SUR CETTE PAGE
Comprendre l’authentification IPsec pour les paquets OSPF sur les commutateurs EX Series
Exemple : Configuration de l’authentification MD5 pour les échanges OSPFv2
Exemple : Configuration d’une transition de clés MD5 sur une interface OSPFv2
Utilisation d’IPsec pour sécuriser les réseaux OSPFv3 (procédure CLI)
Exemple : Configuration de l’authentification IPsec pour une interface OSPF
Configuration de l’authentification OSPF
Comprendre l’authentification IPsec pour les paquets OSPF sur les commutateurs EX Series
La sécurité IP (IPsec) offre un moyen sécurisé d’authentifier les expéditeurs et de chiffrer le trafic IP version 4 (IPv4) entre les périphériques réseau. IPsec offre aux administrateurs réseau des commutateurs Ethernet EX Series de Juniper Networks et à leurs utilisateurs les avantages des services de confidentialité et d’intégrité des données, d’authentification de l’expéditeur et d’anti-rejeu.
IPsec est un cadre permettant de garantir la sécurité des communications privées sur les réseaux IP et est basé sur les normes développées par l’International Engineering Task Force (IETF). IPsec fournit des services de sécurité au niveau de la couche réseau du modèle OSI (Open Systems Interconnection) en permettant à un système de sélectionner les protocoles de sécurité requis, de déterminer les algorithmes à utiliser pour les services de sécurité et d’implémenter les clés cryptographiques nécessaires pour fournir les services demandés. Vous pouvez utiliser IPsec pour protéger un ou plusieurs chemins entre une paire d’hôtes, entre une paire de passerelles de sécurité (comme des commutateurs) ou entre une passerelle de sécurité et un hôte.
OSPF version 3 (OSPFv3), contrairement à OSPF version 2 (OSPFv2), ne dispose pas de méthode d’authentification intégrée et s’appuie sur IPsec pour fournir cette fonctionnalité. Vous pouvez sécuriser des interfaces OSPFv3 spécifiques et protéger les liens virtuels OSPFv3.
- Algorithmes d’authentification
- Algorithmes de chiffrement
- Protocoles IPsec
- Associations de sécurité
- IPsec Modes
Algorithmes d’authentification
L’authentification est le processus de vérification de l’identité de l’expéditeur. Les algorithmes d’authentification utilisent une clé partagée pour vérifier l’authenticité des appareils IPsec. Le système d’exploitation Junos de Juniper Networks (Junos OS) utilise les algorithmes d’authentification suivants :
Message Digest 5 (MD5) utilise une fonction de hachage unidirectionnelle pour convertir un message de longueur arbitraire en un condensé de message de longueur fixe de 128 bits. En raison du processus de conversion, il est mathématiquement impossible de calculer le message d’origine en le calculant à rebours à partir du résumé du message résultant. De même, une modification d’un seul caractère dans le message entraînera la génération d’un numéro de résumé de message très différent.
Pour vérifier que le message n’a pas été altéré, Junos OS compare le résumé de message calculé avec un résumé de message déchiffré avec une clé partagée. Junos OS utilise la variante du code d’authentification de message haché (HMAC) MD5 qui fournit un niveau supplémentaire de hachage. MD5 peut être utilisé avec un en-tête d’authentification (AH) et une charge utile de sécurité d’encapsulation (ESP).
L’algorithme de hachage sécurisé 1 (SHA-1) utilise un algorithme plus puissant que MD5. SHA-1 prend un message de moins de 264 bits et produit un condensé de message de 160 bits. Le récapitulatif volumineux des messages garantit que les données n’ont pas été modifiées et qu’elles proviennent de la bonne source. Junos OS utilise la variante HMAC SHA-1 qui fournit un niveau supplémentaire de hachage. SHA-1 peut être utilisé avec AH, ESP et Internet Key Exchange (IKE).
Algorithmes de chiffrement
Le chiffrement encode les données dans un format sécurisé afin qu’elles ne puissent pas être déchiffrées par des utilisateurs non autorisés. Comme pour les algorithmes d’authentification, une clé partagée est utilisée avec les algorithmes de chiffrement pour vérifier l’authenticité des appareils IPsec. Junos OS utilise les algorithmes de chiffrement suivants :
Le chiffrement par blocs de chiffrement standard (DES-CBC) est un algorithme symétrique de blocage de clé secrète. DES utilise une taille de clé de 64 bits, où 8 bits sont utilisés pour la détection des erreurs et les 56 bits restants fournissent le chiffrement. DES effectue une série d’opérations logiques simples sur la clé partagée, y compris des permutations et des substitutions. CBC prend le premier bloc de 64 bits de sortie de DES, combine ce bloc avec le deuxième bloc, le réinjecte dans l’algorithme DES et répète ce processus pour tous les blocs suivants.
