Jianghan University: Natural Science Edition, 2003, 31 (3): 46-481
[4] Li Peng, Wang Shaodi, Wang Ruchuan, et al Protocolo de enrutamiento OSPF con firma digital
Una breve discusión sobre la investigación en seguridad [J]. Revista de la Universidad de Correos y Telecomunicaciones de Nanjing, 2005, 25 (2): 86-901
[ 5 ] MURPHY S, BADGER M. Protection de firmas digitales
Protocolo de enrutamiento OSPF [C]//1996 Conference Proceedings 2
Seguridad de redes y sistemas distribuidos,
1996.
Lu Kaicheng. Criptografía informática[M]. Beijing: Prensa de la Universidad de Tsinghua, 1990.
[ 7 ] John TM 1 OSPF Anatomía de un protocolo de enrutamiento de Internet [M ].
Addis Onwesley, 1998. 11
[8] John TM1 OSPF implementación completa [M].[S.l1]: Ad2
dis sobre Wesley, 2000. 121
Cai, persona. Criptografía aplicada[M]. Beijing: China Electric Power Press,
2005.
Mohan A, Ben J, Hammond. Firma digital[M]. [S.
l ]: McGraw-Hill, 2002, 101
Yang Jing y Xie Ti. Un mecanismo de autenticación OSPF confiable y de bajo costo [J].
Computer Applications, 2003, 23 (12): 33-34, 45.
[12] Qu, Agent Guanghai 1 Arquitectura de seguridad basada en un sistema multiagente [J] 1
Revista de la Universidad de Comercio de Harbin: Edición de Ciencias Naturales, 2005, 21(2 ) :182-185,
2491
Li Changshan, 4, 784, et al.: Investigación sobre la seguridad del protocolo de enrutamiento OSPF con protección de firma digital.