SUR CETTE PAGE
Comprendre l’authentification IPsec pour les paquets OSPF sur les commutateurs EX Series
Exemple : configuration de l’authentification simple pour les échanges OSPFv2
Exemple : configuration de l’authentification MD5 pour les échanges OSPFv2
Exemple : configuration d’une transition de clés MD5 sur une interface OSPFv2
Utilisation d’IPsec pour sécuriser les réseaux OSPFv3 (procédure CLI)
Exemple : configuration de l’authentification IPsec pour une interface OSPF
Configuration de l’authentification OSPF
Comprendre l’authentification IPsec pour les paquets OSPF sur les commutateurs EX Series
La sécurité IP (IPsec) fournit un moyen sécurisé d’authentifier les expéditeurs et de chiffrer le trafic IP version 4 (IPv4) entre les équipements réseau. IPsec offre aux administrateurs réseau des commutateurs Ethernet EX Series de Juniper Networks et à leurs utilisateurs les avantages de la confidentialité des données, de l’intégrité des données, de l’authentification de l’expéditeur et des services d’anti-replay.
L’IPsec est un cadre permettant d’assurer la sécurité des communications privées sur les réseaux IP et est basé sur les normes développées par l’International Engineering Task Force (IETF). IPsec fournit des services de sécurité au niveau de la couche réseau du modèle OSI (Open Systems Interconnection) en permettant au système de sélectionner les protocoles de sécurité requis, de déterminer les algorithmes à utiliser pour les services de sécurité et d’implémenter toutes les clés cryptographiques requises pour fournir les services demandés. Vous pouvez utiliser IPsec pour protéger un ou plusieurs chemins entre une paire d’hôtes, entre une paire de passerelles de sécurité (par exemple des commutateurs), ou entre une passerelle de sécurité et un hôte.
Contrairement à OSPF version 2 (OSPFv2), l’OSPF version 3 (OSPFv2) n’a pas de méthode d’authentification intégrée et s’appuie sur IPsec pour fournir cette fonctionnalité. Vous pouvez sécuriser des interfaces OSPFv3 spécifiques et protéger les liaisons virtuelles OSPFv3.
- Algorithmes d’authentification
- Algorithmes de chiffrement
- Protocoles IPsec
- Associations de sécurité
- IPsec Modes
Algorithmes d’authentification
L’authentification est le processus de vérification de l’identité de l’expéditeur. Les algorithmes d’authentification utilisent une clé partagée pour vérifier l’authenticité des équipements IPsec. Le système d’exploitation Junos (Junos OS) de Juniper Networks utilise les algorithmes d’authentification suivants :
Message Digest 5 (MD5) utilise une fonction de hachage à sens unique pour convertir un message de longueur arbitraire en un condensé de message à longueur fixe de 128 bits. En raison du processus de conversion, il est mathématiquement impossible de calculer le message d’origine en le calculant à l’envers à partir du résumé de message qui en résulte. De même, une modification d’un seul caractère dans le message va l’amener à générer un numéro de synthèse de message très différent.
Pour vérifier que le message n’a pas été altéré, Junos OS compare le résumé de message calculé avec un résumé de message qui est déchiffré à l’aide d’une clé partagée. Junos OS utilise la variante de code d’authentification de message hachage MD5 (HMAC) qui fournit un niveau supplémentaire de hachage. Le MD5 peut être utilisé avec un en-tête d’authentification (AH) et une charge utile de sécurité encapsulation (ESP).
Secure Hash Algorithm 1 (SHA-1) utilise un algorithme plus fort que MD5. SHA-1 prend un message d’une longueur inférieure à 264 bits et produit une synthèse de message de 160 bits. Le résumé des messages permet de s’assurer que les données n’ont pas été modifiées et qu’elles proviennent de la bonne source. Junos OS utilise la variante HMAC SHA-1 qui fournit un niveau de hachage supplémentaire. SHA-1 peut être utilisé avec AH, ESP et Internet Key Exchange (IKE).
Algorithmes de chiffrement
Le chiffrement encode les données dans un format sécurisé afin qu’elles ne puissent pas être déchiffrées par des utilisateurs non autorisés. Comme pour les algorithmes d’authentification, une clé partagée est utilisée avec les algorithmes de chiffrement pour vérifier l’authenticité des équipements IPsec. Junos OS utilise les algorithmes de chiffrement suivants :
Le chaînage de blocs de chiffrement standard (DES-CBC) est un algorithme de bloc à clé secrète symétrique. Des utilise une taille clé de 64 bits, où 8 bits sont utilisés pour la détection des erreurs et les 56 bits restants fournissent le chiffrement. Des effectue une série d’opérations logiques simples sur la clé partagée, y compris les permutations et les substitutions. CBC prend le premier bloc de 64 bits de sortie du DES, combine ce bloc avec le deuxième bloc, le renvoie à l’algorithme DES et répète ce processus pour tous les blocs suivants.
