Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração da autenticação do OSPF

Entendendo a autenticação IPsec para pacotes OSPF em switches da Série EX

A segurança DE IP (IPsec) oferece uma maneira segura de autenticar senders e criptografar o tráfego de IP versão 4 (IPv4) entre dispositivos de rede. O IPsec oferece aos administradores de rede dos switches de ethernet da Série EX da Juniper Networks e seus usuários os benefícios da confidencialidade de dados, integridade de dados, autenticação de remetentes e serviços anti-replay.

O IPsec é uma estrutura para garantir uma comunicação privada segura em redes IP e se baseia em padrões desenvolvidos pela Força-Tarefa Internacional de Engenharia (IETF). O IPsec fornece serviços de segurança na camada de rede do modelo de Interconexão de Sistemas Abertos (OSI), permitindo que um sistema selecione os protocolos de segurança necessários, determine os algoritmos que usarão para os serviços de segurança e implemente quaisquer chaves criptográficas necessárias para fornecer os serviços solicitados. Você pode usar o IPsec para proteger um ou mais caminhos entre um par de hosts, entre um par de gateways de segurança (como switches) ou entre um gateway de segurança e um host.

O OSPF versão 3 (OSPFv3), ao contrário da VERSÃO 2 (OSPFv2), não tem um método de autenticação integrado e depende do IPsec para fornecer essa funcionalidade. Você pode proteger interfaces OSPFv3 específicas e proteger links virtuais OSPFv3.

Algoritmos de autenticação

Autenticação é o processo de verificar a identidade do remetente. Os algoritmos de autenticação usam uma chave compartilhada para verificar a autenticidade dos dispositivos IPsec. O sistema operacional Junos (Junos OS) da Juniper Networks usa os seguintes algoritmos de autenticação:

  • O Message Digest 5 (MD5) usa uma função de hash de ida para converter uma mensagem de comprimento arbitrário em um digestão de mensagem de comprimento fixo de 128 bits. Devido ao processo de conversão, é matematicamente inviável calcular a mensagem original computando-a para trás a partir do digestão resultante da mensagem. Da mesma forma, uma mudança para um único caractere na mensagem fará com que ele gere um número de digestão de mensagem muito diferente.

    Para verificar se a mensagem não foi adulterada, o Junos OS compara a digestão calculada da mensagem com um digestão de mensagem que é descriptografado com uma chave compartilhada. O Junos OS usa a variante de código de autenticação de mensagens de hashed MD5 (HMAC) que fornece um nível adicional de hashing. O MD5 pode ser usado com um cabeçalho de autenticação (AH) e encapsulamento do Security Payload (ESP).

  • O Algoritmo de Hash Seguro 1 (SHA-1) usa um algoritmo mais forte que o MD5. A SHA-1 leva uma mensagem de menos de 264 bits de comprimento e produz um digestão de mensagem de 160 bits. A grande digestão da mensagem garante que os dados não foram alterados e que eles se originam da fonte correta. O Junos OS usa a variante SHA-1 HMAC que fornece um nível adicional de hashing. O SHA-1 pode ser usado com AH, ESP e Internet Key Exchange (IKE).

Algoritmos de criptografia

A criptografia codifica dados em um formato seguro para que não possa ser decifrado por usuários não autorizados. Assim como acontece com algoritmos de autenticação, uma chave compartilhada é usada com algoritmos de criptografia para verificar a autenticidade dos dispositivos IPsec. O Junos OS usa os seguintes algoritmos de criptografia:

  • O encadeamento padrão de blocos de criptografia de dados (DES-CBC) é um algoritmo simétrico de blocos secretos. O DES usa um tamanho chave de 64 bits, onde 8 bits são usados para detecção de erros e os 56 bits restantes fornecem criptografia. O DES realiza uma série de operações lógicas simples na chave compartilhada, incluindo permutações e substituições. A CBC tira o primeiro bloco de 64 bits de saída do DES, combina esse bloco com o segundo bloco, alimenta isso de volta ao algoritmo DES e repete esse processo para todos os blocos subsequentes.

