IP-Sicherheit für BGP
IPsec für BGP verstehen
Sie können die IP-Sicherheit (IPsec) auf BGP-Datenverkehr anwenden. IPsec ist eine Protokollsuite, die zum Schutz des IP-Datenverkehrs auf Paketebene verwendet wird. IPsec basiert auf Sicherheitsassoziationen (Security Associations, SAs). Eine SA ist eine Simplex-Verbindung, die Sicherheitsdienste für die von der SA übertragenen Pakete bereitstellt. Nachdem Sie die Sicherheitszuordnung konfiguriert haben, können Sie sie auf BGP-Peers anwenden.
Die Junos OS-Implementierung von IPsec unterstützt zwei Arten von Sicherheit: Host zu Host und Gateway zu Gateway. Die Host-to-Host-Sicherheit schützt BGP-Sitzungen mit anderen Routern. Eine Sicherheitszuordnung, die mit BGP verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der Sicherheitszuordnung konfiguriert werden. Um den Hostschutz anzuwenden, konfigurieren Sie manuelle Sicherheitszuordnungen im Transportmodus und verweisen dann in der BGP-Konfiguration namentlich auf die Sicherheitszuordnung, um eine Sitzung mit einem bestimmten Peer zu schützen.
Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen zwischen den Peers. Alle Werte, einschließlich der Schlüssel, sind statisch und werden in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden Indexwerte, Algorithmen und Schlüssel für Sicherheitsparameter und erfordern übereinstimmende Konfigurationen auf beiden Endpunkten des Tunnels (auf beiden Peers). Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.
Im Transportmodus werden IPsec-Header nach dem ursprünglichen IP-Header und vor dem Transportheader eingefügt.
Der Sicherheitsparameterindex ist ein beliebiger Wert, der in Kombination mit einer Zieladresse und einem Sicherheitsprotokoll zur eindeutigen Identifizierung der Sicherheitszuordnung verwendet wird.
Siehe auch
Beispiel: Verwenden von IPsec zum Schutz von BGP-Datenverkehr
IPsec ist eine Reihe von Protokollen, die zur Bereitstellung sicherer Netzwerkverbindungen auf IP-Ebene verwendet werden. Es wird verwendet, um Datenquellenauthentifizierung, Datenintegrität, Vertraulichkeit und Schutz vor Paketwiedergabe bereitzustellen. In diesem Beispiel wird gezeigt, wie die IPsec-Funktionalität zum Schutz von Routing-Engine-zu-Routing-Engine-BGP-Sitzungen konfiguriert wird. Junos OS unterstützt IPsec Authentication Header (AH) und Encapsulating Security Payload (ESP) im Transport- und Tunnelmodus sowie ein Dienstprogramm zum Erstellen von Richtlinien und manuellen Konfigurieren von Schlüsseln.
Anforderungen
Bevor Sie beginnen:
-
Konfigurieren Sie die Routerschnittstellen.
-
Konfigurieren Sie ein Interior Gateway Protocol (IGP).
-
Konfigurieren Sie BGP.
Für die Konfiguration dieser Funktion ist keine spezielle PIC-Hardware erforderlich.
Überblick
Die Sicherheitszuordnung wird auf Hierarchieebene [edit security ipsec security-association name] konfiguriert, wobei die mode Anweisung auf transport festgelegt ist. Im Transportmodus unterstützt Junos OS keine Authentifizierungs-Header (AH) oder gekapselten Sicherheitsnutzlast-Header-Bundles (ESP). Junos OS unterstützt nur das BGP-Protokoll im Transportmodus.
In diesem Beispiel wird bidirektionales IPsec angegeben, um den ein- und ausgehenden Datenverkehr mit demselben Algorithmus, denselben Schlüsseln und demselben SPI in beide Richtungen zu entschlüsseln und zu authentifizieren, im Gegensatz zu eingehenden und ausgehenden Sicherheitszuordnungen, die in beide Richtungen unterschiedliche Attribute verwenden.
Eine spezifischere Sicherheitszuordnung hat Vorrang vor einer allgemeineren Sicherheitszuordnung. Wenn z. B. eine bestimmte Sicherheitszuordnung auf einen bestimmten Peer angewendet wird, überschreibt diese Sicherheitszuordnung die auf die gesamte Peergruppe angewendete Sicherheitszuordnung.
Topologiediagramm
Abbildung 1 Zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 10.1.1.1 ipsec-sa test-sa
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Router R1:
-
Konfigurieren Sie den SA-Modus.
[edit security ipsec security-association test-sa] user@R1# set mode transport
-
Konfigurieren Sie das zu verwendende IPsec-Protokoll.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp
-
Konfigurieren Sie den Sicherheitsparameterindex, um die Sicherheitszuordnung eindeutig zu identifizieren.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000
-
Konfigurieren Sie den Verschlüsselungsalgorithmus.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc
-
Konfigurieren Sie den Verschlüsselungsschlüssel.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"
Wenn Sie einen ASCII-Textschlüssel verwenden, muss der Schlüssel genau 24 Zeichen enthalten.
-
Wenden Sie die SA auf den BGP-Peer an.
[edit protocols bgp group 1 neighbor 10.1.1.1] user@R1# set ipsec-sa test-sa
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show protocols Befehle und show security eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show protocols
bgp {
group 1 {
neighbor 10.1.1.1 {
ipsec-sa test-sa;
}
}
}
user@R1# show security
ipsec {
security-association test-sa {
mode transport;
manual {
direction bidirectional {
protocol esp;
spi 1000;
encryption {
algorithm 3des-cbc;
key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit . Wiederholen Sie die Konfiguration auf Router R0 und ändern Sie nur die Nachbaradresse.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Security Associaton
Zweck
Stellen Sie sicher, dass die richtigen Einstellungen in der Ausgabe des show ipsec security-associations Befehls angezeigt werden.
Action!
Geben Sie im Betriebsmodus den show ipsec security-associations Befehl ein.
user@R1> show ipsec security-associations
Security association: test-sa
Direction SPI AUX-SPI Mode Type Protocol
inbound 1000 0 transport manual ESP
outbound 1000 0 transport manual ESP Bedeutung
Die Ausgabe ist für die meisten Felder mit Ausnahme des AUX-SPI-Feldes geradeaus. Der AUX-SPI ist der Wert des Index der zusätzlichen Sicherheitsparameter. Wenn der Wert AH oder ESP ist, ist AUX-SPI immer 0. Wenn der Wert AH+ESP ist, ist AUX-SPI immer eine positive ganze Zahl.