Triple DES-CBC (3DES-CBC) est un algorithme de chiffrement similaire à DES-CBC, mais qui fournit un résultat de chiffrement beaucoup plus fort car il utilise trois clés pour le chiffrement 168 bits (3 x 56 bits). 3DES fonctionne en utilisant la première clé pour chiffrer les blocs, la deuxième clé pour déchiffrer les blocs et la troisième clé pour déchiffrer les blocs.
Protocoles IPsec
Les protocoles IPsec déterminent le type d’authentification et de chiffrement appliqués aux paquets sécurisés par le commutateur. Junos OS prend en charge les protocoles IPsec suivants :
AH : défini dans la RFC 2402, L’AH fournit une intégrité sans connexion et une authentification de l’origine des données pour IPv4. Il offre également une protection contre les replays. AH authentifie autant d’en-tête IP que possible, ainsi que les données de protocole de niveau supérieur. Cependant, certains champs d’en-tête IP peuvent changer en cours de transit. Parce que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. Dans un en-tête IP, AH peut être identifié par une valeur de 51 dans le champ Protocole d’un paquet IPv4.
ESP : défini dans la RFC 2406, l’ESP peut fournir un chiffrement et une confidentialité limitée des flux de trafic ou une intégrité sans connexion, l’authentification de l’origine des données et un service anti-replay. Dans un en-tête IP, esp peut être identifié avec une valeur de 50 dans le champ Protocole d’un paquet IPv4.
Associations de sécurité
Une considération IPsec est le type d’association de sécurité (SA) que vous souhaitez mettre en œuvre. Un SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Ces spécifications incluent des préférences pour le type d’authentification, de chiffrement et de protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Une SA peut être unidirectionnelle ou bidirectionnelle, en fonction des choix de l’administrateur réseau. Un SA est identifié de manière unique par un indice de paramètres de sécurité (SPI), une adresse de destination IPv4 ou IPv6 et un identifiant de protocole de sécurité (AH ou ESP).
IPsec Modes
Junos OS prend en charge les modes IPsec suivants :
Le mode tunnel est pris en charge à la fois pour AH et ESP dans Junos OS. En mode tunnel, le SA et les protocoles associés sont appliqués aux paquets IPv4 ou IPv6 tunnelnés. Pour un mode tunnel SA, un en-tête IP externe spécifie la destination de traitement IPsec et un en-tête IP interne spécifie la destination ultime du paquet. L’en-tête du protocole de sécurité apparaît après l’en-tête IP externe et avant l’en-tête IP interne. En outre, il existe de légères différences pour le mode tunnel lorsque vous l’implémentez avec AH et ESP :
Pour l’AH, des parties de l’en-tête IP externe sont protégées, ainsi que l’ensemble du paquet IP tunnelisé.
Pour l’ESP, seul le paquet tunnelisé est protégé, pas l’en-tête externe.
Lorsqu’une passerelle de sécurité est une passerelle de sécurité (par exemple un commutateur), elle doit utiliser le mode tunnel. Toutefois, lorsque le trafic (par exemple, commandes SNMP ou sessions BGP) est destiné à un commutateur, le système agit en tant qu’hôte. Dans ce cas, le mode de transport est autorisé car le système n’agit pas comme une passerelle de sécurité et n’envoie ni ne reçoit le trafic de transit.
Note:Le mode tunnel n’est pas pris en charge pour l’authentification de contrôle des paquets OSPF v3.
Le mode de transport fournit une SA entre deux hôtes. En mode transport, les protocoles protègent principalement les protocoles de couche supérieure. Un en-tête de protocole de sécurité du mode de transport apparaît immédiatement après l’en-tête IP et toutes les options et avant tout protocole de couche supérieure (par exemple, TCP ou UDP). Il existe de légères différences pour le mode de transport lorsque vous l’implémentez avec AH et ESP :
Pour aH, certaines parties de l’en-tête IP sont protégées, ainsi que certaines parties des en-têtes d’extension et les options sélectionnées dans l’en-tête IPv4.
