라우팅 프로토콜에 대한 인증
BGP, IS-IS, OSPF, RIP 및 RSVP를 포함한 많은 라우팅 프로토콜에 대한 라우팅 프로토콜 메시지에 대한 인증 방법과 암호를 구성할 수 있습니다. 인증되지 않거나 위조된 패킷의 교환을 방지하기 위해 라우터는 신뢰할 수 있는 피어와 라우팅 프로토콜 관계(피어링 또는 인접 관계)를 형성해야 합니다. 이를 수행하는 한 가지 방법은 라우팅 프로토콜 메시지를 인증하는 것입니다. 인접 라우터는 암호를 사용하여 라우터 또는 라우터 인터페이스에서 프로토콜이 보낸 패킷의 진위 여부를 확인합니다.
이 항목에서는 라우팅 프로토콜 인증을 위한 개략적인 개요와 몇 가지 기본 예를 제공합니다. 특정 라우팅 프로토콜에 대한 인증 구성에 대한 자세한 내용은 해당 프로토콜의 사용자 가이드를 참조하십시오.
라우팅 프로토콜에 대한 인증 방법
BGP, IS-IS, OSPF, RIP, RSVP 등 일부 라우팅 프로토콜에서는 인증 방법과 비밀번호를 구성할 수 있습니다. 인접 라우터는 암호를 사용하여 프로토콜이 라우터 또는 라우터 인터페이스에서 보내는 패킷의 신뢰성을 확인합니다. 지원되는 인증 방법은 다음과 같습니다.
-
단순 인증(IS-IS, OSPF 및 RIP) - 단순 텍스트 비밀번호를 사용합니다. 수신 라우터는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다. 암호가 전송된 패킷에 포함되어 있기 때문에 이 인증 방법은 상대적으로 안전하지 않습니다. 이 인증 방법을 사용하지 않는 것이 좋습니다.
-
MD5 및 HMAC-MD5 (BGP, IS-IS, OSPF, RIP 및 RSVP) - MD5는 전송된 패킷에 포함된 인코딩된 체크섬을 생성합니다. HMAC 인증과 MD5를 결합한 HMAC-MD5는 반복된 암호화 해시 함수를 추가합니다. 두 가지 인증 유형 모두에서 수신 라우터는 인증 키(비밀번호)를 사용하여 패킷을 확인합니다. HMAC-MD5 인증은 RFC 2104, HMAC에 정의되어 있습니다. 메시지 인증을 위한 키 해시.
일반적으로 인증 암호는 최대 문자 및 자릿수로 구성된 텍스트 문자열입니다. 암호에는 모든 ASCII 문자가 포함될 수 있습니다. 암호에 공백이 포함되어 있는 경우 모든 문자를 따옴표(" ")로 묶습니다.
Junos-FIPS에는 특별한 암호 요구 사항이 있습니다. FIPS 암호 길이는 10~20자 사이여야 합니다. 암호는 5개의 정의된 문자 모음(대문자, 소문자, 자릿수, 구두점 및 특수 문자) 중 적어도 3개를 사용해야 합니다. Junos-FIPS가 라우터에 설치된 경우, 이 표준을 충족하지 않는 한 암호를 구성할 수 없습니다.
예: BGP 및 IS-IS 라우팅 프로토콜에 대한 인증 키 구성
라우터의 주요 임무는 라우팅 및 포워딩 테이블을 사용하여 사용자 트래픽을 의도한 목적지로 전달하는 것입니다. 공격자는 라우팅 테이블 또는 기타 데이터베이스의 내용을 변경하거나 손상시킬 의도로 위조된 라우팅 프로토콜 패킷을 라우터로 보낼 수 있으며, 이로 인해 라우터와 네트워크의 기능이 저하될 수 있습니다. 이러한 공격을 방지하기 위해 라우터는 신뢰할 수 있는 피어에 라우팅 프로토콜 관계(피어링 또는 인접 관계)를 형성해야 합니다. 이를 수행하는 한 가지 방법은 라우팅 프로토콜 메시지를 인증하는 것입니다. 라우팅 프로토콜을 구성할 때 인증을 사용하는 것이 좋습니다.
Junos OS 는 BGP, IS-IS, OSPF, RIP 및 RSVP에 대한 HMAC-MD5 인증을 지원합니다. HMAC-MD5는 해시를 계산하기 위해 전송되는 데이터와 결합된 비밀 키를 사용합니다. 계산된 해시는 데이터와 함께 전송됩니다. 수신자는 일치하는 키를 사용하여 메시지 해시를 다시 계산하고 유효성을 검사합니다. 공격자가 메시지를 위조하거나 수정한 경우 해시가 일치하지 않고 데이터가 삭제됩니다.
다음 예에서는 BGP를 외부 게이트웨이 프로토콜(EGP)로, IS-IS를 내부 게이트웨이 프로토콜(IGP)로 구성합니다. OSPF를 사용하는 경우 표시된 IS-IS 구성과 유사하게 구성합니다.
