Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de la autenticación de OSPF

Descripción de la autenticación IPsec para paquetes OSPF en conmutadores de la serie EX

La seguridad de IP (IPsec) proporciona una forma segura de autenticar a los remitentes y cifrar el tráfico de IP versión 4 (IPv4) entre dispositivos de red. IPsec ofrece a los administradores de red para los conmutadores Ethernet de la serie EX de Juniper Networks y a sus usuarios los beneficios de la confidencialidad de los datos, la integridad de los datos, la autenticación del remitente y los servicios de anti reproducción.

IPsec es un marco para garantizar una comunicación privada segura a través de redes IP y se basa en estándares desarrollados por el International Engineering Task Force (IETF). IPsec ofrece servicios de seguridad en la capa de red del modelo de interconexión de sistemas abiertos (OSI) al permitir que un sistema seleccione los protocolos de seguridad necesarios, determine los algoritmos que se usarán para los servicios de seguridad e implemente las claves criptográficas necesarias para proporcionar los servicios solicitados. Puede usar IPsec para proteger una o más rutas entre un par de hosts, entre un par de puertas de enlace de seguridad (como conmutadores) o entre una puerta de enlace de seguridad y un host.

OSPF versión 3 (OSPFv3), a diferencia de OSPF versión 2 (OSPFv2), no tiene un método de autenticación integrado y depende de IPsec para proporcionar esta funcionalidad. Puede proteger interfaces OSPFv3 específicas y proteger vínculos virtuales OSPFv3.

Algoritmos de autenticación

La autenticación es el proceso de verificar la identidad del remitente. Los algoritmos de autenticación usan una clave compartida para verificar la autenticidad de los dispositivos IPsec. El sistema operativo Junos (Junos OS) de Juniper Networks utiliza los siguientes algoritmos de autenticación:

  • El resumen del mensaje 5 (MD5) usa una función hash un solo sentido para convertir un mensaje de longitud arbitraria en un resumen de mensaje de longitud fija de 128 bits. Debido al proceso de conversión, es matemáticamente inviable calcular el mensaje original computandolo hacia atrás a partir del resumen del mensaje resultante. Del mismo modo, un cambio en un solo carácter en el mensaje hará que genere un número de síntesis del mensaje muy diferente.

    Para comprobar que el mensaje no se ha manipulado, Junos OS compara el resumen calculado del mensaje con un resumen del mensaje que se descifra con una clave compartida. Junos OS usa la variante de código de autenticación de mensajes hash MD5 (HMAC) que proporciona un nivel adicional de hash. MD5 se puede usar con un encabezado de autenticación (AH) y carga de seguridad de encapsulación (ESP).

  • El algoritmo de hash seguro 1 (SHA-1) usa un algoritmo más fuerte que MD5. SHA-1 toma un mensaje de menos de 264 bits de longitud y produce un resumen del mensaje de 160 bits. El resumen del mensaje de gran tamaño garantiza que los datos no se hayan cambiado y que se originen en la fuente correcta. Junos OS usa la variante HMAC SHA-1 que proporciona un nivel adicional de hash. SHA-1 se puede usar con AH, ESP e intercambio de claves por internet (IKE).

Algoritmos de cifrado

El cifrado codifica los datos en un formato seguro para que los usuarios no autorizados no puedan descifrarlos. Al igual que con los algoritmos de autenticación, con los algoritmos de cifrado se utiliza una clave compartida para verificar la autenticidad de los dispositivos IPsec. Junos OS utiliza los siguientes algoritmos de cifrado:

  • Cifrado de datos El encadenamiento de bloque de cifrado estándar (DES-CBC) es un algoritmo de bloque de clave secreta simétrica. DES utiliza un tamaño de clave de 64 bits, en el que se utilizan 8 bits para la detección de errores y los 56 bits restantes proporcionan cifrado. DES realiza una serie de operaciones lógicas simples en la clave compartida, incluidas permutaciones y sustituciones. CBC toma el primer bloque de 64 bits de salida de DES, lo combina con el segundo bloque, lo devuelve al algoritmo DES y repite este proceso para todos los bloques subsiguientes.

  • Triple DES-CBC (3DES-CBC) es un algoritmo de cifrado similar a DES-CBC, pero que proporciona un resultado de cifrado mucho más fuerte, ya que utiliza tres claves para el cifrado de 168 bits (3 x 56 bits). 3DES funciona mediante el uso de la primera clave para cifrar los bloques, la segunda clave para descifrar los bloques y la tercera clave para volver a cifrar los bloques.

