Authentifizierung für Routing-Protokolle
Sie können eine Authentifizierungsmethode und ein Kennwort für Routingprotokollnachrichten für viele Routingprotokolle konfigurieren, einschließlich BGP, IS-IS, OSPF, RIP und RSVP. Um den Austausch von nicht authentifizierten oder gefälschten Paketen zu verhindern, müssen Router sicherstellen, dass sie Routing-Protokollbeziehungen (Peering oder benachbarte Beziehungen) zu vertrauenswürdigen Peers bilden. Eine Möglichkeit, dies zu tun, ist die Authentifizierung von Routingprotokollnachrichten. Benachbarte Router verwenden das Kennwort, um die Authentizität von Paketen zu überprüfen, die vom Protokoll vom Router oder von einer Routerschnittstelle gesendet werden.
Dieses Thema bietet eine allgemeine Übersicht und einige grundlegende Beispiele für die Authentifizierung von Routingprotokollen. Ausführliche Informationen zum Konfigurieren der Authentifizierung für ein bestimmtes Routingprotokoll finden Sie im Benutzerhandbuch für dieses Protokoll.
Authentifizierungsmethoden für Routing-Protokolle
Bei einigen Routing-Protokollen – BGP, IS-IS, OSPF, RIP und RSVP – können Sie eine Authentifizierungsmethode und ein Kennwort konfigurieren. Benachbarte Router verwenden das Kennwort, um die Authentizität von Paketen zu überprüfen, die das Protokoll vom Router oder von einer Routerschnittstelle sendet. Die folgenden Authentifizierungsmethoden werden unterstützt:
-
Einfache Authentifizierung (IS-IS, OSPF und RIP): Verwendet ein einfaches Textkennwort. Der empfangende Router verwendet einen Authentifizierungsschlüssel (Passwort), um das Paket zu verifizieren. Da das Kennwort im übertragenen Paket enthalten ist, ist diese Authentifizierungsmethode relativ unsicher. Es wird empfohlen, diese Authentifizierungsmethode nicht zu verwenden.
-
MD5 und HMAC-MD5 (BGP, IS-IS, OSPF, RIP und RSVP): MD5 erstellt eine codierte Prüfsumme, die im übertragenen Paket enthalten ist. HMAC-MD5, das die HMAC-Authentifizierung mit MD5 kombiniert, fügt die Verwendung einer iterierten kryptografischen Hashfunktion hinzu. Bei beiden Authentifizierungsarten verwendet der empfangende Router einen Authentifizierungsschlüssel (Passwort), um das Paket zu verifizieren. Die HMAC-MD5-Authentifizierung ist in RFC 2104, HMAC, definiert: Keyed-Hashing für die Nachrichtenauthentifizierung.
Im Allgemeinen handelt es sich bei Authentifizierungskennwörtern um Textzeichenfolgen, die aus einer maximalen Anzahl von Buchstaben und Ziffern bestehen. Kennwörter können beliebige ASCII-Zeichen enthalten. Wenn Sie Leerzeichen in ein Kennwort einfügen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein.
Für Junos-FIPS gelten besondere Anforderungen an Kennwörter. FIPS-Kennwörter müssen zwischen 10 und 20 Zeichen lang sein. Passwörter müssen mindestens drei der fünf definierten Zeichensätze verwenden (Großbuchstaben, Kleinbuchstaben, Ziffern, Satzzeichen und andere Sonderzeichen). Wenn Junos-FIPS auf dem Router installiert ist, können Sie Kennwörter nur konfigurieren, wenn sie diesem Standard entsprechen.
