OSPF MD5 Kimlik Doğrulaması

Nizam-ı Alem · 5 Nis 2026

Açık En Kısa Yol İlk (OSPF) yönlendirme protokolü dört farklı kimlik doğrulama türünü destekler:

Tip 0: Kimlik doğrulama yok (varsayılan).

Tip 1: Düz metin kimlik doğrulaması.

Tip 2: MD5 kimlik doğrulaması.

Tip 3: HMAC-SHA kimlik doğrulaması (HMAC-SHA-1, HMAC-SHA-256, vb.).
Önceki derste Düz Metin Kimlik Doğrulamasının (Tip 1) nasıl çalıştığı ve Cisco IOS-XE yönlendiricilerinde nasıl yapılandırılacağı gösterilmişti. Bu derste bir sonraki OSPF kimlik doğrulama türü olan MD5 (Tip 2) gösterilecektir.

OSPF MD5 Kimlik Doğrulaması

MD5 kimlik doğrulaması, önceki derste gördüğümüz düz metin kimlik doğrulamasından daha güvenlidir. MD5 ile yönlendiriciler yapılandırılmış şifreyi düz metin olarak göndermez, yalnızca MD5 özetini gönderir. Kötü niyetli bir kişi OSPF paketini iletim sırasında ele geçirirse, şifreyi göremez; bu da düz metin yöntemine göre önemli bir gelişmedir.

MD5 nedir?

MD5 (Mesaj Özeti Algoritması 5), genellikle 32 karakterlik onaltılık sayı olarak temsil edilen 128 bitlik bir özet değeri üreten, yaygın olarak kullanılan bir kriptografik özet fonksiyonudur. Aşağıdaki şemada gösterildiği gibi, bir mesajın veya dosyanın "parmak izini" oluşturarak veri bütünlüğünü doğrulamak için 1991 yılında tanıtılmıştır.

`has` fonksiyonunun temel bir özelliği, girişin boyutundan bağımsız olarak, MD5'in her zaman 128 bitlik bir karma değer üretmesidir; bu da onu çok deterministik kılar. Örneğin, "Cisco" şifresi "7b1d1185b835814de783483f686e9825" karma değerini üretir.

Ancak, MD5 günümüzde kriptografik olarak güvensiz kabul edilir ve bankacılık ve fintech gibi hassas hizmetlerde kullanılmaz.

MD5 Kimlik Doğrulamasını Yapılandırma

Bir Cisco IOS yönlendiricisinde MD5 kimlik doğrulamasını iki farklı yaklaşımla yapılandırabiliriz: arayüz başına ve alan başına.

Arayüz Başına MD5 Kimlik Doğrulamasını Yapılandırma

Genellikle, MD5 kimlik doğrulaması aşağıdaki iki adım kullanılarak arayüz başına yapılandırılır:

Adım 1. Arayüz yapılandırma modunda `ip ospf authentication message-digest` komutunu kullanarak arayüzde Kimlik Doğrulamasını etkinleştirin. `message-digest` anahtar kelimesi, mesaj özeti algoritmasını (MD5) kullanmak istediğimiz anlamına gelir.

2. Adım: `ip ospf message-digest-key [key] md5 [pwd]` komutunu kullanarak parolayı ayarlayın; burada key 1 ile 255 arasında bir tamsayıdır ve pwd parola dizesidir.

Parolanın 16 karakteri geçmemesi gerektiğini unutmayın. Daha uzun parolalar kısaltılır. Karakterler, soru işareti (?) ve sonunda boşluk da dahil olmak üzere herhangi bir ASCII sembolü olabilir; bu, sınav ortamlarında zor olabilir. (İpucu: CLI üzerinden soru işareti girmek için, bağlamsal yardımı devre dışı bırakmak üzere Ctrl+V tuşuna basın)

Alan Başına MD5 Kimlik Doğrulamasını Yapılandırma

Aynı kimlik doğrulama türünü alan başına yapılandırmak için şu iki adımı izliyoruz:

1. Adım: Yönlendirme işlemi altında, kimlik doğrulamasını etkinleştirmek istediğimiz alan için `area [area-id] authentication message-digest` komutunu yapılandırıyoruz.

