Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação para protocolos de roteamento

Você pode configurar um método de autenticação e senha para roteamento de mensagens de protocolo para muitos protocolos de roteamento, incluindo BGP, IS-IS, OSPF, RIP e RSVP. Para evitar a troca de pacotes não autenticados ou forjados, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) com colegas confiáveis. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes enviados pelo protocolo do roteador ou de uma interface de roteador.

Este tópico oferece uma visão geral de alto nível e alguns exemplos básicos para autenticar protocolos de roteamento. Para obter informações detalhadas sobre a configuração da autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.

Métodos de autenticação para protocolos de roteamento

Alguns protocolos de roteamento — BGP, IS-IS, OSPF, RIP e RSVP — permitem que você configure um método de autenticação e uma senha. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes que o protocolo envia do roteador ou de uma interface de roteador. Os seguintes métodos de autenticação são suportados:

  • Autenticação simples (IS-IS, OSPF e RIP)— usa uma senha de texto simples. O roteador receptor usa uma chave de autenticação (senha) para verificar o pacote. Como a senha está incluída no pacote transmitido, esse método de autenticação é relativamente inseguro. Recomendamos que você evite usar esse método de autenticação.

  • MD5 e HMAC-MD5 (BGP, IS-IS, OSPF, RIP e RSVP)— o MD5 cria um checksum codificado incluído no pacote transmitido. O HMAC-MD5, que combina a autenticação de HMAC com o MD5, adiciona o uso de uma função hash criptográfica iterada. Com ambos os tipos de autenticação, o roteador recebedor usa uma chave de autenticação (senha) para verificar o pacote. A autenticação HMAC-MD5 é definida no RFC 2104, HMAC: Keyed-Hashing para autenticação de mensagens.

Em geral, as senhas de autenticação são strings de texto que consistem em algum número máximo de letras e dígitos. Senhas podem incluir quaisquer caracteres ASCII. Se você incluir espaços em uma senha, inclua todos os caracteres entre aspas (" ").

O Junos-FIPS tem requisitos especiais de senha. As senhas FIPS devem ter entre 10 e 20 caracteres de comprimento. As senhas devem usar pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais). Se o Junos-FIPS for instalado no roteador, você não pode configurar senhas a menos que atendam a esse padrão.

Example: Configure a chave de autenticação para protocolos de roteamento BGP e IS-IS

A principal tarefa de um roteador é usar suas tabelas de roteamento e encaminhamento para encaminhar o tráfego do usuário ao destino desejado. Os invasores podem enviar pacotes de protocolo de roteamento forjados para um roteador com a intenção de alterar ou corromper o conteúdo de sua tabela de roteamento ou outros bancos de dados, o que, por sua vez, pode degradar a funcionalidade do roteador e da rede. Para evitar esses ataques, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) a colegas confiáveis. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Recomendamos fortemente o uso da autenticação ao configurar protocolos de roteamento.

Junos OS oferece suporte à autenticação HMAC-MD5 para BGP, IS-IS, OSPF, RIP e RSVP. O HMAC-MD5 usa uma chave secreta combinada com os dados sendo transmitidos para computar um hash. O hash computado é transmitido junto com os dados. O receptor usa a chave de correspondência para recompensar e validar o hash da mensagem. Se um invasor forjou ou modificou a mensagem, o hash não se igualará e os dados serão descartados.

Nos exemplos a seguir, configuramos o BGP como o protocolo de gateway externo (EGP) e IS-IS como o protocolo de gateway interior (IGP). Se você usar o OSPF, configure-o de maneira semelhante à configuração IS-IS mostrada.

Configure BGP

O exemplo a seguir mostra a configuração de uma única chave de autenticação para diferentes grupos de peer BGP. Você também pode configurar a autenticação BGP nos níveis vizinhos ou de instâncias de roteamento, ou para todas as sessões BGP. Como acontece com qualquer configuração de segurança, existe uma troca entre o grau de granularidade (e, até certo ponto, o grau de segurança) e a quantidade de gerenciamento necessária para manter o sistema.