Pour l’ESP, seuls les protocoles de couche supérieure sont protégés, et non l’en-tête IP ou les en-têtes d’extension précédant l’en-tête ESP.
Comprendre l’authentification OSPFv2
Tous les échanges de protocoles OSPFv2 peuvent être authentifiés pour garantir que seuls les équipements de routage de confiance participent au routage du système autonome. Par défaut, l’authentification OSPFv2 est désactivée.
OSPFv3 n’a pas de méthode d’authentification intégrée et s’appuie sur IP Security (IPsec) pour fournir cette fonctionnalité.
Vous pouvez activer les types d’authentification suivants :
-
Authentification simple : authentifie à l’aide d’un mot de passe en texte brut inclus dans le paquet transmis. L’équipement de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
-
Authentification MD5 : s’authentifie à l’aide d’un total de contrôle MD5 encodé inclus dans le paquet transmis. L’équipement de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Vous définissez une clé MD5 pour chaque interface. Si md5 est activé sur une interface, cette interface accepte les mises à jour de routage uniquement si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. L’équipement de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide du même identifiant de clé (ID) défini pour cette interface.
-
Authentification IPsec (à partir de Junos OS version 8.3) : authentifie les interfaces OSPFv2, le point de terminaison distant d’une liaison factice et la liaison virtuelle OSPFv2 à l’aide d’associations de sécurité manuelles (AS) pour s’assurer que le contenu d’un paquet est sécurisé entre les équipements de routage. Vous configurez l’authentification IPsec séparément.
Note:Vous pouvez configurer l’authentification IPsec avec MD5 ou une simple authentification.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPFv2 :
-
Les sla IKE (Internet Key Exchange) dynamiques ne sont pas pris en charge.
-
Seul le mode de transport IPsec est pris en charge. Le mode tunnel n’est pas pris en charge.
-
Étant donné que seuls les SAs manuels bidirectionnels sont pris en charge, tous les pairs OSPFv2 doivent être configurés avec le même SA IPsec. Vous configurez un SA bidirectionnel manuel au niveau de la
[edit security ipsec]hiérarchie. -
Vous devez configurer le même SA IPsec pour toutes les liaisons virtuelles avec la même adresse de point de terminaison distante, pour tous les voisins sur les liaisons multiaccess sans diffusion (NBMA) ou point à multipoint OSPF, et pour chaque sous-réseau faisant partie d’une liaison de diffusion.
-
Les interfaces homologues OSPFv2 ne sont pas prises en charge.
-
Comme OSPF effectue l’authentification au niveau de la zone, tous les équipements de routage de la zone doivent avoir la même authentification et le même mot de passe (clé) configuré. Pour que l’authentification MD5 fonctionne, les équipements de routage de réception et de transmission doivent avoir la même clé MD5. En outre, un simple mot de passe et une clé MD5 s’excluent mutuellement. Vous ne pouvez configurer qu’un seul mot de passe simple, mais plusieurs clés MD5.
Dans le cadre de vos mesures de sécurité, vous pouvez modifier les clés MD5. Vous pouvez le faire en configurant plusieurs clés MD5, chacune avec un ID de clé unique, et en définissant la date et l’heure de passage à la nouvelle clé. Chaque clé MD5 unique possède un ID unique. L’ID est utilisé par le récepteur du paquet OSPF pour déterminer la clé à utiliser pour l’authentification. L’ID de clé, requis pour l’authentification MD5, spécifie l’identifiant associé à la clé MD5.
À partir de la version 22.4R1 de Junos OS, nous prenons en charge l’authentification OSPF MD5 avec plusieurs clés actives pour envoyer des paquets avec une limite de deux clés par interface. Le fait d’avoir plusieurs clés actives à tout moment au niveau de l’interface permet une transition fluide d’une clé à l’autre pour OSPF. Vous pouvez supprimer les anciennes clés sans aucun impact sur la session OSPF.
Voir aussi
Comprendre l’authentification OSPFv3
OSPFv3 ne dispose pas d’une méthode d’authentification intégrée et s’appuie sur la suite IP Security (IPsec) pour fournir cette fonctionnalité. L’IPsec fournit des fonctionnalités telles que l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre les replays et la non-répudiation de la source. Vous pouvez utiliser IPsec pour sécuriser des interfaces OSPFv3 spécifiques et protéger les liaisons virtuelles OSPFv3.
Vous configurez l’authentification IPsec réelle séparément de votre configuration OSPFv3, puis appliquez IPsec aux interfaces OSPFv3 ou aux liaisons virtuelles OSPFv3.
