Authentification pour les protocoles de routage
Vous pouvez configurer une méthode d’authentification et un mot de passe pour les messages de protocole de routage pour de nombreux protocoles de routage, notamment BGP, IS-IS, OSPF, RIP et RSVP. Pour empêcher l’échange de paquets non authentifiés ou falsifiés, les routeurs doivent s’assurer qu’ils établissent des relations de protocole de routage (peering ou relations de voisinage) avec des homologues de confiance. Pour ce faire, vous pouvez authentifier les messages du protocole de routage. Les routeurs voisins utilisent le mot de passe pour vérifier l’authenticité des paquets envoyés par le protocole à partir du routeur ou d’une interface de routeur.
Cette rubrique fournit une vue d’ensemble de haut niveau et quelques exemples de base pour authentifier les protocoles de routage. Pour plus d’informations sur la configuration de l’authentification pour un protocole de routage spécifique, consultez le guide de l’utilisateur de ce protocole.
Méthodes d’authentification pour les protocoles de routage
Certains protocoles de routage (BGP, IS-IS, OSPF, RIP et RSVP) vous permettent de configurer une méthode d’authentification et un mot de passe. Les routeurs voisins utilisent le mot de passe pour vérifier l’authenticité des paquets envoyés par le protocole à partir du routeur ou d’une interface de routeur. Les méthodes d’authentification suivantes sont prises en charge :
-
Authentification simple (IS-IS, OSPF et RIP) : utilise un mot de passe texte simple. Le routeur de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet. Étant donné que le mot de passe est inclus dans le paquet transmis, cette méthode d’authentification est relativement peu sécurisée. Nous vous recommandons d’éviter d’utiliser cette méthode d’authentification.
-
MD5 et HMAC-MD5 (BGP, IS-IS, OSPF, RIP et RSVP) : MD5 crée une somme de contrôle codée qui est incluse dans le paquet transmis. HMAC-MD5, qui combine l’authentification HMAC avec MD5, ajoute l’utilisation d’une fonction de hachage cryptographique itérée. Avec les deux types d’authentification, le routeur de réception utilise une clé d’authentification (mot de passe) pour vérifier le paquet. L’authentification HMAC-MD5 est définie dans la RFC 2104, HMAC : hachage de clé pour l’authentification des messages.
En général, les mots de passe d’authentification sont des chaînes de texte composées d’un nombre maximal de lettres et de chiffres. Les mots de passe peuvent inclure n’importe quel caractère ASCII. Si vous incluez des espaces dans un mot de passe, placez tous les caractères entre guillemets ( » « ).
Junos-FIPS a des exigences particulières en matière de mots de passe. Les mots de passe FIPS doivent comporter entre 10 et 20 caractères. Les mots de passe doivent utiliser au moins trois des cinq jeux de caractères définis (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Si Junos-FIPS est installé sur le routeur, vous ne pouvez pas configurer de mots de passe s’ils ne répondent pas à cette norme.
Exemple : Configurer la clé d’authentification pour les protocoles de routage BGP et IS-IS
La tâche principale d’un routeur est d’utiliser ses tables de routage et de transfert pour transférer le trafic utilisateur vers la destination prévue. Les attaquants peuvent envoyer des paquets de protocole de routage falsifiés à un routeur dans le but de modifier ou de corrompre le contenu de sa table de routage ou d’autres bases de données, ce qui peut à son tour dégrader la fonctionnalité du routeur et du réseau. Pour éviter de telles attaques, les routeurs doivent s’assurer qu’ils établissent des relations de protocole de routage (peering ou relations de voisinage) avec des homologues de confiance. Pour ce faire, vous pouvez authentifier les messages du protocole de routage. Nous vous recommandons vivement d’utiliser l’authentification lors de la configuration des protocoles de routage.
Junos OS prend en charge l’authentification HMAC-MD5 pour BGP, IS-IS, OSPF, RIP et RSVP. HMAC-MD5 utilise une clé secrète combinée aux données transmises pour calculer un hachage. Le hachage calculé est transmis avec les données. Le destinataire utilise la clé correspondante pour recalculer et valider le hachage du message. Si un attaquant a falsifié ou modifié le message, le hachage ne correspondra pas et les données seront supprimées.
Dans les exemples suivants, nous configurons BGP en tant que protocole de passerelle extérieure (EGP) et IS-IS en tant que protocole de passerelle intérieure (IGP). Si vous utilisez OSPF, configurez-le de la même manière que la configuration IS-IS illustrée.
Configurer BGP
L’exemple suivant montre la configuration d’une clé d’authentification unique pour les différents groupes homologues pair BGP. Vous pouvez également configurer l’authentification BGP au niveau du voisin ou de l’instance de routage, ou pour toutes les sessions BGP. Comme pour toute configuration de sécurité, il existe un compromis entre le degré de granularité (et dans une certaine mesure, le degré de sécurité) et la quantité de gestion nécessaire pour maintenir le système.