BGP 구성
다음 예제에서는 서로 다른 BGP 피어 그룹에 대한 단일 인증 키의 구성을 보여 줍니다. 또한 인접 또는 라우팅 인스턴스 수준에서 또는 모든 BGP 세션에 대해 BGP 인증을 구성할 수 있습니다. 다른 보안 구성과 마찬가지로 세분성 수준(및 보안 수준)과 시스템을 유지 관리하는 데 필요한 관리 수준 간에는 절충이 있습니다.
또한 이 예에서는 라우팅 프로토콜에 대한 공격의 좋은 지표가 될 수 있는 라우팅 프로토콜 이벤트 및 오류에 대한 여러 추적 옵션을 구성합니다. 이러한 이벤트에는 공격자를 가리킬 수 있는 프로토콜 인증 실패가 포함됩니다. 공격자는 특정 동작을 유도하기 위해 스푸핑되거나 잘못된 형식의 라우팅 패킷을 라우터로 보낼 수 있습니다.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
IS-IS 구성
모든 IGP에 대한 인증을 지원하지만 일부 IGP는 본질적으로 다른 IGP보다 더 안전합니다.Junos OS 대부분의 서비스 프로바이더는 OSPF 또는 IS-IS를 사용하여 빠른 내부 컨버전스 및 확장성을 허용하고 MPLS와 함께 트래픽 엔지니어링 기능을 사용합니다. IS-IS는 네트워크 레이어에서 작동하지 않기 때문에 OSPF보다 스푸핑하기가 더 어렵습니다. OSPF는 IP로 캡슐화되므로 원격 스푸핑 및 DoS(Denial of Service) 공격의 대상이 됩니다.
다음 예에서는 IS-IS에 대한 인증을 구성합니다. 또한 라우팅 프로토콜 이벤트 및 오류에 대한 여러 추적 옵션을 구성하며, 이는 라우팅 프로토콜에 대한 공격의 좋은 지표가 될 수 있습니다. 이러한 이벤트에는 공격자를 가리킬 수 있는 프로토콜 인증 실패가 포함됩니다. 공격자는 특정 동작을 유도하기 위해 스푸핑되거나 잘못된 형식의 라우팅 패킷을 라우터로 보낼 수 있습니다.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
라우팅 프로토콜에 대한 인증 키 업데이트 메커니즘 구성
BGP, LDP 및 IS-IS 라우팅 프로토콜에 대한 인증 키 업데이트 메커니즘을 구성할 수 있습니다. 이 메커니즘을 사용하면 OSPF 및 RSVP와 같은 관련 라우팅 및 신호 프로토콜을 중단하지 않고 인증 키를 업데이트할 수 있습니다.
이 기능을 구성하려면 계층 수준에서 문을 포함합니다.authentication-key-chains[edit security] 키 체인을 적용하려면 프로토콜에 대한 적절한 계층 수준에서 키 체인 식별자 및 키 체인 알고리즘을 구성해야 합니다.
다음 섹션에서는 라우팅 프로토콜에 대한 인증 키 업데이트 구성에 대한 자세한 정보를 제공합니다. 특정 라우팅 프로토콜에 대한 인증 키 업데이트 구성에 대한 자세한 내용은 해당 프로토콜의 사용자 가이드를 참조하십시오.
인증 키 업데이트 구성
인증 키 업데이트 메커니즘을 구성하려면 [edit security authentication-key-chains] 계층 수준에서 key-chain 문을 포함하고 key 옵션을 지정하여 여러 인증 키로 구성된 키 체인을 생성합니다.
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain- 키체인 메커니즘에 이름을 지정합니다. 다음 옵션을 사용하여 지정된 대로 고유한 인증 속성을 연결하기 위해 프로토콜의 적절한 계층 수준에서 이 이름을 참조합니다.key-chain
-
algorithm- IS-IS에 대한 인증 알고리즘. -
key- 키체인 내의 각 키를 고유하게 식별하는 정수 값입니다. 범위는 0에서 63까지입니다. -
options- (IS-IS만 해당) 라우팅 프로토콜 패킷에서 메시지 인증 코드를 인코딩하기 위한 프로토콜 전송 인코딩 형식입니다. -
secret- 암호화된 텍스트 또는 일반 텍스트 형식의 암호입니다. 비밀 데이터를 일반 텍스트 형식으로 입력하더라도 비밀은 항상 암호화된 형식으로 표시됩니다. -
- UTC로 지정된 인증 키 전송 시작 시간입니다.
start-time시작 시간은 키체인 내에서 고유해야 합니다.
인증 키 업데이트를 위한 BGP 및 LDP 구성
BGP 및 LDP 라우팅 프로토콜에 대한 인증 키 업데이트 메커니즘을 구성하려면 계층 수준 내에 명령문을 포함합니다.authentication-key-chain[edit protocols (bgp | ldp)] 명령문을 포함하면 각 라우팅 프로토콜이 인증 키와 연결됩니다.authentication-key-chain[edit security authentication-key-chains] 또한 명령문을 구성하고 알고리즘을 지정해야 합니다.authentication-algorithm 예:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
BGP에 대한 인증 키 업데이트 메커니즘을 구성할 때 인증 키 또는 키 체인을 사용하여 문을 커밋할 수 없습니다.0.0.0.0/allow 이 작업을 시도하면 CLI가 경고를 발행하고 커밋이 실패합니다.