OSPF 認証の設定
EXシリーズスイッチ上のOSPFパケットのIPsec認証を理解する
IPsec(IP セキュリティ)は、送信者を認証し、ネットワーク デバイス間の IPv4(IP バージョン 4)トラフィックを暗号化するセキュアな方法を提供します。IPsecは、ジュニパーネットワークスEXシリーズイーサネットスイッチのネットワーク管理者とそのユーザーに、データの機密性、データの整合性、送信者の認証、アンチリプレイサービスのメリットを提供します。
IPsec は、IP ネットワーク上でセキュアなプライベート通信を確保するためのフレームワークで、IETF(国際技術タスクフォース)によって開発された標準に基づいています。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、開放型システム間相互接続 (OSI) モデルのネットワーク層でセキュリティ サービスを提供します。IPsec を使用して、ホストのペア間、セキュリティ ゲートウェイのペア(スイッチなど)間、またはセキュリティ ゲートウェイとホスト間の 1 つ以上のパスを保護できます。
OSPF バージョン 3(OSPFv3)は、OSPF バージョン 2(OSPFv2)とは異なり、認証方法が組み込まれていないため、IPsec に依存してこの機能を提供できます。特定の OSPFv3 インターフェイスを保護し、OSPFv3 仮想リンクを保護することができます。
認証アルゴリズム
認証は、送信者の身元を確認するプロセスです。認証アルゴリズムは、共有キーを使用して IPsec デバイスの信頼性を検証します。ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、次の認証アルゴリズムを使用します。
Message Digest 5(MD5)は、一方向ハッシュ関数を使用して、任意の長さのメッセージを 128 ビットの固定長メッセージ ダイジェストに変換します。変換プロセスのため、結果のメッセージダイジェストから逆方向に計算して元のメッセージを計算することは数学的に実行不可能です。同様に、メッセージ内の 1 文字を変更すると、まったく異なるメッセージ ダイジェスト番号が生成されます。
メッセージが改ざんされていないことを確認するために、Junos OS は計算されたメッセージ ダイジェストと、共有キーで復号化されたメッセージ ダイジェストを比較します。Junos OS は、追加レベルのハッシュを提供する MD5 ハッシュ メッセージ認証コード(HMAC)バリアントを使用します。MD5 は、認証ヘッダー(AH)およびカプセル化セキュリティ ペイロード(ESP)で使用できます。
セキュア ハッシュ アルゴリズム 1(SHA-1)は、MD5 よりも強力なアルゴリズムを使用します。SHA-1 は、長さが 264 ビット未満のメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成します。大きなメッセージ ダイジェストは、データが変更されていないこと、および正しいソースからの送信元であることを保証します。Junos OS は、追加レベルのハッシュを提供する SHA-1 HMAC バリアントを使用します。SHA-1 は、AH、ESP、および IKE(インターネット鍵交換)で使用できます。
暗号化アルゴリズム
暗号化により、データを安全な形式にエンコードして、権限のないユーザーがデータを解読できないようにします。認証アルゴリズムと同様に、共有キーは暗号化アルゴリズムとともに使用され、IPsecデバイスの信頼性を検証します。Junos OS は、以下の暗号化アルゴリズムを使用します。
データ暗号化標準暗号ブロック チェイニング(DES-CBC)は、対称秘密鍵ブロック アルゴリズムです。DES は 64 ビットの鍵サイズを使用し、8 ビットがエラー検出に使用され、残りの 56 ビットが暗号化に使用されます。DES は、共有キーに対して、順列や置換などの一連の単純な論理演算を実行します。CBC は DES から 64 ビットの出力の最初のブロックを受け取り、このブロックを 2 番目のブロックと結合し、これを DES アルゴリズムにフィードバックし、後続のすべてのブロックに対してこのプロセスを繰り返します。
トリプル DES-CBC(3DES-CBC)は、DES-CBC に似た暗号化アルゴリズムですが、168 ビット(3 x 56 ビット)の暗号化に 3 つのキーを使用するため、はるかに強力な暗号化結果が得られます。3DES は、最初のキーを使用してブロックを暗号化し、2 番目のキーを使用してブロックを復号化し、3 番目のキーを使用してブロックを再暗号化することで機能します。
IPsec プロトコル
IPsecプロトコルは、スイッチによって保護されているパケットに適用される認証と暗号化のタイプを決定します。Junos OS は、以下の IPsec プロトコルをサポートしています。
AH— RFC 2402 で定義された AH は、IPv4 のコネクションレス整合性とデータ送信元の認証を提供します。また、リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。IP ヘッダーでは、AH は IPv4 パケットのプロトコル フィールドの値 51 で識別できます。
ESP— RFC 2406 で定義されている ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。IP ヘッダーでは、ESP は IPv4 パケットのプロトコル フィールドの値 50 で識別できます。
セキュリティ アソシエーション
IPsecの考慮事項は、実装したいセキュリティアソシエーション(SA)のタイプです。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。これらの仕様には、IPsec 接続を確立する際に使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、ネットワーク管理者の選択に応じて、単方向または双方向のいずれかになります。SA は、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、セキュリティ プロトコル(AH または ESP)識別子によって一意に識別されます。
