Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP autenticação de rote

Entender a autenticação do roteador para BGP

O uso da autenticação do roteador e da roteamento e da integridade da rota reduz muito o risco de ser atacado por uma máquina ou roteador que tenha sido configurado para compartilhar informações de roteamento incorretas com outro roteador. Nesse tipo de ataque, o roteador atacado pode ser enganado a fim de criar um loop de roteamento, ou a tabela de roteamento do roteador atacado pode ser bastante aumentada, afetando o desempenho ou as informações de roteamento podem ser redirecionadas para um lugar na rede para que o invasor a analise. Anúncios de rotas falsas podem ser enviados em um segmento. Essas atualizações podem ser aceitas nas tabelas de roteamento dos roteadores vizinhos, a menos que um mecanismo de autenticação esteja no local para verificar a origem das rotas.

A autenticação de roteador e rota permite que os roteadores compartilhem informações apenas se puderem verificar se eles estão falando com uma fonte confiável, com base em uma senha (chave). Nesse método, uma chave hashed é enviada junto com a rota sendo enviada para outro roteador. O roteador de recebimento compara a chave enviada à sua própria chave configurada. Se elas são as mesmas, ela aceita a rota. Ao usar um algoritmo de hashing, a chave não é enviada pelo fio em texto simples. Em vez disso, um hash é calculado usando a chave configurada. A atualização do roteamento é usada como texto de entrada, junto com a chave, na função de hashing. Esse hash é enviado junto com a atualização de rota para o roteador de recebimento. O roteador de recebimento compara o hash recebido com um hash gerado na atualização de rota usando a chave pré-compartilhada configurada nele. Se os dois hashes são os mesmos, acredita-se que a rota seja de uma fonte confiável. A chave é conhecida apenas para os roteadores de envio e recebimento.

Para fortalecer ainda mais a segurança, você pode configurar uma série de chaves de autenticação (um chaveiro). Cada chave tem um tempo de início exclusivo dentro do chaveiro. A autenticação de chaveiro permite que você altere periodicamente as informações de senha sem derrubar sessões de peering. Esse método de autenticação de chaveiro é chamado de hitless porque as chaves são reboladas de uma para a outra sem reconfigurar sessões de peering ou interromper o protocolo de roteamento.

O peer de envio usa as seguintes regras para identificar a chave de autenticação ativa:

  • O tempo de início é inferior ou igual ao tempo atual (ou seja, não no futuro).

  • O tempo de início é maior do que o de todas as outras chaves da cadeia cujo tempo de início é inferior ao tempo atual (ou seja, mais próximo do tempo atual).

O peer de recebimento determina a chave com a qual autentica com base no identificador de chaves de entrada.

O peer de envio identifica a chave de autenticação atual com base em um tempo de início configurado e, em seguida, gera um valor hash usando a chave atual. O peer de envio insere um objeto opção de autenticação Aprimorado por TCP na mensagem BGP de atualização. O objeto contém uma ID de objeto (atribuído por IANA), o comprimento do objeto, a chave atual e um valor de hash.

O peer de recebimento examina a opção de autenticação Aprimorada TCP, examina a chave de autenticação recebida e determina se a chave é aceitável com base no tempo de início, no tempo do sistema e no parâmetro de tolerância. Caso a chave seja aceita, o peer de recebimento calcula um hash e autentica a mensagem de atualização.

A aplicação inicial de um chaveiro em uma sessão TCP faz com que a sessão seja reinicializada. No entanto, uma vez que o chaveiro é aplicado, a adição ou remoção de uma senha do chaveiro não faz com que a sessão TCP seja reinicializada. Além disso, a sessão TCP não é reinicializada quando o chaveiro muda de um algoritmo de autenticação para outro.

Nota:

Na versão 19.1R1, o Junos OS estende o suporte à autenticação TCP para BGP peers que são descobertos por meio de sub-redes de prefixo permitidas configuradas em um grupo BGP. Nas versões antes da versão 19.1 do Junos OS, a BGP aceita autenticação TCP nos níveis [edit protocols bgp group group-name neighbor address] e [edit protocols bgp group group-name] na hierarquia. A partir da Versão 19.1 do Junos OS, você pode configurar a autenticação TCP sob instruções de autorização em nível [edit protocols bgp group group-name dynamic-neighbor dyn-name] de hierarquia.

Exemplo: Configuração da autenticação do roteador para BGP

Todas BGP de protocolo podem ser autenticadas para garantir que somente dispositivos de roteamento confiáveis participem de atualizações de roteamento do sistema autônomo (AS). Por padrão, a autenticação está desabilitada.

Requisitos

Antes de começar:

  • Configure as interfaces do roteador.

  • Configure um protocolo de gateway interior (IGP).

Visão geral

Ao configurar a autenticação, o algoritmo cria um checksum codificado incluído no pacote transmitido. O dispositivo de roteamento de recebimento usa uma chave de autenticação (senha) para verificar o checksum do pacote.