  • O DES-CBC triplo (3DES-CBC) é um algoritmo de criptografia que é semelhante ao DES-CBC, mas fornece um resultado de criptografia muito mais forte porque usa três chaves para criptografia de 168 bits (3 x 56 bits). O 3DES funciona usando a primeira chave para criptografar os blocos, a segunda chave para descriptografar os blocos e a terceira chave para reenscriptografar os blocos.

Protocolos IPsec

Os protocolos IPsec determinam o tipo de autenticação e criptografia aplicada a pacotes que são protegidos pelo switch. O Junos OS oferece suporte aos seguintes protocolos IPsec:

  • AH — Definida em RFC 2402, a AH oferece integridade sem conexão e autenticação de origem de dados para IPv4. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. Em um cabeçalho de IP, a AH pode ser identificada com um valor de 51 no campo de protocolo de um pacote IPv4.

  • ESP — Definido na RFC 2406, o ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego ou integridade sem conexão, autenticação de origem dos dados e um serviço anti-replay. Em um cabeçalho IP, o ESP pode ser identificado com um valor de 50 no campo de protocolo de um pacote IPv4.

Associações de segurança

Uma consideração de IPsec é o tipo de associação de segurança (SA) que você deseja implementar. Um SA é um conjunto de especificações de IPsec que são negociadas entre dispositivos que estão estabelecendo uma relação IPsec. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPsec a serem usados ao estabelecer a conexão IPsec. Uma SA pode ser unidirecional ou bidirecional, dependendo das escolhas feitas pelo administrador de rede. Um SA é identificado exclusivamente por um índice de parâmetros de segurança (SPI), um endereço de destino IPv4 ou IPv6 e um identificador de protocolo de segurança (AH ou ESP).

Modos IPsec

O Junos OS oferece suporte aos seguintes modos IPsec:

  • O modo túnel é suportado tanto para AH quanto PARA no Junos OS. No modo túnel, a SA e os protocolos associados são aplicados a pacotes IPv4 ou IPv6 em túnel. Para um SA do modo túnel, um cabeçalho IP externo especifica o destino de processamento IPsec e um cabeçalho IP interno especifica o destino final para o pacote. O cabeçalho de protocolo de segurança aparece após o cabeçalho IP externo e antes do cabeçalho IP interno. Além disso, há pequenas diferenças para o modo de túnel quando você o implementa com AH e ESP:

    • Para AH, as porções do cabeçalho IP externo estão protegidas, bem como todo o pacote IP em tunelamento.

    • Para ESP, apenas o pacote em túnel está protegido, não o cabeçalho externo.

    Quando um lado de uma SA é um gateway de segurança (como um switch), a SA deve usar o modo de túnel. No entanto, quando o tráfego (por exemplo, comandos SNMP ou sessões BGP) é destinado a um switch, o sistema funciona como um host. O modo de transporte é permitido neste caso porque o sistema não atua como um gateway de segurança e não envia ou recebe tráfego de trânsito.

    Nota:

    O modo túnel não é suportado para autenticação de pacotes de controle OSPF v3.

  • O modo de transporte oferece um SA entre dois hosts. No modo de transporte, os protocolos oferecem proteção principalmente para protocolos de camada superior. Um cabeçalho de protocolo de segurança de modo de transporte aparece imediatamente após o cabeçalho IP e quaisquer opções e antes de qualquer protocolo de camada superior (por exemplo, TCP ou UDP). Há pequenas diferenças para o modo de transporte quando você o implementa com AH e ESP:

    • Para a AH, as partes selecionadas do cabeçalho IP estão protegidas, bem como partes selecionadas dos cabeçalhos de extensão e opções selecionadas dentro do cabeçalho IPv4.

    • Para ESP, apenas os protocolos de camada superior estão protegidos, não o cabeçalho IP ou quaisquer cabeçalhos de extensão que precedem o cabeçalho ESP.

Entendendo a autenticação do OSPFv2

Todas as trocas de protocolo OSPFv2 podem ser autenticadas para garantir que apenas dispositivos de roteamento confiáveis participem do roteamento do sistema autônomo. Por padrão, a autenticação DOPFv2 é desativada.

