Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

BFD-Authentifizierung für IS-IS verstehen

Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn BFD jedoch über Protokolle der Netzwerkschicht ausgeführt wird, kann das Risiko von Service-Angriffen erheblich sein. Wir empfehlen dringend die Verwendung der Authentifizierung, wenn Sie BFD über mehrere Hops oder über unsichere Tunnel ausführen. Junos OS unterstützt die Authentifizierung für BFD-Sitzungen, die über IS-IS ausgeführt werden. Die BFD-Authentifizierung wird nur im Inlandsimage unterstützt und ist im Exportimage nicht verfügbar.

Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens einem Schlüsselbund für die Sicherheits-Authentifizierung zuordnen.

In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunds und die konfigurierbare Authentifizierungsebene beschrieben:

BFD-Authentifizierungsalgorithmen

Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:

  • simple-password: Nur-Text-Passwort. Ein bis 16 Byte Nur-Text werden verwendet, um die BFD-Sitzung zu authentifizieren. Es können ein oder mehrere Kennwörter konfiguriert werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.

  • keyed-md5 – Keyed Message Digest 5-Hashalgorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet MD5 mit Schlüssel einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Obwohl diese Methode sicherer als ein einfaches Passwort ist, ist sie anfällig für Replay-Angriffe. Durch Erhöhen der Aktualisierungsrate der Sequenznummer kann dieses Risiko verringert werden.

  • meticulous-keyed-md5: Sorgfältig verschlüsselter Message Digest 5-Hash-Algorithmus. Diese Methode funktioniert auf die gleiche Weise wie MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als verschlüsseltes MD5 und einfache Kennwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

  • keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet SHA mit Schlüssel einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen transportiert. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.

  • careiculous-keyed-sha-1 – Sorgfältiger Schlüssel für den Secure-Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie verschlüsseltes SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als verschlüsseltes SHA und einfache Kennwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

Anmerkung:

Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen "Meticulous-Keyed-MD5" und "Meticulous-Keyed-Sha-1" nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover abstürzen.

Schlüsselanhänger für die Sicherheit und Authentifizierung

Der Schlüsselbund für die Sicherheits-Authentifizierung definiert die Authentifizierungsattribute, die für die Aktualisierung von Authentifizierungsschlüsseln verwendet werden. Wenn der Schlüsselbund für die SicherheitsAuthentifizierung konfiguriert und über den Namen des Schlüsselbunds einem Protokoll zugeordnet ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne dass die Routing- und Signalisierungsprotokolle unterbrochen werden.

Der Schlüsselbund für die Authentifizierung enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein und übereinstimmen. Jede Abweichung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

BFD erlaubt mehrere Clients pro Sitzung, und für jeden Client kann ein eigener Schlüsselbund und Algorithmus definiert werden. Um Verwechslungen zu vermeiden, empfehlen wir, nur einen Sicherheits- Authentifizierung Schlüsselbund anzugeben.

Strikte versus lose Authentifizierung

Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional eine lose Überprüfung konfigurieren. Wenn eine lose Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass an jedem Ende der Sitzung eine Authentifizierung überprüft wird. Diese Funktion ist nur für Übergangszeiträume vorgesehen.

Zugehörige Dokumentation