IPsec モード
Junos OS は、以下の IPsec モードをサポートしています。
トンネル モードは、Junos OS の AH と ESP の両方でサポートされています。トンネル モードでは、SA および関連プロトコルがトンネリングされた IPv4 または IPv6 パケットに適用されます。トンネル モード SA の場合、外部 IP ヘッダーは IPsec 処理の宛先を指定し、内部 IP ヘッダーはパケットの最終宛先を指定します。セキュリティ プロトコル ヘッダーは、外側の IP ヘッダーの後、内側の IP ヘッダーの前に表示されます。また、AH と ESP でトンネル モードを実装する場合、トンネル モードには若干の違いがあります。
AH の場合、トンネリングされた IP パケット全体だけでなく、外側の IP ヘッダーの一部も保護されます。
ESP の場合、トンネリングされたパケットのみが保護され、外部ヘッダーは保護されません。
SA の片側がセキュリティ ゲートウェイ(スイッチなど)である場合、SA はトンネル モードを使用する必要があります。ただし、トラフィック(SNMP コマンドや BGP セッションなど)がスイッチ宛ての場合、システムはホストとして機能します。この場合、トランスポートモードが許可されるのは、システムがセキュリティゲートウェイとして機能せず、トランジットトラフィックを送受信しないためです。
手記:トンネル モードは、OSPF v3 制御パケット認証ではサポートされていません。
トランスポート モードでは、2 つのホスト間に SA が提供されます。トランスポート モードでは、プロトコルは主に上位層プロトコルに対する保護を提供します。トランスポート モード セキュリティ プロトコル ヘッダーは、IP ヘッダーとオプションの直後、上位層プロトコル(TCP や UDP など)の前に表示されます。トランスポート モードを AH と ESP で実装すると、若干の違いがあります。
AH の場合、IP ヘッダーの選択した部分、および IPv4 ヘッダー内の拡張ヘッダーの選択された部分と選択されたオプションが保護されます。
ESP の場合、上位層のプロトコルのみが保護され、IP ヘッダーや ESP ヘッダーの前にある拡張ヘッダーは保護されません。
OSPFv2認証について
すべての OSPFv2 プロトコル交換を認証することで、信頼できるルーティング デバイスだけが自律システムのルーティングに参加することを保証できます。デフォルトでは、OSPFv2認証は無効になっています。
OSPFv3 には認証方法が組み込まれていないため、IPsec(IP セキュリティ)に依存してこの機能を提供できます。
次の認証タイプを有効にできます。
-
簡易認証 - 送信パケットに含まれるプレーンテキストのパスワードを使用して認証します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
-
MD5認証—送信パケットに含まれるエンコードされたMD5チェックサムを使用して認証します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、そのインターフェイスは MD5 認証が成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されているのと同じ ID(キー識別子)を使用して送信された OSPFv2 パケットのみを受け入れます。
-
IPsec認証(Junos OS リリース8.3以降)—手動セキュリティアソシエーション(SA)を使用してOSPFv2インターフェイス、模造リンクのリモートエンドポイント、OSPFv2仮想リンクを認証し、パケットの内容がルーティングデバイス間で安全であることを確認します。実際のIPsec認証は、別途設定します。
手記:IPsec認証は、MD5認証または簡易認証とともに設定できます。
OSPFv2 の IPsec 認証には、以下の制限が適用されます。
-
動的 IKE(インターネット鍵交換)SA には対応していません。
-
IPsec トランスポート モードのみがサポートされます。トンネル モードはサポートされていません。
-
双方向手動 SA のみがサポートされているため、すべての OSPFv2 ピアを同じ IPsec SA で設定する必要があります。手動双方向 SA は、
[edit security ipsec]階層レベルで設定します。 -
同じリモート エンドポイント アドレスを持つすべての仮想リンク、OSPF 非ブロードキャスト マルチアクセス(NBMA)またはポイントツーマルチポイント リンク上のすべてのネイバー、およびブロードキャスト リンクの一部であるすべてのサブネットに、同じ IPsec SA を設定する必要があります。
-
OSPFv2 ピア インターフェイスはサポートされていません。
-
OSPF はエリア レベルで認証を行うため、エリア内のすべてのルーティング デバイスに同じ認証と対応するパスワード(キー)が設定されている必要があります。MD5認証が機能するためには、受信側と送信側のルーティングデバイスの両方が同じMD5キーを持っている必要があります。さらに、単純なパスワードと MD5 キーは相互に排他的です。シンプルなパスワードは 1 つだけ設定できますが、MD5 キーは複数設定できます。
セキュリティ対策の一環として、MD5 キーを変更できます。これを行うには、それぞれに一意のキー ID を持つ複数の MD5 キーを設定し、新しいキーに切り替える日時を設定します。一意の MD5 キーには、それぞれ一意の ID があります。ID は、OSPF パケットの受信者が認証に使用する鍵を決定するために使用されます。MD5 認証に必要な鍵 ID は、MD5 鍵に関連付けられた識別子を指定します。