OSPFv3 utilise l’en-tête d’authentification IP (AH) et les parties ESP (Ip Encapsulating Security Payload) du protocole IPsec pour authentifier les informations de routage entre pairs. AH peut fournir une intégrité sans connexion et l’authentification de l’origine des données. Il offre également une protection contre les replays. AH authentifie autant d’en-tête IP que possible, ainsi que les données de protocole de niveau supérieur. Cependant, certains champs d’en-tête IP peuvent changer en cours de transit. Parce que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. L’ESP peut fournir un chiffrement et une confidentialité limitée des flux de trafic ou une intégrité sans connexion, l’authentification de l’origine des données et un service anti-replay.
L’IPsec est basé sur des associations de sécurité (SA). Un SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Cette connexion simplex fournit des services de sécurité aux paquets transportés par le SA. Ces spécifications incluent des préférences pour le type d’authentification, de chiffrement et de protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Un SA permet de chiffrer et d’authentifier un flux particulier dans une seule direction. Par conséquent, dans le trafic bidirectionnel normal, les flux sont sécurisés par une paire de SA. Un SA à utiliser avec OSPFv3 doit être configuré manuellement et utiliser le mode de transport. Les valeurs statiques doivent être configurées aux deux extrémités du SA.
Les SA manuels ne nécessitent aucune négociation entre les pairs. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les AS manuels définissent statiquement les valeurs, les algorithmes et les clés de l’indice de paramètres de sécurité (SPI) à utiliser et nécessitent des configurations correspondantes sur les deux terminaux (pairs OSPFv3). En conséquence, chaque pair doit disposer des mêmes options configurées pour que la communication ait lieu.
Le choix réel des algorithmes de chiffrement et d’authentification est laissé à votre administrateur IPsec; toutefois, nous avons les recommandations suivantes :
Utilisez l’ESP avec le chiffrement NULL pour fournir une authentification aux en-têtes du protocole OSPFv3 uniquement. Avec le chiffrement NULL, vous choisissez de ne pas fournir de chiffrement sur les en-têtes OSPFv3. Cela peut être utile à des fins de dépannage et de débogage. Pour plus d’informations sur le chiffrement NULL, consultez la RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez l’ESP avec un chiffrement non NULL pour une confidentialité totale. Avec le chiffrement non NULL, vous choisissez de fournir un chiffrement. Pour plus d’informations sur le chiffrement NULL, consultez la RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez AH pour fournir l’authentification des en-têtes de protocole OSPFv3, des parties de l’en-tête IPv6 et des parties des en-têtes d’extension.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPFv3 :
Les associations de sécurité IKE (Dynamic Internet Key Exchange) ne sont pas prises en charge.
Seul le mode de transport IPsec est pris en charge. En mode transport, seule la charge utile (les données que vous transférez) du paquet IP est chiffrée et/ou authentifiée. Le mode tunnel n’est pas pris en charge.
Étant donné que seuls les SAs manuels bidirectionnels sont pris en charge, tous les pairs OSPFv3 doivent être configurés avec le même SA IPsec. Vous configurez un SA bidirectionnel manuel au niveau de la
[edit security ipsec]hiérarchie.Vous devez configurer le même SA IPsec pour toutes les liaisons virtuelles avec la même adresse de point de terminaison distante.
Voir aussi
Exemple : configuration de l’authentification simple pour les échanges OSPFv2
Cet exemple montre comment activer une authentification simple pour les échanges OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces de l’équipement. Consultez la bibliothèque d’interfaces réseau Junos OS pour les équipements de routage ou le Guide de configuration des interfaces Junos OS pour les équipements de sécurité.
Configurez les identifiants de routeur pour les équipements de votre réseau OSPF. Voir l’exemple : configuration d’un identifiant de routeur OSPF.
Contrôlez l’élection du routeur désigné OSPF. Voir l’exemple : Contrôle de l’élection de routeurs désignés OSPF
Configurez un réseau OSPF à zone unique. Voir l’exemple : configuration d’un réseau OSPF à zone unique.
Configurez un réseau OSPF multi-zones. Voir l’exemple : Configuration d’un réseau OSPF multi-zones.
Aperçu
L’authentification simple utilise un mot de passe en texte clair inclus dans le paquet transmis. L’équipement de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet. Les mots de passe en texte brut ne sont pas chiffrés et peuvent faire l’objet d’une interception de paquets. Cette méthode est la moins sécurisée et ne doit être utilisée que si la sécurité du réseau n’est pas votre objectif.