Triple DES-CBC (3DES-CBC) est un algorithme de chiffrement similaire à DES-CBC, mais qui fournit un résultat de chiffrement beaucoup plus fort, car il utilise trois clés pour un chiffrement 168 bits (3 x 56 bits). 3DES fonctionne en utilisant la première clé pour chiffrer les blocs, la deuxième clé pour déchiffrer les blocs et la troisième clé pour rechiffrer les blocs.
Protocoles IPsec
Les protocoles IPsec déterminent le type d’authentification et de chiffrement appliqué aux paquets sécurisés par le commutateur. Junos OS prend en charge les protocoles IPsec suivants :
AH : défini dans la RFC 2402, AH assure l’intégrité sans connexion et l’authentification de l’origine des données pour IPv4. Il offre également une protection contre les reprises. AH authentifie autant d’en-têtes IP que possible, ainsi que les données de protocole de niveau supérieur. Toutefois, certains champs d’en-tête IP peuvent changer en cours de route. Étant donné que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. Dans un en-tête IP, AH peut être identifié avec une valeur de 51 dans le champ Protocole d’un paquet IPv4.
ESP : défini dans la RFC 2406, ESP peut fournir le chiffrement et limiter la confidentialité du flux de trafic ou l’intégrité sans connexion, l’authentification de l’origine des données et un service anti-rejeu. Dans un en-tête IP, ESP peut être identifié avec une valeur de 50 dans le champ Protocole d’un paquet IPv4.
Associations de sécurité
Une considération IPsec est le type d’association de sécurité (SA) que vous souhaitez implémenter. Une SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Ces spécifications incluent les préférences relatives au type d’authentification, au chiffrement et au protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Une SA peut être unidirectionnelle ou bidirectionnelle, selon les choix effectués par l’administrateur réseau. Une SA est identifiée de manière unique par un indice de paramètres de sécurité (SPI), une adresse de destination IPv4 ou IPv6 et un identifiant de protocole de sécurité (AH ou ESP).
IPsec Modes
Junos OS prend en charge les modes IPsec suivants :
Le mode tunnel est pris en charge pour AH et ESP dans Junos OS. En mode tunnel, la SA et les protocoles associés sont appliqués aux paquets IPv4 ou IPv6 tunnelisés. Dans le cas d’une SA en mode tunnel, un en-tête IP externe spécifie la destination de traitement IPsec et un en-tête IP interne spécifie la destination finale du paquet. L’en-tête du protocole de sécurité apparaît après l’en-tête IP externe et avant l’en-tête IP interne. De plus, il existe de légères différences pour le mode tunnel lorsque vous l’implémentez avec AH et ESP :
Pour AH, des parties de l’en-tête IP externe sont protégées, ainsi que l’ensemble du paquet IP tunnelisé.
Pour ESP, seul le paquet tunnelisé est protégé, pas l’en-tête externe.
Lorsqu’un côté d’une SA est une passerelle de sécurité (telle qu’un commutateur), la SA doit utiliser le mode tunnel. Toutefois, lorsque le trafic (par exemple, les commandes SNMP ou les sessions BGP) est destiné à un commutateur, le système agit en tant qu’hôte. Le mode transport est autorisé dans ce cas, car le système n’agit pas comme une passerelle de sécurité et n’envoie ni ne reçoit de trafic de transit.
Note:Le mode tunnel n’est pas pris en charge pour l’authentification des paquets de contrôle OSPF v3.
Le mode transport fournit une SA entre deux hôtes. En mode transport, les protocoles protègent principalement les protocoles de couche supérieure. Un en-tête de protocole de sécurité en mode transport apparaît immédiatement après l’en-tête IP et toutes les options, ainsi que tout protocole de couche supérieure (par exemple, TCP ou UDP). Il y a de légères différences pour le mode de transport lorsque vous l’implémentez avec AH et ESP :
Pour AH, des parties sélectionnées de l’en-tête IP sont protégées, ainsi que des parties sélectionnées des en-têtes d’extension et des options sélectionnées dans l’en-tête IPv4.
Pour l’ESP, seuls les protocoles de couche supérieure sont protégés, pas l’en-tête IP ou les en-têtes d’extension précédant l’en-tête ESP.
Comprendre l’authentification OSPFv2
Tous les échanges de protocoles OSPFv2 peuvent être authentifiés pour garantir que seuls les équipements de routage approuvés participent au routage du système autonome. Par défaut, l’authentification OSPFv2 est désactivée.
OSPFv3 ne dispose pas d’une méthode d’authentification intégrée et s’appuie sur la sécurité IP (IPsec) pour fournir cette fonctionnalité.
Vous pouvez activer les types d’authentification suivants :
-
Authentification simple : authentifie à l’aide d’un mot de passe en texte brut inclus dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
-
Authentification MD5 : s’authentifie à l’aide d’une somme de contrôle MD5 codée incluse dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Vous définissez une clé MD5 pour chaque interface. Si MD5 est activé sur une interface, celle-ci n’accepte les mises à jour de routage que si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. Le périphérique de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide de l’identifiant de clé (ID) défini pour cette interface.