Junos OS リリース 22.4R1 以降では、複数のアクティブ鍵による OSPF MD5 認証のアドバタイズをサポートし、インターフェースごとに最大 2 鍵の制限でパケットを送信できるようになりました。インターフェイスで複数のキーを常にアクティブにしておくと、OSPF で 1 つのキーから別のキーへのスムーズな移行が可能になります。OSPF セッションに影響を与えることなく、古いキーを削除できます。
Junos OS リリース 23.3R1 および Junos OS Evolved リリース 23.3R1 以降では、OSPFv2 HMAC-SHA1 認証とキーチェーンを有効にして、OSPF インターフェイスに到達するパケットまたは発信されるパケットを認証できます。これにより、セキュリティが強化された OSPFv2 の 1 つのキーから別のキーへのスムーズな移行が保証されます。すべてのネイバーが最新の設定済みキーに切り替わると、OSPFv2 が最新の MD5 キーのみで認証されたパケットを送信するようにすることができます。このリリースより前は、認証された OSPF パケットに常に複数のアクティブな MD5 キー(インターフェイスあたり最大 2 つのキー)をアドバタイズすることがサポートされていました。
OSPFv2 の HMAC-SHA1 認証は、以下をサポートしていません。
-
アクティブなキーのないキーチェーン。
-
他の既存の認証タイプからヒットレスセッションを使用したキーチェーンへの移行。
-
無認証からヒットレスセッションによるキーチェーンへの移行。
-
キーチェーン構成の一部としてのキー付き MD5。
delete-if-not-inuse設定ステートメントによるマルチアクティブ MD5 最適化が有効になっていて、ネイバーとの認証ネゴシエーションが行われると、それ以降、デバイスはネゴシエートされたネイバーの送信にアクティブキーのみを使用します。つまり、古いキーへのロールバックはサポートされていません。例:R0 と R1 は、キーID 1 を
delete-if-not-inuse、キーID 2 として設定されます。その後、R1 がキー ID 2 を削除するように設定されている場合、R0 は両方のキー(キー ID 1 とキー ID 2)を送信に使用するようにロールバックしません。- キーチェーンのアクティブ性は絶対時間(実時間)に基づいており、コミット後に実時間が戻る場合があります。このタイプのエラーは、コミット時には反映されません。そのため、OSPF セッションでキーチェーンがアクティブな場合は、すべてのデバイスでシステム時刻を同期させることが重要です。
Junos OS Evolved Release 24.2R1以降では、OSPFv2キーチェーンモジュールとHMAC-SHA2(OSPFv2 HMAC-SHA2)認証を有効にして、OSPFインターフェイスに到達するパケットまたはOSPFインターフェイスから発信されるパケットを認証できます。HMAC SHA2 アルゴリズムには、RFC 5709 で定義されている HMAC-SHA2-256、HMAC-SHA2-384、および HMAC-SHA2-512 が含まれます。これらのアルゴリズムは、HMAC-SHA2-224 とともにサポートされています。この機能により、セキュリティが強化された OSPFv2 で、1 つのキーから別のキーへのスムーズな移行が可能になります。仮想リンクと模造リンクの HMAC-SHA1 および HMAC-SHA2 認証もサポートしています。
OSPFv2 の HMAC-SHA2 認証は、以下をサポートしていません。
-
アクティブなキーのないキーチェーン。
-
他の既存の認証タイプからヒットレスセッションを使用したキーチェーンへの移行。
-
無認証からヒットレスセッションによるキーチェーンへの移行。
-
キーチェーン構成での SHA1(HMAC なし)アルゴリズムはサポートされていません。
- OSPF セッションでキーチェーンがアクティブな場合、すべてのデバイスでシステム時刻を同期させることが重要です。
参照
OSPFv3認証について
OSPFv3 には認証方法が組み込まれていないため、IPsec(IP セキュリティ)スイートに依存してこの機能を提供できます。IPsec は、送信元認証、データ整合性、機密性、リプレイ防御、送信元否認防止などの機能を提供します。IPsec を使用して、特定の OSPFv3 インターフェイスを保護し、OSPFv3 仮想リンクを保護できます。
実際の IPsec 認証を OSPFv3 の設定とは別に設定し、IPsec を OSPFv3 インターフェイスまたは OSPFv3 仮想リンクに適用します。
OSPFv3 は、IPsec プロトコルのAH(IP認証ヘッダー)と IP ESP(IPカプセル化セキュリティ ペイロード)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。また、リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。
IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。このシンプレックス接続は、SA が伝送するパケットにセキュリティ サービスを提供します。これらの仕様には、IPsec 接続を確立する際に使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、一方向に特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローが一対の SA によって保護されます。OSPFv3 と併せて使用される SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端で静的値が設定する必要があります。
マニュアル SA には、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、両方のエンド ポイント(OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。
暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、次の推奨事項があります。
