OSPF 認証の設定
EX シリーズ スイッチでの OSPF パケットの IPsec 認証について
IPsec(IP セキュリティ)は、送信者を認証し、ネットワーク デバイス間の IP バージョン 4(IPv4)トラフィックを暗号化するセキュアな方法を提供します。IPsecは、ジュニパーネットワークスEXシリーズイーサネットスイッチのネットワーク管理者とそのユーザーに、データの機密性、データの整合性、送信者の認証、アンチリプレイサービスのメリットを提供します。
IPsec は、IP ネットワーク上の安全なプライベート通信を確保するためのフレームワークであり、国際技術タスク フォース (IETF) によって開発された標準に基づいています。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、開放型システム間相互接続 (OSI) モデルのネットワーク層でセキュリティ サービスを提供します。IPsec を使用して、ホストのペア間、セキュリティ ゲートウェイのペア(スイッチなど)間、またはセキュリティ ゲートウェイとホスト間の 1 つ以上のパスを保護できます。
OSPF バージョン 3(OSPFv3)は、OSPF バージョン 2(OSPFv2)とは異なり、認証方法が組み込まれていないため、IPsec に依存してこの機能を提供できます。特定の OSPFv3 インターフェイスを保護し、OSPFv3 仮想リンクを保護することができます。
認証アルゴリズム
認証は、送信者の身元を確認するプロセスです。認証アルゴリズムは、共有キーを使用して IPsec デバイスの信頼性を検証します。ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、次の認証アルゴリズムを使用します。
Message Digest 5(MD5)は、一方向ハッシュ関数を使用して、任意の長さのメッセージを 128 ビットの固定長メッセージ ダイジェストに変換します。変換プロセスのため、元のメッセージを結果のメッセージ ダイジェストから逆算して計算することは数学的に不可能です。同様に、メッセージ内の 1 文字を変更すると、非常に異なるメッセージ ダイジェスト番号が生成されます。
メッセージが改ざんされていないことを確認するために、Junos OS は計算されたメッセージ ダイジェストを、共有鍵で復号化されたメッセージ ダイジェストと比較します。Junos OSは、追加レベルのハッシュを提供するMD5ハッシュメッセージ認証コード(HMAC)バリアントを使用します。MD5 は、認証ヘッダー(AH)およびカプセル化セキュリティ ペイロード(ESP)と共に使用できます。
セキュア ハッシュ アルゴリズム 1(SHA-1)は、MD5 よりも強力なアルゴリズムを使用します。SHA-1 は、長さが 264 ビット未満のメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成します。ラージ・メッセージ・ダイジェストは、データが変更されていないこと、およびデータが正しいソースから発信されたことを保証します。Junos OS は、追加レベルのハッシュを提供する SHA-1 HMAC バリアントを使用します。SHA-1 は、AH、ESP、および IKE(インターネット鍵交換)で使用できます。
暗号化アルゴリズム
暗号化によってデータが安全な形式にエンコードされるため、権限のないユーザーがデータを解読することはできません。認証アルゴリズムと同様に、IPsecデバイスの信頼性を検証するために、暗号化アルゴリズムとともに共有キーが使用されます。Junos OSは、以下の暗号化アルゴリズムを使用します。
データ暗号化標準暗号ブロック連鎖 (DES-CBC) は、対称秘密鍵ブロック アルゴリズムです。DES は 64 ビットの鍵サイズを使用し、8 ビットはエラー検出に使用され、残りの 56 ビットは暗号化を提供します。DES は、置換や置換など、共有キーに対して一連の単純な論理操作を実行します。CBC は、DES から出力の 64 ビットの最初のブロックを取得し、このブロックを 2 番目のブロックと結合し、これを DES アルゴリズムにフィードバックし、後続のすべてのブロックに対してこのプロセスを繰り返します。
トリプルDES-CBC(3DES-CBC)は、DES-CBCに似た暗号化アルゴリズムですが、168ビット(3 x 56ビット)暗号化に3つのキーを使用するため、はるかに強力な暗号化結果が得られます。3DES は、最初のキーを使用してブロックを暗号化し、2 番目のキーを使用してブロックを復号化し、3 番目のキーを使用してブロックを再暗号化します。
IPsec プロトコル
IPsec プロトコルは、スイッチによって保護されるパケットに適用される認証と暗号化のタイプを決定します。Junos OS は、以下の IPsec プロトコルをサポートしています。
AH— RFC 2402で定義されているAHは、IPv4のコネクションレスの整合性とデータ送信元認証を提供します。また、リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。IP ヘッダーでは、AH は IPv4 パケットのプロトコル フィールドで値 51 で識別できます。
ESP— RFC 2406で定義されているESPは、暗号化と制限されたトラフィックフローの機密性またはコネクションレスの整合性、データ送信元の認証、およびアンチリプレイサービスを提供できます。IP ヘッダーでは、ESP は IPv4 パケットのプロトコル フィールドの値 50 で識別できます。
