Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração da autenticação do OSPF

Entender a autenticação IPsec para pacotes OSPF em switches da Série EX

O IP Security (IPsec) oferece uma maneira segura de autenticar remetentes e criptografar o tráfego ip versão 4 (IPv4) entre dispositivos de rede. O IPsec oferece aos administradores de rede para switches de ethernet da Série EX da Juniper Networks e seus usuários os benefícios da confidencialidade de dados, integridade de dados, autenticação de remetentes e serviços anti-replay.

O IPsec é uma estrutura para garantir uma comunicação privada segura por redes IP e é baseada em padrões desenvolvidos pela Força-Tarefa internacional de engenharia (IETF). O IPsec fornece serviços de segurança na camada de rede do modelo de Interconexão de Sistemas Abertos (OSI), permitindo que um sistema selecione protocolos de segurança necessários, determine os algoritmos para usar nos serviços de segurança e implemente quaisquer chaves criptográficas necessárias para fornecer os serviços solicitados. Você pode usar o IPsec para proteger um ou mais caminhos entre um par de hosts, entre um par de gateways de segurança (como switches) ou entre um gateway de segurança e um host.

A versão 3 do OSPF (OSPFv3), ao contrário do OSPF versão 2 (OSPFv2), não tem um método de autenticação integrado e conta com o IPsec para fornecer essa funcionalidade. Você pode proteger interfaces osPFv3 específicas e proteger links virtuais OSPFv3.

Algoritmos de autenticação

A autenticação é o processo de verificar a identidade do remetente. Os algoritmos de autenticação usam uma chave compartilhada para verificar a autenticidade dos dispositivos IPsec. O sistema operacional Junos (Junos OS) da Juniper Networks usa os seguintes algoritmos de autenticação:

  • O Message Digest 5 (MD5) usa uma função de hash unidirecional para converter uma mensagem de comprimento arbitrário em uma digestão de mensagem de comprimento fixo de 128 bits. Por causa do processo de conversão, é matematicamente inviável calcular a mensagem original computando-a para trás a partir do digestão resultante da mensagem. Da mesma forma, uma mudança para um único personagem na mensagem fará com que ela gere um número de digestão de mensagem muito diferente.

    Para verificar se a mensagem não foi adulterada, o Junos OS compara a digestão de mensagem calculada com um digestão de mensagem que é descriptografado com uma chave compartilhada. O Junos OS usa a variante de código de autenticação de mensagens hashed MD5 (HMAC) que fornece um nível adicional de hashing. O MD5 pode ser usado com um cabeçalho de autenticação (AH) e encapsulamento do Security Payload (ESP).

  • O Secure Hash Algorithm 1 (SHA-1) usa um algoritmo mais forte que o MD5. O SHA-1 leva uma mensagem de menos de 264 bits de comprimento e produz uma digestão de mensagens de 160 bits. A grande digestão de mensagens garante que os dados não foram alterados e que eles se originam da fonte correta. O Junos OS usa a variante SHA-1 HMAC que fornece um nível adicional de hashing. O SHA-1 pode ser usado com AH, ESP e Internet Key Exchange (IKE).

Algoritmos de criptografia

A criptografia codifica dados em um formato seguro para que eles não possam ser decifrados por usuários não autorizados. Assim como acontece com algoritmos de autenticação, uma chave compartilhada é usada com algoritmos de criptografia para verificar a autenticidade dos dispositivos IPsec. O Junos OS usa os seguintes algoritmos de criptografia:

  • O padrão de encadeamento de blocos de cifras (DES-CBC) padrão de criptografia de dados é um algoritmo simétrico de blocos secretos. O DES usa um tamanho-chave de 64 bits, onde 8 bits são usados para detecção de erros e os 56 bits restantes fornecem criptografia. O DES realiza uma série de operações lógicas simples na chave compartilhada, incluindo permutações e substituições. A CBC tira o primeiro bloco de 64 bits de saída do DES, combina esse bloco com o segundo bloco, devolve isso ao algoritmo DES e repete esse processo para todos os blocos subsequentes.

  • Triple DES-CBC (3DES-CBC) é um algoritmo de criptografia semelhante ao DES-CBC, mas fornece um resultado de criptografia muito mais forte porque usa três chaves para criptografia de 168 bits (3 x 56 bits). O 3DES funciona usando a primeira chave para criptografar os blocos, a segunda chave para descriptografar os blocos e a terceira chave para rescriptografar os blocos.