Este exemplo também configura várias opções de rastreamento para roteamento de eventos e erros de protocolo, o que pode ser um bom indicador de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsificados ou malformados para o roteador na tentativa de obter um comportamento específico.

Configure IS-IS

Embora ofereça Junos OS suporte à autenticação para todos os IGPs, alguns IGPs são inerentemente mais seguros do que outros. A maioria dos provedores de serviços usa OSPF ou IS-IS para permitir rápida convergência interna e escalabilidade e usar recursos de engenharia de tráfego com MPLS. Como o IS-IS não opera na camada de rede, é mais difícil falsificar do que o OSPF. O OSPF é encapsulado em IP e, portanto, está sujeito a ataques remotos de spoofing e negação de serviço (DoS).

O exemplo a seguir configura a autenticação para IS-IS. Ele também configura várias opções de rastreamento para roteamento de eventos e erros de protocolo, o que pode ser um bom indicador de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsificados ou malformados para o roteador na tentativa de obter um comportamento específico.

Configure o mecanismo de atualização chave de autenticação para protocolos de roteamento

Você pode configurar um mecanismo de atualização chave de autenticação para os protocolos de roteamento BGP, LDP e IS-IS. Esse mecanismo permite que você atualize as chaves de autenticação sem interromper protocolos de roteamento e sinalização associados, como OSPF e RSVP.

Para configurar esse recurso, inclua a authentication-key-chains declaração no nível de [edit security] hierarquia. Para aplicar a cadeia de chaves, você deve configurar o identificador de cadeia de chave e o algoritmo da cadeia de chave no nível de hierarquia apropriado para o protocolo.

As seções a seguir fornecem mais informações sobre a configuração de atualizações-chave de autenticação para protocolos de roteamento. Para obter informações detalhadas sobre a configuração das principais atualizações de autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.

Configure as principais atualizações da autenticação

Para configurar o mecanismo de atualização da chave de autenticação, inclua a key-chain declaração no nível da [edit security authentication-key-chains] hierarquia e especifique a opção key de criar um chaveiro que consiste em várias chaves de autenticação.

key-chain— Atribua um nome ao mecanismo de chaveiro. Você faz referência a este nome nos níveis de hierarquia apropriados para que o protocolo associe atributos de autenticação key-chain exclusivos, conforme especificado usando as seguintes opções:

  • algorithm— Algoritmo de autenticação para IS-IS.

  • key— Valor inteiro que identifica cada chave com exclusividade dentro de um chaveiro. A faixa é de 0 a 63.

  • options— (somente IS-IS) Formato de codificação de transmissão de protocolo para codificação do código de autenticação de mensagens em pacotes de protocolo de roteamento.

  • secret— Senha em texto criptografado ou formato de texto simples. Mesmo que você insira os dados secretos em formato de texto simples, o segredo sempre aparece em formato criptografado.

  • start-time— Horário de início para a transmissão da chave de autenticação, especificada na UTC. O tempo de início deve ser único dentro do chaveiro.

Configure BGP e LDP para atualizações chave de autenticação

Para configurar o mecanismo de atualização chave de autenticação para os protocolos de roteamento BGP e LDP, inclua a authentication-key-chain declaração dentro do nível de [edit protocols (bgp | ldp)] hierarquia. Incluindo a authentication-key-chain declaração associa cada protocolo de roteamento com as chaves de [edit security authentication-key-chains] autenticação. Você também deve configurar a authentication-algorithm declaração e especificar o algoritmo. Por exemplo:

Nota:

Ao configurar o mecanismo de atualização da chave de autenticação para BGP, você não pode comprometer a 0.0.0.0/allow declaração com chaves de autenticação ou chaveiros. Se você tentar essa ação, a CLI emite um aviso e o commit falha.