Vous ne pouvez configurer qu’une seule clé d’authentification simple (mot de passe) sur l’équipement de routage. La clé simple peut être de 1 à 8 caractères et peut inclure des chaînes ASCII. Si vous incluez des espaces, joignez tous les caractères entre guillemets (« »).
Dans cet exemple, vous spécifiez l’interface OSPFv2 so-0/1/0 dans la zone 0.0.0.0, définissez le type d’authentification sur mot de passe simple et définissez la clé comme PssWd4.
Configuration
Configuration rapide cli
Pour configurer rapidement une authentification simple, copiez la commande suivante, en supprimant les sauts de ligne, puis collez la commande dans la CLI. Vous devez configurer tous les équipements de routage de la zone avec la même authentification et le même mot de passe.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
Procédure
Procédure étape par étape
Pour permettre une authentification simple pour les échanges OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
Définissez le type d’authentification et le mot de passe.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
Note:Répétez cette configuration sur tous les équipements de routage OSPFv2 homologues de la zone.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Après avoir configuré le mot de passe, vous ne voyez plus le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Le champ Type d’authentification affiche le mot de passe lorsqu’il est configuré pour une authentification simple.
Action
À partir du mode opérationnel, saisissez les show ospf interface show ospf overview commandes et.
Exemple : configuration de l’authentification MD5 pour les échanges OSPFv2
Cet exemple montre comment activer l’authentification MD5 pour les échanges OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces de l’équipement. Consultez la bibliothèque d’interfaces réseau Junos OS pour les équipements de routage ou le Guide de configuration des interfaces Junos OS pour les équipements de sécurité.
Configurez les identifiants de routeur pour les équipements de votre réseau OSPF. Voir l’exemple : configuration d’un identifiant de routeur OSPF.
Contrôlez l’élection du routeur désigné OSPF. Voir l’exemple : Contrôle de l’élection de routeurs désignés OSPF
Configurez un réseau OSPF à zone unique. Voir l’exemple : configuration d’un réseau OSPF à zone unique.
Configurez un réseau OSPF multi-zones. Voir l’exemple : Configuration d’un réseau OSPF multi-zones.
Aperçu
L’authentification MD5 utilise une somme de contrôle MD5 encodée incluse dans le paquet transmis. L’équipement de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Vous définissez une clé MD5 pour chaque interface. Si md5 est activé sur une interface, cette interface accepte les mises à jour de routage uniquement si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. L’équipement de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide du même identifiant de clé (ID) défini pour cette interface.
Dans cet exemple, vous créez la zone dorsal (zone 0.0.0.0), spécifiez l’interface OSPFv2 so-0/2/0, définissez le type d’authentification sur md5, puis définissez l’ID de clé d’authentification comme 5 et le mot de passe comme PssWd8.
Topologie
Configuration
Configuration rapide cli
Pour configurer rapidement l’authentification MD5, copiez la commande suivante et collez-la dans la CLI.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
Procédure
Procédure étape par étape
Pour activer l’authentification MD5 pour les échanges OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Configurez l’authentification MD5 et définissez un ID de clé et un mot de passe d’authentification.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
Note:Répétez cette configuration sur tous les équipements de routage OSPFv2 homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Après avoir configuré le mot de passe, vous ne voyez plus le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Une fois configuré pour l’authentification MD5, le champ Type d’authentification affiche MD5, le champ ID de clé active affiche le numéro unique que vous avez entré qui identifie la clé MD5, et le champ Heure de début affiche la date comme Heure de début 1970 Jan 01 00:00:00 PST. Ne vous inquiétez pas de cette heure de départ. Il s’agit de l’heure de début par défaut que l’équipement de routage affiche si la clé MD5 est effective immédiatement.
Action
À partir du mode opérationnel, saisissez les show ospf interface show ospf overview commandes et.
Exemple : configuration d’une transition de clés MD5 sur une interface OSPFv2
Cet exemple montre comment configurer une transition de clés MD5 sur une interface OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces de l’équipement. Consultez la bibliothèque d’interfaces réseau Junos OS pour les équipements de routage ou le Guide de configuration des interfaces Junos OS pour les équipements de sécurité.
Configurez les identifiants de routeur pour les équipements de votre réseau OSPF. Voir l’exemple : configuration d’un identifiant de routeur OSPF.