Protocolos IPsec

Os protocolos IPsec determinam o tipo de autenticação e criptografia aplicada a pacotes protegidos pelo switch. O Junos OS oferece suporte aos seguintes protocolos IPsec:

  • AH — Definida no RFC 2402, a AH fornece integridade sem conexão e autenticação de origem de dados para IPv4. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. Em um cabeçalho IP, a AH pode ser identificada com um valor de 51 no campo de protocolo de um pacote IPv4.

  • ESP — Definido no RFC 2406, o ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego ou integridade sem conexão, autenticação de origem de dados e um serviço anti-replay. Em um cabeçalho IP, o ESP pode ser identificado com um valor de 50 no campo de protocolo de um pacote IPv4.

Associações de segurança

Uma consideração do IPsec é o tipo de associação de segurança (SA) que você deseja implementar. Um SA é um conjunto de especificações IPsec que são negociadas entre dispositivos que estão estabelecendo uma relação IPsec. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPsec a serem usados ao estabelecer a conexão IPsec. Uma SA pode ser unidirecional ou bidirecional, dependendo das escolhas feitas pelo administrador de rede. Um SA é identificado exclusivamente por um índice de parâmetro de segurança (SPI), um endereço de destino IPv4 ou IPv6 e um identificador de protocolo de segurança (AH ou ESP).

Modos IPsec

O Junos OS oferece suporte aos seguintes modos IPsec:

  • O modo túnel é compatível com AH e ESP no Junos OS. No modo túnel, a SA e os protocolos associados são aplicados a pacotes IPv4 ou IPv6 em túnel. Para um SA do modo túnel, um cabeçalho IP externo especifica o destino de processamento IPsec e um cabeçalho IP interno especifica o destino final do pacote. O cabeçalho do protocolo de segurança aparece após o cabeçalho IP externo e antes do cabeçalho IP interno. Além disso, existem pequenas diferenças para o modo de túnel quando você implementá-lo com AH e ESP:

    • Para AH, partes do cabeçalho IP externo são protegidas, bem como todo o pacote IP em túnel.

    • Para ESP, apenas o pacote em túnel está protegido, não o cabeçalho externo.

    Quando um lado de uma SA é um gateway de segurança (como um switch), a SA deve usar o modo de túnel. No entanto, quando o tráfego (por exemplo, comandos SNMP ou sessões BGP) é destinado a um switch, o sistema funciona como um host. O modo de transporte é permitido neste caso porque o sistema não atua como um gateway de segurança e não envia ou recebe tráfego de trânsito.

    Nota:

    O modo túnel não é suportado para autenticação de pacotes de controle osPF v3.

  • O modo de transporte fornece um SA entre dois hosts. No modo de transporte, os protocolos fornecem proteção principalmente para protocolos de camada superior. Um cabeçalho de protocolo de segurança do modo de transporte aparece imediatamente após o cabeçalho IP e quaisquer opções e antes de quaisquer protocolos de camada superior (por exemplo, TCP ou UDP). Existem pequenas diferenças para o modo de transporte quando você o implementa com AH e ESP:

    • Para AH, partes selecionadas do cabeçalho IP são protegidas, bem como partes selecionadas dos cabeçalhos de extensão e opções selecionadas dentro do cabeçalho IPv4.

    • Para ESP, apenas os protocolos de camada superior estão protegidos, não o cabeçalho IP ou quaisquer cabeçalhos de extensão que precedem o cabeçalho ESP.

Entender a autenticação do OSPFv2

Todas as trocas de protocolo OSPFv2 podem ser autenticadas para garantir que apenas dispositivos de roteamento confiáveis participem do roteamento do sistema autônomo. Por padrão, a autenticação do OSPFv2 é desativada.

Nota:

O OSPFv3 não tem um método de autenticação integrado e conta com o IP Security (IPsec) para fornecer essa funcionalidade.

Você pode habilitar os seguintes tipos de autenticação:

  • Autenticação simples — autentica usando uma senha de texto simples que está incluída no pacote transmitido. O dispositivo de roteamento recebendo usa uma chave de autenticação (senha) para verificar o pacote.

  • Autenticação MD5 — autentica usando um checksum MD5 codificado que está incluído no pacote transmitido. O dispositivo de roteamento recebendo usa uma chave de autenticação (senha) para verificar o pacote.

