Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre l’authentification BFD pour IS-IS

La détection de transfert bidirectionnel (BFD) permet de détecter rapidement les défaillances de communication entre des systèmes adjacents. Par défaut, l’authentification des sessions BFD est désactivée. Cependant, lors de l’exécution de BFD sur des protocoles de couche réseau, le risque d’attaques de service peut être important. Nous vous recommandons vivement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés. À partir de la version 9.6 de Junos OS, Junos OS prend en charge l’authentification pour les sessions BFD s’exécutant sur IS-IS. L’authentification BFD n’est prise en charge que dans l’image domestique et n’est pas disponible dans l’image d’exportation.

Vous authentifiez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau de clés, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.

Les sections suivantes décrivent les algorithmes d’authentification pris en charge, les trousseaux de sécurité et le niveau d’authentification pouvant être configuré :

Algorithmes d’authentification BFD

Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :

  • simple-password : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sûre et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.

  • keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, MD5 avec clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et si le numéro de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sûre qu’un simple mot de passe, cette méthode est vulnérable aux attaques par rejeu. L’augmentation de la vitesse de mise à jour du numéro de séquence peut réduire ce risque.

  • meticulous-keyed-md5 : algorithme de hachage Message Digest 5 à clé méticuleuse. Cette méthode fonctionne de la même manière que MD5 avec clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

  • keyed-sha-1 : algorithme de hachage sécurisé I à clé pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. La clé n’est pas transportée dans les paquets. Avec cette méthode, les paquets sont acceptés à l’extrémité réceptrice de la session si l’une des clés correspond et si le numéro de séquence est supérieur au dernier numéro de séquence reçu.

  • meticulous-keyed-sha-1 : algorithme de hachage sécurisé à clé méticuleuse I. Cette méthode fonctionne de la même manière que le SHA à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien qu’elle soit plus sûre que les SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

Note:

Le routage actif ininterrompu (NSR) n’est pas pris en charge par les algorithmes d’authentification méticuleusement clé-md5 et méticuleuse-cléclé-sha-1. Les sessions BFD utilisant ces algorithmes peuvent tomber en panne après un basculement.
Note:

Les commutateurs QFX5000 Series et EX4600 ne prennent pas en charge les valeurs d’intervalle minimum inférieures à 1 seconde.

Porte-clés d’authentification de sécurité

Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour de clé d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole via son nom de trousseau, les mises à jour de la clé d’authentification peuvent avoir lieu sans interrompre les protocoles de routage et de signalisation.

Le trousseau d’authentification contient un ou plusieurs trousseaux de clés. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et doivent correspondre. Toute incompatibilité de configuration empêche la création de la session BFD.

BFD autorise plusieurs clients par session, et chaque client peut avoir son propre trousseau et son propre algorithme définis. Pour éviter toute confusion, nous vous recommandons de ne spécifier qu’un seul trousseau d’authentification de sécurité.

Authentification stricte et authentification lâche

Par défaut, l’authentification stricte est activée et l’authentification est vérifiée aux deux extrémités de chaque session BFD. Si vous le souhaitez, pour faciliter la migration des sessions non authentifiées vers les sessions authentifiées, vous pouvez configurer la vérification libre. Lorsque le contrôle lâche est configuré, les paquets sont acceptés sans vérification de l’authentification à chaque extrémité de la session. Cette fonctionnalité n’est destinée qu’aux périodes de transition.

Documentation connexe