Adım 2. Bölgedeki her arayüz için arayüz yapılandırma modunda ip ospf message-digest-key [key] md5 [pwd] komutunu yapılandırıyoruz.

Yapılandırma Örneği

Şimdi, aşağıdaki basit topolojiyi kullanarak bir yapılandırma örneğini inceleyelim.

Tek alanlı OSPF çalıştıran, doğrudan bağlı üç yönlendiricimiz var.

Arayüz Başına Yapılandırma

Öncelikle, arayüz başına yaklaşımı kullanarak R1 ve R2 arasındaki kimlik doğrulamasını yapılandıralım.

Kod:

R1# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)# interface e0/0
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf message-digest-key 1 md5 Cisco
R1(config-if)# end
R1#

Kod:

R2# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)# interface e0/0
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf message-digest-key 1 md5 Cisco
R2(config-if)# end
R2#

Anahtar numarasının her iki uçta da eşleşmesi gerektiğini unutmayın. Aksi takdirde, komşuluk kurulmayacaktır. Yapılandırma tamamlandıktan sonra, trafik yakalama işlemi yapıp sonuçları görebiliriz.

Aşağıdaki ekran görüntüsü, R1'in Eth0/0 arayüzü üzerinden gönderdiği bir OSPF Hello paketini göstermektedir. Başlığın vurgulanan kısmına dikkat edin:

Kimlik Doğrulama Türü 2'dir, yani MD5'tir.

Anahtar numarası başlığın bir parçasıdır. Her iki uç da anahtar kimliği konusunda hemfikir olmalıdır.

Parola artık açık metin değildir. Bunun yerine, kriptografik özet pakette gönderilir.

Önceki derste gördüğümüz düz metin güvenliğine kıyasla iyileşmeyi görebilirsiniz.

Alan Başına Yapılandırma

Şimdi, alan başına yaklaşımı kullanarak R2 ve R3 arasındaki kimlik doğrulamasını yapılandıralım.

Kod:

R2# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)# router ospf 1
R2(config-router)# area 0 authentication message-digest
R2(config-router)# exit
!
R2(config)# int e0/1
R2(config-if)# ip ospf message-digest-key 1 md5 Admin123
R2(config-if)# exit
!

Kod:

R3# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)# router ospf 1
R3(config-router)# area 0 authentication message-digest
R3(config-router)# exit
!
R3(config)# int e0/1
R3(config-if)# ip ospf message-digest-key 1 md5 Admin123
R3(config-if)# exit
!

Unutmayın ki, aşağıdaki çıktıda gösterildiği gibi, çalışan yapılandırmada parolaların görünmemesi için her yönlendiricide parola şifreleme özelliğini ayrıca etkinleştirebiliriz.

Kod:

R2# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)# service password-encryption
R2(config)# end
R2#
R2# show run interface e0/1
!
interface Ethernet0/1
 ip address 10.1.2.2 255.255.255.0
 ip ospf message-digest-key 1 md5 7 072E25414707485744
end

Doğrulama İşlemleri
Doğrulama ve sorun giderme adımları, önceki derste gördüğümüz düz metin güvenliğiyle aynıdır.

Aşağıdaki komutu kullanarak, bir kimlik doğrulama türünün alan düzeyinde yapılandırılıp yapılandırılmadığını görebiliriz. Örneğimizde, gördüğünüz gibi, mavi renkle vurgulanmıştır.

Kod:

