Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

路由协议的身份验证

您可以为 Igp、IS-IS、OSPF、RIP 和 RSVP 配置路由协议消息的身份验证方法和密码。要防止交换未经身份验证或伪造的数据包,路由器必须确保它们与受信任对等方形成路由协议关系(对等或邻接关系)。执行此操作的一种方法是验证路由协议消息。邻接路由器使用密码验证由协议从路由器或路由器接口发送的数据包的真实性。有关详细信息,请阅读本主题。

路由协议 Junos OS 身份验证方法

某些内部网关协议 (ISP)(中间系统到中间系统 (IS-IS)、开放最短路径优先 (OSPF) 和路由信息协议 (RIP))和资源预留协议 (RSVP) 允许您配置身份验证方法和密码。邻接路由器使用密码验证由协议从路由器或路由器接口发送的数据包的真实性。支持以下认证方法:

  • 简单认证(IS-IS、OSPF和 RIP)— 使用简单的文本密码。接收路由器使用身份验证密钥(密码)来验证数据包。由于密码包含在传输的数据包中,因此这种身份验证方法相对安全。建议您 不要使用此 认证方法。

  • MD5 和 HMAC-MD5(IS-IS、OSPF、RIP 和 RSVP)— 消息摘要 5 (MD5) 将创建包含在传输数据包中的编码校验和。HMAC-MD5,将 HMAC 身份验证与 MD5 相结合,添加了迭代加密哈希函数的使用。对于这两种类型的身份验证,接收路由器都使用身份验证密钥(密码)来验证数据包。HMAC-MD5 认证在 RFC 2104、 HMAC:用于消息验证的密钥散列

通常,认证密码是最多包含 16 或 255 个字母和数字的文本字符串。字符可以包含任何 ASCII 字符串。如果在密码中包括空格,请用引号 (" ") 将所有字符括起来。

Junos-FIPS 具有特殊的密码要求。FIPS 密码长度必须为10到20个字符。密码必须至少使用五个定义字符集中的三个(大写字母、小写字母、数字、标点符号和其他特殊字符)。如果路由器上安装了 Junos-FIPS,则不能配置密码,除非符合此标准。

示例:配置 BGP 和 IS-IS 路由协议的身份验证密钥

路由器的主要任务是使用其路由和转发表将用户流量转发至其预定目标。攻击者可以向路由器发送伪造的路由协议数据包,以便更改或损坏其路由表或其他数据库的内容,进而会降低路由器和网络的功能。为防止此类攻击,路由器必须确保它们与受信任对等方形成路由协议关系(对等或邻接关系)。执行此操作的一种方法是验证路由协议消息。强烈建议在配置路由协议时使用身份验证。Junos OS 支持用于 BGP、中间系统到中间系统(IS-IS)、开放最短路径优先(OSPF)、路由信息协议(RIP)和资源保留协议(RSVP)的 HMAC-MD5 身份验证。HMAC-MD5 使用与传输的数据相结合的密钥,以计算哈希值。计算所得的哈希与数据一起传输。接收器使用匹配密钥重新计算和验证消息哈希。如果攻击者伪造或修改了消息,哈希将不匹配,数据将被丢弃。

在以下示例中,我们将 BGP 配置为外部网关协议(EGP),并 IS-IS 为内部网关协议(IGP)。如果使用 OSPF,请将其配置为类似于所示的 IS-IS 配置。

配置 BGP

以下示例显示了如何配置 BGP 对等体组内部对等方的单个身份验证密钥。您还可以在邻居或路由实例级别或所有 BGP 会话中配置 BGP 身份验证。与任何安全配置一样,在粒度程度(以及一定程度上的安全级别)和维护系统所需的管理量之间存在一定的平衡。此示例还配置了大量用于路由协议事件和错误的跟踪选项,这可能是针对路由协议的攻击的良好指示器。这些事件包括协议认证故障,可能指向攻击者向路由器发送欺骗或其他格式错误的路由数据包以尝试引起特定行为。

配置 IS-IS

尽管 Junos OS 支持的所有 Igp 都支持认证,但有些公司本来比其他更安全。大多数服务提供商都使用 OSPF 或 IS-IS 来允许快速的内部融合和可扩展性,并将流量工程功能与 MPLS (MPLS)结合使用。由于 IS-IS 不在网络层工作,因此 OSPF 欺骗更难,因为它被封装在 IP 中,因此受到远程欺骗和 DoS 攻击。

下面的示例还演示如何为路由协议事件和错误配置多个跟踪选项,这可能是针对路由协议的攻击的良好指示器。这些事件包括协议认证故障,可能指向攻击者向路由器发送欺骗或其他格式错误的路由数据包以尝试引起特定行为。

为 BGP 和 LDP 路由协议配置身份验证密钥更新机制

您可以为边界网关协议(BGP)和标签分发协议(LDP)路由协议配置身份验证密钥更新机制。此机制允许您更新身份验证密钥,而不会中断关联的路由和信号协议,例如开放最短路径优先(OSPF)和资源保留设置协议(RSVP)。

要配置此功能,请在此级别包括 语句,并包括 级别的 authentication-key-chains[edit security] BGP 或 LDP 路由协议的 和 authentication-algorithm algorithmauthentication-key-chain[edit protocols] 语句。

以下主题提供有关为 BGP 和 LDP 路由协议配置身份验证密钥更新的更多详细信息:

配置身份验证密钥更新

要配置身份验证密钥更新机制,请将key-chain语句包括在[edit security authentication-key-chains]层次结构级别,并指定key用于创建包含多个身份验证密钥的 keychain 的选项。

key-chain—将名称分配给密钥链机制。此名称还在[edit protocols bgp][edit protocols ldp]层次结构级别上配置,以便将唯一authentication key-chain属性与使用以下选项指定的设置相关联:

  • key— 密钥链中的每个密钥都由唯一整数值标识。范围为0到63。

  • secret—每个密钥都必须以加密文本或纯文本格式指定密钥。即使您以纯文本格式输入机密数据,机密也始终以加密格式显示。

  • start-time—认证密钥更新的启动时间以 UTC( 协调世界时)指定,并且必须在密钥链中具有唯一性。

配置身份验证密钥更新的 BGP 和 LDP

要为 BGP 和 LDP 路由协议配置身份验证密钥更新机制,请将该authentication-key-chain语句包含在[edit protocols (bgp | ldp)]层次结构级别,以便将每个路由[edit security authentication-key-chains]协议与身份验证密钥相关联。您还必须在 authentication-algorithm algorithm 层次结构级别配置 [edit protocols (bgp | ldp)] 语句。

注:

为 BGP 配置身份验证密钥更新机制时,不能使用身份0.0.0.0/allow验证密钥或密钥链提交语句。CLI 发出警告,提交此类配置失败。

有关此协议BGP,请参阅 Junos OS设备的路由协议