Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la autenticación BFD para IS-IS

La detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando se ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques al servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si está ejecutando BFD en varios saltos o a través de túneles no seguros. A partir de Junos OS versión 9.6, Junos OS admite la autenticación para sesiones BFD que se ejecutan sobre IS-IS. La autenticación BFD solo se admite en la imagen nacional y no está disponible en la imagen de exportación.

Las sesiones BFD se autentican especificando un algoritmo de autenticación y un llavero y, a continuación, asociando esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.

En las secciones siguientes se describen los algoritmos de autenticación, los llaveros de seguridad y el nivel de autenticación admitidos que se pueden configurar:

Algoritmos de autenticación BFD

Junos OS admite los siguientes algoritmos para la autenticación BFD:

  • simple-password: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Es posible que se configuren una o más contraseñas. Este método es el menos seguro y debe usarse solo cuando las sesiones BFD no están sujetas a interceptación de paquetes.

  • keyed-md5: algoritmo hash Keyed Message Digest 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, MD5 con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a ataques de reproducción. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.

  • meticulous-keyed-md5: algoritmo hash meticuloso de Message Digest 5. Este método funciona de la misma manera que MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que MD5 con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.

  • keyed-sha-1: algoritmo hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se transporta dentro de los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.

  • meticulous-keyed-sha-1—Algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que el SHA con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que el SHA con clave y las contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.

Nota:

El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulosus-keyed-sha-1. Las sesiones de BFD que utilizan estos algoritmos pueden dejar de funcionar después de un cambio.
Nota:

Los conmutadores de la serie QFX5000 y EX4600 no admiten valores de intervalo mínimo de menos de 1 segundo.

Llaveros de autenticación de seguridad

El llavero de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado a un protocolo a través del nombre del llavero, las actualizaciones de la clave de autenticación pueden producirse sin interrumpir los protocolos de enrutamiento y señalización.

El llavero de autenticación contiene uno o más llaveros. Cada llavero contiene una o más llaves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero deben configurarse en ambos extremos de la sesión BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.

BFD permite múltiples clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definido. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.

Autenticación estricta frente a autenticación flexible

De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación flexible. Cuando se configura la comprobación flexible, se aceptan paquetes sin que se compruebe la autenticación en cada extremo de la sesión. Esta función está pensada solo para períodos transitorios.

Documentación relacionada