Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティングプロトコルの認証

IGPs、IS-IS、OSPF、RIP、および RSVP 用にルーティングプロトコルメッセージの認証方法とパスワードを設定できます。認証されていないパケット、または偽装していても、ルーターは、ルーティングプロトコルの関係 (ピアリングまたは近隣の関係) を信頼性の高いピアに送信することを保証する必要があります。その1つの方法として、ルーティングプロトコルメッセージを認証する方法があります。近隣ルーターはこのパスワードを使用して、プロトコルによってルーターまたはルーターインターフェイスから送信されたパケットの信頼性を確認します。詳細については、このトピックをお読みください。

ルーティングプロトコルの Junos OS 認証方法

一部の内部ゲートウェイ プロトコル(IS-IS)、中間システム - 中間システム(オープン最短パス ファースト)、OSPF(Routing Information Protocol)、RIP(リソース予約プロトコル)、RSVP(リソース予約プロトコル)を使用して、認証方法とパスワードを設定できます。近隣ルーターはこのパスワードを使用して、プロトコルによってルーターまたはルーターインターフェイスから送信されたパケットの信頼性を確認します。次の認証方法がサポートされています。

  • シンプルな認証(IS-IS、OSPF、RIP)—シンプルなテキスト パスワードを使用します。受信側ルーターは、認証キー (パスワード) を使用してパケットを検証します。パスワードが送信されたパケットに含まれているため、この認証方法は比較的安全ではありません。この認証方法 を使用 することをお勧めします。

  • MD5 および HMAC-MD5(IS-IS、OSPF、RIP、RSVP)—Message Digest 5(MD5)は、送信パケットに含まれるエンコード済みチェックサムを作成します。Hmac-MD5 は、HMAC 認証と MD5 とを組み合わせたもので、反復暗号化ハッシュ関数を追加します。どちらのタイプの認証でも、受信側ルーターは、認証キー (パスワード) を使用してパケットを検証します。HMAC-MD5 認証は RFC 2104、HMAC: メッセージ認証用の鍵付きハッシュ .

一般的に、認証パスワードは最大16または255文字と数字で構成されるテキスト文字列です。文字には、任意の ASCII 文字列を含めることができます。パスワードにスペースを含める場合は、すべての文字を引用符(" ")で囲みます。

Junos-FIPS は特別なパスワード要件を持っています。FIPS パスワードの長さは 10 ~ 20 文字にする必要があります。パスワードは、少なくとも3つの文字セット (大文字、小文字、数字、句読点、およびその他の特殊文字) を使用している必要があります。Junos-FIPS がルーターにインストールされている場合、この基準を満たしていなければ、パスワードを設定できません。

例:BGP および IS-IS ルーティングプロトコルの認証キーの設定

ルーターの主な仕事は、ルーティングと転送テーブルを使用して、ユーザートラフィックを意図した宛先に転送することです。攻撃者は、ルーティングテーブルやその他のデータベースの内容を変更または破損させることで、偽造されたルーティングプロトコルパケットをルーターに送信することができます。その結果、ルーターとネットワークの機能が低下する可能性があります。このような攻撃を阻止するには、ルーターは、ルーティングプロトコルの関係 (ピアリングまたは隣接関係) を信頼されたピアとしていることを確認する必要があります。その1つの方法として、ルーティングプロトコルメッセージを認証する方法があります。ルーティングプロトコルを構成する際には、認証を使用することを強くお勧めします。Junos OS は、BGP、中間システムと中間システム (IS-IS)、オープン最短パスファースト (OSPF)、ルーティング情報プロトコル (RIP)、リソース予約プロトコル (RSVP) に対応する HMAC-MD5 認証をサポートしています。HMAC-MD5 は、ハッシュを計算するために送信されるデータと組み合わされた秘密鍵を使用します。計算したハッシュがデータとともに送信されます。受信者は、照合キーを使用して、メッセージハッシュの再計算と検証を行います。攻撃者がメッセージを偽造または変更した場合、ハッシュは一致せず、データは破棄されます。

以下の例では、BGP を屋内ゲートウェイプロトコル (EGP) として IS-IS し、内部ゲートウェイプロトコル (IGP) として設定しています。OSPF を使用する場合は、示されている IS-IS 構成と同様に構成してください。

