Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentification des protocoles de routage

Vous pouvez configurer une méthode d’authentification et un mot de passe pour les messages de protocole de routage des IGP, IS-IS, OSPF, RIP et RSVP. Pour empêcher l’échange de paquets non authentifiés ou forgés, les routeurs doivent s’assurer qu’ils forment des relations de protocole de routage (relations d’peering ou de voisinage) avec des pairs fiables. Pour ce faire, il est possible d’authentifier les messages de protocole de routage. Les routeurs voisins utilisent le mot de passe pour vérifier l’authenticité des paquets envoyés par le protocole à partir du routeur ou depuis une interface de routeur. Pour plus d’informations, lisez ce sujet.

Junos OS d’authentification pour les protocoles de routage

Certains protocoles IGP (Interior Gateway Protocol) (Intermediate System-to-Intermediate System (IS-IS), Open Shortest Path First (OSPF) et RIP (Routing Information Protocol) et RSVP (Resource Reservation Protocol) vous permettent de configurer une méthode d’authentification et un mot de passe. Les routeurs voisins utilisent le mot de passe pour vérifier l’authenticité des paquets envoyés par le protocole à partir du routeur ou depuis une interface de routeur. Les méthodes d’authentification suivantes sont prise en charge:

  • Authentification simple (IS-IS, OSPF et RIP): utilise un mot de passe de texte simple. Le routeur qui reçoit utilise une clé d’authentification (mot de passe) pour vérifier le paquet. Le mot de passe étant inclus dans le paquet transmis, cette méthode d’authentification est relativement sûre. Nous vous recommandons de ne pas utiliser cette méthode d’authentification.

  • MD5 et HMAC-MD5 (IS-IS, OSPF, RIP et RSVP): Message Digest 5 (MD5) crée une liste de vérification codée incluse dans le paquet transmis. HMAC-MD5, qui associe l’authentification HMAC à MD5, ajoute l’utilisation d’une fonction de hachage cryptographique itéré. Avec ces deux types d’authentification, le routeur receveur utilise une clé d’authentification (mot de passe) pour vérifier le paquet. L’authentification HMAC-MD5 est définie dans le RFC 2104, HMAC: Hachage clé pour l’authentification des messages .

En général, les mots de passe d’authentification sont des chaînes de texte qui se composent d’un maximum de 16 ou 255 lettres et chiffres. Les caractères peuvent inclure des chaînes ASCII. Si vous inclut des espaces dans un mot de passe, joindre tous les caractères dans des guillemets ( » « ).

Junos-FIPS a des exigences spéciales en matière de mot de passe. Les mots de passe FIPS doivent avoir une longueur de 10 à 20 caractères. Les mots de passe doivent utiliser au moins trois des cinq ensembles de caractères définis (majuscules, minuscules, chiffres, marques de insélation et autres caractères spéciaux). Si Junos-FIPS est installé sur le routeur, vous ne pouvez pas configurer de mot de passe à moins qu’ils respectent cette norme.

Exemple: Configuration de la clé d’authentification pour les BGP et IS-IS routage

La principale tâche d’un routeur consiste à utiliser ses tables de routage et de routage pour faire avancer le trafic utilisateur vers sa destination. Les pirates informatiques peuvent envoyer des paquets de protocole de routage forgés sur un routeur dans le but de modifier ou corrompre le contenu de sa table de routage ou d’autres bases de données, ce qui peut à son tour dégrader les fonctionnalités du routeur et du réseau. Pour prévenir de telles attaques, les routeurs doivent s’assurer qu’ils forment des relations de protocole de routage (peering ou neighboring relationships) avec des pairs fiables. Pour ce faire, il est possible d’authentifier les messages de protocole de routage. Il est vivement recommandé d’utiliser l’authentification lors de la configuration des protocoles de routage. La Junos OS prend en charge l’authentification HMAC-MD5 pour les protocoles BGP, Intermediate System-to-Intermediate System (IS-IS), Open Shortest Path First (OSPF), RIP (Routing Information Protocol) et RSVP (Resource Reservation Protocol). L’HMAC-MD5 utilise une clé secrète, combinée aux données transmises pour calculer un hachage. Le hachage informatique est transmis en même temps que les données. Le récepteur utilise la clé correspondante pour recalculer et valider le hachage du message. Si un attaquant a forgé ou modifié le message, le hachage ne s’assortira pas et les données seront éliminées.

Dans les exemples suivants, nous configurons BGP les protocoles EGP (gateway protocol) et les IS-IS comme protocole de passerelle intérieure (IGP). Si vous utilisez OSPF, configurez-le de la même manière que IS-IS configuration indiquée.