    Você define uma chave MD5 para cada interface. Se o MD5 for habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são rejeitadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) definido para essa interface.

  • Autenticação IPsec (começando pelo Junos OS Release 8.3)— Autentica as interfaces OSPFv2, o endpoint remoto de um link falso e o link virtual OSPFv2 usando associações de segurança manuais (SAs) para garantir que o conteúdo de um pacote seja seguro entre os dispositivos de roteamento. Você configura a autenticação IPsec real separadamente.

    Nota:

    Você pode configurar a autenticação IPsec junto com MD5 ou autenticação simples.

    As seguintes restrições se aplicam à autenticação IPsec para OSPFv2:

    • Os SAs dinâmicos de troca de chaves da Internet (IKE) não são suportados.

    • Apenas o modo de transporte IPsec é suportado. O modo túnel não é suportado.

    • Como apenas SAs manuais bidirecionais são suportados, todos os pares OSPFv2 devem ser configurados com o mesmo IPsec SA. Você configura uma SA bidirecional manual no nível de [edit security ipsec] hierarquia.

    • Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto, para todos os vizinhos no OSPF nonbroadcast multiaccess (NBMA) ou links ponto a multipoint, e para cada sub-rede que faz parte de um link de broadcast.

    • As interfaces peer OSPFv2 não são suportadas.

Como o OSPF executa a autenticação no nível da área, todos os dispositivos de roteamento dentro da área devem ter a mesma autenticação e senha correspondente (chave) configuradas. Para que a autenticação MD5 funcione, os dispositivos de roteamento de recebimento e transmissão devem ter a mesma chave MD5. Além disso, uma senha simples e a chave MD5 são mutuamente exclusivas. Você pode configurar apenas uma senha simples, mas várias chaves MD5.

Como parte de suas medidas de segurança, você pode alterar as chaves MD5. Você pode fazer isso configurando várias chaves MD5, cada uma com um ID de chave exclusivo, e definindo a data e a hora de mudar para a nova chave. Cada chave MD5 única tem um ID exclusivo. O ID é usado pelo receptor do pacote OSPF para determinar qual chave usar para autenticação. O ID chave, necessário para autenticação MD5, especifica o identificador associado à chave MD5.

A partir do Junos OS Release 22.4R1, oferecemos suporte à autenticação PUBLICITÁRIA OSPF MD5 com várias chaves ativas para enviar pacotes com um limite máximo de duas chaves por interface. Ter várias chaves ativas a qualquer momento na interface permite a transição tranquila de uma chave para outra para OSPF. Você pode excluir chaves antigas sem qualquer impacto na sessão do OSPF.

Veja também

Entender a autenticação do OSPFv3

O OSPFv3 não tem um método de autenticação integrado e conta com o pacote de segurança IP (IPsec) para fornecer essa funcionalidade. O IPsec oferece funcionalidades como autenticação de origem, integridade de dados, confidencialidade, proteção de repetição e nãorepudiação da origem. Você pode usar o IPsec para proteger interfaces osPFv3 específicas e proteger links virtuais OSPFv3.

Nota:

Você configura a autenticação IPsec real separadamente de sua configuração OSPFv3 e aplica o IPsec às interfaces OSPFv3 ou links virtuais OSPFv3.

O OSPFv3 usa o cabeçalho de autenticação DE IP (AH) e as porções de payload de segurança (ESP) de encapsulamento ip do Protocolo IPsec para autenticar informações de roteamento entre pares. A AH pode fornecer integridade sem conexão e autenticação de origem dos dados. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. O ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego ou integridade sem conexão, autenticação de origem de dados e um serviço anti-replay.

O IPsec é baseado em associações de segurança (SAs). Um SA é um conjunto de especificações IPsec que são negociadas entre dispositivos que estão estabelecendo uma relação IPsec. Essa conexão simplex fornece serviços de segurança aos pacotes transportados pela SA. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPsec a serem usados ao estabelecer a conexão IPsec. Uma SA é usada para criptografar e autenticar um fluxo específico em uma direção. Portanto, no tráfego bidirecional normal, os fluxos são protegidos por um par de SAs. Um SA a ser usado com o OSPFv3 deve ser configurado manualmente e usar o modo de transporte. Os valores estáticos devem ser configurados em ambas as extremidades da SA.