R2# sh ip ospf
 Routing Process "ospf 1" with ID 2.2.2.2
 Start time: 00:00:02.892, Time elapsed: 01:05:52.046
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Supports Link-local Signaling (LLS)
 Supports area transit capability
 Supports NSSA (compatible with RFC 3101)
 Supports Database Exchange Summary List Optimization (RFC 5243)
 Maximum number of non self-generated LSA allowed 50000
    Current number of non self-generated LSA 3
    Threshold for warning message 75%
    Ignore-time 5 minutes, reset-time 10 minutes
    Ignore-count allowed 5, current ignore-count 0
 Event-log enabled, Maximum number of events: 1000, Mode: cyclic
 Router is not originating router-LSAs with maximum metric
 Initial SPF schedule delay 50 msecs
 Minimum hold time between two consecutive SPFs 200 msecs
 Maximum wait time between two consecutive SPFs 5000 msecs
 Incremental-SPF disabled
 Initial LSA throttle delay 50 msecs
 Minimum hold time for LSA throttle 200 msecs
 Maximum wait time for LSA throttle 5000 msecs
 Minimum LSA arrival 100 msecs
 LSA group pacing timer 240 secs
 Interface flood pacing timer 33 msecs
 Retransmission pacing timer 66 msecs
 EXCHANGE/LOADING adjacency limit: initial 300, process maximum 300
 Number of external LSA 0. Checksum Sum 0x000000
 Number of opaque AS LSA 0. Checksum Sum 0x000000
 Number of DCbitless external and opaque AS LSA 0
 Number of DoNotAge external and opaque AS LSA 0
 Number of areas in this router is 1. 1 normal 0 stub 0 nssa
 Number of areas transit capable is 0
 External flood list length 0
 IETF NSF helper support enabled
 Cisco NSF helper support enabled
 Reference bandwidth unit is 100 mbps
    Area BACKBONE(0)
        Number of interfaces in this area is 2
        Area has message digest authentication
        SPF algorithm last executed 00:01:13.031 ago
        SPF algorithm executed 14 times
        Area ranges are
        Number of LSA 5. Checksum Sum 0x02794C
        Number of opaque link LSA 0. Checksum Sum 0x000000
        Number of DCbitless LSA 0
        Number of indication LSA 0
        Number of DoNotAge LSA 0
        Flood list length 0
 Maintenance Mode ID:     140695246863152
 Maintenance Mode:        disabled
 Maintenance Mode Timer:  stopped (0)
  Graceful Reload FSU Global status : None (global: None)

Aşağıdaki komutu kullanarak, belirli bir arayüzde kimlik doğrulamanın etkin olup olmadığını ve kullanılan anahtar kimliğini kontrol edebiliriz.

Kod:

R1# sh ip ospf interface e0/0
Ethernet0/0 is up, line protocol is up
  Internet Address 10.1.1.1/24, Interface ID 2, Area 0
  Attached via Network Statement
  Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
  Topology-MTID    Cost    Disabled    Shutdown      Topology Name
        0           10        no          no            Base
  Transmit Delay is 1 sec, State BDR, Priority 1
  Designated Router (ID) 2.2.2.2, Interface address 10.1.1.2
  Backup Designated router (ID) 1.1.1.1, Interface address 10.1.1.1
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:08
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Can be protected by per-prefix Loop-Free FastReroute
  Can be used for per-prefix Loop-Free FastReroute repair paths
  Not Protected by per-prefix TI-LFA
  Index 1/1/1, flood queue length 0
  Next 0x0(0)/0x0(0)/0x0(0)
  Last flood scan length is 2, maximum is 2
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 2.2.2.2  (Designated Router)
  Suppress hello for 0 neighbor(s)
  Cryptographic authentication enabled
    Youngest key id is 1

Ancak, sorun gidermenin en iyi yolu çalışan yapılandırmayı kontrol etmektir. Bu, şifreyi gerçekten görmenin tek geçerli yoludur (hizmet şifre şifrelemesi kullanılmıyorsa).

Kod:

R2# sh run | section router
router ospf 1
 router-id 2.2.2.2
 area 0 authentication message-digest
 network 10.0.0.0 0.255.255.255 area 0

Kod:

R2# sh run interface e0/0
Building configuration...
Current configuration : 143 bytes
!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 Cisco
end

Unutmayın ki MD5 karma algoritması günümüzde kriptografik olarak güvensiz kabul ediliyor ve kırılabiliyor. Bu nedenle, üretim ortamında uygulanması ağ alanının yönlendirme saldırılarından korunmasını garanti etmiyor. İşte bu yüzden Cisco, daha güvenli kabul edilen HMAC-SHA adlı başka bir kimlik doğrulama türü tanıttı.