Protocolos IPsec

Los protocolos IPsec determinan el tipo de autenticación y cifrado aplicados a los paquetes protegidos por el conmutador. Junos OS admite los siguientes protocolos IPsec:

  • AH: definido en el RFC 2402, AH proporciona integridad sin conexión y autenticación de origen de datos para IPv4. También proporciona protección contra las repeticiones. AH autentica tanto del encabezado IP como sea posible, así como los datos del protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar en tránsito. Dado que el remitente puede que el valor de estos campos no sea predecible, no puede estar protegidos por AH. En un encabezado IP, AH se puede identificar con un valor de 51 en el campo Protocol de un paquete IPv4.

  • ESP: definido en RFC 2406, el ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción. En un encabezado IP, ESP se puede identificar con un valor de 50 en el campo Protocol de un paquete IPv4.

Asociaciones de seguridad

Una consideración IPsec es el tipo de asociación de seguridad (SA) que desea implementar. Una SA es un conjunto de especificaciones de IPsec que se negocian entre dispositivos que establecen una relación IPsec. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA puede ser unidireccional o bidireccional, dependiendo de las elecciones que haga el administrador de red. Una SA se identifica de forma única mediante un índice de parámetros de seguridad (SPI), una dirección de destino IPv4 o IPv6 y un identificador de protocolo de seguridad (AH o ESP).

Modos IPsec

Junos OS admite los siguientes modos IPsec:

  • El modo de túnel es compatible con AH y ESP en Junos OS. En el modo de túnel, la SA y los protocolos asociados se aplican a paquetes IPv4 o IPv6 tunelados. Para una SA en modo de túnel, un encabezado IP externo especifica el destino de procesamiento IPsec y un encabezado IP interno especifica el destino final del paquete. El encabezado del protocolo de seguridad aparece después del encabezado IP externo y antes del encabezado IP interno. Además, hay ligeras diferencias para el modo de túnel cuando se implementa con AH y ESP:

    • Para AH, partes del encabezado IP externo están protegidas, así como todo el paquete IP tunelado.

    • Para ESP, solo está protegido el paquete tunelado, no el encabezado externo.

    Cuando un lado de una SA es una puerta de enlace de seguridad (como un conmutador), la SA debe usar el modo de túnel. Sin embargo, cuando el tráfico (por ejemplo, comandos SNMP o sesiones BGP) está destinado a un conmutador, el sistema actúa como host. El modo de transporte se permite en este caso porque el sistema no actúa como puerta de enlace de seguridad y no envía ni recibe tráfico de tránsito.

    Nota:

    El modo de túnel no se admite para la autenticación de paquete de control v3 de control OSPF.

  • El modo de transporte proporciona una SA entre dos hosts. En el modo de transporte, los protocolos proporcionan protección principalmente para protocolos de capa superior. Un encabezado de protocolo de seguridad de modo de transporte aparece inmediatamente después del encabezado ip y cualquier opción, y antes de cualquier protocolo de capa superior (por ejemplo, TCP o UDP). Hay ligeras diferencias para el modo de transporte cuando se implementa con AH y ESP:

    • Para AH, las partes seleccionadas del encabezado IP están protegidas, así como las partes seleccionadas de los encabezados de extensión y las opciones seleccionadas dentro del encabezado IPv4.

    • Para ESP, solo están protegidos los protocolos de capa superior, no el encabezado IP ni los encabezados de extensión que preceden al encabezado ESP.

Descripción de la autenticación OSPFv2

Todos los intercambios de protocolos OSPFv2 se pueden autenticar para garantizar que solo los dispositivos de enrutamiento de confianza participen en el enrutamiento del sistema autónomo. De forma predeterminada, la autenticación OSPFv2 está deshabilitada.

Nota:

OSPFv3 no tiene un método de autenticación integrado y depende de la seguridad IP (IPsec) para proporcionar esta funcionalidad.

Puede habilitar los siguientes tipos de autenticación:

  • Autenticación simple: se autentica mediante el uso de una contraseña de texto sin formato que se incluye en el paquete transmitido. El dispositivo de enrutamiento de recepción usa una clave de autenticación (contraseña) para verificar el paquete.

  • Autenticación MD5: se autentica mediante una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. El dispositivo de enrutamiento de recepción usa una clave de autenticación (contraseña) para verificar el paquete.