-
Authentification IPsec (à partir de Junos OS version 8.3) : authentifie les interfaces OSPFv2, le point de terminaison distant d’un lien fictif et le lien virtuel OSPFv2 à l’aide d’associations de sécurité manuelles (SA) pour garantir la sécurité du contenu d’un paquet entre les périphériques de routage. Vous pouvez configurer séparément l’authentification IPsec proprement dite.
Note:Vous pouvez configurer l’authentification IPsec avec l’authentification MD5 ou l’authentification simple.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPFv2 :
-
Les SA IKE (Dynamic Internet Key Exchange) ne sont pas prises en charge.
-
Seul le mode transport IPsec est pris en charge. Le mode tunnel n’est pas pris en charge.
-
Étant donné que seules les SA manuelles bidirectionnelles sont prises en charge, tous les homologues OSPFv2 doivent être configurés avec la même SA IPsec. Vous configurez une SA bidirectionnelle manuelle au niveau de la
[edit security ipsec]hiérarchie. -
Vous devez configurer la même SA IPsec pour toutes les liaisons virtuelles ayant la même adresse de point de terminaison distant, pour tous les voisins sur les liaisons NBMA (Non-Broadcast Multiaccess) OSPF ou point à multipoint, et pour chaque sous-réseau faisant partie d’une liaison de diffusion.
-
Les interfaces homologues OSPFv2 ne sont pas prises en charge.
-
Étant donné qu’OSPF effectue l’authentification au niveau de la zone, tous les périphériques de routage dans la zone doivent avoir la même authentification et le même mot de passe (clé) correspondant configurés. Pour que l’authentification MD5 fonctionne, les périphériques de routage de réception et d’émission doivent disposer de la même clé MD5. De plus, un simple mot de passe et une clé MD5 s’excluent mutuellement. Vous ne pouvez configurer qu’un seul mot de passe simple, mais plusieurs clés MD5.
Dans le cadre de vos mesures de sécurité, vous pouvez modifier les clés MD5. Vous pouvez le faire en configurant plusieurs clés MD5, chacune avec un ID de clé unique, et en définissant la date et l’heure de basculement vers la nouvelle clé. Chaque clé MD5 unique possède un ID unique. L’ID est utilisé par le destinataire du paquet OSPF pour déterminer la clé à utiliser pour l’authentification. L’ID de clé, qui est requis pour l’authentification MD5, spécifie l’identificateur associé à la clé MD5.
À partir de la version 22.4R1 de Junos OS, nous prenons en charge l’authentification OSPF MD5 avec plusieurs clés actives pour envoyer des paquets avec une limite maximale de deux clés par interface. Le fait d’avoir plusieurs clés actives à tout moment au niveau de l’interface permet une transition fluide d’une clé à l’autre pour OSPF. Vous pouvez supprimer les anciennes clés sans aucun impact sur la session OSPF.
À partir de Junos OS version 23.3R1 et Junos OS Evolved version 23.3R1, vous pouvez activer l’authentification OSPFv2 HMAC-SHA1 avec trousseau pour authentifier les paquets atteignant ou provenant d’une interface OSPF. Cela garantit une transition fluide d’une clé à l’autre pour OSPFv2 avec une sécurité accrue. Vous pouvez activer OSPFv2 pour envoyer des paquets authentifiés avec la dernière clé MD5 uniquement une fois que tous les voisins passent à la dernière clé configurée. Avant cette version, nous prenions en charge la publication de paquets OSPF authentifiés toujours avec plusieurs clés MD5 actives avec une limite maximale de deux clés par interface.
L’authentification HMAC-SHA1 pour OSPFv2 ne prend pas en charge :
-
Porte-clés sans clés actives.
-
Migration d’autres types d’authentification existants vers un trousseau avec session sans succès.
-
Migration de l’absence d’authentification vers le trousseau avec session sans impact.
-
MD5 à clé dans le cadre de la configuration du trousseau.
- Lorsque l’optimisation MD5 multi-active avec
delete-if-not-inuseinstruction de configuration est activée et que la négociation d’authentification a lieu avec ses voisins, l’appareil n’utilise désormais que la clé active pour la transmission de ce voisin négocié. En d’autres termes, nous ne prenons pas en charge le retour à l’ancienne clé.Par exemple : R0 et R1 sont configurés avec key-id 1as
delete-if-not-inuseet key-id 2. Par la suite, si R1 est configuré pour supprimer l’ID de clé 2, R0 ne revient pas à l’utilisation des deux clés (ID de clé 1 et ID de clé 2) pour la transmission. - L’activité du trousseau est basée sur le temps absolu (horloge murale) et l’horloge murale peut revenir en arrière après la validation. Ce type d’erreur n’est pas reflété au moment de la validation. Il est donc important que l’heure système soit synchronisée sur tous les appareils lorsque le trousseau est actif sur une session OSPF.