セキュリティ アソシエーション
IPsec の考慮事項は、実装するセキュリティ アソシエーション(SA)のタイプです。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。これらの仕様には、IPsec 接続を確立するときに使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、ネットワーク管理者の選択に応じて、単方向または双方向のいずれかになります。SA は、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、およびセキュリティ プロトコル(AH または ESP)識別子によって一意に識別されます。
IPsec モード
Junos OS は、以下の IPsec モードをサポートしています。
トンネル モードは、Junos OS の AH と ESP の両方でサポートされています。トンネル モードでは、SA と関連プロトコルが、トンネリングされた IPv4 または IPv6 パケットに適用されます。トンネル モード SA の場合、外部 IP ヘッダーは IPsec 処理の宛先を指定し、内部 IP ヘッダーはパケットの最終的な宛先を指定します。セキュリティ プロトコル ヘッダーは、外部 IP ヘッダーの後、内部 IP ヘッダーの前に表示されます。さらに、AH と ESP で実装する場合、トンネル モードには若干の違いがあります。
AH の場合、外部 IP ヘッダーの一部と、トンネリングされた IP パケット全体が保護されます。
ESP の場合、外部ヘッダーではなく、トンネリングされたパケットのみが保護されます。
SA の片側がセキュリティ ゲートウェイ(スイッチなど)である場合、SA はトンネル モードを使用する必要があります。ただし、トラフィック(SNMP コマンドや BGP セッションなど)がスイッチ宛ての場合は、システムがホストとして機能します。この場合、システムがセキュリティ ゲートウェイとして機能せず、トランジット トラフィックを送受信しないため、トランスポート モードが許可されます。
手記:トンネル モードは、OSPF v3 制御パケット認証ではサポートされていません。
トランスポート モードは、2 つのホスト間に SA を提供します。トランスポート モードでは、プロトコルは主に上位層のプロトコルを保護します。トランスポート モード セキュリティ プロトコル ヘッダーは、IP ヘッダーとオプションの直後、上位層プロトコル (TCP や UDP など) の前に表示されます。AH と ESP で実装する場合、トランスポート モードには若干の違いがあります。
AH の場合、IP ヘッダーの選択された部分、および拡張ヘッダーの選択された部分、および IPv4 ヘッダー内の選択されたオプションが保護されます。
ESP の場合、上位層のプロトコルのみが保護され、IP ヘッダーや ESP ヘッダーの前にある拡張ヘッダーは保護されません。
OSPFv2認証について
すべての OSPFv2 プロトコル交換を認証することで、信頼されたルーティング デバイスだけが自律システムのルーティングに参加することを保証できます。デフォルトでは、OSPFv2 認証は無効になっています。
OSPFv3 は、認証方法が組み込まれていないため、IPsec(IP セキュリティ)に依存してこの機能を提供できます。
次の認証タイプを有効にできます。
-
簡易認証 - 送信されるパケットに含まれるプレーンテキストのパスワードを使用して認証します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
-
MD5 認証 - 送信されるパケットに含まれるエンコードされた MD5 チェックサムを使用して認証します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、MD5 認証が成功した場合にのみ、そのインターフェイスはルーティングの更新を受け付けます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されている同じ鍵識別子(ID)を使用して送信された OSPFv2 パケットのみを受け入れます。
-
IPsec認証(Junos OSリリース8.3以降)—手動セキュリティアソシエーション(SA)を使用してOSPFv2インターフェイス、偽リンクのリモートエンドポイント、OSPFv2仮想リンクを認証し、ルーティングデバイス間でパケットの内容が安全であることを確認します。実際の IPsec 認証は個別に構成します。
手記:IPsec認証は、MD5認証または簡易認証とともに設定できます。
OSPFv2 の IPsec 認証には、以下の制限が適用されます。
-
動的 IKE(インターネット鍵交換)SA には対応していません。
-
IPsec トランスポート モードのみサポートされます。トンネル モードはサポートされていません。
-
双方向手動 SA のみがサポートされているため、すべての OSPFv2 ピアを同じ IPsec SA で設定する必要があります。
[edit security ipsec]階層レベルで手動双方向 SA を設定します。 -
同じエンドポイント アドレスを持つすべての仮想リンク、OSPF NBMA(非ブロードキャスト マルチアクセス)またはポイントツーマルチポイント リンク上のすべてのネイバー、ブロードキャスト リンクの一部であるすべてのサブネットに、同じ IPsec SA を設定する必要があります。
