Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zur BFD-Authentifizierung für IS-IS

Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn BFD jedoch über Protokolle der Netzwerkschicht ausgeführt wird, kann das Risiko von Service-Angriffen erheblich sein. Es wird dringend empfohlen, die Authentifizierung zu verwenden, wenn Sie BFD über mehrere Hops oder durch unsichere Tunnel ausführen. Beginnend mit Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über IS-IS ausgeführt werden. Die BFD-Authentifizierung wird nur im inländischen Image unterstützt und ist im Exportimage nicht verfügbar.

Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens mit einem Schlüsselbund für die Sicherheitsauthentifizierung verknüpfen.

In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunde und Authentifizierungsebenen beschrieben, die konfiguriert werden können:

BFD-Authentifizierungsalgorithmen

Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:

  • simple-password: Nur-Text-Passwort. Ein bis 16 Byte Klartext werden zur Authentifizierung der BFD-Sitzung verwendet. Es können ein oder mehrere Kennwörter konfiguriert sein. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht abgefangen werden.

  • keyed-md5: Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet MD5 mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete auf der Empfängerseite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Diese Methode ist zwar sicherer als ein einfaches Passwort, aber anfällig für Replay-Angriffe. Dieses Risiko kann verringert werden, indem Sie die Häufigkeit erhöhen, mit der die Sequenznummer aktualisiert wird.

  • meticulous-keyed-md5: Sorgfältig verschlüsselter Message Digest 5-Hash-Algorithmus. Diese Methode funktioniert auf die gleiche Weise wie MD5 mit Schlüsseln, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als MD5 mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

  • keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet SHA mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen transportiert. Bei dieser Methode werden Pakete auf der empfangenden Seite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.

  • meticulous-keyed-sha-1 – Sorgfältig verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie verschlüsseltes SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als SHA mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

Anmerkung:

Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
Anmerkung:

Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Schlüsselbunde für die Sicherheitsauthentifizierung

Der Sicherheitsauthentifizierungsschlüsselbund definiert die Authentifizierungsattribute, die für die Aktualisierung des Authentifizierungsschlüssels verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Schlüsselbundnamen mit einem Protokoll verknüpft ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne die Routing- und Signalisierungsprotokolle zu unterbrechen.

Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

BFD erlaubt mehrere Clients pro Sitzung, und jeder Client kann seinen eigenen Schlüsselbund und Algorithmus definieren. Um Verwechslungen zu vermeiden, wird empfohlen, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.

Strenge versus lose Authentifizierung

Standardmäßig ist die strikte Authentifizierung aktiviert, und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional die lose Überprüfung konfigurieren. Wenn lose Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass an jedem Ende der Sitzung eine Authentifizierungsprüfung durchgeführt wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.

Zugehörige Dokumentation