Nota:

O OSPFv3 não tem um método de autenticação integrado e conta com a segurança IP (IPsec) para fornecer essa funcionalidade.

Você pode habilitar os seguintes tipos de autenticação:

  • Autenticação simples — autentica usando uma senha de texto simples que está incluída no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote.

  • Autenticação MD5 — autentica usando um checksum MD5 codificado que está incluído no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote.

    Você define uma chave MD5 para cada interface. Se o MD5 estiver habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são recusadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) que é definido para essa interface.

  • Autenticação IPsec (começando pelo Junos OS Release 8.3)— autentica as interfaces OSPFv2, o endpoint remoto de um link falso e o link virtual OSPFv2 usando associações de segurança manuais (SAs) para garantir que o conteúdo de um pacote esteja seguro entre os dispositivos de roteamento. Você configura a autenticação IPsec real separadamente.

    Nota:

    Você pode configurar a autenticação IPsec em conjunto com MD5 ou autenticação simples.

    As seguintes restrições se aplicam à autenticação IPsec para OSPFv2:

    • Os SAs dinâmicos de troca de chave de Internet (IKE) não são suportados.

    • Apenas o modo de transporte IPsec é suportado. O modo túnel não é suportado.

    • Como apenas SAs manuais bidirecionais são suportados, todos os pares OSPFv2 devem ser configurados com o mesmo IPsec SA. Você configura uma SA bidirecional manual no nível de [edit security ipsec] hierarquia.

    • Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto, para todos os vizinhos em multiacessso não transmitido (NBMA) ou links de ponto a multiponto, e para cada sub-rede que faz parte de um link de broadcast.

    • As interfaces peer OSPFv2 não são suportadas.

Como o OSPF realiza a autenticação no nível da área, todos os dispositivos de roteamento dentro da área devem ter a mesma autenticação e senha (chave) correspondentes configuradas. Para que a autenticação MD5 funcione, tanto os dispositivos de roteamento de recebimento quanto de transmissão devem ter a mesma chave MD5. Além disso, uma senha simples e uma chave MD5 são mutuamente exclusivas. Você pode configurar apenas uma senha simples, mas várias chaves MD5.

Como parte de suas medidas de segurança, você pode alterar as chaves MD5. Você pode fazer isso configurando várias chaves MD5, cada uma com uma ID chave única, e definindo a data e a hora de mudar para a nova chave. Cada chave MD5 única tem uma ID única. O ID é usado pelo receptor do pacote OSPF para determinar qual chave usar para autenticação. O ID chave, que é necessário para autenticação MD5, especifica o identificador associado à chave MD5.

A partir do Junos OS Release 22.4R1, oferecemos suporte à autenticação PUBLICITÁRIA OSPF MD5 com várias chaves ativas para enviar pacotes com um limite máximo de duas chaves por interface. Ter várias chaves ativas a qualquer momento na interface permite a transição suave de uma chave para outra para OSPF. Você pode excluir chaves antigas sem qualquer impacto na sessão de OSPF.

A partir do Junos OS Release 23.3R1 e Junos OS Evolved Release 23.3R1, você pode habilitar a autenticação do OSPFv2 HMAC-SHA1 com chaveiro para autenticar pacotes que chegam ou se originam de uma interface OSPF. Isso garante uma transição suave de uma chave para outra para o OSPFv2 com segurança aprimorada. Você pode habilitar o OSPFv2 a enviar pacotes autenticados apenas com a mais recente chave MD5 assim que todos os vizinhos mudarem para a chave configurada mais recente. Antes desta versão, oferecemos suporte à publicidade de pacotes OSPF autenticados sempre com várias chaves MD5 ativas com um limite máximo de duas chaves por interface.

A autenticação de HMAC-SHA1 para OSPFv2 não oferece suporte:

  • Chaveiro sem chaves ativas.

  • Migração de outros tipos de autenticação existentes para chaveiro com sessão sem sucesso.

  • Migração de nenhuma autenticação para chaveiro com sessão sem sucesso.

  • MD5 chaveado como parte da configuração do keychain.