As SAs manuais não exigem negociação entre os pares. Todos os valores, incluindo as chaves, são estáticos e especificados na configuração. As SAs manuais definem estaticamente os valores, algoritmos e chaves do índice de parâmetros de segurança (SPI) a serem usados e exigem configurações de correspondência em ambos os pontos finais (pares OSPFv3). Como resultado, cada peer deve ter as mesmas opções configuradas para a comunicação acontecer.

A escolha real dos algoritmos de criptografia e autenticação é deixada para o administrador do IPsec; no entanto, temos as seguintes recomendações:

  • Use ESP com criptografia NULL para fornecer autenticação apenas aos cabeçalhos de protocolo OSPFv3. Com a criptografia NULL, você está optando por não fornecer criptografia em cabeçalhos OSPFv3. Isso pode ser útil para fins de solução de problemas e depuração. Para obter mais informações sobre a criptografia NULL, consulte RFC 2410, o algoritmo de criptografia NULL e seu uso com iPsec.

  • Use ESP com criptografia não NULL para obter total confidencialidade. Com criptografia não NULL, você está optando por fornecer criptografia. Para obter mais informações sobre a criptografia NULL, consulte RFC 2410, o algoritmo de criptografia NULL e seu uso com iPsec.

  • Use a AH para fornecer autenticação aos cabeçalhos de protocolo OSPFv3, porções do cabeçalho IPv6 e porções dos cabeçalhos de extensão.

As seguintes restrições aplicam-se à autenticação IPsec para OSPFv3:

  • As associações de segurança (SAs) do Dynamic Internet Key Exchange (IKE) não são suportadas.

  • Apenas o modo de transporte IPsec é suportado. No modo de transporte, apenas a carga útil (os dados que você transfere) do pacote IP é criptografada e/ou autenticada. O modo túnel não é suportado.

  • Como apenas SAs manuais bidirecionais são suportados, todos os pares OSPFv3 devem ser configurados com o mesmo IPsec SA. Você configura uma SA bidirecional manual no nível de [edit security ipsec] hierarquia.

  • Você deve configurar o mesmo IPsec SA para todos os links virtuais com o mesmo endereço de endpoint remoto.

Veja também

Exemplo: configurar a autenticação simples para trocas DEPFv2

Este exemplo mostra como habilitar a autenticação simples para trocas OSPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação simples usa uma senha de texto simples que está incluída no pacote transmitido. O dispositivo de roteamento recebendo usa uma chave de autenticação (senha) para verificar o pacote. Senhas de texto simples não são criptografadas e podem estar sujeitas à interceptação de pacotes. Esse método é o menos seguro e só deve ser usado se a segurança de rede não for o seu objetivo.

Você pode configurar apenas uma chave de autenticação simples (senha) no dispositivo de roteamento. A chave simples pode ser de 1 a 8 caracteres e pode incluir strings ASCII. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").

Neste exemplo, você especifica a interface OSPFv2 para 0/1/0 na área 0.0.0.0, define o tipo de autenticação como senha simples e define a chave como PssWd4.

Configuração

Configuração rápida da CLI

Para configurar rapidamente a autenticação simples, copie o seguinte comando, removendo quaisquer quebras de linha e depois cole o comando na CLI. Você deve configurar todos os dispositivos de roteamento dentro da área com a mesma autenticação e senha correspondente.

Procedimento

Procedimento passo a passo

Para permitir a autenticação simples para trocas DEPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Defina o tipo de autenticação e a senha.

  4. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPFv2 na área.

Resultados

Confirme sua configuração entrando no show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha configurada.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando o método de autenticação configurada

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. O campo do Tipo de Autenticação exibe senha quando configurado para autenticação simples.

Ação

Do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Exemplo: configurar a autenticação MD5 para trocas OSPFv2

Este exemplo mostra como habilitar a autenticação MD5 para trocas DEPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação MD5 usa um checksum MD5 codificado que está incluído no pacote transmitido. O dispositivo de roteamento recebendo usa uma chave de autenticação (senha) para verificar o pacote.

Você define uma chave MD5 para cada interface. Se o MD5 for habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são rejeitadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) definido para essa interface.

Neste exemplo, você cria a área do backbone (área 0.0.0.0),especifica a interface OSPFv2 para 0/2/0, define o tipo de autenticação para md5 e define o ID da chave de autenticação como 5 e a senha como PssWd8.

