Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティング プロトコルの認証

BGP、IS-IS、OSPF、RIP、RSVP を含む多くのルーティング プロトコルに対して、ルーティング プロトコル メッセージの認証方法とパスワードを設定できます。認証されていないパケットまたは鍛造されたパケットの交換を防止するために、ルーターが信頼できるピアへのルーティング プロトコル関係(ピアリングまたはネイバー関係)を形成していることを確認する必要があります。これを行う方法の 1 つは、ルーティング プロトコル メッセージを認証することです。近隣ルーターは、パスワードを使用して、ルーターまたはルーター インターフェイスからプロトコルによって送信されたパケットの信頼性を検証します。

このトピックでは、概要と、ルーティング プロトコルを認証するためのいくつかの基本的な例について説明します。特定のルーティング プロトコルの認証設定の詳細については、そのプロトコルのユーザー ガイドを参照してください。

ルーティング プロトコルの認証方法

一部のルーティング プロトコル(BGP、IS-IS、OSPF、RIP、RSVP)では、認証方法とパスワードを設定できます。近隣ルーターは、パスワードを使用して、プロトコルがルーターまたはルーター インターフェイスから送信するパケットの信頼性を検証します。次の認証方法がサポートされています。

  • シンプルな認証(IS-IS、OSPF、RIP):シンプルなテキスト パスワードを使用します。受信側ルーターは、認証キー(パスワード)を使用してパケットを検証します。送信パケットにパスワードが含まれているため、この認証方法は比較的安全ではありません。この認証方法を使用 しないように することをお勧めします。

  • MD5 および HMAC-MD5(BGP、IS-IS、OSPF、RIP、RSVP)—MD5 は、送信パケットに含まれるエンコードされたチェックサムを作成します。HMAC-MD5 は、HMAC 認証と MD5 を組み合わせて、繰り返し暗号化ハッシュ関数の使用を追加します。どちらのタイプの認証でも、受信ルーターは認証キー(パスワード)を使用してパケットを検証します。HMAC-MD5 認証は RFC 2104、 HMAC で定義されています。メッセージ認証のキー付きハッシュ。

一般的に、認証パスワードは、英数字の最大数で構成されるテキスト文字列です。パスワードには任意のASCII文字を含めることができます。パスワードにスペースを含める場合は、すべての文字を引用符 (" ") で囲みます。

Junos-FIPS には、特別なパスワード要件があります。FIPS パスワードの長さは 10~20 文字にする必要があります。パスワードは、5 つの定義済み文字セット (大文字、小文字、数字、句読点、およびその他の特殊文字) のうち少なくとも 3 つを使用する必要があります。Junos-FIPS がルーターにインストールされている場合、この標準を満たさない限り、パスワードを設定することはできません。

例:BGP および IS-IS ルーティング プロトコルの認証キーの設定

ルーターの主なタスクは、ルーティング テーブルと転送テーブルを使用して、ユーザー トラフィックを意図した宛先に転送することです。攻撃者は、ルーティング テーブルやその他のデータベースの内容を変更または破損させる意図で、鍛造ルーティング プロトコル パケットをルーターに送信できます。その結果、ルーターとネットワークの機能が低下する可能性があります。このような攻撃を防ぐには、ルーターが信頼できるピアとのルーティング プロトコル関係(ピアリングまたはネイバー関係)を形成していることを確認する必要があります。これを行う方法の 1 つは、ルーティング プロトコル メッセージを認証することです。ルーティング プロトコルを設定する場合は、認証を使用することを強くお勧めします。

Junos OS BGP、IS-IS、OSPF、RIP、RSVP の HMAC-MD5 認証をサポートしています。HMAC-MD5は、送信されるデータと組み合わせて秘密鍵を使用してハッシュを計算します。計算されたハッシュは、データと共に送信されます。受信側は、一致するキーを使用してメッセージハッシュを再計算して検証します。攻撃者がメッセージを鍛造または変更した場合、ハッシュは一致せず、データは破棄されます。

次の例では、BGP を外部ゲートウェイ プロトコル(EGP)、IS-IS を内部ゲートウェイ プロトコル(IGP)として設定します。OSPF を使用する場合は、示されている IS-IS 設定と同様に設定します。