Nota:
  • Quando a otimização MD5 multiativo com delete-if-not-inuse declaração de configuração é habilitada e uma vez que a negociação de autenticação acontece com seus vizinhos, a partir daí o dispositivo usa apenas chave ativa para transmissão para aquele vizinho negociado. Ou seja, não apoiamos a volta à velha chave.

    Por exemplo: R0 e R1 estão configurados com key-id 1 e delete-if-not-inuse key-id 2. Mais tarde, se o R1 estiver configurado para remover o key-id 2, então o R0 não será revertido para usar ambas as chaves (key-id 1 e key-id 2) para transmissão.

  • A ativação do keychain é baseada no tempo absoluto (clock de parede) e o relógio de parede pode voltar atrás após o comprometimento. Esse tipo de erro não reflete no momento do comprometimento. Por isso, é importante ter o tempo do sistema sincronizado em todos os dispositivos quando o keychain estiver ativo em uma sessão de OSPF.

A partir do Junos OS Evolved Release 24.2R1, você pode habilitar o módulo de chaveiro OSPFv2 com autenticação de HMAC-SHA2 (OSPFv2 HMAC-SHA2) para autenticar pacotes que chegam ou se originam de uma interface OSPF. Os algoritmos de HMAC SHA2 incluem HMAC-SHA2-256, HMAC-SHA2-384 e HMAC-SHA2-512, conforme definido na RFC 5709. Apoiamos esses algoritmos junto com o HMAC-SHA2-224. Esse recurso garante uma transição suave de uma chave para outra para o OSPFv2 com segurança aprimorada. Também oferecemos suporte à autenticação HMAC-SHA1 e HMAC-SHA2 para links virtuais e falsos.

A autenticação HMAC-SHA2 para OSPFv2 não oferece suporte:

  • Chaveiro sem chaves ativas.

  • Migração de outros tipos de autenticação existentes para chaveiro com sessão sem sucesso.

  • Migração de nenhuma autenticação para chaveiro com sessão sem sucesso.

Nota:
  • O algoritmo SHA1 (sem HMAC) na configuração de chaveiro não é suportado.

  • É importante ter o tempo do sistema sincronizado em todos os dispositivos quando o keychain estiver ativo em uma sessão de OSPF.

Entendendo a autenticação do OSPFv3

O OSPFv3 não tem um método de autenticação integrado e conta com o pacote de segurança IP (IPsec) para fornecer essa funcionalidade. O IPsec oferece funcionalidades como autenticação de origem, integridade de dados, confidencialidade, proteção de repetição e nãorepudiação da origem. Você pode usar o IPsec para proteger interfaces OSPFv3 específicas e proteger links virtuais OSPFv3.

Nota:

Você configura a autenticação IPsec real separadamente da sua configuração OSPFv3 e depois aplica o IPsec nas interfaces OSPFv3 ou links virtuais OSPFv3.

O OSPFv3 usa o cabeçalho de autenticação IP (AH) e as partes de Ip Encapsulating Security Payload (ESP) do Protocolo IPsec para autenticar informações de roteamento entre pares. A AH pode fornecer integridade sem conexão e autenticação de origem dos dados. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. O ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego ou integridade sem conexão, autenticação de origem dos dados e um serviço anti-replay.

O IPsec é baseado em associações de segurança (SAs). Um SA é um conjunto de especificações de IPsec que são negociadas entre dispositivos que estão estabelecendo uma relação IPsec. Essa conexão simplex oferece serviços de segurança aos pacotes transportados pela SA. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPsec a serem usados ao estabelecer a conexão IPsec. Um SA é usado para criptografar e autenticar um fluxo específico em uma direção. Portanto, no tráfego bidirecional normal, os fluxos são protegidos por um par de SAs. Um SA a ser usado com o OSPFv3 deve ser configurado manualmente e usar o modo de transporte. Os valores estáticos devem ser configurados em ambas as extremidades da SA.

As SAs manuais não exigem nenhuma negociação entre os pares. Todos os valores, incluindo as chaves, são estáticos e especificados na configuração. Os SAs manuais definem estaticamente os valores, algoritmos e chaves do índice de parâmetros de segurança (SPI) a serem usados e exigem configurações de correspondência em ambos os pontos finais (pares OSPFv3). Como resultado, cada peer deve ter as mesmas opções configuradas para a comunicação ocorrer.