    Se define una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento solo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazarán las actualizaciones. El dispositivo de enrutamiento solo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) que está definido para esa interfaz.

  • Autenticación IPsec (a partir de Junos OS versión 8.3): autentica las interfaces OSPFv2, el punto de conexión remoto de un vínculo falso y el vínculo virtual OSPFv2 mediante el uso de asociaciones de seguridad manuales (SA) para garantizar que el contenido de un paquete esté seguro entre los dispositivos de enrutamiento. Configure la autenticación IPsec real por separado.

    Nota:

    Puede configurar la autenticación de IPsec junto con MD5 o autenticación simple.

    Las siguientes restricciones se aplican a la autenticación IPsec para OSPFv2:

    • No se admiten sas de intercambio dinámico de claves por internet (IKE).

    • Solo se admite el modo de transporte IPsec. No se admite el modo de túnel.

    • Dado que solo se admiten SA manuales bidireccionales, todos los pares de OSPFv2 deben configurarse con la misma SA de IPsec. Configure una SA bidireccional manual en el [edit security ipsec] nivel jerárquico.

    • Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remoto, para todos los vecinos de multiacceso de no difusión OSPF (NBMA) o vínculos de punto a multipunto, y para cada subred que forme parte de un vínculo de difusión.

    • No se admiten interfaces de par OSPFv2.

Dado que OSPF realiza la autenticación en el nivel del área, todos los dispositivos de enrutamiento dentro del área deben tener la misma autenticación y la contraseña (clave) correspondientes configuradas. Para que la autenticación MD5 funcione, los dispositivos de enrutamiento de recepción y transmisión deben tener la misma clave MD5. Además, una contraseña simple y una clave MD5 son mutuamente excluyentes. Solo puede configurar una contraseña simple, pero varias claves MD5.

Como parte de sus medidas de seguridad, puede cambiar las claves MD5. Puede hacer esto configurando varias claves MD5, cada una con un ID de clave único, y estableciendo la fecha y hora para cambiar a la nueva clave. Cada clave MD5 única tiene un ID único. El id lo utiliza el receptor del paquete OSPF para determinar qué clave se debe usar para la autenticación. El ID de clave, que es necesario para la autenticación MD5, especifica el identificador asociado con la clave MD5.

A partir de Junos OS versión 22.4R1, admitemos la publicidad de autenticación MD5 OSPF con varias claves activas para enviar paquetes con un límite máximo de dos claves por interfaz. Tener varias claves activas al mismo tiempo en la interfaz permite la transición fluida de una clave a otra para OSPF. Puede eliminar claves antiguas sin ningún impacto en la sesión de OSPF.

Ver también

Descripción de la autenticación OSPFv3

OSPFv3 no tiene un método de autenticación integrado y depende del conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec ofrece funciones como autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo de origen. Puede usar IPsec para proteger interfaces OSPFv3 específicas y proteger vínculos virtuales OSPFv3.

Nota:

Configure la autenticación IPsec real por separado de su configuración OSPFv3 y, luego, aplique IPsec a las interfaces OSPFv3 u vínculos virtuales OSPFv3.

OSPFv3 usa el encabezado de autenticación IP (AH) y las partes de la carga de seguridad de encapsulación (ESP) de IP del protocolo IPsec para autenticar la información de enrutamiento entre pares. AH puede proporcionar integridad sin conexión y autenticación de origen de datos. También proporciona protección contra las repeticiones. AH autentica tanto del encabezado IP como sea posible, así como los datos del protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar en tránsito. Dado que el remitente puede que el valor de estos campos no sea predecible, no puede estar protegidos por AH. ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.

IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones de IPsec que se negocian entre dispositivos que establecen una relación IPsec. Esta conexión simplex proporciona servicios de seguridad a los paquetes transportados por la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo determinado en una dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos están protegidos por un par de SA. Una SA que se utilizará con OSPFv3 se debe configurar manualmente y usar el modo de transporte. Los valores estáticos se deben configurar en ambos extremos de la SA.

Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores del índice de parámetros de seguridad (SPI), los algoritmos y las claves que se usarán, y requieren configuraciones coincidentes en ambos puntos de final (pares OSPFv3). Como resultado, cada par debe tener las mismas opciones configuradas para que se produzca la comunicación.