Topologia

Configuração

Configuração rápida da CLI

Para configurar rapidamente a autenticação MD5, copie o seguinte comando e cole-o na CLI.

Procedimento

Procedimento passo a passo

Para habilitar a autenticação MD5 para trocas OSPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Configure a autenticação MD5 e defina um ID chave e uma senha de autenticação.

  4. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPFv2.

Resultados

Confirme sua configuração entrando no show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha configurada.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando o método de autenticação configurada

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. Quando configurado para autenticação MD5, o campo Do Tipo de Autenticação exibe MD5, o campo ID de chave ativa exibe o número exclusivo que você inseriu que identifica a chave MD5, e o campo de tempo de início exibe a data como Horário de início de 1970 Jan 01 00:00:00 PST. Não se assuste com este horário de início. Este é o tempo de início padrão que o dispositivo de roteamento exibe se a chave MD5 for efetivada imediatamente.

Ação

Do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Exemplo: configurar uma transição de chaves MD5 em uma interface OSPFv2

Este exemplo mostra como configurar uma transição de chaves MD5 em uma interface OSPFv2.

Requisitos

Antes de começar:

Visão geral

A autenticação MD5 usa um checksum MD5 codificado que está incluído no pacote transmitido. Para que a autenticação MD5 funcione, os dispositivos de roteamento de recebimento e transmissão devem ter a mesma chave MD5.

Você define uma chave MD5 para cada interface. Se o MD5 for habilitado em uma interface, essa interface só aceita atualizações de roteamento se a autenticação MD5 for bem sucedida. Caso contrário, as atualizações são rejeitadas. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo identificador de chave (ID) definido para essa interface.

Para aumentar a segurança, você pode configurar várias chaves MD5, cada uma com um ID chave exclusivo, e definir a data e a hora de mudar para uma nova chave. O receptor do pacote OSPF usa o ID para determinar qual chave usar para autenticação.

Neste exemplo, você configura novas chaves para entrar em vigor às 12h01 do primeiro dia dos próximos três meses na interface OSPFv2 fe-0/0/1 na área do backbone (área 0.0.0.0.0), e você configura as seguintes configurações de autenticação MD5:

  • md5 — especifica o ID da chave de autenticação MD5. O ID chave pode ser definido em qualquer valor entre 0 e 255, com um valor padrão de 0. O dispositivo de roteamento só aceita pacotes OSPFv2 enviados usando o mesmo ID chave que é definido para essa interface.

  • chave — especifica a chave MD5. Cada chave pode ter um valor de 1 a 16 caracteres de comprimento. Os caracteres podem incluir strings ASCII. Se você incluir espaços, inclua todos os caracteres entre aspas (" ").

  • tempo de início — especifica o tempo para começar a usar a chave MD5. Essa opção permite configurar um mecanismo de transição suave para várias chaves. O tempo de partida é relevante para a transmissão, mas não para receber pacotes OSPF.

Nota:

Você deve definir as mesmas senhas e datas e horários de transição em todos os dispositivos da área para que as adjacências DO OSPFv2 permaneçam ativas.

Topologia

Configuração

Configuração rápida da CLI

Para configurar rapidamente várias chaves MD5 em uma interface OSPFv2, copie os seguintes comandos, remova quaisquer quebras de linha e depois cole os comandos na CLI.

Procedimento

Procedimento passo a passo

Para configurar várias chaves MD5 em uma interface OSPFv2:

  1. Crie uma área de OSPF.

  2. Especifique a interface.

  3. Configure a autenticação MD5 e defina uma senha de autenticação e um ID chave.

  4. Configure uma nova chave para entrar em vigor às 00h01 no primeiro dia de fevereiro, março e abril.

    Você configura uma nova senha de autenticação e um ID chave para cada mês.

    1. Para o mês de fevereiro, insira o seguinte:

    2. Para o mês de março, insira o seguinte:

    3. Para o mês de abril, insira o seguinte:

  5. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPFv2.

Resultados

Confirme sua configuração entrando no show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha configurada.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando o método de autenticação configurada

Propósito

Verifique se o método de autenticação para enviar e receber pacotes de protocolo OSPF está configurado. Quando configurado para autenticação MD5 com uma transição de chaves, o campo do tipo Auth exibe MD5, o campo ID de chave ativa exibe o número único que você inseriu que identifica a chave MD5, e o campo de tempo de início exibe o momento em que o dispositivo de roteamento começa a usar uma chave MD5 para autenticar pacotes OSPF transmitidos na interface configurada.