A escolha real dos algoritmos de criptografia e autenticação cabe ao seu administrador IPsec; no entanto, temos as seguintes recomendações:

  • Use o ESP com criptografia NULL para fornecer autenticação apenas aos cabeçalhos de protocolo OSPFv3. Com a criptografia NULL, você está optando por não fornecer criptografia em cabeçalhos OSPFv3. Isso pode ser útil para fins de solução de problemas e depuração. Para obter mais informações sobre a criptografia NULL, consulte RFC 2410, o algoritmo de criptografia NULL e seu uso com IPsec.

  • Use o ESP com criptografia não NULL para obter total confidencialidade. Com criptografia não NULL, você está optando por fornecer criptografia. Para obter mais informações sobre a criptografia NULL, consulte RFC 2410, o algoritmo de criptografia NULL e seu uso com IPsec.

  • Use a AH para fornecer autenticação aos cabeçalhos de protocolo OSPFv3, porções do cabeçalho IPv6 e porções dos cabeçalhos de extensão.

As seguintes restrições se aplicam à autenticação IPsec para OSPFv3:

  • As associações de segurança (SAs) do Dynamic Internet Key Exchange (IKE) não têm suporte.

  • Apenas o modo de transporte IPsec é suportado. No modo de transporte, apenas a carga (os dados que você transfere) do pacote IP é criptografada e/ou autenticada. O modo túnel não é suportado.

  • Como apenas SAs manuais bidirecionais são suportados, todos os pares OSPFv3 devem ser configurados com o mesmo IPsec SA. Você configura uma SA bidirecional manual no nível de [edit security ipsec] hierarquia.

  • Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto.

Exemplo: Configuração de autenticação simples para trocas OSPFv2

Este exemplo mostra como permitir a autenticação simples para trocas OSPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação simples usa uma senha de texto simples que está incluída no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote. As senhas de texto simples não são criptografadas e podem estar sujeitas a interceptação de pacotes. Esse método é o menos seguro e só deve ser usado se a segurança de rede não for o seu objetivo.

Você pode configurar apenas uma simples chave de autenticação (senha) no dispositivo de roteamento. A chave simples pode ser de 1 a 8 caracteres e pode incluir strings ASCII. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").

Neste exemplo, você especifica a interface OSPFv2 so-0/1/0 na área 0.0.0.0, define o tipo de autenticação como senha simples e define a chave como PssWd4.

Configuração

Configuração rápida da CLI

Para configurar rapidamente a autenticação simples, copie o comando a seguir, removendo quaisquer quebras de linha e depois cole o comando na CLI. Você deve configurar todos os dispositivos de roteamento dentro da área com a mesma autenticação e senha correspondente.

Procedimento

Procedimento passo a passo

Para permitir uma autenticação simples para trocas OSPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Defina o tipo de autenticação e a senha.

  4. Se você terminar de configurar o dispositivo, confirme a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento PEER OSPFv2 na área.

Resultados

Confirme sua configuração inserindo o show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha que você configurou.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o método de autenticação configurado

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. O campo Do tipo de autenticação exibe senha quando configurado para autenticação simples.

Ação

A partir do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Exemplo: Configuração da autenticação MD5 para trocas OSPFv2

Este exemplo mostra como habilitar a autenticação MD5 para trocas DEPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação MD5 usa um checksum MD5 codificado que está incluído no pacote transmitido. O dispositivo de roteamento receptor usa uma chave de autenticação (senha) para verificar o pacote.

Você define uma chave MD5 para cada interface. Se o MD5 estiver habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são recusadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) que é definido para essa interface.

Neste exemplo, você cria a área de backbone (área 0.0.0.0), especifica a interface OSPFv2 de modo 0/2/0, define o tipo de autenticação para md5 e, em seguida, define a chave de autenticação ID como 5 e a senha como PssWd8.

Topologia

Configuração

Configuração rápida da CLI

Para configurar rapidamente a autenticação MD5, copie o seguinte comando e cole-o na CLI.