Beispiel: Konfigurieren des Authentifizierungsschlüssels für BGP- und IS-IS-Routingprotokolle
Die Hauptaufgabe eines Routers besteht darin, seine Routing- und Weiterleitungstabellen zu verwenden, um den Benutzerdatenverkehr an sein beabsichtigtes Ziel weiterzuleiten. Angreifer können gefälschte Routing-Protokollpakete an einen Router senden, um den Inhalt seiner Routing-Tabelle oder anderer Datenbanken zu ändern oder zu beschädigen, was wiederum die Funktionalität des Routers und des Netzwerks beeinträchtigen kann. Um solche Angriffe zu verhindern, müssen Router sicherstellen, dass sie Routing-Protokollbeziehungen (Peering oder benachbarte Beziehungen) zu vertrauenswürdigen Peers aufbauen. Eine Möglichkeit, dies zu tun, ist die Authentifizierung von Routingprotokollnachrichten. Es wird dringend empfohlen, bei der Konfiguration von Routing-Protokollen die Authentifizierung zu verwenden.
Junos OS unterstützt HMAC-MD5-Authentifizierung für BGP, IS-IS, OSPF, RIP und RSVP. HMAC-MD5 verwendet einen geheimen Schlüssel in Kombination mit den übertragenen Daten, um einen Hash zu berechnen. Der berechnete Hash wird zusammen mit den Daten übertragen. Der Empfänger verwendet den übereinstimmenden Schlüssel, um den Nachrichtenhash neu zu berechnen und zu überprüfen. Wenn ein Angreifer die Nachricht gefälscht oder geändert hat, stimmt der Hash nicht überein und die Daten werden verworfen.
In den folgenden Beispielen konfigurieren wir BGP als Exterior Gateway Protocol (EGP) und IS-IS als Interior Gateway Protocol (IGP). Wenn Sie OSPF verwenden, konfigurieren Sie es ähnlich wie die gezeigte IS-IS-Konfiguration.
BGP konfigurieren
Das folgende Beispiel zeigt die Konfiguration eines einzelnen Authentifizierungsschlüssels für die verschiedenen BGP-Peergruppen. Sie können die BGP-Authentifizierung auch auf Nachbar- oder Routing-Instance-Ebene oder für alle BGP-Sitzungen konfigurieren. Wie bei jeder Sicherheitskonfiguration gibt es einen Kompromiss zwischen dem Grad der Granularität (und bis zu einem gewissen Grad dem Grad der Sicherheit) und dem Umfang der Verwaltung, der für die Wartung des Systems erforderlich ist.
In diesem Beispiel werden auch eine Reihe von Ablaufverfolgungsoptionen für Routingprotokollereignisse und -fehler konfiguriert, die gute Indikatoren für Angriffe auf Routingprotokolle sein können. Zu diesen Ereignissen gehören Protokollauthentifizierungsfehler, die auf einen Angreifer hinweisen können. Der Angreifer sendet möglicherweise gefälschte oder anderweitig fehlerhafte Routing-Pakete an den Router, um ein bestimmtes Verhalten hervorzurufen.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
IS-IS konfigurieren
Obwohl die Authentifizierung für alle IGPs unterstützt wird, sind einige IGPs von Natur aus sicherer als andere.Junos OS Die meisten Service Provider verwenden OSPF oder IS-IS, um eine schnelle interne Konvergenz und Skalierbarkeit zu ermöglichen und Traffic-Engineering-Funktionen mit MPLS zu nutzen. Da IS-IS nicht auf Netzwerkebene arbeitet, ist es schwieriger zu fälschen als OSPF. OSPF ist in IP gekapselt und daher Remote-Spoofing und Denial-of-Service-Angriffen (DoS) ausgesetzt.
Im folgenden Beispiel wird die Authentifizierung für IS-IS konfiguriert. Außerdem werden eine Reihe von Ablaufverfolgungsoptionen für Routing-Protokollereignisse und -fehler konfiguriert, die gute Indikatoren für Angriffe auf Routing-Protokolle sein können. Zu diesen Ereignissen gehören Protokollauthentifizierungsfehler, die auf einen Angreifer hinweisen können. Der Angreifer sendet möglicherweise gefälschte oder anderweitig fehlerhafte Routing-Pakete an den Router, um ein bestimmtes Verhalten hervorzurufen.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Konfigurieren des Aktualisierungsmechanismus für Authentifizierungsschlüssel für Routingprotokolle
Sie können einen Mechanismus zur Aktualisierung des Authentifizierungsschlüssels für die Routingprotokolle BGP, LDP und IS-IS konfigurieren. Mit diesem Mechanismus können Sie Authentifizierungsschlüssel aktualisieren, ohne die zugehörigen Routing- und Signalisierungsprotokolle wie OSPF und RSVP zu unterbrechen.