Contrôlez l’élection du routeur désigné OSPF. Voir l’exemple : Contrôle de l’élection de routeurs désignés OSPF
Configurez un réseau OSPF à zone unique. Voir l’exemple : configuration d’un réseau OSPF à zone unique.
Configurez un réseau OSPF multi-zones. Voir l’exemple : Configuration d’un réseau OSPF multi-zones.
Aperçu
L’authentification MD5 utilise une somme de contrôle MD5 encodée incluse dans le paquet transmis. Pour que l’authentification MD5 fonctionne, les équipements de routage de réception et de transmission doivent avoir la même clé MD5.
Vous définissez une clé MD5 pour chaque interface. Si md5 est activé sur une interface, cette interface accepte les mises à jour de routage uniquement si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. L’équipement de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide du même identifiant de clé (ID) défini pour cette interface.
Pour plus de sécurité, vous pouvez configurer plusieurs clés MD5, chacune avec un ID de clé unique, et définir la date et l’heure pour passer à une nouvelle clé. Le récepteur du paquet OSPF utilise l’ID pour déterminer la clé à utiliser pour l’authentification.
Dans cet exemple, vous configurez les nouvelles clés pour qu’elles prennent effet à 0 h 01 le premier jour des trois prochains mois sur l’interface OSPFv2 fe-0/0/1 dans la zone dorsal (zone 0.0.0.0), et vous configurez les paramètres d’authentification MD5 suivants :
md5 : spécifie l’ID de clé d’authentification MD5. L’ID de la clé peut être défini sur n’importe quelle valeur comprise entre 0 et 255, avec une valeur par défaut de 0. L’équipement de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide du même ID de clé défini pour cette interface.
clé : spécifie la clé MD5. Chaque clé peut avoir une valeur de 1 à 16 caractères. Les caractères peuvent inclure des chaînes ASCII. Si vous incluez des espaces, joignez tous les caractères entre guillemets (« »).
heure de démarrage : spécifie l’heure de commencer à utiliser la clé MD5. Cette option vous permet de configurer un mécanisme de transition en douceur pour plusieurs clés. L’heure de début est pertinente pour la transmission, mais pas pour la réception des paquets OSPF.
Vous devez définir les mêmes mots de passe, les mêmes dates et heures de transition sur tous les équipements de la zone afin que les adjacenances OSPFv2 restent actives.
Topologie
Configuration
Configuration rapide cli
Pour configurer rapidement plusieurs clés MD5 sur une interface OSPFv2, copiez les commandes suivantes, supprimez les sauts de ligne, puis collez les commandes dans la CLI.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Procédure
Procédure étape par étape
Pour configurer plusieurs clés MD5 sur une interface OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
Configurez l’authentification MD5 et définissez un mot de passe d’authentification et un ID de clé.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
Configurez une nouvelle clé pour qu’elle prenne effet à 00h01 les premiers jours de février, mars et avril.
Vous configurez un nouveau mot de passe d’authentification et un id de clé pour chaque mois.
Pour le mois de février, saisissez les éléments suivants :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
Pour le mois de mars, saisissez les éléments suivants :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
Pour le mois d’avril, saisissez les éléments suivants :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
Note:Répétez cette configuration sur tous les équipements de routage OSPFv2 homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Après avoir configuré le mot de passe, vous ne voyez plus le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Une fois configuré pour l’authentification MD5 avec une transition de clés, le champ de type Auth affiche MD5, le champ ID de clé active affiche le numéro unique que vous avez entré qui identifie la clé MD5, et le champ Heure de début affiche l’heure à laquelle l’équipement de routage commence à utiliser une clé MD5 pour authentifier les paquets OSPF transmis sur l’interface que vous avez configurée.
Action
À partir du mode opérationnel, saisissez les show ospf interface show ospf overview commandes et.
Utilisation d’IPsec pour sécuriser les réseaux OSPFv3 (procédure CLI)
OSPF version 3 (OSPFv3) n’a pas de méthode d’authentification intégrée et s’appuie sur IP Security (IPsec) pour fournir cette fonctionnalité. Vous pouvez utiliser IPsec pour sécuriser les interfaces OSPFv3 sur les commutateurs EX Series.
Ce sujet comprend :
Configuration des associations de sécurité
Lorsque vous configurez une association de sécurité (SA), incluez vos choix d’authentification, de chiffrement, de direction, de mode, de protocole et d’index de paramètres de sécurité (SPI).
