Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação para protocolos de roteamento

Você pode configurar um método de autenticação e uma senha para mensagens de protocolo de roteamento para IGPs, IS-IS, OSPF e RIP e RSVP. Para evitar a troca de pacotes não autenticados ou falsos, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relações com os vizinhos) a colegas confiáveis. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes enviados pelo protocolo do roteador ou de uma interface do roteador. Leia este tópico para obter mais informações.

Métodos de autenticação do Junos OS para protocolos de roteamento

Alguns protocolos de gateway interior (IGPs)— Sistema Intermediário para Sistema Intermediário (IS-IS), Open Shortest Path First (OSPF) (OSPF) e Routing Information Protocol (RIP)— e rSVP (Resource Reservation Protocol) permitem configurar um método e senha de autenticação. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes enviados pelo protocolo do roteador ou de uma interface do roteador. Os seguintes métodos de autenticação são suportados:

  • Autenticação simples (IS-IS, OSPF e RIP)— Usa uma senha de texto simples. O roteador de recebimento usa uma chave de autenticação (senha) para verificar o pacote. Como a senha está incluída no pacote transmitido, esse método de autenticação é relativamente inseguro. Recomendamos que você não use esse método de autenticação.

  • MD5 e HMAC-MD5 (IS-IS, OSPF, RIP e RSVP)— Message Digest 5 (MD5) cria um checksum codificado incluído no pacote transmitido. O HMAC-MD5, que combina autenticação de HMAC com MD5, adiciona o uso de uma função de hash criptográfico iterado. Com ambos os tipos de autenticação, o roteador de recebimento usa uma chave de autenticação (senha) para verificar o pacote. A autenticação HMAC-MD5 é definida em RFC 2104, HMAC: Keyed-Hashing para autenticação de mensagens.

Em geral, as senhas de autenticação são strings de texto que consistem em no máximo 16 ou 255 letras e dígitos. Caracteres podem incluir quaisquer strings ASCII. Se você incluir espaços em uma senha, inclua todos os caracteres entre aspas (" ").

O Junos-FIPS tem requisitos de senha especiais. As senhas FIPS devem ter entre 10 e 20 caracteres de comprimento. As senhas devem usar pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais). Caso o Junos-FIPS esteja instalado no roteador, você não pode configurar senhas a menos que elas atendem a esse padrão.

Exemplo: Configurando a chave de autenticação para BGP e IS-IS roteamento

A principal tarefa de um roteador é usar suas tabelas de roteamento e encaminhamento para encaminhamento do tráfego do usuário até o destino desejado. Os invasores podem enviar pacotes de protocolo de roteamento falsos para um roteador com a intenção de alterar ou corromper o conteúdo de sua tabela de roteamento ou outros bancos de dados, o que por sua vez pode prejudicar a funcionalidade do roteador e da rede. Para evitar esses ataques, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relações com os vizinhos) a colegas confiáveis. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Recomendamos usar a autenticação ao configurar protocolos de roteamento. O Junos OS tem suporte para autenticação HMAC-MD5 para BGP, Sistema Intermediário para Sistema Intermediário (IS-IS), Open Shortest Path First (OSPF) (OSPF), Protocolo de Informações de Roteamento (RIP) e Protocolo de reserva de recursos (RSVP). O HMAC-MD5 usa uma chave secreta que é combinada com os dados sendo transmitidas para a computação de um hash. O hash computado é transmitido junto com os dados. O receptor usa a chave correspondente para recomputar e validar o hash de mensagem. Se um invasor forjou ou modificou a mensagem, o hash não combinará e os dados serão descartados.

Nos exemplos a seguir, configuramos BGP como o protocolo de gateway externo (EGP) e IS-IS como o protocolo de gateway interior (IGP). Se você usar OSPF, configure-a de maneira semelhante à IS-IS configuração mostrada.