La elección real de los algoritmos de cifrado y autenticación se deja en su administrador de IPsec; sin embargo, tenemos las siguientes recomendaciones:

  • Utilice ESP con cifrado NULL para proporcionar autenticación solo a los encabezados de protocolo OSPFv3. Con el cifrado NULL, está eligiendo no proporcionar cifrado en encabezados OSPFv3. Esto puede ser útil para la resolución de problemas y la depuración. Para obtener más información acerca del cifrado NULL, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.

  • Utilice ESP con cifrado que no sea NULL para una confidencialidad completa. Con el cifrado que no es NULL, está eligiendo proporcionar cifrado. Para obtener más información acerca del cifrado NULL, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.

  • Utilice AH para proporcionar autenticación a los encabezados de protocolo OSPFv3, partes del encabezado IPv6 y partes de los encabezados de extensión.

Las siguientes restricciones se aplican a la autenticación IPsec para OSPFv3:

  • No se admiten asociaciones de seguridad (SA) de intercambio dinámico de claves por internet (IKE).

  • Solo se admite el modo de transporte IPsec. En el modo de transporte, solo se cifra o autentica la carga (los datos que transfiere) del paquete IP. No se admite el modo de túnel.

  • Dado que solo se admiten SA manuales bidireccionales, todos los pares de OSPFv3 deben configurarse con la misma SA IPsec. Configure una SA bidireccional manual en el [edit security ipsec] nivel jerárquico.

  • Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remoto.

Ver también

Ejemplo: Configuración de autenticación simple para intercambios OSPFv2

En este ejemplo, se muestra cómo habilitar la autenticación simple para intercambios OSPFv2.

Requisitos

Antes de empezar:

Visión general

La autenticación simple usa una contraseña de texto sin formato que se incluye en el paquete transmitido. El dispositivo de enrutamiento de recepción usa una clave de autenticación (contraseña) para verificar el paquete. Las contraseñas de texto sin formato no están cifradas y pueden estar sujetas a intercepción de paquetes. Este método es el menos seguro y solo debe utilizarse si la seguridad de red no es su objetivo.

Solo puede configurar una clave de autenticación simple (contraseña) en el dispositivo de enrutamiento. La clave simple puede tener de 1 a 8 caracteres y puede incluir cadenas ASCII. Si incluye espacios, encierre todos los caracteres entre comillas (" ").

En este ejemplo, se especifica la interfaz OSPFv2 so-0/1/0 en el área 0.0.0.0, se establece el tipo de autenticación en contraseña simple y se define la clave como PssWd4.

Configuración

Configuración rápida de CLI

Para configurar rápidamente la autenticación simple, copie el siguiente comando, elimine los saltos de línea y, a continuación, pegue el comando en la CLI. Debe configurar todos los dispositivos de enrutamiento del área con la misma autenticación y contraseña correspondiente.

Procedimiento

Procedimiento paso a paso

Para habilitar la autenticación simple para intercambios OSPFv2:

  1. Cree un área OSPF.

  2. Especifique la interfaz.

  3. Establezca el tipo de autenticación y la contraseña.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

    Nota:

    Repita esta configuración completa en todos los dispositivos de enrutamiento par OSPFv2 del área.

Resultados

Para confirmar la configuración, ingrese el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Nota:

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el método de autenticación configurado

Propósito

Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. El campo Tipo de autenticación muestra la contraseña cuando está configurada para una autenticación simple.

Acción

Desde el modo operativo, ingrese los show ospf interface comandos y.show ospf overview

Ejemplo: Configuración de la autenticación MD5 para intercambios OSPFv2

En este ejemplo, se muestra cómo habilitar la autenticación MD5 para intercambios OSPFv2.

Requisitos

Antes de empezar:

Visión general

La autenticación MD5 usa una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. El dispositivo de enrutamiento de recepción usa una clave de autenticación (contraseña) para verificar el paquete.

Se define una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento solo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazarán las actualizaciones. El dispositivo de enrutamiento solo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) que está definido para esa interfaz.

En este ejemplo, se crea el área troncal (área 0.0.0.0), se especifica la interfaz OSPFv2 so-0/2/0, se establece el tipo de autenticación en md5 y, a continuación, se define el ID de clave de autenticación como 5 y la contraseña como PssWd8.

Topología

Configuración

Configuración rápida de CLI

Para configurar rápidamente la autenticación MD5, copie el siguiente comando y péguelo en la CLI.