Cet exemple configure également un certain nombre d’options de suivi pour les événements et les erreurs de protocole de routage, qui peuvent être de bons indicateurs d’attaques contre les protocoles de routage. Ces événements incluent des échecs d’authentification de protocole, qui peuvent pointer vers un attaquant. L’attaquant peut envoyer des paquets de routage usurpés ou autrement mal formés au routeur dans le but de provoquer un comportement particulier.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
Configurer IS-IS
Bien que l’authentification soit prise en charge pour tous les IGP, certains sont intrinsèquement plus sécurisés que Junos OS d’autres. La plupart des fournisseurs de services utilisent OSPF ou IS-IS pour accélérer la convergence interne et l’évolutivité, et pour utiliser les capacités d’ingénierie du trafic du MPLS. Étant donné qu’IS-IS ne fonctionne pas au niveau de la couche réseau, il est plus difficile à usurper qu’OSPF. OSPF est encapsulé dans l’IP et est donc sujet à l’usurpation d’identité à distance et aux attaques par déni de service (DoS).
L’exemple suivant configure l’authentification pour IS-IS. Il configure également un certain nombre d’options de suivi pour les événements et les erreurs de protocole de routage, qui peuvent être de bons indicateurs d’attaques contre les protocoles de routage. Ces événements incluent des échecs d’authentification de protocole, qui peuvent pointer vers un attaquant. L’attaquant peut envoyer des paquets de routage usurpés ou autrement mal formés au routeur dans le but de provoquer un comportement particulier.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Configurer le mécanisme de mise à jour de la clé d’authentification pour les protocoles de routage
Vous pouvez configurer un mécanisme de mise à jour de la clé d’authentification pour les protocoles de routage BGP, LDP et IS-IS. Ce mécanisme vous permet de mettre à jour les clés d’authentification sans interrompre les protocoles de routage et de signalisation associés, tels qu’OSPF et RSVP.
Pour configurer cette fonctionnalité, incluez l’instruction authentication-key-chains au niveau de la [edit security] hiérarchie. Pour appliquer le trousseau de clés, vous devez configurer l’identificateur de trousseau et l’algorithme du trousseau de clés au niveau hiérarchique approprié pour le protocole.
Les sections suivantes fournissent plus d’informations sur la configuration des mises à jour de clé d’authentification pour les protocoles de routage. Pour plus d’informations sur la configuration des mises à jour de clé d’authentification pour un protocole de routage spécifique, consultez le guide de l’utilisateur de ce protocole.
- Configurer les mises à jour des clés d’authentification
- Configurer BGP et LDP pour les mises à jour des clés d’authentification
Configurer les mises à jour des clés d’authentification
Pour configurer le mécanisme de mise à jour de la clé d’authentification, incluez l’instruction au niveau de la hiérarchie et spécifiez l’option key permettant de créer un trousseau composé de [edit security authentication-key-chains] plusieurs clés d’authentificationkey-chain.
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain: attribuez un nom au mécanisme du trousseau. Vous référencez ce nom aux niveaux hiérarchiques appropriés pour que le protocole associe des attributs d’authentification key-chain uniques, comme spécifié à l’aide des options suivantes :
-
algorithm: algorithme d’authentification pour IS-IS. -
key: valeur entière qui identifie de manière unique chaque clé au sein d’un trousseau. La plage est comprise entre 0 et 63. -
options—(IS-IS uniquement) Format d’encodage de transmission de protocole pour l’encodage du code d’authentification du message dans les paquets de protocole de routage. -
secret—Mot de passe au format texte crypté ou texte brut. Même si vous saisissez les données secrètes au format texte brut, la clé secrète apparaît toujours au format crypté. -
start-time: heure de début de la transmission de la clé d’authentification, spécifiée en UTC. L’heure de début doit être unique dans le trousseau.
Configurer BGP et LDP pour les mises à jour des clés d’authentification
Pour configurer le mécanisme de mise à jour de la clé d’authentification pour les protocoles de routage BGP et LDP, incluez l’instruction authentication-key-chain au niveau de la [edit protocols (bgp | ldp)] hiérarchie. L’inclusion de l’instruction authentication-key-chain associe chaque protocole de routage aux clés d’authentification [edit security authentication-key-chains] . Vous devez également configurer l’instruction et spécifier l’algorithme authentication-algorithm . Par exemple :
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Lors de la configuration du mécanisme de mise à jour de la clé d’authentification pour BGP, vous ne pouvez pas valider l’instruction avec des clés d’authentification 0.0.0.0/allow ou des trousseaux. Si vous essayez cette action, l’interface de ligne de commande émet un avertissement et la validation échoue.