Um diese Funktion zu konfigurieren, schließen Sie die Anweisung auf Hierarchieebene ein.authentication-key-chains[edit security] Um den Schlüsselbund anzuwenden, müssen Sie den Schlüsselbundbezeichner und den Schlüsselbundalgorithmus auf der entsprechenden Hierarchieebene für das Protokoll konfigurieren.
In den folgenden Abschnitten finden Sie weitere Informationen zum Konfigurieren von Authentifizierungsschlüsselupdates für Routingprotokolle. Ausführliche Informationen zum Konfigurieren von Authentifizierungsschlüsselupdates für ein bestimmtes Routingprotokoll finden Sie im Benutzerhandbuch für dieses Protokoll.
- Konfigurieren von Authentifizierungsschlüsselaktualisierungen
- Konfigurieren von BGP und LDP für die Aktualisierung von Authentifizierungsschlüsseln
Konfigurieren von Authentifizierungsschlüsselaktualisierungen
Um den Aktualisierungsmechanismus für den Authentifizierungsschlüssel zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein und geben Sie die Option zum Erstellen eines Schlüsselbunds an, der aus mehreren Authentifizierungsschlüsseln besteht.key-chain[edit security authentication-key-chains]key
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain– Weisen Sie dem Schlüsselbundmechanismus einen Namen zu. Sie verweisen auf diesen Namen auf den entsprechenden Hierarchieebenen für das Protokoll, um eindeutige Authentifizierungsattribute zuzuordnen, wie mit den folgenden Optionen angegeben:key-chain
-
algorithm– Authentifizierungsalgorithmus für IS-IS. -
key– Ganzzahliger Wert, der jeden Schlüssel innerhalb eines Schlüsselbunds eindeutig identifiziert. Der Bereich reicht von 0 bis 63. -
options—(Nur IS-IS) Protokollübertragungscodierungsformat für die Codierung des Nachrichtenauthentifizierungscodes in Routing-Protokollpaketen. -
secret– Passwort im verschlüsselten Text- oder Nur-Text-Format. Auch wenn Sie die geheimen Daten im Nur-Text-Format eingeben, wird der geheime Schlüssel immer verschlüsselt angezeigt. -
– Startzeit für die Übertragung des Authentifizierungsschlüssels, angegeben in UTC.
start-timeDie Startzeit muss innerhalb des Schlüsselbunds eindeutig sein.
Konfigurieren von BGP und LDP für die Aktualisierung von Authentifizierungsschlüsseln
Um den Aktualisierungsmechanismus für den Authentifizierungsschlüssel für die BGP- und LDP-Routingprotokolle zu konfigurieren, fügen Sie die Anweisung in die Hierarchieebene ein.authentication-key-chain[edit protocols (bgp | ldp)] Durch das Einschließen der Anweisung werden die Authentifizierungsschlüssel jedes Routingprotokoll zugeordnet .authentication-key-chain[edit security authentication-key-chains] Außerdem müssen Sie die Anweisung konfigurieren und den Algorithmus angeben.authentication-algorithm Hier einige Zahlen zum Generationswechsel:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Wenn Sie den Aktualisierungsmechanismus für den Authentifizierungsschlüssel für BGP konfigurieren, können Sie die Anweisung nicht mit Authentifizierungsschlüsseln oder Schlüsselbunden festschreiben.0.0.0.0/allow Wenn Sie diese Aktion versuchen, gibt die CLI eine Warnung aus, und der Commit schlägt fehl.