À partir de Junos OS Evolved version 24.2R1, vous pouvez activer le module de trousseau OSPFv2 avec authentification HMAC-SHA2 (OSPFv2 HMAC-SHA2) pour authentifier les paquets atteignant ou provenant d’une interface OSPF. Les algorithmes HMAC SHA2 incluent HMAC-SHA2-256, HMAC-SHA2-384 et HMAC-SHA2-512, tels que définis dans la RFC 5709. Nous prenons en charge ces algorithmes avec HMAC-SHA2-224. Cette fonctionnalité assure une transition fluide d’une clé à l’autre pour OSPFv2 avec une sécurité renforcée. Nous prenons également en charge l’authentification HMAC-SHA1 et HMAC-SHA2 pour les liaisons virtuelles et fictives.
L’authentification HMAC-SHA2 pour OSPFv2 ne prend pas en charge :
-
Porte-clés sans clés actives.
-
Migration d’autres types d’authentification existants vers un trousseau avec session sans succès.
-
Migration de l’absence d’authentification vers le trousseau avec session sans impact.
-
L’algorithme SHA1 (sans HMAC) dans la configuration du trousseau n’est pas pris en charge.
- Il est important que l’heure système soit synchronisée sur tous les périphériques lorsque le trousseau est actif sur une session OSPF.
Voir aussi
Présentation de l’authentification OSPFv3
OSPFv3 ne dispose pas d’une méthode d’authentification intégrée et s’appuie sur la suite de sécurité IP (IPsec) pour fournir cette fonctionnalité. IPsec fournit des fonctionnalités telles que l’authentification de l’origine, l’intégrité des données, la confidentialité, la protection contre la relecture et la non-répudiation de la source. Vous pouvez utiliser IPsec pour sécuriser des interfaces OSPFv3 spécifiques et protéger les liens virtuels OSPFv3.
Vous configurez l’authentification IPsec réelle séparément de votre configuration OSPFv3, puis appliquez IPsec aux interfaces OSPFv3 ou aux liens virtuels OSPFv3.
OSPFv3 utilise l’en-tête d’authentification IP (AH) et les parties ESP (IP Encapsulating Security Payload) du protocole IPsec pour authentifier les informations de routage entre homologues. AH peut fournir une intégrité sans connexion et une authentification de l’origine des données. Il offre également une protection contre les reprises. AH authentifie autant d’en-têtes IP que possible, ainsi que les données de protocole de niveau supérieur. Toutefois, certains champs d’en-tête IP peuvent changer en cours de route. Étant donné que la valeur de ces champs peut ne pas être prévisible par l’expéditeur, ils ne peuvent pas être protégés par AH. ESP peut fournir le chiffrement et la confidentialité des flux de trafic limités ou l’intégrité sans connexion, l’authentification de l’origine des données et un service anti-rejeu.
IPsec est basé sur les associations de sécurité (SA). Une SA est un ensemble de spécifications IPsec négociées entre les équipements qui établissent une relation IPsec. Cette connexion simplex fournit des services de sécurité aux paquets transportés par la SA. Ces spécifications incluent les préférences relatives au type d’authentification, au chiffrement et au protocole IPsec à utiliser lors de l’établissement de la connexion IPsec. Une SA est utilisée pour chiffrer et authentifier un flux particulier dans une direction. Par conséquent, dans un trafic bidirectionnel normal, les flux sont sécurisés par une paire de SA. Une SA à utiliser avec OSPFv3 doit être configurée manuellement et utiliser le mode transport. Les valeurs statiques doivent être configurées aux deux extrémités de la SA.
Les SA manuelles ne nécessitent aucune négociation entre pairs. Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Les SA manuelles définissent de manière statique les valeurs, les algorithmes et les clés de l’indice des paramètres de sécurité (SPI) à utiliser et nécessitent des configurations correspondantes sur les deux points de terminaison (homologues OSPFv3). Par conséquent, chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.
Le choix réel des algorithmes de chiffrement et d’authentification est laissé à votre administrateur IPsec ; Cependant, nous avons les recommandations suivantes :
Utilisez ESP avec chiffrement NULL pour fournir une authentification aux en-têtes de protocole OSPFv3 uniquement. Avec le chiffrement NULL, vous choisissez de ne pas fournir de chiffrement sur les en-têtes OSPFv3. Cela peut être utile à des fins de dépannage et de débogage. Pour plus d’informations sur le chiffrement NULL, consultez RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez ESP avec un chiffrement non NULL pour une confidentialité totale. Avec un chiffrement non NULL, vous choisissez de fournir un chiffrement. Pour plus d’informations sur le chiffrement NULL, consultez RFC 2410, L’algorithme de chiffrement NULL et son utilisation avec IPsec.
Utilisez AH pour authentifier les en-têtes de protocole OSPFv3, certaines parties de l’en-tête IPv6 et certaines parties des en-têtes d’extension.