Ação

Do modo operacional, entre no show ospf interface e nos show ospf overview comandos.

Usando o IPsec para proteger as redes OSPFv3 (procedimento de CLI)

A versão 3 do OSPF (OSPFv3) não tem um método de autenticação integrado e conta com o IP Security (IPsec) para fornecer essa funcionalidade. Você pode usar o IPsec para proteger interfaces OSPFv3 em switches da Série EX.

Este tópico inclui:

Configuração de associações de segurança

Quando você configura uma associação de segurança (SA), inclua suas opções para autenticação, criptografia, direção, modo, protocolo e índice de parâmetros de segurança (SPI).

Para configurar uma associação de segurança:

  1. Especifique um nome para a associação de segurança:
  2. Especifique o modo da associação de segurança:
  3. Especifique o tipo de associação de segurança:
  4. Especifique a direção da associação de segurança:
  5. Especifique o valor do índice de parâmetros de segurança:
  6. Especifique o tipo de autenticação a ser usada:
  7. Especifique o algoritmo de criptografia e a chave:

Proteção das redes OPSFv3

Você pode proteger a rede OSPFv3 aplicando a SA na configuração OSPFv3.

Para proteger a rede OSPFv3:

Exemplo: configurar a autenticação IPsec para uma interface OSPF

Este exemplo mostra como habilitar a autenticação do IP Security (IPsec) para uma interface OSPF.

Requisitos

Antes de começar:

Visão geral

Você pode usar a autenticação IPsec para OSPFv2 e OSPFv3. Você configura a autenticação IPsec real separadamente e aplica-a à configuração osPF aplicável.

OSPFv2

Começando pelo Junos OS Release 8.3, você pode usar a autenticação IPsec para autenticar interfaces OSPFv2, o endpoint remoto de um link falso e o enlace virtual OSPFv2 usando associações de segurança manuais (SAs) para garantir que o conteúdo de um pacote seja seguro entre os dispositivos de roteamento.

Nota:

Você pode configurar a autenticação IPsec junto com MD5 ou autenticação simples.

Para habilitar a autenticação do IPsec, faça um dos seguintes:

  • Para uma interface OSPFv2, inclua a ipsec-sa name declaração para uma interface específica:

  • Para um link falso remoto, inclua a ispec-sa name declaração para o ponto final remoto do link sham:

    Nota:

    Se uma configuração vpn de Camada 3 tiver vários links falsos com o mesmo endereço IP de endpoint remoto, você deve configurar a mesma associação de segurança IPsec para todos os endpoints remotos. Você configura uma VPN de Camada 3 no nível de [edit routing-instances routing-instance-name instance-type] hierarquia. Para obter mais informações sobre VPNs de Camada 3, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

  • Para um link virtual, inclua a ipsec-sa name declaração para um link virtual específico:

OSPFv3

O OSPFv3 não tem um método de autenticação integrado e conta com o IPsec para fornecer essa funcionalidade. Você usa a autenticação IPsec para proteger interfaces OSPFv3 e proteger links virtuais OSPFv3 usando SAs manuais para garantir que o conteúdo de um pacote seja seguro entre os dispositivos de roteamento.

Para aplicar a autenticação, faça um dos seguintes:

  • Para uma interface OSPFv3, inclua a ipsec-sa name declaração para uma interface específica:

  • Para um link virtual, inclua a ipsec-sa name declaração para um link virtual específico:

Tasks to Complete for Both OSPFv2 and OSPFv3

Neste exemplo, você executa as seguintes tarefas:

  1. Configure a autenticação IPsec. Para isso, defina um SA manual chamado sa1 e especifique a direção de processamento, o protocolo usado para proteger o tráfego IP, o índice de parâmetros de segurança (SPI) e o algoritmo e a chave de autenticação.

    1. Configure a seguinte opção no nível de [edit security ipsec security-association sa-name mode] hierarquia:

      transporte — especifica o modo de transporte. Esse modo protege o tráfego quando o endpoint de comunicação e o endpoint criptográfico são os mesmos. A parte de dados do pacote IP é criptografada, mas o cabeçalho IP não é.