-
OSPFv2 ピア インターフェイスはサポートされていません。
-
OSPFはエリアレベルで認証を行うため、エリア内のすべてのルーティングデバイスは、同じ認証と対応するパスワード(キー)が設定されている必要があります。MD5認証が機能するためには、受信側と送信側の両方のルーティング・デバイスが同じMD5キーを持っている必要があります。また、シンプルパスワードとMD5キーは相互に排他的です。シンプルなパスワードは 1 つだけで、MD5 キーは複数設定できます。
セキュリティ対策の一環として、MD5 キーを変更できます。これを行うには、それぞれ一意のキー ID を持つ複数の MD5 キーを設定し、新しいキーに切り替える日時を設定します。一意の MD5 キーには、それぞれ一意の ID があります。この ID は、OSPF パケットの受信者が認証に使用する鍵を決定するために使用します。MD5 認証に必要な鍵 ID は、MD5 鍵に関連付けられた識別子を指定します。
Junos OS Release 22.4R1以降、インターフェイスごとに最大2つのキー制限でパケットを送信するために、複数のアクティブキーを使用したOSPF MD5認証のアドバタイズがサポートされています。インターフェイスで複数のキーをいつでもアクティブにしておくと、OSPFのキー間をスムーズに移行できます。OSPF セッションに影響を与えることなく、古いキーを削除できます。
Junos OS リリース 23.3R1 および Junos OS Evolved リリース 23.3R1 以降、キーチェーンによる OSPFv2 HMAC-SHA1 認証を有効にして、OSPF インターフェイスに到達するパケットまたは OSPF インターフェイスから発信されるパケットを認証できるようになりました。これにより、セキュリティが強化された OSPFv2 の鍵から別の鍵へのスムーズな移行が可能になります。すべてのネイバーが最後に設定されたキーに切り替えると、OSPFv2が最新のMD5キーのみで認証されたパケットを送信できるようにすることができます。このリリース以前は、インターフェイスごとに最大2つのキーの制限で、常に複数のアクティブなMD5キーを使用して認証されたOSPFパケットのアドバタイズをサポートしていました。
OSPFv2 の HMAC-SHA1 認証は以下をサポートしていません。
-
アクティブなキーがないキーチェーン。
-
他の既存の認証タイプからヒットレスセッションを使用したキーチェーンへの移行。
-
認証なしからヒットレスセッションによるキーチェーンへの移行。
-
キーチェーン設定の一部としてキーが設定された MD5。
- 設定ステートメントによるマルチアクティブ MD5 最適化が有効になっていて
delete-if-not-inuseネイバーとの認証ネゴシエーションが行われると、それ以降、デバイスはネゴシエートされたネイバーの送信にアクティブキーのみを使用します。つまり、古いキーへのロールバックはサポートされていません。例:R0 と R1 は、
delete-if-not-inuseとしてキー ID 1、キー ID 2 を使用して設定されます。その後、R1 がキー ID 2 を削除するように構成されている場合、R0 は送信に両方のキー(キー ID 1 とキー ID 2)を使用するようにロールバックしません。 - キーチェーンのアクティブ性は絶対時間(ウォールクロック)に基づいており、コミット後にウォールクロックが逆戻りする場合があります。このタイプのエラーは、コミット時には反映されません。そのため、OSPF セッションでキーチェーンがアクティブな場合、すべてのデバイスでシステム時刻を同期させることが重要です。
Junos OS Evolved Release 24.2R1以降、HMAC-SHA2(OSPFv2 HMAC-SHA2)認証でOSPFv2キーチェーンモジュールを有効にして、OSPFインターフェイスに到達するパケットまたはOSPFインターフェイスから発信されるパケットを認証できます。HMAC SHA2 アルゴリズムには、RFC 5709 で定義されている HMAC-SHA2-256、HMAC-SHA2-384、HMAC-SHA2-512 が含まれます。これらのアルゴリズムは、HMAC-SHA2-224 と共にサポートされています。この機能により、セキュリティが強化された OSPFv2 の鍵から別の鍵へのスムーズな移行が可能になります。また、仮想リンクと偽リンクのHMAC-SHA1およびHMAC-SHA2認証もサポートしています。
OSPFv2 の HMAC-SHA2 認証は以下をサポートしていません。
-
アクティブなキーがないキーチェーン。
-
他の既存の認証タイプからヒットレスセッションを使用したキーチェーンへの移行。
-
認証なしからヒットレスセッションによるキーチェーンへの移行。
-
キーチェーン設定での SHA1(HMAC なし)アルゴリズムはサポートされていません。
- OSPF セッションでキーチェーンがアクティブになっている場合、すべてのデバイスでシステム時刻を同期させることが重要です。
関連項目
OSPFv3認証について
OSPFv3 は、認証方法が組み込まれていないため、IPsec(IP セキュリティ)スイートに依存してこの機能を提供できます。IPsec は、送信元認証、データ整合性、機密性、リプレイ保護、送信元否認防止などの機能を提供します。IPsec を使用して、特定の OSPFv3 インターフェイスを保護し、OSPFv3 仮想リンクを保護することができます。
