Autenticação para protocolos de roteamento
Você pode configurar um método de autenticação e uma senha para mensagens de protocolo de roteamento para muitos protocolos de roteamento, incluindo BGP, IS-IS, OSPF, RIP e RSVP. Para evitar a troca de pacotes não autenticados ou forjados, os roteadores devem garantir que formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) com colegas de confiança. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes enviados pelo protocolo do roteador ou de uma interface de roteador.
Este tópico oferece uma visão geral de alto nível e alguns exemplos básicos para autenticar protocolos de roteamento. Para obter informações detalhadas sobre a configuração da autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.
Métodos de autenticação para protocolos de roteamento
Alguns protocolos de roteamento — BGP, IS-IS, OSPF, RIP e RSVP — permitem que você configure um método de autenticação e uma senha. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes que o protocolo envia do roteador ou de uma interface de roteador. Os seguintes métodos de autenticação são suportados:
-
Autenticação simples (IS-IS, OSPF e RIP) — usa uma senha de texto simples. O roteador receptor usa uma chave de autenticação (senha) para verificar o pacote. Como a senha está incluída no pacote transmitido, este método de autenticação é relativamente inseguro. Recomendamos que você evite usar este método de autenticação.
-
MD5 e HMAC-MD5 (BGP, IS-IS, OSPF, RIP e RSVP) — o MD5 cria um checksum codificado que está incluído no pacote transmitido. O HMAC-MD5, que combina a autenticação de HMAC com MD5, adiciona o uso de uma função hash criptográfica iterada. Com ambos os tipos de autenticação, o roteador receptor usa uma chave de autenticação (senha) para verificar o pacote. A autenticação HMAC-MD5 é definida em RFC 2104, HMAC: Keyed-Hashing para autenticação de mensagens.
Em geral, as senhas de autenticação são strings de texto que consistem em algum número máximo de letras e dígitos. As senhas podem incluir quaisquer caracteres ASCII. Se você incluir espaços em uma senha, coloque todos os caracteres entre aspas (" ").
O Junos-FIPS tem requisitos especiais de senha. As senhas FIPS devem ter entre 10 e 20 caracteres de comprimento. As senhas devem usar pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais). Se o Junos-FIPS estiver instalado no roteador, você não poderá configurar senhas a menos que atendam a esse padrão.
Exemplo: Configure a chave de autenticação para protocolos de roteamento BGP e IS-IS
A principal tarefa de um roteador é usar suas tabelas de roteamento e encaminhamento para encaminhar o tráfego de usuários para o destino desejado. Os invasores podem enviar pacotes de protocolo de roteamento forjados para um roteador com a intenção de alterar ou fraudar o conteúdo de sua tabela de roteamento ou outros bancos de dados, o que por sua vez pode degradar a funcionalidade do roteador e da rede. Para evitar tais ataques, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) a pares de confiança. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Recomendamos fortemente o uso da autenticação na configuração de protocolos de roteamento.
Junos OS oferece suporte à autenticação HMAC-MD5 para BGP, IS-IS, OSPF, RIP e RSVP. O HMAC-MD5 usa uma chave secreta combinada com os dados sendo transmitidos para computar um hash. O hash computado é transmitido junto com os dados. O receptor usa a chave correspondente para recompensar e validar o hash da mensagem. Se um invasor forjou ou modificou a mensagem, o hash não corresponderá e os dados serão descartados.
Nos exemplos a seguir, configuramos o BGP como o protocolo de gateway exterior (EGP) e IS-IS como o protocolo de gateway interior (IGP). Se você usar o OSPF, configure-o de maneira semelhante à configuração IS-IS mostrada.
Configure BGP
O exemplo a seguir mostra a configuração de uma única chave de autenticação para diferentes grupos de peer BGP. Você também pode configurar a autenticação BGP nos níveis de instância de vizinhos ou roteamento, ou para todas as sessões BGP. Como em qualquer configuração de segurança, há uma compensação entre o grau de granularidade (e, em certa medida, o grau de segurança) e a quantidade de gerenciamento necessária para manter o sistema.