Procedimiento

Procedimiento paso a paso

Para habilitar la autenticación MD5 para intercambios OSPFv2:

  1. Cree un área OSPF.

  2. Especifique la interfaz.

  3. Configure la autenticación MD5 y establezca un ID de clave y una contraseña de autenticación.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

    Nota:

    Repita toda esta configuración en todos los dispositivos de enrutamiento OSPFv2 par.

Resultados

Para confirmar la configuración, ingrese el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Nota:

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el método de autenticación configurado

Propósito

Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. Cuando se configura para la autenticación MD5, el campo Tipo de autenticación muestra MD5, el campo ID de clave activa muestra el número único que ha introducido que identifica la clave MD5 y el campo hora de inicio muestra la fecha como hora de inicio 1970 Enero 01 00:00:00 PST. No se alarme a esta hora de inicio. Esta es la hora de inicio predeterminada que muestra el dispositivo de enrutamiento si la clave MD5 es efectiva de inmediato.

Acción

Desde el modo operativo, ingrese los show ospf interface comandos y.show ospf overview

Ejemplo: Configurar una transición de claves MD5 en una interfaz OSPFv2

En este ejemplo, se muestra cómo configurar una transición de claves MD5 en una interfaz OSPFv2.

Requisitos

Antes de empezar:

Visión general

La autenticación MD5 usa una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. Para que la autenticación MD5 funcione, los dispositivos de enrutamiento de recepción y transmisión deben tener la misma clave MD5.

Se define una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento solo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazarán las actualizaciones. El dispositivo de enrutamiento solo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) que está definido para esa interfaz.

Para mayor seguridad, puede configurar varias claves MD5, cada una con un ID de clave único, y establecer la fecha y hora para cambiar a una nueva clave. El receptor del paquete OSPF usa el ID para determinar qué clave usar para la autenticación.

En este ejemplo, configure las claves nuevas para que entren en vigor a las 12:01 a.m. el primer día de los próximos tres meses en la interfaz OSPFv2 fe-0/0/1 en el área troncal (área 0.0.0.0), y configure las siguientes opciones de autenticación MD5:

  • md5: especifica el ID de clave de autenticación MD5. El ID de clave se puede establecer en cualquier valor entre 0 y 255, con un valor predeterminado de 0. El dispositivo de enrutamiento solo acepta paquetes OSPFv2 enviados con el mismo ID de clave que está definido para esa interfaz.

  • key (key): permite especificar la clave MD5. Cada clave puede tener un valor de 1 a 16 caracteres. Los caracteres pueden incluir cadenas ASCII. Si incluye espacios, encierre todos los caracteres entre comillas (" ").

  • tiempo de inicio: especifica la hora para comenzar a usar la clave MD5. Esta opción le permite configurar un mecanismo de transición suave para varias claves. La hora de inicio es relevante para la transmisión, pero no para la recepción de paquetes OSPF.

Nota:

Debe establecer las mismas contraseñas y fechas y horas de transición en todos los dispositivos de la zona para que las adyacencias OSPFv2 permanezcan activas.

Topología

Configuración

Configuración rápida de CLI

Para configurar rápidamente varias claves MD5 en una interfaz OSPFv2, copie los siguientes comandos, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI.

Procedimiento

Procedimiento paso a paso

Para configurar varias claves MD5 en una interfaz OSPFv2:

  1. Cree un área OSPF.

  2. Especifique la interfaz.

  3. Configure la autenticación MD5 y establezca una contraseña de autenticación y un ID de clave.

  4. Configure una nueva clave para que entre en vigor a las 12:01 a.m. el primer día de febrero, marzo y abril.

    Configure una nueva contraseña de autenticación y un ID de clave para cada mes.

    1. Para el mes de febrero, escriba lo siguiente:

    2. Para el mes de marzo, escriba lo siguiente:

    3. Para el mes de abril, escriba lo siguiente:

  5. Si ha terminado de configurar el dispositivo, confirme la configuración.

    Nota:

    Repita toda esta configuración en todos los dispositivos de enrutamiento OSPFv2 par.

Resultados

Para confirmar la configuración, ingrese el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Nota:

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el método de autenticación configurado

Propósito

Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. Cuando se configura para la autenticación MD5 con una transición de claves, el campo tipo de autenticación muestra MD5, el campo ID de clave activa muestra el número único que introdujo que identifica la clave MD5 y el campo de tiempo de inicio muestra la hora en la que el dispositivo de enrutamiento comienza a usar una clave MD5 para autenticar los paquetes OSPF transmitidos en la interfaz que configuró.