Este exemplo inclui as seguintes declarações para configurar e aplicar o chaveiro:

  • key— Um chaveiro pode ter várias chaves. Cada chave dentro de um chaveiro deve ser identificada por um valor inteiro exclusivo. O intervalo de valores de identificador válidos é de 0 a 63.

    A chave pode ter até 126 caracteres de comprimento. Caracteres podem incluir quaisquer strings ASCII. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").

  • tolerance—(Opcional) Para cada chaveiro, você pode configurar um valor de tolerância com distorção de clock em segundos. A tolerância ao clock-skew é aplicável ao receptor que aceita chaves para BGP atualizações. O intervalo configurável é de 0 a 999.999,999 segundos. Durante o período de tolerância, a senha atual ou anterior é aceitável.

  • key-chain— Para cada chaveiro, é necessário especificar um nome. Este exemplo define um chaveiro: bgp-auth. Você pode ter vários chaveiros em um dispositivo de roteamento. Por exemplo, você pode ter um chaveiro para BGP, um chaveiro para OSPF e um chaveiro para LDP.

  • secret— Para cada chave do chaveiro, você deve definir uma senha secreta. Essa senha pode ser inserida no formato de texto criptografado ou simples na secret declaração. Ele é sempre exibido em formato criptografado.

  • start-time— Cada chave deve especificar um tempo de início no formato UTC. O controle é passado de uma chave para a outra. Quando chega um tempo de início configurado (com base no relógio do dispositivo de roteamento), a chave com esse tempo de início fica ativa. Os tempos de início são especificados no fuso horário local para um dispositivo de roteamento e devem ser exclusivos dentro do chaveiro.

  • authentication-key-chain— Permite aplicar um chaveiro em nível global BGP todos os colegas, para um grupo ou para um vizinho. Este exemplo aplica o chaveiro aos peers definidos no grupo BGP externo (EBGP) chamado ext .

  • authentication-algorithm— Para cada chaveiro, você pode especificar um algoritmo de hashing. O algoritmo pode ser AES-128, MD5 ou SHA-1.

    Você associa um chaveiro e um algoritmo de autenticação a uma sessão BGP vizinho.

Este exemplo configura um chaveiro chamado bgp-auth . A chave 0 será enviada e aceita a partir de 2011-6-23.20:19:33 -0700, e vai parar de ser enviada e aceita quando a próxima chave do chaveiro (chave 1) se tornar ativa. A chave 1 entra em atividade um ano depois em 2012-6-23.20:19:33 -0700, e não vai parar de ser enviada e aceita, a menos que outra chave esteja configurada com um tempo de início que seja mais tarde do que o tempo de início da chave 1. Uma tolerância ao clock-skew de 30 segundos se aplica ao receptor que aceita as chaves. Durante o período de tolerância, a chave atual ou a anterior é aceitável. As chaves são senhas segredo compartilhado. Isso significa que os vizinhos que recebem as atualizações de roteamento autenticadas precisam ter a mesma configuração de chaveiro de autenticação, incluindo as mesmas chaves (senhas). Portanto, o roteador R0 e o roteador R1 devem ter a mesma configuração de cadeia de chaves de autenticação se elas estão configuradas como peers. Este exemplo mostra a configuração em apenas um dos dispositivos de roteamento.

Diagrama de topologia

Figura 1 mostra a topologia usada neste exemplo.

Figura 1: Autenticação para BGPAutenticação para BGP

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.

Procedimento

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.

Para configurar o roteador R1 para aceitar filtros de roteamento do dispositivo CE1 e realizar filtragem de rota de saída usando os filtros recebidos:

  1. Configure o sistema autônomo local.

  2. Configure um ou mais BGP grupos.

  3. Configure a autenticação com várias chaves.

    O tempo de início de cada chave deve ser exclusivo dentro do chaveiro.

  4. Aplique o chaveiro de autenticação BGP e decodi o algoritmo de hashing.

  5. (Opcional) Aplique um valor de tolerância ao clock-skew em segundos.

Resultados

A partir do modo de configuração, confirme sua configuração show protocols inserindo os show routing-options comandos , e . show security Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Repetir o procedimento para todos os BGP ativados na rede, usando os nomes e endereços de interface apropriados para cada BGP habilitado.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação da autenticação para o vizinho

Propósito

Certifique-se AutheKeyChain de que a opção aparece na saída do show bgp neighbor comando.

Ação

Do modo operacional, insira o show bgp neighbor comando.

Verificar se as mensagens de autorização são enviadas

Propósito

Confirmar se BGP a opção de autorização aprimorada.

Ação

Do modo operacional, insira o monitor traffic interface fe-0/0/1 comando.

Verificação de erros de autenticação

Propósito

Marque o número de pacotes deixados por TCP devido a erros de autenticação.

Ação

Do modo operacional, insira o show system statistics tcp | match auth comando.

Verificar a operação do chaveiro

Propósito

Marque o número de pacotes deixados por TCP devido a erros de autenticação.

Ação

Do modo operacional, insira o show security keychain detail comando.