OSPF - Open Shortest Path First
OSPF wird mit einem endlichen Zustandsautomaten auf Routern implementiert. Ein neuer Nachbar muss zuerst den entsprechenden Zustand erreichen, bevor er bei den Routing-Informationen mitreden darf. Des Weiteren gibt das Vorhandensein aller Routing-Informationen auf allen Routern einer Area eine gewisse Sicherheit gegen Falschinformationen. Zusätzlich unterstützt OSPF standardmäßig eine Authentifizierung mittels Klartextpasswort oder MD5-Hash. Im Unterschied zu EIGRP wird OSPF-Authetifizierung in Netzwerken häufiger eingesetzt.
Ein Angreifer kann in der Theorie genauso vorgehen wie bei RIP und EIGRP. Da er sich hierfür zumindest in der OSPF-Multicast-Domain befinden muss, stellt ein Klartextpasswort keinen besonderen Schutz dar – der Angreifer kann es einfach aus den herumgesendeten Paketen auslesen. Ansonseten muss er sich, wie schon bei EIGRP, den anderen Routern anschließen. Im Unterschied zu anderen Routing-Protokollen ist es hier aber schwieriger, existierende Routen durch niederigere Metrik zu überlagern. Sind die anderen Router in der Area nicht derselben Meinung, so werden die falschen Routing-Informationen auch schon mal kollektiv angezweifelt und damit verworfen. Neue Routen hinzuzufügen, ist allerdings kein Problem.
Die Komplexität von OSPF in größeren Netzten ist zuweilen ein guter Schutz vor weniger talentierten Angreifern. Auf der anderen Seite hat dieselbe Komplexität auch oft schlecht konfigurierte OSPF-Netze zur Folge, sodass es dem Angreifer leichter gemacht wird. Dies ist zum Beispiel der Fall, wenn alle OSPF-Router in einer großen Area vereint sind
OSPF ist ein sehr leistungsfähiges Routingprotokoll mit vielen Konfigurationsmöglichkeiten, hier ist nur die Basiskonfiguration beschrieben.
| Befehl | Beschreibung |
|---|---|
| enable | Wechsel vom Benutzermodus in den privilegierten Modus |
| configure terminal | Wechsel vom privilegierten Modus in den globalen Konfigurationsmodus |
| router ospf <pid> | Wechsel vom globalen Konfigurationmodus in den OSPF-Konfigurationsmodus <pid> ist eine Process-ID für den lokalen Routing-Prozess und ist eine 16-bit Integer größer 0 (1..65535) |
| network <netIP> <wildcard> area <area-id> | Netzwerk <netIP> <wildcard> für Routingupdates in Area <area-id> verwenden <area-id> ist die ID der Area, in die dieses Netwerk aufgenommen werden soll und eine 32-bit Integer (0..4294967295), die <area-id> muß bei allen am Routing-Prozeß beteiligten Routern gleich sein; <wildcard> ist eine Maske, die ein 0-Bit enthät, für alle Bits der <netIP>, die berücksichtigt werden müssen |
| redistribute static | Statische Routen in die OSPF-Updates mit aufnehmen (z.B.: Default Gateway) |
| exit | Verlassen des Router- bzw. des globalen Konfigurationsmodus |
| debug ip ospf packets | Zeigt Debug-Informationen zu den OSPF-Packets an |
| debug ip ospf events | Zeigt Debug-Informationen zu den OSPF-Events an |
| show ip ospf <pid> | Anzeige der Information über den Routing-Prozeß mit der ID <pid> |
| show ip route | Anzeige der verfügbaren Routen |
| disable | Wechsel vom privilegierten Modus in den Benutzermodus |
Beispiel
router ospf 100 network 192.168.64.0 0.0.0.255 area 1 network 192.168.65.0 0.0.0.255 area 1 exit