Procedimento

Procedimento passo a passo

Para habilitar a autenticação MD5 para trocas OSPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Configure a autenticação MD5 e defina uma ID chave e uma senha de autenticação.

  4. Se você terminar de configurar o dispositivo, confirme a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento PEER OSPFv2.

Resultados

Confirme sua configuração inserindo o show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha que você configurou.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o método de autenticação configurado

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. Quando configurado para autenticação MD5, o campo Do tipo de autenticação exibe MD5, o campo de ID de chave ativa exibe o número único que você inseriu que identifica a chave MD5, e o campo de tempo de início exibe a data como hora do início de 1970 jan 01 00:00:00 PST. Não se assuste com este horário de início. Este é o tempo de início padrão que o dispositivo de roteamento exibe se a chave MD5 for eficaz imediatamente.

Ação

A partir do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Exemplo: configuração de uma transição de chaves MD5 em uma interface OSPFv2

Este exemplo mostra como configurar uma transição de chaves MD5 em uma interface OSPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação MD5 usa um checksum MD5 codificado que está incluído no pacote transmitido. Para que a autenticação MD5 funcione, tanto os dispositivos de roteamento de recebimento quanto de transmissão devem ter a mesma chave MD5.

Você define uma chave MD5 para cada interface. Se o MD5 estiver habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são recusadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) que é definido para essa interface.

Para maior segurança, você pode configurar várias chaves MD5, cada uma com uma ID chave única, e definir a data e a hora de mudar para uma nova chave. O receptor do pacote OSPF usa o ID para determinar qual chave usar para autenticação.

Neste exemplo, você configura novas chaves para entrar em vigor às 12:01 am no primeiro dia dos próximos três meses na interface osPFv2 fe-0/0/1 na área de backbone (área 0.0.0.0) e configura as seguintes configurações de autenticação MD5:

  • md5 — especifica o ID da chave de autenticação MD5. O ID chave pode ser definido para qualquer valor entre 0 e 255, com um valor padrão de 0. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando a mesma ID chave que é definida para essa interface.

  • chave — especifica a chave MD5. Cada chave pode ser um valor de 1 a 16 caracteres de comprimento. Os caracteres podem incluir strings ASCII. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").

  • tempo de início — especifica o tempo para começar a usar a chave MD5. Essa opção permite configurar um mecanismo de transição suave para várias chaves. O tempo de início é relevante para a transmissão, mas não para o recebimento de pacotes OSPF.

Nota:

Você deve definir as mesmas senhas e datas e horários de transição em todos os dispositivos da área para que as adjacências OSPFv2 permaneçam ativas.

Topologia

Configuração

Configuração rápida da CLI

Para configurar rapidamente várias chaves MD5 em uma interface OSPFv2, copiar os seguintes comandos, remover quaisquer quebras de linha e, em seguida, colar os comandos no CLI.

Procedimento

Procedimento passo a passo

Para configurar várias chaves MD5 em uma interface OSPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Configure a autenticação MD5 e defina uma senha de autenticação e um ID chave.

  4. Configure uma nova chave para entrar em vigor às 00h01 do primeiro dia de fevereiro, março e abril.

    Você configura uma nova senha de autenticação e ID chave para cada mês.

    1. Para o mês de fevereiro, insira o seguinte:

    2. Para o mês de março, insira o seguinte:

    3. Para o mês de abril, insira o seguinte:

  5. Se você terminar de configurar o dispositivo, confirme a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento PEER OSPFv2.

Resultados

Confirme sua configuração inserindo o show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha que você configurou.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o método de autenticação configurado

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. Quando configurado para autenticação MD5 com uma transição de chaves, o campo do tipo Auth exibe MD5, o campo de ID de chave ativa exibe o número único que você inseriu que identifica a chave MD5 e o campo de tempo de início exibe o momento em que o dispositivo de roteamento começa usando uma chave MD5 para autenticar pacotes OSPF transmitidos na interface que você configurou.

