IS-IS에 대한 BFD 인증 이해하기

BFD 인증 알고리즘

Junos OS는 BFD 인증에 대해 다음과 같은 알고리즘을 지원합니다.

• simple-password—일반 텍스트 패스워드입니다. BFD 세션을 인증하는 데 1바이트에서 16바이트의 일반 텍스트가 사용됩니다. 하나 이상의 비밀번호가 구성될 수 있습니다. 이 방법은 가장 안전하지 않으며 BFD 세션이 패킷 가로채기의 대상이 되지 않는 경우에만 사용해야 합니다.

• keyed-md5—전송 및 수신 간격이 100ms를 초과하는 세션에 대한 키 메시지 다이제스트 5 해시 알고리즘. BFD 세션을 인증하기 위해 키가 지정된 MD5는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신한 시퀀스 번호보다 크거나 같으면 세션의 수신 측에서 패킷이 수락됩니다. 이 방법은 단순한 암호보다 안전하지만 재생 공격에 취약합니다. 시퀀스 번호가 업데이트되는 속도를 높이면 이러한 위험을 줄일 수 있습니다.

• meticulous-keyed-md5—세심한 키 메시지 다이제스트 5 해시 알고리즘. 이 방법은 키가 지정된 MD5와 동일한 방식으로 작동하지만, 시퀀스 번호는 모든 패킷에서 업데이트됩니다. 키 MD5 및 단순 암호보다 안전하지만 이 방법은 세션을 인증하는 데 추가 시간이 걸릴 수 있습니다.

• keyed-sha-1—전송 및 수신 간격이 100ms를 초과하는 세션에 대한 키 보안 해시 알고리즘 I. BFD 세션을 인증하기 위해 키 SHA는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 키는 패킷 내에 전달되지 않습니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신한 시퀀스 번호보다 큰 경우 세션의 수신 측에서 패킷이 수락됩니다.

• meticulous-keyed-sha-1—꼼꼼하게 키된 보안 해시 알고리즘 I. 이 방법은 키 지정 SHA와 동일한 방식으로 작동하지만, 시퀀스 번호는 모든 패킷에서 업데이트됩니다. 키 SHA 및 단순 암호보다 안전하지만 이 방법은 세션을 인증하는 데 추가 시간이 걸릴 수 있습니다.

보안 인증 키체인

보안 인증 키 체인은 인증 키 업데이트에 사용되는 인증 속성을 정의합니다. 보안 인증 키체인이 구성되고 키체인 이름을 통해 프로토콜과 연결되면 라우팅 및 신호 프로토콜을 중단하지 않고 인증 키 업데이트가 발생할 수 있습니다.

인증 키체인에는 하나 이상의 키체인이 포함되어 있습니다. 각 키체인에는 하나 이상의 키가 포함되어 있습니다. 각 키에는 비밀 데이터와 키가 유효해지는 시간이 포함됩니다. 알고리즘과 키체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.

BFD는 세션당 여러 클라이언트를 허용하며, 각 클라이언트는 고유한 키체인과 알고리즘을 정의할 수 있습니다. 혼동을 피하기 위해 보안 인증 키체인을 하나만 지정하는 것이 좋습니다.

엄격한 인증 대 느슨한 인증

기본적으로 엄격한 인증이 활성화되며 각 BFD 세션의 양쪽 끝에서 인증이 확인됩니다. 선택적으로 비인증 세션에서 인증된 세션으로 원활하게 마이그레이션하기 위해 느슨한 검사를 구성할 수 있습니다. 느슨한 검사가 구성되면 세션의 각 끝에서 인증이 확인되지 않고 패킷이 수락됩니다. 이 기능은 과도기 동안에만 사용됩니다.