Les restrictions suivantes s’appliquent à l’authentification IPsec pour OSPFv3 :
Les associations de sécurité (SA) IKE (Dynamic Internet Key Exchange) ne sont pas prises en charge.
Seul le mode transport IPsec est pris en charge. En mode transport, seule la charge utile (les données que vous transférez) du paquet IP est chiffrée et/ou authentifiée. Le mode tunnel n’est pas pris en charge.
Étant donné que seules les SA manuelles bidirectionnelles sont prises en charge, tous les homologues OSPFv3 doivent être configurés avec la même SA IPsec. Vous configurez une SA bidirectionnelle manuelle au niveau de la
[edit security ipsec]hiérarchie.Vous devez configurer la même SA IPsec pour toutes les liaisons virtuelles ayant la même adresse de point de terminaison distant.
Voir aussi
Exemple : Configuration de l’authentification simple pour les échanges OSPFv2Example : Configuration de l’authentification simple pour les échanges OSPFv2
Cet exemple montre comment activer l’authentification simple pour les échanges OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces des appareils. Reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage ou au Guide de configuration des interfaces Junos OS pour les périphériques de sécurité.
Configurez les identificateurs de routeur pour les périphériques de votre réseau OSPF. Reportez-vous à la section Exemple : Configuration d’un identificateur de routeur OSPF.
Contrôlez le choix du routeur désigné par l’OSPF. Voir Exemple : Contrôle de l’élection du routeur désigné OSPF
Configurez un réseau OSPF à zone unique. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF monozone.
Configurez un réseau OSPF multizone. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF multizone.
Aperçu
L’authentification simple utilise un mot de passe en texte brut qui est inclus dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet. Les mots de passe en texte brut ne sont pas chiffrés et peuvent faire l’objet d’une interception de paquets. Cette méthode est la moins sûre et ne doit être utilisée que si la sécurité du réseau n’est pas votre objectif.
Vous ne pouvez configurer qu’une seule clé d’authentification simple (mot de passe) sur le périphérique de routage. La clé simple peut être comprise entre 1 et 8 caractères et peut inclure des chaînes ASCII. Si vous incluez des espaces, placez tous les caractères entre guillemets ( » « ).
Dans cet exemple, vous spécifiez l’interface OSPFv2 so-0/1/0 dans la zone 0.0.0.0, définissez le type d’authentification sur simple-password et définissez la clé comme PssWd4.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement l’authentification simple, copiez la commande suivante en supprimant les sauts de ligne, puis collez-la dans l’interface de ligne de commande. Vous devez configurer tous les périphériques de routage dans la zone avec la même authentification et le même mot de passe correspondant.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
Procédure
Procédure étape par étape
Pour permettre une authentification simple pour les échanges OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
Définissez le type d’authentification et le mot de passe.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
Note:Répétez cette configuration sur tous les périphériques de routage OSPFv2 homologues de la zone.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez configuré le mot de passe, vous ne voyez pas le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Le champ Type d’authentification affiche Mot de passe lorsqu’il est configuré pour une authentification simple.
Action
À partir du mode opérationnel, entrez les commandes et show ospf interface .show ospf overview
Exemple : Configuration de l’authentification MD5 pour les échanges OSPFv2
Cet exemple montre comment activer l’authentification MD5 pour les échanges OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces des appareils. Reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage ou au Guide de configuration des interfaces Junos OS pour les périphériques de sécurité.
Configurez les identificateurs de routeur pour les périphériques de votre réseau OSPF. Reportez-vous à la section Exemple : Configuration d’un identificateur de routeur OSPF.
Contrôlez le choix du routeur désigné par l’OSPF. Voir Exemple : Contrôle de l’élection du routeur désigné OSPF
Configurez un réseau OSPF à zone unique. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF monozone.
Configurez un réseau OSPF multizone. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF multizone.
Aperçu
L’authentification MD5 utilise une somme de contrôle MD5 codée qui est incluse dans le paquet transmis. Le périphérique de routage de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet.
Vous définissez une clé MD5 pour chaque interface. Si MD5 est activé sur une interface, celle-ci n’accepte les mises à jour de routage que si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. Le périphérique de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide de l’identifiant de clé (ID) défini pour cette interface.
Dans cet exemple, vous créez la zone dorsale (zone 0.0.0.0), spécifiez l’interface OSPFv2 so-0/2/0, définissez le type d’authentification sur md5, puis définissez l’ID de clé d’authentification sur 5 et le mot de passe sur PssWd8.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement l’authentification MD5, copiez la commande suivante et collez-la dans l’interface de ligne de commande.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
Procédure
Procédure étape par étape
Pour activer l’authentification MD5 pour les échanges OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Configurez l’authentification MD5 et définissez un ID de clé et un mot de passe d’authentification.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
Note:Répétez cette configuration sur tous les périphériques de routage OSPFv2 homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez configuré le mot de passe, vous ne voyez pas le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Lorsqu’il est configuré pour l’authentification MD5, le champ Type d’authentification affiche MD5, le champ ID de clé active affiche le numéro unique que vous avez entré pour identifier la clé MD5 et le champ Heure de début affiche la date comme Heure de début 1970 Jan 01 00:00:00 PST. Ne vous inquiétez pas de cette heure de début. Il s’agit de l’heure de début par défaut que le périphérique de routage affiche si la clé MD5 prend effet immédiatement.
