本文主要給大家詳細的介紹了對于思科路由器如何提高OSPF的安全性，本文主要從協議分析，路由器認證方案等方面詳細的向大家介紹了如何提高網絡安全性。

OSPF也是一種路由協議，它是鏈路狀態協議的開放版本。在實際工作中，在一些大型網絡、混合型的網絡中，常常使用OSPF協議。在上一篇文章中，筆者談到過RIP協議的缺陷。而網絡專家之所以開發OSPF協議，就主要是為了應對RIP協議的缺陷

一、利用OSPF協議解決RIP路由信息協議的缺陷

說句實話，引入OSPF協議主要是用來解決RIP路由信息協議的一些缺陷。

如RIP與RIP2協議都具有15跳的限制。如果網絡跨越超過了15跳限制的話，目的地會被認為不可達。所以，RIP路由信息協議其使用范圍就被定義在小型網絡。而OSPF協議繼承了RIP路由信息協議原有的優點，同時突破了這個15跳的限制。另外，OSPF還可以解決RIP路由信息協議匯聚緩慢等缺陷。筆者在談到OSPF的安全問題時，之所以簡要介紹OSPF協議與RIP路由信息協議的關系，主要是想強調一下，OSPF協議也如同RIP協議一樣，是目前企業網絡設計中常用的協議。所以，如何提高這個協議的安全性，對于網絡管理員來說也就顯得尤其的重要。

二、OSPF的認證方式

OSPF主要是通過路由更新認證的方式提供了其鏈路的安全性。如可以認證OSPF分組，如此路由器就可以根據預先配置的密碼參與到路由域中。不過默認情況下，路由器往往不采用認證，有些書上也把它叫做NULL認證。也就是說，網絡上的路由器交換是不對彼此進行認證的。這顯然不利于OSPF協議的安全性。

通常情況下，為了提高OSPF協議的安全性，往往要對其采取一些安全措施。常見的安全措施目前為止有兩種。分別為簡單的密碼認證與消息摘要認證。

簡單的密碼認證允許在每一個區域中配置一個密碼，在同一個區域中的路由器要參與到路由域中，就必須配置相同的密鑰。如果沒有密鑰的話，則其他路由器是不會接受新加入的路由器的。這在一定程度上，可以提高OSPF協議的安全性。不過這種方式確實是“簡單”，其比較容易受到攻擊。如現在有一種叫做“消極攻擊”的方式，對這種簡單密碼認證就很有效。在這個域中，只要具有鏈路分析器這個工具，就可以輕而易舉的獲得這個密鑰，從而進行一些破壞工作。

消息摘要認證相對來說，要比簡單密碼認證安全的多。因為消息摘要認證是加密的認證。再每一個路由器上都配置一個密鑰與一個密鑰ID。如果路由器采用OSPF協議的話，則其就會采用一個基于OSPF的算法，并結合密鑰、密鑰ID來創建一個消息摘要。然后路由器會把這個消息摘要加入到OSPF分組的后面。很簡單密碼認證不同，不需要再鏈路上交換密鑰。如此的話，即使不法攻擊者有鏈路分析工具的話，也無法取得這個密鑰信息。為此，可以有效提高這個密鑰的安全性。消息摘要認證主要廣泛用于操作系統、網絡設備的登陸認證上，如Unix、各類BSD系統登錄密碼、數字簽名等諸多方，或者思科的網絡設備中。如在UNIX系統中用戶的密碼是以消息摘要認證經哈希運算后存儲在文件系統中。當用戶登錄的時候，系統把用戶輸入的密碼進行消息摘要認證與哈希運算，然后再去和保存在文件系統中的消息摘要認證值進行比較，進而確定輸入的密碼是否正確。通過這樣的步驟，系統在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統的合法性。在思科路由器等網絡設備中，身份認證過程也是如此。這就可以避免用戶的密碼被具有系統管理員權限的用戶知道。消息摘要認證將任意長度的“字節串”映射為一個128bit的大整數，并且是通過該128bit反推原始字符串是困難的，換句話說就是，即使你看到源程序和算法描述，也無法將一個消息摘要認證的值變換回原始的字符串，從數學原理上說，是因為原始的字符串有無窮多個，這有點象不存在反函數的數學函數。所以，要遇到了消息摘要認證密碼的問題，比較好的辦法是：你可以用這個系統中的消息摘要認證函數重新設一個密碼，把生成的一串密碼的Hash值覆蓋原來的Hash值就行了。而不用去想著如何破解。破解基本上是不可能的。除非你的運氣真的特別好，給你蒙對了。可以說，消息摘要認證被破解比中500萬的幾率還要小500萬倍。所以，消息摘要認證比簡單密碼認證安全程度要高的多。