Configuration des BGP

L’exemple suivant illustre la configuration d’une clé d’authentification unique pour BGP pairs pairs internes. Vous pouvez également configurer l’BGP au niveau du voisin ou de l’instance de routage, ou pour toutes BGP sessions de sécurité. Comme pour toute configuration de sécurité, il existe un compromis entre le niveau de granularité (et, dans une certaine mesure, le niveau de sécurité) et le niveau de gestion nécessaire à la maintenance du système. Cet exemple configure également un certain nombre d’options de traçage pour les événements et erreurs des protocoles de routage, qui peuvent être de bons indicateurs des attaques contre les protocoles de routage. Ces événements incluent des échecs d’authentification de protocole, qui peuvent pointer vers un attaquant qui envoie des paquets de routage usurpés ou malformés au routeur afin d’obtenir un comportement particulier.

Configuration des IS-IS

Même si tous les IGP pris en charge par Junos OS authentifier, certains sont intrinsèquement plus sécurisés que d’autres. La plupart des fournisseurs de services utilisent OSPF ou IS-IS pour permettre une convergence interne et une évolutivité rapides, et pour utiliser des fonctionnalités d’ingénierie du trafic avec MPLS (MPLS). Comme IS-IS n’opère pas au niveau de la couche réseau, il est plus difficile d’usurper que la OSPF, qui est encapsulée dans une adresse IP et qui est donc soumise à des attaques d’usurpation et d’DoS distantes.

L’exemple suivant indique également comment configurer un certain nombre d’options de traçage pour les événements et les erreurs de protocole de routage, qui peuvent être de bons indicateurs d’attaques contre les protocoles de routage. Ces événements incluent des échecs d’authentification de protocole, qui peuvent pointer vers un attaquant qui envoie des paquets de routage usurpés ou malformés au routeur afin d’obtenir un comportement particulier.

Configuration du mécanisme de mise à jour des clés d’authentification pour les BGP et les protocoles de routage LDP

Vous pouvez configurer un mécanisme de mise à jour des clés d’authentification pour les protocoles de routage Border Gateway Protocol (BGP) etLDP(Label Distribution Protocol). Ce mécanisme vous permet de mettre à jour les clés d’authentification sans interrompre les protocoles de routage et de signalisation associés, tels que Open Shortest Path First (OSPF) etRSVP(Resource Reservation Setup Protocol).

Pour configurer cette fonctionnalité, inclure l’instruction au niveau, et inclure les instructions et les instructions pour les authentication-key-chains[edit security]authentication-algorithm algorithmauthentication-key-chain protocoles de routage BGP ou LDP au [edit protocols] niveau .

Les sujets suivants fournissent plus d’informations sur la configuration des mises à jour clés d’authentification pour les protocoles de routage LDP BGP et LDP:

Configuration des mises à jour des clés d’authentification

Pour configurer le mécanisme de mise à jour de la clé d’authentification, inclure l’instruction au niveau de la hiérarchie et spécifier l’option de créer une clé comprenant plusieurs clés key-chain[edit security authentication-key-chains]key d’authentification.

key-chain— Attribue un nom au mécanisme de la clé de clés. Ce nom est également configuré au niveau de la hiérarchie ou au niveau supérieur pour associer des attributs uniques tels que spécifiés à l’aide des [edit protocols bgp][edit protocols ldp] options authentication key-chain suivantes:

  • key—Chaque clé d’une chaîne de clés est identifiée par une valeur ajoutée unique. Plage de 0 à 63.

  • secret—Chaque clé doit spécifier un secret au format texte chiffré ou en texte clair. Même si vous entrez les données secrètes au format en texte clair, ce secret apparaît toujours au format chiffré.

  • start-time—Les heures de début des mises à jour de clés d’authentification sont spécifiées dans UTC (Coordinated Universal Time) et doivent être uniques dans la clé de clés.

Configuration des BGP et LDP pour les mises à jour de clés d’authentification

Pour configurer le mécanisme de mise à jour des clés d’authentification pour les protocoles de routage BGP et LDP, inclure l’instruction au niveau de la hiérarchie afin d’associer chaque protocole de routage aux clés authentication-key-chain[edit protocols (bgp | ldp)][edit security authentication-key-chains] d’authentification. Vous devez également configurer authentication-algorithm algorithm l’énoncé au niveau de la [edit protocols (bgp | ldp)] hiérarchie.

Remarque :

Lors de la configuration du mécanisme de mise à jour des clés d’authentification pour les BGP, vous ne pouvez pas valider l’énoncé avec des clés 0.0.0.0/allow d’authentification ou des chaînes de clés. L CLI un avertissement et ne parvient pas à valider de telles configurations.

Pour plus d’informations sur le BGP, consultez la bibliothèque Junos OS Routing Protocols library for Routing Devices.