Action
À partir du mode opérationnel, entrez les commandes et show ospf interface .show ospf overview
Exemple : Configuration d’une transition de clés MD5 sur une interface OSPFv2
Cet exemple montre comment configurer une transition de clés MD5 sur une interface OSPFv2.
Exigences
Avant de commencer :
Configurez les interfaces des appareils. Reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage ou au Guide de configuration des interfaces Junos OS pour les périphériques de sécurité.
Configurez les identificateurs de routeur pour les périphériques de votre réseau OSPF. Reportez-vous à la section Exemple : Configuration d’un identificateur de routeur OSPF.
Contrôlez le choix du routeur désigné par l’OSPF. Voir Exemple : Contrôle de l’élection du routeur désigné OSPF
Configurez un réseau OSPF à zone unique. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF monozone.
Configurez un réseau OSPF multizone. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF multizone.
Aperçu
L’authentification MD5 utilise une somme de contrôle MD5 codée qui est incluse dans le paquet transmis. Pour que l’authentification MD5 fonctionne, les périphériques de routage de réception et d’émission doivent disposer de la même clé MD5.
Vous définissez une clé MD5 pour chaque interface. Si MD5 est activé sur une interface, celle-ci n’accepte les mises à jour de routage que si l’authentification MD5 réussit. Dans le cas contraire, les mises à jour sont rejetées. Le périphérique de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide de l’identifiant de clé (ID) défini pour cette interface.
Pour une sécurité accrue, vous pouvez configurer plusieurs clés MD5, chacune avec un ID de clé unique, et définir la date et l’heure de basculement vers une nouvelle clé. Le destinataire du paquet OSPF utilise l’ID pour déterminer la clé à utiliser pour l’authentification.
Dans cet exemple, vous configurez de nouvelles clés pour qu’elles prennent effet à 12 h 01 le premier jour des trois mois suivants sur l’interface OSPFv2 fe-0/0/1 dans la zone dorsale (zone 0.0.0.0), et vous configurez les paramètres d’authentification MD5 suivants :
md5 : spécifie l’ID de clé d’authentification MD5. L’ID de clé peut être défini sur n’importe quelle valeur comprise entre 0 et 255, avec une valeur par défaut de 0. Le périphérique de routage accepte uniquement les paquets OSPFv2 envoyés à l’aide du même ID de clé que celui défini pour cette interface.
key : spécifie la clé MD5. Chaque clé peut comporter une valeur comprise entre 1 et 16 caractères. Les caractères peuvent inclure des chaînes ASCII. Si vous incluez des espaces, placez tous les caractères entre guillemets ( » « ).
start-time : spécifie l’heure de démarrage à l’aide de la clé MD5. Cette option vous permet de configurer un mécanisme de transition fluide pour plusieurs clés. L’heure de début est pertinente pour la transmission, mais pas pour la réception de paquets OSPF.
Vous devez définir les mêmes mots de passe et les mêmes dates et heures de transition sur tous les périphériques de la zone afin que les contiguïtés OSPFv2 restent actives.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement plusieurs clés MD5 sur une interface OSPFv2, copiez les commandes suivantes, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Procédure
Procédure étape par étape
Pour configurer plusieurs clés MD5 sur une interface OSPFv2 :
Créez une zone OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
Configurez l’authentification MD5 et définissez un mot de passe et un ID de clé d’authentification.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
Configurez une nouvelle clé pour qu’elle prenne effet à 12 h 01 le premier jour de février, mars et avril.
Vous configurez un nouveau mot de passe d’authentification et un nouvel ID de clé pour chaque mois.
Pour le mois de février, saisissez ce qui suit :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
Pour le mois de mars, saisissez les informations suivantes :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
Pour le mois d’avril, saisissez les informations suivantes :
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
Note:Répétez cette configuration sur tous les périphériques de routage OSPFv2 homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez configuré le mot de passe, vous ne voyez pas le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la méthode d’authentification configurée
But
Vérifiez que la méthode d’authentification pour l’envoi et la réception des paquets de protocole OSPF est configurée. Lorsqu’il est configuré pour l’authentification MD5 avec une transition de clés, le champ Type d’authentification affiche MD5, le champ ID de clé active affiche le numéro unique que vous avez entré qui identifie la clé MD5 et le champ Heure de début affiche l’heure à laquelle le périphérique de routage commence à utiliser une clé MD5 pour authentifier les paquets OSPF transmis sur l’interface que vous avez configurée.