Pour configurer une association de sécurité :
Sécurisation des réseaux OPSFv3
Vous pouvez sécuriser le réseau OSPFv3 en appliquant le SA à la configuration OSPFv3.
Pour sécuriser le réseau OSPFv3 :
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
Exemple : configuration de l’authentification IPsec pour une interface OSPF
Cet exemple montre comment activer l’authentification IPsec (IP Security) pour une interface OSPF.
Exigences
Avant de commencer :
Configurez les interfaces de l’équipement. Consultez la bibliothèque d’interfaces réseau Junos OS pour les équipements de routage ou le Guide de configuration des interfaces Junos OS pour les équipements de sécurité.
Configurez les identifiants de routeur pour les équipements de votre réseau OSPF. Voir l’exemple : configuration d’un identifiant de routeur OSPF.
Contrôlez l’élection du routeur désigné OSPF. Voir l’exemple : Contrôle de l’élection de routeurs désignés OSPF
Configurez un réseau OSPF à zone unique. Voir l’exemple : configuration d’un réseau OSPF à zone unique.
Configurez un réseau OSPF multi-zones. Voir l’exemple : Configuration d’un réseau OSPF multi-zones.
Aperçu
Vous pouvez utiliser l’authentification IPsec pour OSPFv2 et OSPFv3. Vous configurez l’authentification IPsec et l’appliquez à la configuration OSPF applicable.
OSPFv2
À partir de la version 8.3 de Junos OS, vous pouvez utiliser l’authentification IPsec pour authentifier les interfaces OSPFv2, le point de terminaison distant d’une liaison factice et la liaison virtuelle OSPFv2 à l’aide d’associations de sécurité manuelles (AS) pour vous assurer que le contenu d’un paquet est sécurisé entre les équipements de routage.
Vous pouvez configurer l’authentification IPsec avec MD5 ou une simple authentification.
Pour activer l’authentification IPsec, effectuez l’une des opérations suivantes :
Pour une interface OSPFv2, incluez l’énoncé d’une
ipsec-sa nameinterface spécifique :interface interface-name ipsec-sa name;
Pour un lien simulant à distance, incluez la
ispec-sa namedéclaration pour le point d’extrémité distant du lien factice :sham-link-remote address ipsec-sa name;
Note:Si une configuration VPN de couche 3 a plusieurs liaisons factices avec la même adresse IP de terminal distant, vous devez configurer la même association de sécurité IPsec pour tous les points de terminaison distants. Vous configurez un VPN de couche 3 au niveau de la
[edit routing-instances routing-instance-name instance-type]hiérarchie. Pour plus d’informations sur les VPN de couche 3, consultez la bibliothèque de VPN Junos OS pour les équipements de routage.Pour un lien virtuel, incluez l’énoncé
ipsec-sa named’un lien virtuel spécifique :virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 n’a pas de méthode d’authentification intégrée et s’appuie sur IPsec pour fournir cette fonctionnalité. Vous utilisez l’authentification IPsec pour sécuriser les interfaces OSPFv3 et protéger les liaisons virtuelles OSPFv3 à l’aide de SAs manuels pour vous assurer que le contenu d’un paquet est sécurisé entre les équipements de routage.
Pour appliquer l’authentification, effectuez l’une des opérations suivantes :
Pour une interface OSPFv3, incluez l’énoncé
ipsec-sa named’une interface spécifique :interface interface-name ipsec-sa name;
Pour un lien virtuel, incluez l’énoncé
ipsec-sa named’un lien virtuel spécifique :virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
Dans cet exemple, vous effectuez les tâches suivantes :
Configurez l’authentification IPsec. Pour ce faire, définissez un SA manuel nommé sa1 et spécifiez la direction du traitement, le protocole utilisé pour protéger le trafic IP, l’index des paramètres de sécurité (SPI) ainsi que l’algorithme et la clé d’authentification.
Configurez l’option suivante au niveau de la
[edit security ipsec security-association sa-name mode]hiérarchie :transport : spécifie le mode de transport. Ce mode protège le trafic lorsque le point de terminaison de communication et le terminal cryptographique sont identiques. La partie de données du paquet IP est chiffrée, mais l’en-tête IP ne l’est pas.
Configurez l’option suivante au niveau de la
[edit security ipsec security-association sa-name manual direction]hiérarchie :bidirectionnel : définit la direction du traitement IPsec. En spécifiant les offres, les mêmes algorithmes, clés et valeurs SPI (Security Paramater Index) que vous configurez sont utilisés dans les deux sens.