実際の IPsec 認証を OSPFv3 設定とは別に設定し、IPsec を OSPFv3 インターフェイスまたは OSPFv3 仮想リンクに適用します。
OSPFv3 は、IPsec プロトコルのAH(IP認証ヘッダー)と IP ESP(IPカプセル化セキュリティ ペイロード)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。また、リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、およびアンチリプレイ サービスを提供できます。
IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。このシンプレックス接続は、SA が伝送するパケットにセキュリティ サービスを提供します。これらの仕様には、IPsec 接続を確立するときに使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、一方向に特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローは一対の SA によって保護されます。OSPFv3 と併せて使用される SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端で静的値が設定する必要があります。
マニュアル, 手動 SA には、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、両方のエンド ポイント(OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。
暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、次の推奨事項があります。
NULL 暗号化と ESP を使用して、OSPFv3 プロトコル ヘッダーにのみ認証を提供します。NULL 暗号化では、OSPFv3 ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングとデバッグに便利です。NULL 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use with IPsecを参照してください。
完全な機密性のために、非 NULL 暗号化で ESP を使用します。NULL 以外の暗号化では、暗号化を提供することを選択します。NULL 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use with IPsecを参照してください。
AH を使用して、OSPFv3 プロトコル ヘッダー、IPv6 ヘッダーの一部、および拡張ヘッダーの一部に認証を提供します。
OSPFv3 の IPsec 認証には、以下の制限が適用されます。
動的 IKE(インターネット鍵交換)セキュリティ アソシエーション(SA)には対応していません。
IPsec トランスポート モードのみサポートされます。トランスポート モードでは、IP パケットのペイロード(転送するデータ)のみが暗号化または認証されます。トンネル モードはサポートされていません。
双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。
[edit security ipsec]階層レベルで手動双方向 SA を設定します。同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。
関連項目
例:OSPFv2 交換の簡易認証の設定
次に、OSPFv2 交換の簡易認証を有効にする例を示します。
必要条件
始める前に:
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワーク インターフェイス ライブラリ または セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPFルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。例:OSPF指定ルーター選出の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリアOSPFネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 「 例:マルチエリア OSPF ネットワークの設定」を参照してください。
概要
簡易認証では、送信されるパケットに含まれるプレーンテキストのパスワードが使用されます。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。プレーンテキスト パスワードは暗号化されないため、パケットが傍受される可能性があります。この方法は安全性が最も低いため、ネットワーク セキュリティが目的ではない場合にのみ使用してください。
ルーティングデバイスには、1つの簡易認証キー(パスワード)のみを設定できます。単純キーは 1 から 8 文字で、ASCII 文字列を含めることができます。スペースを含む場合、すべての文字を引用符(" ")で囲んでください。
この例では、エリア 0.0.0.0 に OSPFv2 インターフェイス so-0/1/0 を指定し、認証タイプをシンプルパスワードに設定し、キーを PssWd4 として定義します。