    2. Configure a seguinte opção no nível de [edit security ipsec security-association sa-name manual direction] hierarquia:

      bidirecional — define a direção do processamento IPsec. Ao especificar a proposta, os mesmos algoritmos, chaves e valores de índice de paramater de segurança (SPI) configurados são usados em ambas as direções.

    3. Configure as seguintes opções no nível de [edit security ipsec security-association sa-name manual direction bidirectional] hierarquia:

      protocolo — define o protocolo IPsec usado pela SA manual para proteger o tráfego IP. Você pode especificar o cabeçalho de autenticação (AH) ou o encapsulamento security payload (ESP). Se você especificar AH, o que você faz neste exemplo, você não pode configurar a criptografia.

      spi — configura o SPI para o SA manual. Um SPI é um valor arbitrário que identifica exclusivamente qual SA usar no host receptor. O host de envio usa o SPI para identificar e selecionar qual SA usar para proteger cada pacote. O host receptor usa o SPI para identificar e selecionar o algoritmo de criptografia e a chave usada para descriptografar pacotes. Neste exemplo, você especifica 256.

      autenticação — configura o algoritmo de autenticação e a chave. A opção de algoritmo especifica o algoritmo hash que autentica dados de pacotes. Neste exemplo, você especifica o hmac-md5-96, que produz uma digestão de 128 bits. A opção-chave indica o tipo de chave de autenticação. Neste exemplo, você especifica comocii-text-key, que são 16 caracteres ASCII para o algoritmo hmac-md5-96 .

  2. Habilite a autenticação IPsec na interface OSPF para 0/2/0,0 na área do backbone (área 0.0.0.0.0) incluindo o nome sa1 manual que você configurou no nível de [edit security ipsec] hierarquia.

Topologia

Configuração

Configuração de associações de segurança

Configuração rápida da CLI

Para configurar rapidamente uma SA manual a ser usada para autenticação IPsec em uma interface OSPF, copiar os seguintes comandos, remover quaisquer quebras de linha e, em seguida, colar os comandos na CLI.

Procedimento passo a passo

Para configurar uma SA manual a ser usada em uma interface OSPF:

  1. Especifique um nome para a SA.

  2. Especifique o modo da SA.

  3. Configure a direção da SA manual.

  4. Configure o protocolo IPsec para usar.

  5. Configure o valor do SPI.

  6. Configure o algoritmo de autenticação e a chave.

  7. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPF.

Resultados

Confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Nota:

Depois de configurar a senha, você não verá a senha em si. A saída exibe a forma criptografada da senha configurada.

Habilitando a autenticação IPsec para uma interface OSPF

Configuração rápida da CLI

Para aplicar rapidamente uma SA manual usada para autenticação IPsec em uma interface OSPF, copie o seguinte comando e cole-o na CLI.

Procedimento passo a passo

Para habilitar a autenticação IPsec para uma interface OSPF:

  1. Crie uma área de OSPF.

    Nota:

    Para especificar o OSPFv3, inclua a ospf3 declaração no nível de [edit protocols] hierarquia.

  2. Especifique a interface.

  3. Aplique o SA manual IPsec.

  4. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração em todos os dispositivos de roteamento peer OSPF.

Resultados

Confirme sua configuração entrando no show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Para confirmar sua configuração OSPFv3, entre no show protocols ospf3 comando.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando as configurações da IPsec Security Association

Propósito

Verifique as configurações configuradas da associação de segurança IPsec. Verifique as seguintes informações:

  • O campo da associação de segurança exibe o nome da associação de segurança configurada.

  • O campo SPI exibe o valor configurado.

  • O campo Mode exibe o modo de transporte.

  • O campo Type exibe manual como o tipo de associação de segurança.

Ação

Do modo operacional, entre no show ipsec security-associations comando.

Verificando a IPsec Security Association na interface OSPF

Propósito

Verifique se a associação de segurança IPsec que você configurou foi aplicada à interface OSPF. Confirme que o campo de nome IPSec SA exibe o nome da associação de segurança IPsec configurada.

Ação

Do modo operacional, entre no comando do show ospf interface detail OSPFv2 e insira o show ospf3 interface detail comando para o OSPFv3.

Veja também

Documentação relacionada

Tabela de histórico de lançamento
Lançamento
Descrição
22.4R1