NULL 暗号化と合わせて ESP を使用して、OSPFv3 プロトコル ヘッダーのみに認証を提供します。NULL 暗号化により、OSPFv3 ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングとデバッグに便利です。NULL 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use With IPsecを参照してください。
完全な機密性のために、NULL 以外の暗号化で ESP を使用します。NULL 以外の暗号化では、暗号化を提供することを選択します。NULL 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use With IPsecを参照してください。
AH を使用して、OSPFv3 プロトコル ヘッダー、IPv6 ヘッダーの一部、および拡張ヘッダーの一部に認証を提供します。
OSPFv3 の IPsec 認証には、以下の制限が適用されます。
動的 IKE(インターネット鍵交換)セキュリティアソシエーション(SA)はサポートされていません。
IPsec トランスポート モードのみがサポートされます。トランスポート モードでは、IP パケットのペイロード(転送するデータ)のみが暗号化または認証されます。トンネル モードはサポートされていません。
双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。手動双方向 SA は、
[edit security ipsec]階層レベルで設定します。同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。
参照
例:OSPFv2 交換のための簡易認証の設定
この例では、OSPFv2 交換の簡易認証を有効にする方法を示しています。
必要条件
開始する前に、以下を実行します。
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリ または セキュリティデバイス用 Junos OSインターフェイス構成ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPF ルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。 例:OSPF 指定ルータ選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例:マルチエリアOSPFネットワークの設定を参照してください。
概要
簡易認証では、送信パケットに含まれるプレーンテキストのパスワードを使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。プレーンテキストのパスワードは暗号化されないため、パケット傍受の対象となる可能性があります。この方法は最も安全性が低いため、ネットワークセキュリティが目的ではない場合にのみ使用してください。
ルーティングデバイスで設定できる簡易認証キー(パスワード)は1つだけです。単純キーは 1 文字から 8 文字までで、ASCII 文字列を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲んでください。
この例では、エリア 0.0.0.0 で OSPFv2 インターフェイス so-0/1/0 を指定し、認証タイプを simple-password に設定し、キーを PssWd4 として定義します。
構成
CLIクイック構成
簡易認証を迅速に設定するには、次のコマンドをコピーして改行を削除し、CLIに貼り付けます。エリア内のすべてのルーティングデバイスを、同じ認証と対応するパスワードで設定する必要があります。
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
プロシージャ
手順
OSPFv2 交換の簡易認証を有効にする方法。
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
認証タイプとパスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
手記:エリア内のすべてのピア OSPFv2 ルーティング デバイスで、この設定全体を繰り返します。
業績
show protocols ospfコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
例:OSPFv2 交換のための MD5 認証の設定
この例では、OSPFv2 交換の MD5 認証をイネーブルにする方法を示しています。
必要条件
開始する前に、以下を実行します。
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリ または セキュリティデバイス用 Junos OSインターフェイス構成ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPF ルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。 例:OSPF 指定ルータ選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例:マルチエリアOSPFネットワークの設定を参照してください。
概要
MD5認証は、送信パケットに含まれるエンコードされたMD5チェックサムを使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、そのインターフェイスは MD5 認証が成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されているのと同じ ID(キー識別子)を使用して送信された OSPFv2 パケットのみを受け入れます。
この例では、バックボーン エリア(エリア 0.0.0.0)を作成し、OSPFv2 インターフェイス so-0/2/0 を指定し、認証タイプを md5 に設定し、認証キー ID を 5 として、パスワードを PssWd8 として定義します。