Configuração de BGP

O exemplo a seguir mostra a configuração de uma única chave de autenticação para BGP peers internos do grupo de colegas. Você também pode configurar BGP autenticação nos níveis de instância do vizinho ou de roteamento ou em todas as BGP sessões. Como em qualquer configuração de segurança, existe uma troca entre o grau de granularidade (e até certo ponto o grau de segurança) e a quantidade de gerenciamento necessária para manter o sistema. Este exemplo também configura várias opções de rastreamento para erros e eventos de protocolo de roteamento, que podem ser bons indicadores de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor que está enviando pacotes de roteamento mal-formados ou não para o roteador na tentativa de emitir um comportamento específico.

Configuração de IS-IS

Embora todos os IGPs sejam suportados pela autenticação de suporte ao Junos OS, alguns são inerentemente mais seguros do que outros. A maioria dos provedores de serviços usa OSPF ou IS-IS para permitir rápida convergência e escalabilidade interna e usar recursos de engenharia de tráfego com Multiprotocol Label Switching (MPLS). Como IS-IS não opera na camada de rede, é mais difícil fazer a spoofagem do que OSPF, que é encapsulado em IP e, portanto, está sujeito a ataques remotos e DoS spoofing.

O exemplo a seguir também mostra como configurar várias opções de rastreamento para eventos e erros de protocolo de roteamento, que podem ser bons indicadores de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor que está enviando pacotes de roteamento mal-formados ou não para o roteador na tentativa de emitir um comportamento específico.

Configurando o mecanismo de atualização de chave de autenticação para BGP e protocolos de roteamento LDP

Você pode configurar um mecanismo de atualização de chave de autenticação para protocolos de roteamento(BGP)e de distribuição de rótulos(LDP). Esse mecanismo permite atualizar chaves de autenticação sem interromper protocolos de roteamento e sinalização associados, como Open Shortest Path First (OSPF)(OSPF)e Protocolo de Configuração de Reserva de Recursos(RSVP).

Para configurar esse recurso, inclua a instrução em nível e inclua as e declarações dos protocolos de roteamento authentication-key-chains[edit security] BGP ou authentication-algorithm algorithmauthentication-key-chain LDP em [edit protocols] nível.

Os tópicos a seguir fornecem mais detalhes sobre a configuração de atualizações-chave de autenticação para BGP e protocolos de roteamento LDP:

Configuração de atualizações-chave de autenticação

Para configurar o mecanismo de atualização da chave de autenticação, inclua a declaração no nível da hierarquia e especifique a opção de criar um chaveiro composto por várias key-chain[edit security authentication-key-chains] chaves de key autenticação.

key-chain— Atribua um nome ao mecanismo de chaveamento. Esse nome também está configurado nos níveis ou na hierarquia para associar atributos exclusivos conforme [edit protocols bgp] especificado usando as seguintes [edit protocols ldp]authentication key-chain opções:

  • key— Cada chave dentro de um chaveiro é identificada por um valor inteiro exclusivo. O intervalo vai de 0 a 63.

  • secret— Cada chave deve especificar um segredo em texto criptografado ou em formato de texto simples. Mesmo que você insira os dados secretos em formato de texto simples, o segredo sempre aparece em formato criptografado.

  • start-time— Os tempos de início para atualizações-chave de autenticação são especificados em UTC (Tempo Universal Coordenado) e devem ser exclusivos dentro do chaveiro.

Configuração de BGP e LDP para atualizações-chave de autenticação

Para configurar o mecanismo de atualização da chave de autenticação para os protocolos de roteamento BGP e LDP, inclua a instrução no nível da hierarquia para associar cada protocolo de roteamento às chaves authentication-key-chain[edit protocols (bgp | ldp)] de [edit security authentication-key-chains] autenticação. Você também deve configurar a authentication-algorithm algorithm instrução em nível [edit protocols (bgp | ldp)] de hierarquia.

Nota:

Ao configurar o mecanismo de atualização da chave de autenticação para BGP, você não pode cometer a declaração com chaves ou cadeias 0.0.0.0/allow de chaves de autenticação. A CLI emite um aviso e não confirma essas configurações.

Para obter informações sobre o protocolo BGP, consulte a Biblioteca de Protocolos de Roteamento do Junos OS para dispositivos de roteamento.