Acción

Desde el modo operativo, ingrese los show ospf interface comandos y.show ospf overview

Uso de IPsec para proteger redes OSPFv3 (procedimiento de CLI)

La versión 3 de OSPF (OSPFv3) no tiene un método de autenticación integrado y depende de la seguridad IP (IPsec) para proporcionar esta funcionalidad. Puede usar IPsec para proteger interfaces OSPFv3 en conmutadores serie EX.

Este tema incluye lo siguiente:

Configuración de asociaciones de seguridad

Cuando configure una asociación de seguridad (SA), incluya sus opciones de autenticación, cifrado, dirección, modo, protocolo e índice de parámetros de seguridad (SPI).

Para configurar una asociación de seguridad:

  1. Especifique un nombre para la asociación de seguridad:
  2. Especifique el modo de la asociación de seguridad:
  3. Especifique el tipo de asociación de seguridad:
  4. Especifique la dirección de la asociación de seguridad:
  5. Especifique el valor del índice de parámetros de seguridad:
  6. Especifique el tipo de autenticación que se utilizará:
  7. Especifique el algoritmo y la clave de cifrado:

Protección de redes OPSFv3

Puede proteger la red OSPFv3 aplicando la SA a la configuración OSPFv3.

Para proteger la red OSPFv3:

Ejemplo: Configurar autenticación IPsec para una interfaz OSPF

En este ejemplo, se muestra cómo habilitar la autenticación de seguridad IP (IPsec) para una interfaz OSPF.

Requisitos

Antes de empezar:

Visión general

Puede usar la autenticación IPsec para OSPFv2 y OSPFv3. Configure la autenticación IPsec real por separado y la aplique a la configuración OSPF correspondiente.

OSPFv2

A partir de Junos OS versión 8.3, puede usar la autenticación de IPsec para autenticar las interfaces de OSPFv2, el punto de conexión remoto de un vínculo falso y el vínculo virtual OSPFv2 mediante el uso de asociaciones de seguridad manuales (SA) para garantizar que el contenido de un paquete esté seguro entre los dispositivos de enrutamiento.

Nota:

Puede configurar la autenticación de IPsec junto con MD5 o autenticación simple.

Para habilitar la autenticación de IPsec, realice una de las siguientes acciones:

  • Para una interfaz OSPFv2, incluya la ipsec-sa name instrucción para una interfaz específica:

  • Para un vínculo simulado remoto, incluya la ispec-sa name instrucción para el punto final remoto del vínculo simulado:

    Nota:

    Si una configuración vpn de capa 3 tiene varios vínculos simulados con la misma dirección IP de punto de conexión remoto, debe configurar la misma asociación de seguridad IPsec para todos los puntos de conexión remotos. Configure una VPN de capa 3 en el [edit routing-instances routing-instance-name instance-type] nivel de jerarquía. Para obtener más información acerca de las VPN de capa 3, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

  • Para un vínculo virtual, incluya la ipsec-sa name instrucción para un vínculo virtual específico:

OSPFv3

OSPFv3 no tiene un método de autenticación integrado y depende de IPsec para proporcionar esta funcionalidad. Utilice la autenticación IPsec para proteger las interfaces OSPFv3 y proteger los vínculos virtuales OSPFv3 mediante el uso de SA manuales para garantizar que el contenido de un paquete esté seguro entre los dispositivos de enrutamiento.

Para aplicar la autenticación, realice una de las siguientes acciones:

  • Para una interfaz OSPFv3, incluya la ipsec-sa name instrucción para una interfaz específica:

  • Para un vínculo virtual, incluya la ipsec-sa name instrucción para un vínculo virtual específico:

Tasks to Complete for Both OSPFv2 and OSPFv3

En este ejemplo, realice las tareas siguientes:

  1. Configure la autenticación IPsec. Para ello, defina una SA manual denominada sa1 y especifique la dirección de procesamiento, el protocolo utilizado para proteger el tráfico IP, el índice de parámetros de seguridad (SPI) y el algoritmo y la clave de autenticación.

    1. Configure la siguiente opción en el [edit security ipsec security-association sa-name mode] nivel de jerarquía:

      transporte: permite especificar el modo de transporte. Este modo protege el tráfico cuando el punto de conexión de comunicación y el punto de conexión criptográfico son los mismos. La parte de datos del paquete IP está cifrada, pero el encabezado IP no lo es.