位相幾何学
構成
CLIクイック構成
MD5認証を素早く設定するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
プロシージャ
手順
OSPFv2 交換の MD5 認証を有効にするには:
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5認証を設定し、キーIDと認証パスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
手記:すべてのピア OSPFv2 ルーティング デバイスでこの設定全体を繰り返します。
業績
show protocols ospfコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
検証
設定が正常に機能していることを確認します。
設定された認証方法の検証
目的
OSPFプロトコルパケットを送受信するための認証方法が設定されていることを確認します。MD5 認証用に設定されている場合、[Authentication Type] フィールドには MD5 が表示され、[Active key ID] フィールドには MD5 キーを識別するために入力した一意の番号が表示され、[Start time] フィールドには日付が [Start time 1970 Jan 01 00:00:00 PST] と表示されます。この開始時刻に驚かないでください。これは、MD5 キーがすぐに有効である場合にルーティング デバイスが表示するデフォルトの開始時刻です。
アクション
動作モードから、 show ospf interface コマンドと show ospf overview コマンドを入力します。
例:OSPFv2 インターフェイスでの MD5 キーの遷移の設定
この例では、OSPFv2 インターフェイスで MD5 キーの遷移を設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリ または セキュリティデバイス用 Junos OSインターフェイス構成ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPF ルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。 例:OSPF 指定ルータ選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例:マルチエリアOSPFネットワークの設定を参照してください。
概要
MD5認証は、送信パケットに含まれるエンコードされたMD5チェックサムを使用します。MD5認証が機能するためには、受信側と送信側のルーティングデバイスの両方が同じMD5キーを持っている必要があります。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、そのインターフェイスは MD5 認証が成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されているのと同じ ID(キー識別子)を使用して送信された OSPFv2 パケットのみを受け入れます。
セキュリティを強化するために、それぞれに一意のキー ID を持つ複数の MD5 キーを設定し、新しいキーに切り替える日時を設定できます。OSPF パケットの受信者は、この ID を使用して、認証に使用する鍵を決定します。
この例では、バックボーン エリア(エリア 0.0.0.0)の OSPFv2 インターフェイス fe-0/0/1 で、今後 3 か月の初日の午前 12:01 に新しいキーを有効にするように設定し、以下の MD5 認証設定を行います。
md5—MD5 認証キー ID を指定します。キー ID は 0 から 255 までの任意の値に設定でき、デフォルト値は 0 です。ルーティング デバイスは、そのインターフェイスに定義されているものと同じキー ID を使用して送信された OSPFv2 パケットのみを受け入れます。
キー—MD5 キーを指定します。各キーの長さは、1 文字から 16 文字までです。文字にはASCII文字列を含めることができます。スペースを含む場合は、すべての文字を引用符(" ")で囲んでください。
start-time:MD5 キーの使用を開始する時刻を指定します。このオプションを使用すると、複数のキーのスムーズな移行メカニズムを構成できます。開始時刻は送信に関連しますが、OSPF パケットの受信には関係しません。
OSPFv2 隣接関係がアクティブなままになるように、エリア内のすべてのデバイスで同じパスワードと遷移日時を設定する必要があります。
位相幾何学
構成
CLIクイック構成
OSPFv2 インターフェイスで複数の MD5 キーを迅速に設定するには、以下のコマンドをコピーし、改行を削除してから、コマンドを CLI に貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
プロシージャ
手順
OSPFv2 インターフェイスで複数の MD5 キーを設定するには、次の手順に従います。
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5認証を設定し、認証パスワードとキーIDを設定します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
2 月、3 月、4 月の最初の日の午前 12:01 に有効になるように新しいキーを構成します。
毎月、新しい認証パスワードとキーIDを設定します。
2 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
手記:すべてのピア OSPFv2 ルーティング デバイスでこの設定全体を繰り返します。
業績
show protocols ospfコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
検証
