L2vpn over mpls i OSPF u klienta. Jak zabezpieczyć ospf?

Problemy związane z routingiem
Wiadomość
Autor
qrczak
wannabe
wannabe
Posty: 95
Rejestracja: 07 lis 2009, 17:36

L2vpn over mpls i OSPF u klienta. Jak zabezpieczyć ospf?

#1

#1 Post autor: qrczak »

Hej,

Klient dostaje łącze światłowodowe, które terminujemy routerkiem 892FSP. Zażyczył sobie jednak jeszcze też l2vpn do innej lokalizacji. Do tej pory nasz router był więc dla niego bramą z publicznym IP, trasą domyślną, a my do routera trasę statyczną do podsieci klienta. To na razie scenariusz teoretyczny :).
Aby uruchomić L2VPN uruchomiliśmy ospf, mpls i właściwie wszystko śmiga, ale zastanawiam się nad bezpieczeństwem.

OSPF jest konieczny dla MPLS, ale gdyby ktoś podmienił router i korzystając z tych samych IP zsynchronizował się z OSPFem, to teoretycznie mógłby podrzucić jakieś swoje update'y typu trasa domyślna do siebie i wtedy położyłby całą sieć. Albo jak nie domyślna, to chociażby jakiekolwiek wpisy, które trafią do tablicy routingu i moga narobić bigosu.
Zastanawiałem się nad BFD - w sumie przyspieszyłby reakcję OSPFa w razie czego, a i wraz z authentication oraz strict-mode tworzyłby właściwie zabezpieczenie dla sesji. Tylko, że do wyboru mam tylko md5 i sha-1... trochę słabo?
Jak inaczej zabezpieczyć router, który stoi u klienta, ma trochę świadomości tras i wymaga routingu dynamicznego? A może w ogóle inaczej podejść do realizacji usługi l2vpn? Tylko po co, skoro działa a wątpliwości mam jedynie w zakresie bezpieczeństwa łącza (nawet nie podsłuch, co właśnie ingerencja w tablicę routingu za pomocą fałszywego sąsiada ospf.

qrczak
wannabe
wannabe
Posty: 95
Rejestracja: 07 lis 2009, 17:36

Re: L2vpn over mpls i OSPF u klienta. Jak zabezpieczyć ospf?

#2

#2 Post autor: qrczak »

Dodam, że samo ospf authentication z md5 też raczej roboty nie robi ;-)

ODPOWIEDZ