IS-ISのBFD認証について

BFD認証アルゴリズム

Junos OSは、BFD認証用に以下のアルゴリズムをサポートしています。

• simple-password—プレーンテキストパスワード。BFDセッションの認証には、1〜16バイトのプレーンテキストが使用されます。1つ以上のパスワードが設定されている可能性があります。この方法は安全性が最も低いため、BFD セッションがパケット傍受の対象でない場合にのみ使用してください。

• keyed-md5—送受信間隔が100ミリ秒を超えるセッション用のKeyed Message Digest 5ハッシュアルゴリズム。BFDセッションを認証するために、鍵付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、鍵の1つが一致し、シーケンス番号が最後に受信したシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。この方法は単純なパスワードよりも安全ですが、リプレイ攻撃に対して脆弱です。シーケンス番号の更新レートを上げると、このリスクを軽減できます。

• meticulous-keyed-md5—細心の注意を払ったキー付きメッセージダイジェスト5ハッシュアルゴリズム。この方法は、キー付きMD5と同じように機能しますが、シーケンス番号はパケットごとに更新されます。キー付きのMD5やシンプルなパスワードよりも安全ですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

• keyed-sha-1—送信および受信間隔が100ミリ秒を超えるセッション用のキー付きセキュアハッシュアルゴリズムI。BFDセッションを認証するために、鍵付きSHAは、1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。キーはパケット内では伝送されません。この方法では、鍵の1つが一致し、シーケンス番号が最後に受信したシーケンス番号より大きい場合、セッションの受信側でパケットが受け入れられます。

• meticulous-keyed-sha-1—細心の注意を払った鍵付きセキュアハッシュアルゴリズム I.この方法はキー付き SHA と同じように機能しますが、シーケンス番号はパケットごとに更新されます。キー付きのSHAや単純なパスワードよりも安全ですが、この方法ではセッションの認証にさらに時間がかかる場合があります。

セキュリティ認証キーチェーン

セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングおよびシグナリングプロトコルを中断することなく、認証キーの更新を行うことができます。

認証キーチェーンには、1つ以上のキーチェーンが含まれています。各キーチェーンには 1 つ以上のキーが含まれています。各キーには、シークレットデータとキーが有効になる時刻が保持されています。アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致している必要があります。設定が一致しないと、BFDセッションを作成できません。

BFDでは、セッションごとに複数のクライアントが許可され、各クライアントは独自のキーチェーンとアルゴリズムを定義することができます。混乱を避けるため、セキュリティ認証キーチェーンを1つだけ指定することをお勧めします。

ストリクト認証とルーズ認証

デフォルトでは、厳密な認証が有効になっており、各 BFD セッションの両端で認証がチェックされます。オプションで、非認証セッションから認証済みセッションにスムーズに移行するために、 ルーズチェックを設定することができます。ルーズチェックが設定されている場合、セッションの両端で認証をチェックせずにパケットが受け入れられます。この機能は、移行期間のみを対象としています。