Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre l’authentification BFD pour IS-IS

La détection de transfert bidirectionnelle (BFD) permet de détecter rapidement les échecs de communication entre systèmes adjacents. Par défaut, l’authentification pour les sessions BFD est désactivée. Cependant, lors de l’exécution de BFD sur des protocoles de couche réseau, le risque d’attaques de service peut être important. Nous vous recommandons fortement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés. Junos OS prend en charge l’authentification pour les sessions BFD exécutées sur IS-IS. L’authentification BFD n’est prise en charge que dans l’image nationale et n’est pas disponible dans l’image d’exportation.

Vous authentifiez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.

Les sections suivantes décrivent les algorithmes d’authentification, les trousseaux de sécurité et le niveau d’authentification configurés :

Algorithmes d’authentification BFD

Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :

  • simple-password : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sûre et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.

  • keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le MD5 à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. Avec cette méthode, les paquets sont acceptés à la fin de la session si l’une des clés correspond et que le numéro de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sûre qu’un simple mot de passe, cette méthode est vulnérable aux attaques par rejeu. Augmenter la vitesse à laquelle le numéro de séquence est mis à jour peut réduire ce risque.

  • meticulous-keyed-md5 : algorithme de hachage Message Digest 5 à clé méticuleuse. Cette méthode fonctionne de la même manière que MD5 à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que le MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

  • keyed-sha-1 : algorithme de hachage sécurisé à clé I pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. La clé n’est pas transportée dans les paquets. Avec cette méthode, les paquets sont acceptés à la fin de la session si l’une des clés correspond et que le numéro de séquence est supérieur au dernier numéro de séquence reçu.

  • meticulous-keyed-sha-1 : algorithme de hachage sécurisé à clé méticuleuse I. Cette méthode fonctionne de la même manière que le SHA à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que le SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

Note:

Le routage actif ininterrompu (NSR) n’est pas pris en charge par les algorithmes d’authentification md5 et sha-1 à clé méticuleuse. Les sessions BFD utilisant ces algorithmes peuvent être interrompues après un basculement.

Trousseaux d’authentification de sécurité

Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour de clé d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole par le nom du trousseau, les mises à jour de la clé d’authentification peuvent se produire sans interrompre les protocoles de routage et de signalisation.

Le trousseau d’authentification contient un ou plusieurs trousseaux. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la création de la session BFD.

BFD autorise plusieurs clients par session, et chaque client peut avoir son propre trousseau et son propre algorithme définis. Pour éviter toute confusion, nous vous recommandons de spécifier un seul trousseau de clés d’authentification de sécurité.

Authentification stricte ou lâche

Par défaut, l’authentification stricte est activée et l’authentification est vérifiée aux deux extrémités de chaque session BFD. Si vous le souhaitez, pour faciliter la migration des sessions non authentifiées vers les sessions authentifiées, vous pouvez configurer la vérification lâche. Lorsque la vérification lâche est configurée, les paquets sont acceptés sans vérification de l’authentification à chaque extrémité de la session. Cette fonctionnalité est réservée aux périodes transitoires.

Documentation connexe