BGP の構成

次の例は、BGP ピアグループの内部ピアの単一の認証キーの構成を示しています。また、近隣またはルーティングインスタンスのレベルで、またはすべての BGP セッションで BGP 認証を構成することもできます。どのようなセキュリティ構成の場合でも、細分度のレベル (セキュリティの程度の程度) と、システムを維持するために必要な管理の量との間にはトレードオフがあります。この例では、ルーティングプロトコルのイベントとエラーに関する多数のトレースオプションも設定されています。これは、ルーティングプロトコルに対する攻撃を適切に示すものにすることができます。このようなイベントには、プロトコル認証エラーが含まれます。これは、特定の動作を引き出そうとして、スプーフィングされたルーティング パケットや不正な形式のルーティング パケットをルーターに送信している攻撃者を指す可能性があります。

IS-IS の構成

Junos OS によってサポートされているすべての IGPs は認証をサポートしますが、他のものよりも本質的に安全性の高いものもあります。ほとんどのサービスプロバイダでは、OSPF または IS-IS を使用して、MPLS (MPLS) を使用して、高速な内部コンバージェンスと拡張性を実現し、トラフィックエンジニアリング機能を利用しています。IS-IS はネットワークレイヤーで動作しないため、IP にカプセル化されているため、OSPF よりもスプーフィングが難しく、したがって、リモートでのスプーフィングと DoS 攻撃が受けられます。

次の例は、ルーティングプロトコルのイベントとエラーに対して多数のトレースオプションを設定する方法も示しています。これは、ルーティングプロトコルに対する攻撃を適切に示すものとして利用できます。このようなイベントには、プロトコル認証エラーが含まれます。これは、特定の動作を引き出そうとして、スプーフィングされたルーティング パケットや不正な形式のルーティング パケットをルーターに送信している攻撃者を指す可能性があります。

BGP および LDP ルーティングプロトコルの認証キー更新メカニズムを設定する

境界ゲートウェイプロトコル (BGP) およびラベル配布プロトコル (LDP) ルーティングプロトコルの認証キー更新メカニズムを設定できます。このメカニズムを使用すると、オープン最短パスファースト (OSPF) やリソース予約セットアッププロトコル (RSVP) などの関連するルーティングプロトコルとシグナリングプロトコールを中断することなく、認証キーを更新できます。

この機能を設定するには、レベルにステートメントを含め、BGP または LDP ルーティング プロトコルのステートメントをレベルに authentication-key-chains[edit security]authentication-algorithm algorithmauthentication-key-chain[edit protocols] める必要があります。

以下のトピックでは、BGP および LDP ルーティングプロトコル用の認証キーの更新の構成について詳しく説明します。

認証キーの更新を構成する

認証キー更新メカニズムを設定するには、 key-chain階層レベルの[edit security authentication-key-chains]ステートメントを追加し、複数keyの認証キーで構成されるキーチェーンを作成するオプションを指定します。

key-chain—キーチェーン メカニズムに名前を割り当てる。この名前は、以下のオプション[edit protocols bgp]を使用[edit protocols ldp]して指定されauthentication key-chainた固有の属性を関連付けるために、または階層レベルでも設定されます。

  • key—キーチェーン内の各キーは、固有の整数値で識別されます。範囲は 0 ~ 63 です。

  • secret—各キーでは、暗号化されたテキストまたはプレーン テキスト形式でシークレットを指定する必要があります。シークレットデータをプレーンテキスト形式で入力しても、シークレットは常に暗号化形式で表示されます。

  • start-time—認証キー更新の開始時間は、キーチェーン内で一意にする必要があります。この場合、認証キーの更新は 、その キーチェーン内で一意にする必要があります。

認証キーの更新のための BGP と LDP の構成

BGP および LDP ルーティングプロトコル用の認証キー更新メカニズムを設定するには、 authentication-key-chain階層レベルの[edit protocols (bgp | ldp)]ステートメントを追加して、各ルーティングプロトコル[edit security authentication-key-chains]を認証キーに関連付けます。また、 ステートメントを authentication-algorithm algorithm 階層レベルで [edit protocols (bgp | ldp)] 設定する必要があります。

注:

BGP の認証キー更新メカニズムを設定する場合、認証キーまた0.0.0.0/allowはキーチェーンを使用してステートメントをコミットすることはできません。CLI によって警告が発行され、そのような構成のコミットが失敗します。

BGP プロトコルの詳細については、「 ルーティング デバイス 用Junos OSプロトコル ライブラリ 」を参照してください