構成
CLIクイック構成
簡易認証をすばやく構成するには、次のコマンドをコピーして改行を削除してから、CLI にコマンドを貼り付けます。エリア内のすべてのルーティング機器を、同じ認証と対応するパスワードで設定する必要があります。
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
プロシージャ
手順
OSPFv2 交換の簡易認証を有効にするには、次のようにします。
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
認証タイプとパスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
手記:エリア内のすべてのピア OSPFv2 ルーティング デバイスで、この設定全体を繰り返します。
業績
show protocols ospf コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
例:OSPFv2 交換に対する MD5 認証の設定
この例では、OSPFv2交換に対してMD5認証を有効にする方法を示しています。
必要条件
始める前に:
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワーク インターフェイス ライブラリ または セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPFルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。例:OSPF指定ルーター選出の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリアOSPFネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 「 例:マルチエリア OSPF ネットワークの設定」を参照してください。
概要
MD5認証は、送信されるパケットに含まれるエンコードされたMD5チェックサムを使用します。受信側のルーティング・デバイスは、認証キー(パスワード)を使用してパケットを検証します。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、MD5 認証が成功した場合にのみ、そのインターフェイスはルーティングの更新を受け付けます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されている同じ鍵識別子(ID)を使用して送信された OSPFv2 パケットのみを受け入れます。
この例では、バックボーン エリア(エリア 0.0.0.0)を作成し、OSPFv2 インターフェイス so-0/2/0 を指定し、認証の種類を md5 に設定し、認証キー ID を 5、パスワードを PssWd8 として定義します。
位相幾何学
構成
CLIクイック構成
MD5認証を迅速に設定するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
プロシージャ
手順
OSPFv2 交換に対して MD5 認証を有効にするには、次のようにします。
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
MD5認証を設定し、キーIDと認証パスワードを設定します。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
手記:すべてのピア OSPFv2 ルーティング デバイスでこの設定全体を繰り返します。
業績
show protocols ospf コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
検証
設定が正常に機能していることを確認します。
設定された認証方法の確認
目的
OSPFプロトコルパケットを送受信するための認証方式が設定されていることを確認します。MD5 認証用に設定されている場合、[認証タイプ] フィールドに MD5 が表示され、[アクティブ キー ID] フィールドには MD5 キーを識別するために入力した一意の番号が表示され、[開始時刻] フィールドには日付が [開始時刻 1970 Jan 01 00:00:00 PST] と表示されます。この開始時間に驚かないでください。これは、MD5 キーがすぐに有効な場合にルーティング デバイスに表示されるデフォルトの開始時刻です。
アクション
動作モードから、 show ospf interface コマンドと show ospf overview コマンドを入力します。
例:OSPFv2 インターフェイスでの MD5 鍵の遷移の設定
この例では、OSPFv2 インターフェイスで MD5 鍵の遷移を設定する方法を示します。
必要条件
始める前に:
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワーク インターフェイス ライブラリ または セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPFルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。例:OSPF指定ルーター選出の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリアOSPFネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 「 例:マルチエリア OSPF ネットワークの設定」を参照してください。