Action
À partir du mode opérationnel, entrez les commandes et show ospf interface .show ospf overview
Utilisation d’IPsec pour sécuriser les réseaux OSPFv3 (procédure CLI)
OSPF version 3 (OSPFv3) ne dispose pas de méthode d’authentification intégrée et s’appuie sur la sécurité IP (IPsec) pour fournir cette fonctionnalité. Vous pouvez utiliser IPsec pour sécuriser les interfaces OSPFv3 sur les commutateurs EX Series.
Cette rubrique comprend :
Configuration des associations de sécurité
Lorsque vous configurez une association de sécurité (SA), incluez vos choix d’authentification, de chiffrement, de direction, de mode, de protocole et d’index des paramètres de sécurité (SPI).
Pour configurer une association de sécurité :
Sécurisation des réseaux OPSFv3
Vous pouvez sécuriser le réseau OSPFv3 en appliquant la SA à la configuration OSPFv3.
Pour sécuriser le réseau OSPFv3 :
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
Exemple : Configuration de l’authentification IPsec pour une interface OSPF
Cet exemple montre comment activer l’authentification de sécurité IP (IPsec) pour une interface OSPF.
Exigences
Avant de commencer :
Configurez les interfaces des appareils. Reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage ou au Guide de configuration des interfaces Junos OS pour les périphériques de sécurité.
Configurez les identificateurs de routeur pour les périphériques de votre réseau OSPF. Reportez-vous à la section Exemple : Configuration d’un identificateur de routeur OSPF.
Contrôlez le choix du routeur désigné par l’OSPF. Voir Exemple : Contrôle de l’élection du routeur désigné OSPF
Configurez un réseau OSPF à zone unique. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF monozone.
Configurez un réseau OSPF multizone. Reportez-vous à la section Exemple : Configuration d’un réseau OSPF multizone.
Aperçu
Vous pouvez utiliser l’authentification IPsec pour OSPFv2 et OSPFv3. Vous configurez séparément l’authentification IPsec réelle et l’appliquez à la configuration OSPF applicable.
OSPFv2
À partir de la version 8.3 de Junos OS, vous pouvez utiliser l’authentification IPsec pour authentifier les interfaces OSPFv2, le point de terminaison distant d’un lien fictif et le lien virtuel OSPFv2 à l’aide d’associations de sécurité manuelles (SA) pour garantir la sécurité du contenu d’un paquet entre les périphériques de routage.
Vous pouvez configurer l’authentification IPsec avec l’authentification MD5 ou l’authentification simple.
Pour activer l’authentification IPsec, effectuez l’une des opérations suivantes :
Pour une interface OSPFv2, incluez l’instruction
ipsec-sa namepour une interface spécifique :interface interface-name ipsec-sa name;
Dans le cas d’une liaison fictive distante, incluez l’instruction
ispec-sa namecorrespondant au point d’extrémité distant de la liaison fictive :sham-link-remote address ipsec-sa name;
Note:Si une configuration VPN de couche 3 comporte plusieurs liaisons fictives avec la même adresse IP de point de terminaison distant, vous devez configurer la même association de sécurité IPsec pour tous les points de terminaison distants. Vous configurez un VPN de couche 3 au niveau de la
[edit routing-instances routing-instance-name instance-type]hiérarchie. Pour plus d’informations sur les VPN de couche 3, reportez-vous à la bibliothèque de VPN de Junos OS pour les périphériques de routage.Dans le cas d’un lien virtuel, incluez l’instruction
ipsec-sa namecorrespondant à un lien virtuel spécifique :virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 ne dispose pas de méthode d’authentification intégrée et s’appuie sur IPsec pour fournir cette fonctionnalité. Vous utilisez l’authentification IPsec pour sécuriser les interfaces OSPFv3 et protéger les liens virtuels OSPFv3 à l’aide de SA manuelles afin de garantir que le contenu d’un paquet est sécurisé entre les périphériques de routage.
Pour appliquer l’authentification, effectuez l’une des opérations suivantes :
Pour une interface OSPFv3, incluez l’instruction
ipsec-sa namepour une interface spécifique :interface interface-name ipsec-sa name;
Dans le cas d’un lien virtuel, incluez l’instruction
ipsec-sa namecorrespondant à un lien virtuel spécifique :virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
Dans cet exemple, vous allez effectuer les tâches suivantes :
Configurez l’authentification IPsec. Pour ce faire, définissez une SA manuelle nommée sa1 et spécifiez le sens de traitement, le protocole utilisé pour protéger le trafic IP, l’index des paramètres de sécurité (SPI), ainsi que l’algorithme et la clé d’authentification.
Configurez l’option suivante au niveau de la
[edit security ipsec security-association sa-name mode]hiérarchie :transport : spécifie le mode de transport. Ce mode protège le trafic lorsque le point de terminaison de communication et le point de terminaison cryptographique sont identiques. La partie données du paquet IP est chiffrée, mais l’en-tête IP ne l’est pas.