Configurez les options suivantes au niveau de la
[edit security ipsec security-association sa-name manual direction bidirectional]hiérarchie :protocole : définit le protocole IPsec utilisé par le SA manuel pour protéger le trafic IP. Vous pouvez spécifier l’en-tête d’authentification (AH) ou l’esp (Encapsulating Security Payload). Si vous spécifiez AH, ce que vous faites dans cet exemple, vous ne pouvez pas configurer le chiffrement.
spi : configure l’IP pour le SA manuel. Un SPI est une valeur arbitraire qui identifie de manière unique la SA à utiliser sur l’hôte destinataire. L’hôte d’envoi utilise le SPI pour identifier et sélectionner le SA à utiliser pour sécuriser chaque paquet. L’hôte destinataire utilise le SPI pour identifier et sélectionner l’algorithme et la clé de chiffrement utilisés pour déchiffrer les paquets. Dans cet exemple, vous spécifiez 256.
authentification : configure l’algorithme et la clé d’authentification. L’option d’algorithme spécifie l’algorithme de hachage qui authentifie les données de paquet. Dans cet exemple, vous spécifiez hmac-md5-96, qui produit une synthèse de 128 bits. L’option clé indique le type de clé d’authentification. Dans cet exemple, vous spécifiez ascii-text-key, soit 16 caractères ASCII pour l’algorithme hmac-md5-96 .
Activez l’authentification IPsec sur l’interface OSPF so-0/2/0.0 dans la zone dorsal (zone 0.0.0.0) en incluant le nom du SA1 manuel que vous avez configuré au niveau de la
[edit security ipsec]hiérarchie.
Topologie
Configuration
- Configuration des associations de sécurité
- Activation de l’authentification IPsec pour une interface OSPF
Configuration des associations de sécurité
Configuration rapide cli
Pour configurer rapidement un SA manuel à utiliser pour l’authentification IPsec sur une interface OSPF, copiez les commandes suivantes, supprimez les sauts de ligne, puis collez les commandes dans la CLI.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Procédure étape par étape
Pour configurer un SA manuel à utiliser sur une interface OSPF :
Spécifiez un nom pour le SA.
[edit] user@host# edit security ipsec security-association sa1
Spécifiez le mode du SA.
[edit security ipsec security-association sa1 ] user@host# set mode transport
Configurez la direction du SA manuel.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
Configurez le protocole IPsec à utiliser.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
Configurez la valeur du SPI.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
Configurez l’algorithme et la clé d’authentification.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit security ipsec security-association sa1 ] user@host# commit
Note:Répétez cette configuration sur tous les équipements de routage OSPF homologues.
Résultats
Confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Après avoir configuré le mot de passe, vous ne voyez plus le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Activation de l’authentification IPsec pour une interface OSPF
Configuration rapide cli
Pour appliquer rapidement une sa manuelle utilisée pour l’authentification IPsec à une interface OSPF, copiez la commande suivante et collez-la dans la CLI.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procédure étape par étape
Pour activer l’authentification IPsec pour une interface OSPF :
Créez une zone OSPF.
Note:Pour spécifier OSPFv3, incluez l’instruction
ospf3au niveau de la[edit protocols]hiérarchie.[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Appliquez le sa manuel IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
Note:Répétez cette configuration sur tous les équipements de routage OSPF homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Pour confirmer votre configuration OSPFv3, saisissez la show protocols ospf3 commande.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres de l’association de sécurité IPsec
- Vérification de l’association de sécurité IPsec sur l’interface OSPF
Vérification des paramètres de l’association de sécurité IPsec
But
Vérifiez les paramètres d’association de sécurité IPsec configurés. Vérifiez les informations suivantes :
Le champ Association de sécurité affiche le nom de l’association de sécurité configurée.
Le champ SPI affiche la valeur que vous avez configurée.
Le champ Mode affiche le mode de transport.
Le champ Type affiche manuellement le type d’association de sécurité.
Action
Depuis le mode opérationnel, saisissez la show ipsec security-associations commande.
Vérification de l’association de sécurité IPsec sur l’interface OSPF
But
Vérifiez que l’association de sécurité IPsec que vous avez configurée a été appliquée à l’interface OSPF. Vérifiez que le champ IPSec NOM SA affiche le nom de l’association de sécurité IPsec configurée.
Action
À partir du mode opérationnel, saisissez la show ospf interface detail commande pour OSPFv2 et la show ospf3 interface detail commande pour OSPFv3.