Ação

A partir do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Usando O IPsec para proteger as redes OSPFv3 (procedimento CLI)

A versão 3 (OSPFv3) do OSPF não tem um método de autenticação integrada e conta com a segurança IP (IPsec) para fornecer essa funcionalidade. Você pode usar o IPsec para proteger interfaces OSPFv3 em switches da Série EX.

Este tópico inclui:

Configuração de associações de segurança

Quando você configura uma associação de segurança (SA), inclua suas opções para autenticação, criptografia, direção, modo, protocolo e índice de parâmetros de segurança (SPI).

Para configurar uma associação de segurança:

  1. Especifique um nome para a associação de segurança:
  2. Especifique o modo da associação de segurança:
  3. Especifique o tipo de associação de segurança:
  4. Especifique a direção da associação de segurança:
  5. Especifique o valor do índice de parâmetro de segurança:
  6. Especifique o tipo de autenticação a ser usada:
  7. Especifique o algoritmo de criptografia e a chave:

Proteger as redes OPSFv3

Você pode proteger a rede OSPFv3 aplicando a SA na configuração OSPFv3.

Para proteger a rede OSPFv3:

Exemplo: configuração da autenticação de IPsec para uma interface OSPF

Este exemplo mostra como habilitar a autenticação de segurança IP (IPsec) para uma interface OSPF.

Requisitos

Antes de começar:

Visão geral

Você pode usar a autenticação IPsec para OSPFv2 e OSPFv3. Você configura a autenticação IPsec real separadamente e a aplica na configuração osPF aplicável.

OSPFv2

Começando com o Junos OS Release 8.3, você pode usar a autenticação IPsec para autenticar interfaces OSPFv2, o endpoint remoto de um link falso e o link virtual OSPFv2 usando associações de segurança manuais (SAs) para garantir que o conteúdo de um pacote esteja seguro entre os dispositivos de roteamento.

Nota:

Você pode configurar a autenticação IPsec em conjunto com MD5 ou autenticação simples.

Para habilitar a autenticação do IPsec, faça um dos seguintes:

  • Para uma interface OSPFv2, inclua a ipsec-sa name declaração para uma interface específica:

  • Para um link falso remoto, inclua a ispec-sa name declaração para o ponto final remoto do link falso:

    Nota:

    Se uma configuração de VPN de Camada 3 tiver vários links falsos com o mesmo endereço IP de endpoint remoto, você deve configurar a mesma associação de segurança IPsec para todos os endpoints remotos. Você configura uma VPN de Camada 3 no nível hierárquica [edit routing-instances routing-instance-name instance-type] . Para obter mais informações sobre VPNs de Camada 3, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.

  • Para um link virtual, inclua a ipsec-sa name declaração para um link virtual específico:

OSPFv3

O OSPFv3 não tem um método de autenticação integrado e conta com o IPsec para fornecer essa funcionalidade. Você usa a autenticação IPsec para proteger interfaces OSPFv3 e proteger links virtuais OSPFv3 usando SAs manuais para garantir que o conteúdo de um pacote esteja seguro entre os dispositivos de roteamento.

Para aplicar a autenticação, faça um dos seguintes:

  • Para uma interface OSPFv3, inclua a ipsec-sa name declaração para uma interface específica:

  • Para um link virtual, inclua a ipsec-sa name declaração para um link virtual específico:

Tasks to Complete for Both OSPFv2 and OSPFv3

Neste exemplo, você executa as seguintes tarefas:

  1. Configure a autenticação de IPsec. Para isso, defina um SA manual chamado sa1 e especifique a direção de processamento, o protocolo usado para proteger o tráfego IP, o índice de parâmetros de segurança (SPI) e o algoritmo e a chave de autenticação.

    1. Configure a seguinte opção no nível de [edit security ipsec security-association sa-name mode] hierarquia:

      transporte — especifica o modo de transporte. Esse modo protege o tráfego quando o endpoint de comunicação e o endpoint criptográfico são os mesmos. A parte de dados do pacote IP é criptografada, mas o cabeçalho IP não é.