Configurez l’option suivante au niveau de la
[edit security ipsec security-association sa-name manual direction]hiérarchie :bidirectionnel : définit la direction du traitement IPsec. En spécifiant bidrectionnel, les mêmes algorithmes, clés et valeurs d’index SPI (Security Paramater Index) que vous configurez sont utilisés dans les deux sens.
Configurez les options suivantes au niveau de la
[edit security ipsec security-association sa-name manual direction bidirectional]hiérarchie :protocol : définit le protocole IPsec utilisé par la SA manuelle pour protéger le trafic IP. Vous pouvez spécifier l’en-tête d’authentification (AH) ou la charge utile de sécurité d’encapsulation (ESP). Si vous spécifiez AH, ce que vous faites dans cet exemple, vous ne pouvez pas configurer le chiffrement.
spi : configure l’IPS pour la SA manuelle. Un SPI est une valeur arbitraire qui identifie de manière unique la SA à utiliser sur l’hôte récepteur. L’hôte émetteur utilise le SPI pour identifier et sélectionner la SA à utiliser pour sécuriser chaque paquet. L’hôte récepteur utilise le SPI pour identifier et sélectionner l’algorithme et la clé de chiffrement utilisés pour déchiffrer les paquets. Dans cet exemple, vous spécifiez 256.
authentication : configure l’algorithme et la clé d’authentification. L’option algorithm spécifie l’algorithme de hachage qui authentifie les données de paquets. Dans cet exemple, vous spécifiez hmac-md5-96, qui produit un condensé de 128 bits. L’option key indique le type de clé d’authentification. Dans cet exemple, vous spécifiez ascii-text-key, soit 16 caractères ASCII pour l’algorithme hmac-md5-96 .
Activez l’authentification IPsec sur l’interface OSPF so-0/2/0.0 dans la zone dorsale (zone 0.0.0.0) en incluant le nom de la SA manuelle sa1 que vous avez configurée au niveau de la
[edit security ipsec]hiérarchie.
Topologie
Configuration
- Configuration des associations de sécurité
- Activation de l’authentification IPsec pour une interface OSPF
Configuration des associations de sécurité
Configuration rapide de la CLI
Pour configurer rapidement une SA manuelle à utiliser pour l’authentification IPsec sur une interface OSPF, copiez les commandes suivantes, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Procédure étape par étape
Pour configurer une SA manuelle à utiliser sur une interface OSPF :
Spécifiez un nom pour la SA.
[edit] user@host# edit security ipsec security-association sa1
Spécifiez le mode de la SA.
[edit security ipsec security-association sa1 ] user@host# set mode transport
Configurez la direction de la SA manuelle.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
Configurez le protocole IPsec à utiliser.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
Configurez la valeur du SPI.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
Configurez l’algorithme et la clé d’authentification.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit security ipsec security-association sa1 ] user@host# commit
Note:Répétez cette configuration complète sur tous les périphériques de routage OSPF homologues.
Résultats
Confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez configuré le mot de passe, vous ne voyez pas le mot de passe lui-même. La sortie affiche la forme chiffrée du mot de passe que vous avez configuré.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Activation de l’authentification IPsec pour une interface OSPF
Configuration rapide de la CLI
Pour appliquer rapidement une SA manuelle utilisée pour l’authentification IPsec à une interface OSPF, copiez la commande suivante et collez-la dans l’interface de ligne de commande.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procédure étape par étape
Pour activer l’authentification IPsec pour une interface OSPF :
Créez une zone OSPF.
Note:Pour spécifier OSPFv3, incluez l’instruction
ospf3au niveau de la[edit protocols]hiérarchie.[edit] user@host# edit protocols ospf area 0.0.0.0
Spécifiez l’interface.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Appliquez la SA manuelle IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
Note:Répétez cette configuration complète sur tous les périphériques de routage OSPF homologues.
Résultats
Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Pour confirmer votre configuration OSPFv3, entrez la show protocols ospf3 commande.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres de l’association de sécurité IPsec
- Vérification de l’association de sécurité IPsec sur l’interface OSPF
Vérification des paramètres de l’association de sécurité IPsec
But
Vérifiez les paramètres d’association de sécurité IPsec configurés. Vérifiez les informations suivantes :
Le champ Association de sécurité affiche le nom de l’association de sécurité configurée.
Le champ SPI affiche la valeur que vous avez configurée.
Le champ Mode affiche le mode de transport.
Le champ Type affiche manuel comme type d’association de sécurité.
Action
À partir du mode opérationnel, entrez la show ipsec security-associations commande.
Vérification de l’association de sécurité IPsec sur l’interface OSPF
But
Vérifiez que l’association de sécurité IPsec que vous avez configurée a été appliquée à l’interface OSPF. Vérifiez que le champ Nom de la SA IPSec affiche le nom de l’association de sécurité IPsec configurée.
Action
À partir du mode opérationnel, entrez la show ospf interface detail commande pour OSPFv2, puis entrez la show ospf3 interface detail commande pour OSPFv3.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.