    2. Configure la siguiente opción en el [edit security ipsec security-association sa-name manual direction] nivel de jerarquía:

      bidireccional: define la dirección del procesamiento de IPsec. Al especificar bidrectional, se utilizan los mismos algoritmos, claves e valores de índice de paramater de seguridad (SPI) que configura en ambas direcciones.

    3. Configure las siguientes opciones en el [edit security ipsec security-association sa-name manual direction bidirectional] nivel de jerarquía:

      protocolo: define el protocolo IPsec que usa la SA manual para proteger el tráfico IP. Puede especificar el encabezado de autenticación (AH) o la Carga de seguridad de encapsulación (ESP). Si especifica AH, lo que hace en este ejemplo, no puede configurar el cifrado.

      spi— configura el SPI para la SA manual. Un SPI es un valor arbitrario que identifica de manera única qué SA se debe usar en el host receptor. El host de envío usa el SPI para identificar y seleccionar qué SA usar para proteger cada paquete. El host receptor utiliza el SPI para identificar y seleccionar el algoritmo de cifrado y la clave que se utilizan para descifrar paquetes. En este ejemplo, se especifica 256.

      autenticación: configura el algoritmo y la clave de autenticación. La opción de algoritmo especifica el algoritmo hash que autentica los datos de paquete. En este ejemplo, se especifica hmac-md5-96, que produce un resumen de 128 bits. La opción clave indica el tipo de clave de autenticación. En este ejemplo, se especifica ascii-text-key, que es 16 caracteres ASCII para el algoritmo hmac-md5-96 .

  2. Habilite la autenticación IPsec en la interfaz OSPF so-0/2/0.0 en el área troncal (área 0.0.0.0) incluyendo el nombre de la SA manual sa1 que configuró en el [edit security ipsec] nivel jerárquico.

Topología

Configuración

Configuración de asociaciones de seguridad

Configuración rápida de CLI

Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, elimine los saltos de línea y, luego, pegue los comandos en la CLI.

Procedimiento paso a paso

Para configurar una SA manual que se utilizará en una interfaz OSPF:

  1. Especifique un nombre para la SA.

  2. Especifique el modo de la SA.

  3. Configure la dirección de la SA manual.

  4. Configure el protocolo IPsec que se utilizará.

  5. Configure el valor del SPI.

  6. Configure el algoritmo y la clave de autenticación.

  7. Si ha terminado de configurar el dispositivo, confirme la configuración.

    Nota:

    Repita toda esta configuración en todos los dispositivos de enrutamiento par OSPF.

Resultados

Para confirmar la configuración, ingrese el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Nota:

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.

Habilitación de la autenticación IPsec para una interfaz OSPF

Configuración rápida de CLI

Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie el siguiente comando y péguelo en la CLI.

Procedimiento paso a paso

Para habilitar la autenticación IPsec para una interfaz OSPF:

  1. Cree un área OSPF.

    Nota:

    Para especificar OSPFv3, incluya la ospf3 instrucción en el [edit protocols] nivel de jerarquía.

  2. Especifique la interfaz.

  3. Aplique la SA manual IPsec.

  4. Si ha terminado de configurar el dispositivo, confirme la configuración.

    Nota:

    Repita toda esta configuración en todos los dispositivos de enrutamiento par OSPF.

Resultados

Para confirmar la configuración, ingrese el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Para confirmar la configuración de OSPFv3, ingrese el show protocols ospf3 comando.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la configuración de la asociación de seguridad de IPsec

Propósito

Compruebe la configuración de asociación de seguridad IPsec configurada. Compruebe la siguiente información:

  • El campo Asociación de seguridad muestra el nombre de la asociación de seguridad configurada.

  • El campo SPI muestra el valor que configuró.

  • El campo Modo muestra el modo de transporte.

  • El campo Tipo muestra el manual como el tipo de asociación de seguridad.

Acción

Desde el modo operativo, ingrese el show ipsec security-associations comando.

Verificar la asociación de seguridad IPsec en la interfaz OSPF

Propósito

Compruebe que la asociación de seguridad IPsec que configuró se aplicó a la interfaz OSPF. Confirme que el campo nombre de SA IPSec muestra el nombre de la asociación de seguridad IPsec configurada.

Acción

Desde el modo operativo, ingrese el show ospf interface detail comando para OSPFv2 y escriba el show ospf3 interface detail comando para OSPFv3.

Ver también

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
22.4R1