設定が正常に機能していることを確認します。
設定された認証方法の検証
目的
OSPFプロトコルパケットを送受信するための認証方法が設定されていることを確認します。鍵の遷移による MD5 認証用に設定されている場合、認証タイプ フィールドには MD5 が表示され、アクティブ鍵 ID フィールドには MD5 鍵を識別するために入力した固有の番号が表示され、開始時間フィールドには、設定されたインターフェイスで送信される OSPF パケットの認証にルーティング デバイスが MD5 鍵の使用を開始する時間が表示されます。
アクション
動作モードから、 show ospf interface コマンドと show ospf overview コマンドを入力します。
IPsec を使用した OSPFv3 ネットワークの保護(CLI 手順)
OSPF バージョン 3(OSPFv3)には認証方法が組み込まれていないため、IPsec(IP セキュリティ)に依存してこの機能を提供できます。IPsec を使用して、EXシリーズ スイッチ上の OSPFv3 インターフェイスをセキュリティで保護できます。
このトピックには以下のものが含まれます。
セキュリティ アソシエーションの設定
セキュリティアソシエーション(SA)を設定する際には、認証、暗号化、方向、モード、プロトコル、SPI(セキュリティパラメーターインデックス)の選択肢を含めます。
セキュリティ アソシエーションを設定するには、次の手順に従います。
OPSFv3ネットワークのセキュリティ保護
SA を OSPFv3 設定に適用することで、OSPFv3 ネットワークを保護できます。
OSPFv3ネットワークを保護するには:
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
例:OSPF インターフェイスの IPsec 認証の設定
この例では、OSPF インターフェイスの IP セキュリティ(IPsec)認証を有効にする方法を示しています。
必要条件
開始する前に、以下を実行します。
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリ または セキュリティデバイス用 Junos OSインターフェイス構成ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPF ルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。 例:OSPF 指定ルータ選択の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリア OSPF ネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 例:マルチエリアOSPFネットワークの設定を参照してください。
概要
OSPFv2 と OSPFv3 の両方で IPsec 認証を使用することができます。実際のIPsec認証を別途設定し、該当するOSPF設定に適用します。
OSPFv2
Junos OS リリース 8.3 以降では、IPsec 認証を使用して、手動セキュリティ アソシエーション(SA)を使用して OSPFv2 インターフェイス、模造リンクのリモート エンドポイント、OSPFv2 仮想リンクを認証し、手動セキュリティ アソシエーション(SA)を使用してルーティング デバイス間でパケットの内容の安全性を確保することができます。
IPsec認証は、MD5認証または簡易認証とともに設定できます。
IPsec認証を有効にするには、次のいずれかを実行します。
OSPFv2インターフェイスでは、特定のインターフェイスに
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
リモートシャムリンクの場合、シャムリンクのリモートエンドポイントに
ispec-sa nameステートメントを含めます。sham-link-remote address ipsec-sa name;
手記:レイヤー3 vpnに、同じリモートエンドポイントIPアドレスを持つ複数の模造リンクがある場合、すべてのリモートエンドポイントに同じIPsecセキュリティアソシエーションを設定する必要があります。レイヤー3VPNは、
[edit routing-instances routing-instance-name instance-type]階層レベルで設定します。レイヤー3VPNの詳細については、 ルーティングデバイス用Junos OS VPNライブラリを参照してください。仮想リンクの場合は、特定の仮想リンクの
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 には認証方法が組み込まれていないため、IPsec に依存してこの機能を提供できます。IPsec認証を使用してOSPFv3インターフェイスを保護し、手動SAを使用してOSPFv3仮想リンクを保護し、ルーティングデバイス間でパケットの内容の安全性を確保します。
認証を適用するには、次のいずれかの操作を行います。
OSPFv3インターフェイスでは、特定のインターフェイスに
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
仮想リンクの場合、特定の仮想リンクの
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
この例では、次のタスクを実行します。
IPsec認証を設定します。これを行うには、 sa1 という名前の手動 SA を定義し、処理方向、IP トラフィックの保護に使用するプロトコル、SPI(セキュリティ パラメーター インデックス)、および認証アルゴリズムとキーを指定します。
[edit security ipsec security-association sa-name mode]階層レベルで以下のオプションを設定します。transport:トランスポート モードを指定します。このモードでは、通信エンドポイントと暗号化エンドポイントが同じ場合にトラフィックが保護されます。IP パケットのデータ部分は暗号化されていますが、IP ヘッダーは暗号化されていません。
