L2vpn over mpls i OSPF u klienta. Jak zabezpieczyć ospf?
: 16 lut 2022, 15:12
Hej,
Klient dostaje łącze światłowodowe, które terminujemy routerkiem 892FSP. Zażyczył sobie jednak jeszcze też l2vpn do innej lokalizacji. Do tej pory nasz router był więc dla niego bramą z publicznym IP, trasą domyślną, a my do routera trasę statyczną do podsieci klienta. To na razie scenariusz teoretyczny .
Aby uruchomić L2VPN uruchomiliśmy ospf, mpls i właściwie wszystko śmiga, ale zastanawiam się nad bezpieczeństwem.
OSPF jest konieczny dla MPLS, ale gdyby ktoś podmienił router i korzystając z tych samych IP zsynchronizował się z OSPFem, to teoretycznie mógłby podrzucić jakieś swoje update'y typu trasa domyślna do siebie i wtedy położyłby całą sieć. Albo jak nie domyślna, to chociażby jakiekolwiek wpisy, które trafią do tablicy routingu i moga narobić bigosu.
Zastanawiałem się nad BFD - w sumie przyspieszyłby reakcję OSPFa w razie czego, a i wraz z authentication oraz strict-mode tworzyłby właściwie zabezpieczenie dla sesji. Tylko, że do wyboru mam tylko md5 i sha-1... trochę słabo?
Jak inaczej zabezpieczyć router, który stoi u klienta, ma trochę świadomości tras i wymaga routingu dynamicznego? A może w ogóle inaczej podejść do realizacji usługi l2vpn? Tylko po co, skoro działa a wątpliwości mam jedynie w zakresie bezpieczeństwa łącza (nawet nie podsłuch, co właśnie ingerencja w tablicę routingu za pomocą fałszywego sąsiada ospf.
Klient dostaje łącze światłowodowe, które terminujemy routerkiem 892FSP. Zażyczył sobie jednak jeszcze też l2vpn do innej lokalizacji. Do tej pory nasz router był więc dla niego bramą z publicznym IP, trasą domyślną, a my do routera trasę statyczną do podsieci klienta. To na razie scenariusz teoretyczny .
Aby uruchomić L2VPN uruchomiliśmy ospf, mpls i właściwie wszystko śmiga, ale zastanawiam się nad bezpieczeństwem.
OSPF jest konieczny dla MPLS, ale gdyby ktoś podmienił router i korzystając z tych samych IP zsynchronizował się z OSPFem, to teoretycznie mógłby podrzucić jakieś swoje update'y typu trasa domyślna do siebie i wtedy położyłby całą sieć. Albo jak nie domyślna, to chociażby jakiekolwiek wpisy, które trafią do tablicy routingu i moga narobić bigosu.
Zastanawiałem się nad BFD - w sumie przyspieszyłby reakcję OSPFa w razie czego, a i wraz z authentication oraz strict-mode tworzyłby właściwie zabezpieczenie dla sesji. Tylko, że do wyboru mam tylko md5 i sha-1... trochę słabo?
Jak inaczej zabezpieczyć router, który stoi u klienta, ma trochę świadomości tras i wymaga routingu dynamicznego? A może w ogóle inaczej podejść do realizacji usługi l2vpn? Tylko po co, skoro działa a wątpliwości mam jedynie w zakresie bezpieczeństwa łącza (nawet nie podsłuch, co właśnie ingerencja w tablicę routingu za pomocą fałszywego sąsiada ospf.