Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre l’authentification BFD pour IS-IS

La détection de transfert bidirectionnel (BFD) permet de détecter rapidement les défaillances de communication entre les systèmes adjacents. Par défaut, l’authentification des sessions BFD est désactivée. Toutefois, lors de l’exécution de protocoles BFD sur la couche réseau, le risque d’attaques de service peut être important. Nous vous recommandons vivement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés. À partir de la version 9.6 de Junos OS, Junos OS prend en charge l’authentification pour les sessions BFD exécutées sur IS-IS. L’authentification BFD n’est prise en charge que dans l’image nationale et n’est pas disponible dans l’image d’exportation.

Vous authentez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.

Les sections suivantes décrivent les algorithmes d’authentification pris en charge, les chaînes de clés de sécurité et le niveau d’authentification pouvant être configuré :

Algorithmes d’authentification BFD

Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :

  • simple-mot de passe : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sécurisée et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.

  • keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le MD5 à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le nombre de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sécurisée qu’un simple mot de passe, cette méthode est vulnérable aux attaques par replay. L’augmentation du taux de mise à jour du numéro de séquence peut réduire ce risque.

  • méticuleuse-keyed-md5 — Algorithme de hachage méticuleusement keyed Message Digest 5. Cette méthode fonctionne de la même manière que le MD5 à clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

  • keyed-sha-1 : algorithme I de hachage sécurisé clé pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. La clé n’est pas portée dans les paquets. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le numéro de séquence est supérieur au dernier numéro de séquence reçu.

  • méticuleuse-clé-sha-1 — Algorithme I de hachage sécurisé à clé méticuleuse. Cette méthode fonctionne de la même manière que sha clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

Note:

Le routage actif sans interruption (NSR) n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-keyed-md5 et méticuleuse-keyed-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être en panne après une commutation.

Note:

Les commutateurs QFX5000 Series et LES commutateurs EX4600 ne prennent pas en charge des valeurs d’intervalle minimales de moins d’une seconde.

Trousseaux d’authentification de sécurité

Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour des clés d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole via le nom du trousseau, des mises à jour de la clé d’authentification peuvent avoir lieu sans interrompre les protocoles de routage et de signalisation.

Le trousseau d’authentification contient un ou plusieurs trousseaux. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le keychain doivent être configurés aux deux extrémités de la session BFD, et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la session BFD d’être créée.

BFD permet plusieurs clients par session, et chaque client peut avoir son propre keychain et son propre algorithme défini. Pour éviter toute confusion, nous vous recommandons de ne spécifier qu’un seul trousseau d’authentification de sécurité.

Authentification stricte par rapport à une authentification lâche

Par défaut, l’authentification stricte est activée et l’authentification est contrôlée aux deux extrémités de chaque session BFD. Vous pouvez également configurer la vérification libre pour faciliter la migration des sessions non authentifiées vers des sessions authentifiées. Lors de la configuration d’une vérification lâche, les paquets sont acceptés sans vérification de l’authentification à chaque fin de session. Cette fonctionnalité est uniquement destinée aux périodes de transition.