BGP の設定

次の例は、異なる BGP ピア グループに対する 1 つの認証キーの設定を示しています。また、ネイバーまたはルーティングインスタンスレベルで、またはすべてのBGPセッションに対してBGP認証を設定することもできます。セキュリティ設定と同様に、システムの管理に必要な粒度(ある程度はセキュリティの程度)と管理の量の間にはトレードオフがあります。

この例では、ルーティング プロトコル のイベントとエラーに関する多数のトレース オプションも設定します。これは、ルーティング プロトコルに対する攻撃の良い指標となる可能性があります。これらのイベントには、攻撃者を指し示すプロトコル認証エラーが含まれます。攻撃者は、特定の動作を引き出そうとして、スプーフィングされたルーティング パケットまたは不正な形式のルーティング パケットをルーターに送信している可能性があります。

IS-IS の設定

すべての IGP で認証をサポートしますが Junos OS 、一部の IGP は本質的に他の IGP よりも安全性が高い場合があります。ほとんどのサービス プロバイダは、OSPF または IS-IS を使用して、内部の迅速なコンバージェンスと拡張性を実現し、MPLS でトラフィック エンジニアリング機能を使用しています。IS-IS はネットワーク レイヤーで動作しないため、OSPF よりもスプーフィングが困難です。OSPF は IP にカプセル化されているため、リモート スプーフィングおよびサービス拒否(DoS)攻撃の対象となります。

次の例では、IS-IS の認証を設定します。また、ルーティング プロトコルのイベントやエラーに関する多数のトレース オプションも設定します。これは、ルーティング プロトコルに対する攻撃の良い指標となる可能性があります。これらのイベントには、攻撃者を指し示すプロトコル認証エラーが含まれます。攻撃者は、特定の動作を引き出そうとして、スプーフィングされたルーティング パケットまたは不正な形式のルーティング パケットをルーターに送信している可能性があります。

ルーティング プロトコルの認証キー更新メカニズムの設定

BGP、LDP、IS-IS ルーティング プロトコルの認証キー更新メカニズムを設定できます。このメカニズムにより、OSPF や RSVP などの関連するルーティングおよびシグナリング プロトコルを中断することなく、認証キーを更新できます。

この機能を設定するには、階層レベルで authentication-key-chains ステートメントを [edit security] 含めます。キー チェーンを適用するには、プロトコルの適切な階層レベルでキー チェーン識別子とキー チェーン アルゴリズムを設定する必要があります。

次のセクションでは、ルーティング プロトコルの認証キー更新の構成について詳しく説明します。特定のルーティング プロトコルの認証キー更新の構成の詳細については、そのプロトコルのユーザー ガイドを参照してください。

認証キーの更新の設定

認証キー更新メカニズムを構成するには、ステートメントを key-chain 階層レベルに [edit security authentication-key-chains] 含め、複数の key 認証キーで構成されるキーチェーンを作成するオプションを指定します。

key-chain— キーチェーン メカニズムに名前を割り当てます。この名前は、プロトコルの適切な階層レベルで参照し、次のオプションを使用して指定されたとおり、一意の認証 key-chain 属性を関連付けます。

  • algorithm—IS-IS の認証アルゴリズム。

  • key—キーチェーン内の各キーを一意に識別する整数値。範囲は 0~63 です。

  • options—(IS-IS のみ)ルーティング プロトコル パケットでメッセージ認証コードをエンコードするためのプロトコル伝送エンコーディング形式。

  • secret— 暗号化テキストまたはプレーンテキスト形式のパスワード。秘密データをプレーンテキスト形式で入力した場合でも、シークレットは常に暗号化された形式で表示されます。

  • start-time— 認証キー転送の開始時間( UTC で指定)。開始時間はキーチェーン内で一意である必要があります。

認証キー更新用の BGP および LDP の設定

BGP および LDP ルーティング プロトコルの認証キー更新メカニズムを設定するには、階層レベルにステートメントを[edit protocols (bgp | ldp)]含めますauthentication-key-chain。ステートメントを含めると、 authentication-key-chain 各ルーティング プロトコルが認証キーに [edit security authentication-key-chains] 関連付けられます。ステートメントを設定し、アルゴリズムを authentication-algorithm 指定する必要もあります。例えば、

注:

BGP の認証キー更新メカニズムを設定する場合、認証キーまたはキーチェーンを 0.0.0.0/allow 使用してステートメントをコミットすることはできません。このアクションを実行すると、CLI から警告が発行され、コミットは失敗します。