對于思科路由器，我們已經使用的很是成熟了，但是針對OSPF協議的安全性，我們該怎樣去設置提高呢？下面的文章就給我們進行了詳細的介紹。

一、利用OSPF協議解決RIP路由信息協議的缺陷

說句實話，引入OSPF協議主要是用來解決RIP路由信息協議的一些缺陷。

如RIP與RIP2協議都具有15跳的限制。如果網絡跨越超過了15跳限制的話，目的地會被認為不可達。所以，RIP路由信息協議其使用范圍就被定義在小型網絡。而OSPF協議繼承了RIP路由信息協議原有的優(yōu)點，同時突破了這個15跳的限制。另外，OSPF還可以解決RIP路由信息協議匯聚緩慢等缺陷。筆者在談到OSPF的安全問題時，之所以簡要介紹OSPF協議與RIP路由信息協議的關系，主要是想強調一下，OSPF協議也如同RIP協議一樣，是目前企業(yè)網絡設計中常用的協議。所以，如何提高這個協議的安全性，對于網絡管理員來說也就顯得尤其的重要。

二、OSPF的認證方式

OSPF主要是通過路由更新認證的方式提供了其鏈路的安全性。如可以認證OSPF分組，如此路由器就可以根據預先配置的密碼參與到路由域中。不過默認情況下，路由器往往不采用認證，有些書上也把它叫做NULL認證。也就是說，網絡上的路由器交換是不對彼此進行認證的。這顯然不利于OSPF協議的安全性。

通常情況下，為了提高OSPF協議的安全性，往往要對其采取一些安全措施。常見的安全措施目前為止有兩種。分別為簡單的密碼認證與消息摘要認證。

簡單的密碼認證允許在每一個區(qū)域中配置一個密碼，在同一個區(qū)域中的路由器要參與到路由域中，就必須配置相同的密鑰。如果沒有密鑰的話，則其他路由器是不會接受新加入的路由器的。這在一定程度上，可以提高OSPF協議的安全性。不過這種方式確實是“簡單”，其比較容易受到攻擊。如現在有一種叫做“消極攻擊”的方式，對這種簡單密碼認證就很有效。在這個域中，只要具有鏈路分析器這個工具，就可以輕而易舉的獲得這個密鑰，從而進行一些破壞工作。

消息摘要認證相對來說，要比簡單密碼認證安全的多。因為消息摘要認證是加密的認證。再每一個思科路由器上都配置一個密鑰與一個密鑰ID。如果路由器采用OSPF協議的話，則其就會采用一個基于OSPF的算法，并結合密鑰、密鑰ID來創(chuàng)建一個消息摘要。

然后思科路由器會把這個消息摘要加入到OSPF分組的后面。很簡單密碼認證不同，不需要再鏈路上交換密鑰。如此的話，即使不法攻擊者有鏈路分析工具的話，也無法取得這個密鑰信息。為此，可以有效提高這個密鑰的安全性。消息摘要認證主要廣泛用于操作系統(tǒng)、網絡設備的登陸認證上，如Unix、各類BSD系統(tǒng)登錄密碼、數字簽名等諸多方，或者思科的網絡設備中。如在UNIX系統(tǒng)中用戶的密碼是以消息摘要認證經哈希運算后存儲在文件系統(tǒng)中。當用戶登錄的時候，系統(tǒng)把用戶輸入的密碼進行消息摘要認證與哈希運算，然后再去和保存在文件系統(tǒng)中的消息摘要認證值進行比較，進而確定輸入的密碼是否正確。通過這樣的步驟，系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。在思科路由器等網絡設備中，身份認證過程也是如此。

這就可以避免用戶的密碼被具有系統(tǒng)管理員權限的用戶知道。消息摘要認證將任意長度的“字節(jié)串”映射為一個128bit的大整數，并且是通過該128bit反推原始字符串是困難的，換句話說就是，即使你看到源程序和算法描述，也無法將一個消息摘要認證的值變換回原始的字符串，從數學原理上說，是因為原始的字符串有無窮多個，這有點象不存在反函數的數學函數。所以，要遇到了消息摘要認證密碼的問題，比較好的辦法是：你可以用這個系統(tǒng)中的消息摘要認證函數重新設一個密碼，把生成的一串密碼的Hash值覆蓋原來的Hash值就行了。而不用去想著如何破解。破解基本上是不可能的。除非你的運氣真的特別好，給你蒙對了?？梢哉f，消息摘要認證被破解比中500萬的幾率還要小500萬倍。所以，消息摘要認證比簡單密碼認證安全程度要高的多。

另外在OSPF協議中，在其分組中，還包含了一個非降序的序列號。通過這個序列號，可以防止黑客的重放攻擊。重放攻擊就是攻擊者發(fā)送一個目的主機已接收過的包，通過占用接收系統(tǒng)的資源，來達到欺騙系統(tǒng)的目的。重放攻擊往往用來攻擊身份認證?？梢哉f，重放攻擊是黑客最喜歡采用的工具之一。