Este exemplo também configura uma série de opções de rastreamento para eventos e erros de protocolo de roteamento, que podem ser bons indicadores de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsos ou malformados para o roteador na tentativa de obter um comportamento específico.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
Configure IS-IS
Embora ofereça suporte à autenticação para todos os IGPs, alguns IGPs são inerentemente mais seguros do que outros.Junos OS A maioria dos provedores de serviços usa OSPF ou IS-IS para permitir rápida convergência interna e escalabilidade e usar recursos de engenharia de tráfego com MPLS. Como o IS-IS não opera na camada de rede, é mais difícil falsificar do que o OSPF. O OSPF está encapsulado em IP e, portanto, está sujeito a ataques remotos de spoofing e negação de serviço (DoS).
O exemplo a seguir configura a autenticação para IS-IS. Ele também configura uma série de opções de rastreamento para eventos e erros de protocolo de roteamento, o que pode ser um bom indicador de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsos ou malformados para o roteador na tentativa de obter um comportamento específico.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Configure o mecanismo de atualização chave de autenticação para protocolos de roteamento
Você pode configurar um mecanismo de atualização de chave de autenticação para os protocolos de roteamento BGP, LDP e IS-IS. Esse mecanismo permite que você atualize as chaves de autenticação sem interromper protocolos de roteamento e sinalização associados, como OSPF e RSVP.
Para configurar esse recurso, inclua a declaração no nível de hierarquia.authentication-key-chains[edit security] Para aplicar a cadeia de chave, você deve configurar o identificador de cadeia de chave e o algoritmo de cadeia de chave no nível de hierarquia apropriado para o protocolo.
As seções a seguir fornecem mais informações sobre a configuração de atualizações chave de autenticação para protocolos de roteamento. Para obter informações detalhadas sobre a configuração de atualizações chave de autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.
- Configure atualizações chave de autenticação
- Configure BGP e LDP para atualizações chave de autenticação
Configure atualizações chave de autenticação
Para configurar o mecanismo de atualização da chave de autenticação, inclua a declaração no nível da hierarquia e especifique a opção de criar um chaveiro que consiste em várias chaves de autenticação.key-chain[edit security authentication-key-chains]key
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain— Atribua um nome ao mecanismo de chaveiro. Você faz referência a este nome nos níveis de hierarquia apropriados para que o protocolo associe atributos de autenticação exclusivos, conforme especificado usando as seguintes opções:key-chain
-
algorithm— Algoritmo de autenticação para IS-IS. -
key— Valor inteiro que identifica exclusivamente cada chave dentro de um chaveiro. A faixa é de 0 a 63. -
options—(somente IS-IS) Formato de codificação de transmissão de protocolo para codificação do código de autenticação de mensagem em pacotes de protocolo de roteamento. -
secret— Senha em texto criptografado ou formato de texto simples. Mesmo que você insira os dados secretos em formato de texto simples, o segredo sempre aparece em formato criptografado. -
— Hora de iniciar a transmissão da chave de autenticação, especificada na UTC.
start-timeO tempo de início deve ser único dentro do chaveiro.
Configure BGP e LDP para atualizações chave de autenticação
Para configurar o mecanismo de atualização chave de autenticação para os protocolos de roteamento BGP e LDP, inclua a declaração dentro do nível de hierarquia.authentication-key-chain[edit protocols (bgp | ldp)] Incluindo a declaração associa cada protocolo de roteamento com as chaves de autenticação.authentication-key-chain[edit security authentication-key-chains] Você também deve configurar a declaração e especificar o algoritmo.authentication-algorithm Por exemplo:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Ao configurar o mecanismo de atualização de chave de autenticação para BGP, você não pode confirmar a declaração com chaves de autenticação ou chaveiros.0.0.0.0/allow Se você tentar essa ação, a CLI emite um aviso e o commit falha.