    2. Configure a seguinte opção no nível de [edit security ipsec security-association sa-name manual direction] hierarquia:

      bidirecional — define a direção do processamento de IPsec. Ao especificar o bidrectional, os mesmos algoritmos, chaves e valores de índice de paramater de segurança (SPI) que você configura são usados em ambas as direções.

    3. Configure as seguintes opções no nível de [edit security ipsec security-association sa-name manual direction bidirectional] hierarquia:

      protocolo — define o protocolo IPsec usado pela SA manual para proteger o tráfego IP. Você pode especificar o cabeçalho de autenticação (AH) ou o Encapsulando Security Payload (ESP). Se você especificar AH, o que você faz neste exemplo, você não pode configurar a criptografia.

      spi — configura o SPI para o SA manual. Um SPI é um valor arbitrário que identifica exclusivamente qual SA usar no host receptor. O host de envio usa o SPI para identificar e selecionar qual SA usar para proteger cada pacote. O host receptor usa o SPI para identificar e selecionar o algoritmo de criptografia e a chave usada para descriptografar pacotes. Neste exemplo, você especifica 256.

      autenticação — configura o algoritmo de autenticação e a chave. A opção do algoritmo especifica o algoritmo de hash que autentica dados de pacotes. Neste exemplo, você especifica o hmac-md5-96, que produz uma digestão de 128 bits. A opção-chave indica o tipo de chave de autenticação. Neste exemplo, você especifica ascii-text-key, que são 16 caracteres ASCII para o algoritmo hmac-md5-96 .

  2. Habilite a autenticação de IPsec na interface OSPF so-0/2/0.0 na área de backbone (área 0.0.0.0) incluindo o nome do SA sa1 manual que você configurou no [edit security ipsec] nível de hierarquia.

Topologia

Configuração

Configuração de associações de segurança

Configuração rápida da CLI

Para configurar rapidamente um SA manual a ser usado para autenticação de IPsec em uma interface OSPF, copiar os seguintes comandos, remover quaisquer quebras de linha e, em seguida, colar os comandos no CLI.

Procedimento passo a passo

Para configurar um SA manual a ser usado em uma interface OSPF:

  1. Especifique um nome para SA.

  2. Especifique o modo da SA.

  3. Configure a direção da SA manual.

  4. Configure o protocolo IPsec para usar.

  5. Configure o valor do SPI.

  6. Configure o algoritmo de autenticação e a chave.

  7. Se você terminar de configurar o dispositivo, confirme a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPF.

Resultados

Confirme sua configuração inserindo o show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha que você configurou.

Habilitando a autenticação de IPsec para uma interface OSPF

Configuração rápida da CLI

Para aplicar rapidamente um SA manual usado para autenticação IPsec em uma interface OSPF, copie o comando a seguir e cole-o no CLI.

Procedimento passo a passo

Para permitir a autenticação de IPsec para uma interface OSPF:

  1. Crie uma área de OSPF.

    Nota:

    Para especificar o OSPFv3, inclua a ospf3 declaração no nível de [edit protocols] hierarquia.

  2. Especifique a interface.

  3. Aplique o SA manual de IPsec.

  4. Se você terminar de configurar o dispositivo, confirme a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPF.

Resultados

Confirme sua configuração inserindo o show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Para confirmar sua configuração OSPFv3, entre no show protocols ospf3 comando.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando as configurações da Associação de Segurança IPsec

Propósito

Verifique as configurações configuradas da associação de segurança IPsec. Verifique as seguintes informações:

  • O campo de associação de segurança exibe o nome da associação de segurança configurada.

  • O campo SPI exibe o valor que você configurou.

  • O campo Mode exibe o modo de transporte.

  • O campo Type exibe manual como o tipo de associação de segurança.

Ação

A partir do modo operacional, entre no show ipsec security-associations comando.

Verificando a Associação de Segurança IPsec na Interface OSPF

Propósito

Verifique se a associação de segurança IPsec que você configurou foi aplicada na interface OSPF. Confirme que o campo de nome IPSec SA exibe o nome da associação de segurança IPsec configurada.

Ação

A partir do modo operacional, insira o show ospf interface detail comando para o OSPFv2 e insira o show ospf3 interface detail comando para o OSPFv3.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
22.4R1