另外在OSPF協議中，在其分組中，還包含了一個非降序的序列號。通過這個序列號，可以防止黑客的重放攻擊。重放攻擊就是攻擊者發送一個目的主機已接收過的包，通過占用接收系統的資源，來達到欺騙系統的目的。重放攻擊往往用來攻擊身份認證。可以說，重放攻擊是黑客最喜歡采用的工具之一。

三、通過思科路由器提高OSPF的安全性

那么思科路由器是如何來保障OSPF協議的安全性的呢?在思科網絡產品中，采取了比較完整的解決方案。

一是將所有受影響的設備都設置為非廣播模式。

在非廣播模式中，OSPF設備需要明確配置才能同有效的OSPF鄰居(即與某個OSPF路由器直接相連的網絡設備)進行通信。在非廣播模式中，提供了一個基本的安全層，可以防止配置錯誤。因為在配置模式下，只有預先配置成可以與這臺OSPF路由器通信的網絡設備才能夠與其進行通信，更新路由信息。而在廣播環境中，任何具有正確配置的OSPF設備都可以參與到OSPF路由中。如在簡單密碼認證模式下，只要知道這個密鑰就能夠參與到路由更新信息中。其實，這跟服務器或者路由器的遠程管理類似。如可以通過訪問控制列表或者防火墻限制只有特定MAC地址或者IP地址的主機才可以遠程連接到路由器上進行遠程管理。如此的話，就可以提高遠程訪問的安全性。而這里采用非廣播模式，其安全思路與此是相同的。在思科的路由器產品中，默認情況是采用廣播模式的。這主要是出于兼容性的考慮，如在不需要額外配置的情況下，就可以直接聯入網絡。不過為了提高OSPF的安全性，我們往往需要把其模式配置為非廣播模式。如需要更換這個模式，需要在路由器的接口配置提示符中執行如下的命令：

IP ospf network non-broadcast.

二是為OSPF路由設置合適的認證方案。

在OSPF路由協議中，主要支持三種認證方式，分別為NULL認證、簡單密碼認證與消息摘要認證。NULL認證即為空認證，也就是說不需要認證即可以加入到OSPF網絡中。在簡單認證中，密鑰在網絡中是通過明文傳輸的。故知需要攻擊者有監聽器等工具就可以輕而易舉的獲取密鑰，從而就可以輕松的對網絡進行破壞。而消息摘要認證就如同上面所說的，其密鑰不直接在網絡上傳播。到目前為止，其采用了國際上普遍承認的消息摘要算法。可以說，其是現在最安全的OSPF認證模式。故一般情況下，筆者建議網絡管理員采用消息摘要身份認證。因為采用簡單認證方式，跟采用NULL空認證方式差不多，都不能夠有效保障OSPF網絡環境的安全。

消息摘要算法的典型應用是對一段信息產生信息摘要，以防止被篡改。比如，舉一個發生在我們身邊的實際例子。在UNIX下有很多軟件在下載的時候都有一個文件名相同，文件擴展名為.md5的文件，在這個文件中通常只有一行文本。這就是某個下載文件的數字簽名。MD5將整個文件當作一個大文本信息，通過其不可逆的字符串變換算法，產生了這個唯一的MD5信息摘要。通過這種方式，就可以保障下載文件的合法性。

若網絡管理員需要采用消息摘要認證，也是比較簡單的一件事情。現在思科的路由器都支持摘要消息認證的方式。如果要在思科路由器中啟用消息摘要認證的話，則需要在接口配置提示符下進行操作。

另外，企業可能不需要對所有的OSPF進程采用這么高的安全認證方法。對于一些安全性需求不要的地方，可以只采用簡單認證或者空認證。畢竟采用摘要消息認證，需要花費一定的系統資源。雖然這個消耗的比例比較少，但是會對網絡性能產生不利的影響。為此，在思科路由器中，可以有選擇的對OSPF協議進程ID設置不同的認證方式，以實現不同的安全需求。