Sécurité IP pour BGP
Comprendre IPsec pour BGP
Vous pouvez appliquer la sécurité IP (IPsec) au trafic BGP. IPsec est une suite de protocoles utilisée pour protéger le trafic IP au niveau des paquets. IPsec est basé sur les associations de sécurité (SA). Une SA est une connexion simplex qui fournit des services de sécurité aux paquets qu’elle transporte. Après avoir configuré la SA, vous pouvez l’appliquer à des homologues BGP.
L’implémentation Junos OS d’IPsec prend en charge deux types de sécurité : d’hôte à hôte et de passerelle à passerelle. La sécurité d’hôte à hôte protège les sessions BGP avec d’autres routeurs. Une SA à utiliser avec BGP doit être configurée manuellement et utiliser le mode transport. Les valeurs statiques doivent être configurées aux deux extrémités de l’association de sécurité. Pour appliquer la protection de l’hôte, vous devez configurer des SA manuelles en mode transport, puis les référencer par leur nom dans la configuration BGP afin de protéger une session avec un homologue donné.
Les SA manuelles ne nécessitent aucune négociation entre les pairs. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles définissent de manière statique les valeurs d’index, les algorithmes et les clés des paramètres de sécurité à utiliser et nécessitent des configurations correspondantes aux deux extrémités du tunnel (sur les deux homologues). Par conséquent, chaque homologue doit avoir les mêmes options configurées pour que la communication ait lieu.
En mode transport, les en-têtes IPsec sont insérés après l’en-tête IP d’origine et avant l’en-tête de transport.
L’index des paramètres de sécurité est une valeur arbitraire utilisée en combinaison avec une adresse de destination et un protocole de sécurité pour identifier de manière unique l’AS.
Voir également
Exemple : Utilisation d’IPsec pour protéger le trafic BGP
IPsec est une suite de protocoles utilisés pour fournir des connexions réseau sécurisées au niveau de la couche IP. Il est utilisé pour fournir l’authentification de la source de données, l’intégrité des données, la confidentialité et la protection contre la relecture des paquets. Cet exemple montre comment configurer la fonctionnalité IPsec pour protéger les sessions BGP du moteur de routage vers le moteur de routage. Junos OS prend en charge l’en-tête d’authentification IPsec (AH) et l’ESP (Encapsulating Security Payload) en mode transport et tunnel, ainsi qu’un utilitaire permettant de créer des stratégies et de configurer manuellement les clés.
Conditions préalables
Avant de commencer :
-
Configurez les interfaces des routeurs.
-
Configurez un protocole IGP (Interior Gateway Protocol).
-
Configurez BGP.
Aucun matériel PIC spécifique n’est requis pour configurer cette fonctionnalité.
Présentation
La SA est configurée au niveau de la [edit security ipsec security-association name]
hiérarchie avec l’instruction mode
définie sur transport. En mode transport, Junos OS ne prend pas en charge les ensembles d’en-têtes d’authentification (AH) ou ESP (Encapsulating Security Payload). Junos OS prend uniquement en charge le protocole BGP en mode transport.
Cet exemple spécifie une approche IPsec bidirectionnelle pour déchiffrer et authentifier le trafic entrant et sortant à l’aide du même algorithme, des mêmes clés et du même SPI dans les deux sens, contrairement aux SA entrantes et sortantes qui utilisent des attributs différents dans les deux sens.
Une SA plus spécifique remplace une SA plus générale. Par exemple, si une SA spécifique est appliquée à un homologue spécifique, cette SA remplace la SA appliquée à l’ensemble du groupe de pairs.
Diagramme de topologie
Figure 1 Affiche la topologie utilisée dans cet exemple.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
[edit] set security ipsec security-association test-sa mode transport set security ipsec security-association test-sa manual direction bidirectional protocol esp set security ipsec security-association test-sa manual direction bidirectional spi 1000 set security ipsec security-association test-sa manual direction bidirectional encryption algorithm 3des-cbc set security ipsec security-association test-sa manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ" set protocols bgp group 1 neighbor 10.1.1.1 ipsec-sa test-sa
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le routeur R1 :
-
Configurez le mode SA.
[edit security ipsec security-association test-sa] user@R1# set mode transport
-
Configurez le protocole IPsec à utiliser.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional protocol esp
-
Configurez l’index des paramètres de sécurité pour identifier de manière unique la SA.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional spi 1000
-
Configurez l’algorithme de chiffrement.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption algorithm 3des-cbc
-
Configurez la clé de chiffrement.
[edit security ipsec security-association test-sa] user@R1# set manual direction bidirectional encryption key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"
Lorsque vous utilisez une clé de texte ASCII, celle-ci doit contenir exactement 24 caractères.
-
Appliquez la SA au pair BGP.
[edit protocols bgp group 1 neighbor 10.1.1.1] user@R1# set ipsec-sa test-sa
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show protocols
commandes et show security
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show protocols bgp { group 1 { neighbor 10.1.1.1 { ipsec-sa test-sa; } } }
user@R1# show security ipsec { security-association test-sa { mode transport; manual { direction bidirectional { protocol esp; spi 1000; encryption { algorithm 3des-cbc; key ascii-text "$9$kPT3AtO1hr6/u1IhvM8X7Vb2JGimfz.PtuB1hcs2goGDkqf5Qndb.5QzCA0BIRrvx7VsgJ"; ## SECRET-DATA } } } } }
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration. Répétez la configuration sur le routeur R0, en changeant uniquement l’adresse voisine.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’association de sécurité
But
Assurez-vous que les paramètres corrects apparaissent dans la sortie de la show ipsec security-associations
commande.
Action
À partir du mode opérationnel, entrez la show ipsec security-associations
commande.
user@R1> show ipsec security-associations Security association: test-sa Direction SPI AUX-SPI Mode Type Protocol inbound 1000 0 transport manual ESP outbound 1000 0 transport manual ESP
Sens
La sortie est directe pour la plupart des champs, à l’exception du champ AUX-SPI. L’AUX-SPI est la valeur de l’indice des paramètres de sécurité auxiliaires. Lorsque la valeur est AH ou ESP, AUX-SPI est toujours égal à 0. Lorsque la valeur est AH+ESP, AUX-SPI est toujours un entier positif.