[edit security ipsec security-association sa-name manual direction]階層レベルで以下のオプションを設定します。bidirectional—IPsec 処理の方向を定義します。bidrectional を指定することで、構成したのと同じアルゴリズム、キー、およびセキュリティ パラメーター インデックス (SPI) 値が両方向で使用されます。
[edit security ipsec security-association sa-name manual direction bidirectional]階層レベルで以下のオプションを設定します。protocol:IP トラフィックを保護するために手動 SA が使用する IPsec プロトコルを定義します。AH(認証ヘッダー)または ESP(セキュリティ ペイロードのカプセル化)のいずれかを指定できます。この例で AH を指定した場合、暗号化は設定できません。
spi—手動SAのSPIを設定します。SPI は、受信側ホストで使用する SA を一意に識別する任意の値です。送信側ホストは SPI を使用して、各パケットを保護するために使用する SA を識別し、選択します。受信側ホストは SPI を使用して、パケットの復号化に使用する暗号化アルゴリズムと鍵を識別して選択します。この例では、256 を指定します。
authentication:認証アルゴリズムとキーを設定します。algorithm オプションは、パケット データを認証するハッシュ アルゴリズムを指定します。この例では、hmac-md5-96 を指定すると、128 ビットのダイジェストが生成されます。キーオプションは、認証キーのタイプを示します。この例では、hmac-md5-96 アルゴリズムの 16 文字の ascii-text-key を指定します。
[edit security ipsec]階層レベルで設定した手動SA sa1の名前を含めて、バックボーンエリア(エリア0.0.0.0)のOSPFインターフェイスso-0/2/0.0でIPsec認証を有効にします。
位相幾何学
構成
セキュリティ アソシエーションの設定
CLIクイック構成
OSPF インターフェイスで IPsec 認証に使用する手動 SA をすばやく設定するには、次のコマンドをコピーし、改行を削除してから、コマンドを CLI に貼り付けます。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
手順
OSPF インターフェイスで使用する手動 SA を設定するには、次の手順に従います。
SAの名前を指定します。
[edit] user@host# edit security ipsec security-association sa1
SA のモードを指定します。
[edit security ipsec security-association sa1 ] user@host# set mode transport
手動SAの向きを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
使用するIPsecプロトコルを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPIの値を設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
認証アルゴリズムとキーを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
デバイスの設定が完了したら、設定をコミットします。
[edit security ipsec security-association sa1 ] user@host# commit
手記:この設定全体をすべてのピアOSPFルーティングデバイスで繰り返します。
業績
show security ipsecコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPFインターフェイスでIPsec認証を有効にする
CLIクイック構成
IPsec認証に使用する手動SAをOSPFインターフェイスに素早く適用するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
手順
OSPFインターフェイスでIPsec認証を有効にする方法。
OSPFエリアを作成します。
手記:OSPFv3を指定するには、
[edit protocols]階層レベルにospf3ステートメントを含めます。[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsecの手動SAを適用します。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
手記:この設定全体をすべてのピアOSPFルーティングデバイスで繰り返します。
業績
show protocols ospfコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3の設定を確認するために、 show protocols ospf3 コマンドを入力します。
検証
設定が正常に機能していることを確認します。
IPsecセキュリティアソシエーションの設定の検証
目的
構成されたIPsecセキュリティアソシエーションの設定を確認します。次の情報を確認します。
セキュリティアソシエーションフィールドには、設定されているセキュリティアソシエーションの名前が表示されます。
SPIフィールドには、設定した値が表示されます。
モードフィールドには、トランスポートモードが表示されます。
タイプフィールドには、セキュリティアソシエーションのタイプとしてマニュアルが表示されます。
アクション
動作モードから、 show ipsec security-associations コマンドを入力します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。