概要
MD5認証は、送信されるパケットに含まれるエンコードされたMD5チェックサムを使用します。MD5認証が機能するためには、受信側と送信側の両方のルーティング・デバイスが同じMD5キーを持っている必要があります。
インターフェイスごとに MD5 鍵を定義します。インターフェイスで MD5 が有効になっている場合、MD5 認証が成功した場合にのみ、そのインターフェイスはルーティングの更新を受け付けます。それ以外の場合、更新は拒否されます。ルーティング デバイスは、そのインターフェイスに定義されている同じ鍵識別子(ID)を使用して送信された OSPFv2 パケットのみを受け入れます。
セキュリティを強化するために、複数の MD5 キーを設定し、それぞれに一意のキー ID を設定し、新しいキーに切り替える日時を設定できます。OSPF パケットの受信者は、この ID を使用して、認証に使用するキーを決定します。
この例では、バックボーン エリア(エリア 0.0.0.0)の OSPFv2 インターフェイス fe-0/0/1 で、今後 3 か月の初日の午前 12:01 に有効となるように新しい鍵を設定し、以下の MD5 認証設定を行います。
md5:MD5 認証キー ID を指定します。キー ID は 0 から 255 までの任意の値に設定でき、既定値は 0 です。ルーティング デバイスは、そのインターフェイスに定義されているものと同じキー ID を使用して送信された OSPFv2 パケットのみを受け入れます。
key:MD5 キーを指定します。各キーは、1 から 16 文字の長さにすることができます。文字には ASCII 文字列を含めることができます。スペースを含む場合、すべての文字を引用符(" ")で囲んでください。
start-time - MD5 キーの使用を開始する時間を指定します。このオプションを使用すると、複数のキーに対してスムーズな移行メカニズムを構成できます。開始時刻は送信には関係しますが、OSPF パケットの受信には関係ありません。
OSPFv2隣接関係が有効なままになるように、エリア内のすべてのデバイスに同じパスワードと移行日時を設定する必要があります。
位相幾何学
構成
CLIクイック構成
OSPFv2 インターフェイスで複数の MD5 キーをすばやく設定するには、次のコマンドをコピーし、改行を削除してから、CLI にコマンドを貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
プロシージャ
手順
OSPFv2 インターフェイスで複数の MD5 キーを設定するには、次のようにします。
OSPFエリアを作成します。
[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
MD5認証を設定し、認証パスワードとキーIDを設定します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
2 月、3 月、および 4 月の 1 日の午前 12 時 1 分に有効になるように新しいキーを構成します。
毎月、新しい認証パスワードとキー ID を構成します。
2 月の場合は、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
3 月には、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
4 月には、次のように入力します。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
手記:すべてのピア OSPFv2 ルーティング デバイスでこの設定全体を繰り返します。
業績
show protocols ospf コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
検証
設定が正常に機能していることを確認します。
設定された認証方法の確認
目的
OSPFプロトコルパケットを送受信するための認証方式が設定されていることを確認します。鍵の遷移を伴う MD5 認証用に設定されている場合、Auth type フィールドには MD5 が表示され、Active Key ID フィールドには MD5 鍵を識別するために入力した固有の番号が表示され、「開始時刻」フィールドには、ルーティング・デバイスが設定したインターフェースで送信された OSPF パケットの認証に MD5 鍵を使用し始める時刻が表示されます。
アクション
動作モードから、 show ospf interface コマンドと show ospf overview コマンドを入力します。
IPsec を使用した OSPFv3 ネットワークのセキュリティ強化(CLI 手順)
OSPF バージョン 3(OSPFv3)は、認証方法が組み込まれていないため、IPsec(IP セキュリティ)に依存してこの機能を提供できます。IPsec を使用して、EX シリーズ スイッチ上の OSPFv3 インターフェイスを保護することができます。
このトピックには以下のものが含まれます。
セキュリティ アソシエーションの設定
セキュリティ アソシエーション(SA)を設定する場合、認証、暗号化、方向、モード、プロトコル、およびセキュリティ パラメーター インデックス(SPI)の選択肢を含めます。
セキュリティ アソシエーションを設定するには:
OPSFv3ネットワークのセキュリティ保護
OSPFv3 設定に SA を適用することで、OSPFv3 ネットワークを保護することができます。
OSPFv3 ネットワークを保護するには:
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
例:OSPFインターフェイスのIPsec認証の設定
この例では、OSPFインターフェイスのIPsec(IPsec)認証を有効にする方法を示しています。
必要条件
始める前に:
デバイスインターフェイスを設定します。 ルーティングデバイス用 Junos OS ネットワーク インターフェイス ライブラリ または セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。
OSPFネットワーク内のデバイスのルーター識別子を設定します。 例:OSPFルーター識別子の設定を参照してください。
OSPFの指定ルーター選出を制御します。例:OSPF指定ルーター選出の制御を参照してください。
単一エリアOSPFネットワークを設定します。 例:単一エリアOSPFネットワークの設定を参照してください。
マルチエリアOSPFネットワークを設定します。 「 例:マルチエリア OSPF ネットワークの設定」を参照してください。
概要
OSPFv2 と OSPFv3 の両方で IPsec 認証を使用することができます。実際のIPsec認証を個別に設定し、該当するOSPF設定に適用します。
OSPFv2
Junos OS リリース 8.3 以降では、IPsec 認証を使用して OSPFv2 インターフェイス、偽リンクのリモート エンドポイント、OSPFv2 仮想リンクを認証できます。手動セキュリティ アソシエーション(SA)を使用することにより、ルーティング デバイス間でパケットの内容の安全性を確保できます。
IPsec認証は、MD5認証または簡易認証とともに設定できます。
IPsec 認証を有効にするには、次のいずれかを実行します。
OSPFv2 インターフェイスの場合、特定のインターフェイスに対して
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
リモート・シャム・リンクの場合は、偽リンクのリモート・エンドポイントに
ispec-sa nameステートメントを含めます。sham-link-remote address ipsec-sa name;
手記:レイヤー3 VPN構成に、同じリモートエンドポイントIPアドレスを持つ複数の偽リンクがある場合、すべてのリモートエンドポイントに同じIPsecセキュリティアソシエーションを構成する必要があります。
[edit routing-instances routing-instance-name instance-type]階層レベルでレイヤー3 VPNを設定します。レイヤー3 VPNの詳細については、 『 ルーティングデバイス用Junos OS VPNライブラリ』を参照してください。仮想リンクの場合は、特定の仮想リンクに対して
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 は、認証方法が組み込まれていないため、IPsec に依存してこの機能を提供できます。IPsec認証を使用してOSPFv3インターフェイスを保護し、手動SAを使用してOSPFv3仮想リンクを保護し、ルーティングデバイス間でパケットの内容が安全であることを確認します。
認証を適用するには、次のいずれかを実行します。
OSPFv3インターフェイスの場合、特定のインターフェイスに対して
ipsec-sa nameステートメントを含めます。interface interface-name ipsec-sa name;
仮想リンクの場合は、特定の仮想リンクに対して
ipsec-sa nameステートメントを含めます。virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
この例では、次のタスクを実行します。
IPsec認証を構成します。これを行うには、 sa1 という名前の手動 SA を定義し、処理方向、IP トラフィックの保護に使用するプロトコル、SPI(セキュリティ パラメーター インデックス)、および認証アルゴリズムと鍵を指定します。
[edit security ipsec security-association sa-name mode]階層レベルで次のオプションを設定します。transport:トランスポート モードを指定します。このモードは、通信エンドポイントと暗号エンドポイントが同じ場合にトラフィックを保護します。IP パケットのデータ部分は暗号化されますが、IP ヘッダーは暗号化されません。
[edit security ipsec security-association sa-name manual direction]階層レベルで次のオプションを設定します。双方向:IPsec 処理の方向を定義します。bidrectional を指定すると、設定したのと同じアルゴリズム、キー、およびセキュリティ パラメーター インデックス (SPI) 値が双方向で使用されます。
[edit security ipsec security-association sa-name manual direction bidirectional]階層レベルで次のオプションを設定します。protocol—IPトラフィックを保護するために手動SAが使用するIPsecプロトコルを定義します。認証ヘッダー(AH)またはカプセル化セキュリティペイロード(ESP)のいずれかを指定できます。この例で行うAHを指定した場合、暗号化を設定することはできません。
spi—手動SAのSPIを設定します。SPI は、受信ホストで使用する SA を一意に識別する任意の値です。送信ホストは、SPI を使用して、すべてのパケットのセキュリティ保護に使用する SA を識別して選択します。受信ホストは、SPI を使用して、パケットの暗号化解除に使用される暗号化アルゴリズムと鍵を識別して選択します。この例では、256 を指定します。
認証:認証アルゴリズムとキーを設定します。algorithm オプションは、パケット データを認証するハッシュ アルゴリズムを指定します。この例では、128 ビットのダイジェストを生成する hmac-md5-96 を指定します。key オプションは、認証キーのタイプを示します。この例では、hmac-md5-96アルゴリズム用の16文字のASCIIであるascii-text-keyを指定します。
[edit security ipsec]階層レベルで設定した手動SA sa1の名前を含めることにより、バックボーンエリア(エリア0.0.0.0)のOSPFインターフェイスso-0/2/0.0でIPsec認証を有効にします。
位相幾何学
構成
セキュリティ アソシエーションの設定
CLIクイック構成
OSPFインターフェイスでIPsec認証に使用する手動SAを素早く設定するには、次のコマンドをコピーして改行を削除し、CLIにコマンドを貼り付けます。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
手順
OSPFインターフェイスで使用する手動SAを設定するには、次の手順に従います。
SAの名前を指定します。
[edit] user@host# edit security ipsec security-association sa1
SA のモードを指定します。
[edit security ipsec security-association sa1 ] user@host# set mode transport
手動SAの向きを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
使用するIPsecプロトコルを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
SPIの値を設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
認証アルゴリズムとキーを設定します。
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
デバイスの設定が完了したら、設定をコミットします。
[edit security ipsec security-association sa1 ] user@host# commit
手記:すべてのピア OSPF ルーティング デバイスでこの設定全体を繰り返します。
業績
show security ipsec コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
OSPFインターフェイスでIPsec認証を有効にする
CLIクイック構成
IPsec認証に使用する手動SAをOSPFインターフェイスに素早く適用するには、以下のコマンドをコピーしてCLIに貼り付けます。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
手順
OSPFインターフェイスでIPsec認証を有効にする方法。
OSPFエリアを作成します。
手記:OSPFv3を指定するには、
[edit protocols]階層レベルにospf3ステートメントを含めます。[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec 手動 SA を適用します。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
デバイスの設定が完了したら、設定をコミットします。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
手記:すべてのピア OSPF ルーティング デバイスでこの設定全体を繰り返します。
業績
show protocols ospf コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
OSPFv3の設定を確認するために、 show protocols ospf3 コマンドを入力します。
検証
設定が正常に機能していることを確認します。
IPsecセキュリティアソシエーションの設定の検証
目的
構成されたIPsecセキュリティアソシエーションの設定を確認します。次の情報を確認します。
セキュリティアソシエーションフィールドには、設定されているセキュリティアソシエーションの名前が表示されます。
SPIフィールドには、設定した値が表示されます。
モードフィールドには、トランスポートモードが表示されます。
タイプフィールドには、セキュリティアソシエーションのタイプとしてマニュアルが表示されます。
アクション
動作モードから、 show ipsec security-associations コマンドを入力します。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。