Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación para protocolos de enrutamiento

Puede configurar un método y una contraseña de autenticación para enrutar mensajes de protocolo para IGPs, IS-IS, OSPF y RIP, y RSVP. Para impedir el intercambio de paquetes no autenticados o falsificados, los enrutadores deben asegurarse de que forman las relaciones del Protocolo de enrutamiento (interconexión de tráfico o relaciones adyacentes) con los interlocutores de confianza. Una manera de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Los enrutadores vecinos utilizan la contraseña para comprobar la autenticidad de los paquetes enviados por el protocolo desde el enrutador o desde una interfaz del enrutador. Lea este tema para obtener más información.

Junos OS métodos de autenticación para protocolos de enrutamiento

Algunos protocolos de puerta de enlace interior (IIP) (sistema intermedio a sistema intermedio (SI-SI), Primera trayectoria abierta más corta (Open Shortest Path First) (OSPF) y el protocolo de información de enrutamiento (RIP) y el protocolo de reserva de recursos (RSVP) le permiten configurar un método de autenticación y una contraseña. Los enrutadores vecinos utilizan la contraseña para comprobar la autenticidad de los paquetes enviados por el protocolo desde el enrutador o desde una interfaz del enrutador. Se admiten los siguientes métodos de autenticación:

  • Autenticación simple (SI-SI, OSPF y RIP): usa una contraseña de texto simple. El enrutador receptor utiliza una clave de autenticación (contraseña) para comprobar el paquete. Dado que la contraseña se incluye en el paquete transmitido, este método de autenticación es relativamente inseguro. Recomendamos que no use este método de autenticación.

  • MD5 y HMAC-MD5 (SI-SI, OSPF, RIP y RSVP): síntesis del mensaje 5 (MD5) crea una suma de comprobación codificada que se incluye en el paquete transmitido. HMAC-MD5, que combina la autenticación HMAC con MD5, agrega el uso de una función hash criptográfica iterada. Con ambos tipos de autenticación, el enrutador receptor utiliza una clave de autenticación (contraseña) para comprobar el paquete. La autenticación HMAC-MD5 se define en RFC 2104, HMAC: Hash con claves para autenticación de mensajes.

En general, las contraseñas de autenticación son cadenas de texto que constan de un máximo de 16 o 255 letras y dígitos. Los caracteres pueden incluir cualquier cadena ASCII. Si incluye espacios en una contraseña, escriba todos los caracteres entre comillas (" ").

Junos: FIPS tiene requisitos de contraseña especiales. La longitud de las contraseñas de FIPS debe estar comprendida entre 10 y 20 caracteres. Las contraseñas deben utilizar al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, letras minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el enrutador, no podrá configurar contraseñas a menos que cumplan este estándar.

Ejemplo Configurando la clave de autenticación para BGP y protocolos de enrutamiento IS-IS

La tarea principal de un enrutador consiste en utilizar sus tablas de enrutamiento y reenvío para reenviar el tráfico de los usuarios a su destino. Los intrusos pueden enviar paquetes de protocolo de enrutamiento falsificados a un enrutador con la intención de cambiar o dañar el contenido de su tabla de enrutamiento u otras bases de datos que, a su vez, puede degradar la funcionalidad del enrutador y la red. Para evitar este tipo de ataques, los enrutadores deben asegurarse de que forman las relaciones del Protocolo de enrutamiento (emparejamiento o relaciones adyacentes) con los interlocutores de confianza. Una manera de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Se recomienda usar la autenticación al configurar los protocolos de enrutamiento. El Junos OS admite la autenticación HMAC-MD5 para BGP, el sistema intermedio de sistema a intermediario (IS IS), Primera trayectoria abierta más corta (Open Shortest Path First) (OSPF), el protocolo de información de enrutamiento (RIP) y el protocolo de reserva de recursos (RSVP). HMAC-MD5 utiliza una clave secreta que se combina con los datos que se transmiten para calcular un valor hash. El hash calculado se transmite junto con los datos. El receptor utiliza la clave coincidente para volver a calcular y validar el hash del mensaje. Si un atacante ha falsificado o modificado el mensaje, el hash no coincidirá y los datos serán descartados.

En los ejemplos siguientes, configuramos BGP como el protocolo de puerta de enlace exterior (EGP), que es el protocolo de puerta de enlace interior (IGP). Si utiliza OSPF, configúrelo de forma similar a la configuración de IS que se muestra.

Configurar BGP

En el ejemplo siguiente se muestra la configuración de una sola clave de autenticación para los interlocutores internos de par BGP grupo. También puede configurar la autenticación de BGP en los niveles de instancias de enrutamiento o de vecino o para todas las sesiones BGP. Al igual que con cualquier configuración de seguridad, existe un equilibrio entre el grado de granularidad (y, en cierta medida, el grado de seguridad) y la cantidad de administración necesaria para mantener el sistema. En este ejemplo también se configuran varias opciones de seguimiento para los sucesos y errores del Protocolo de enrutamiento, que pueden ser buenos indicadores de los ataques contra los protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante que envía paquetes de enrutamiento suplantados o malformados al enrutador en un intento de obtener un comportamiento determinado.

La configuración es-IS

Aunque todos los IGPs compatibles con el Junos OS admiten la autenticación, algunos son intrínsecamente más seguros que otros. La mayoría de los proveedores de servicios utilizan OSPF o IS-IS para permitir una convergencia y escalabilidad internas rápidas y utilizar las capacidades de ingeniería de tráfico con conmutación de etiquetas multiprotocolo (MPLS). Dado que IS-IS no funciona en la capa de red, es más difícil de suplantar que OSPF, que se encapsula en IP y, por lo tanto, está sujeto a ataques simulados y de denegación de control remotos.

El ejemplo siguiente también muestra cómo configurar varias opciones de seguimiento para errores y sucesos de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante que envía paquetes de enrutamiento suplantados o malformados al enrutador en un intento de obtener un comportamiento determinado.

Configuración del mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento de BGP y LDP

Puede configurar un mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento Protocolo de puerta de enlace de borde (BGP) y Protocolo de distribución de etiquetas (LDP). Este mecanismo le permite actualizar las claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización asociados, como Primera trayectoria abierta más corta (Open Shortest Path First) (OSPF) y el protocolo de configuración de reserva de recursos (RSVP).

Para configurar esta función, incluya la instrucción en el nivel e incluya las instrucciones y para los protocolos de enrutamiento authentication-key-chains[edit security] BGP o authentication-algorithm algorithmauthentication-key-chain LDP en el [edit protocols] nivel.

Los siguientes temas proporcionan más detalles acerca de cómo configurar las actualizaciones de claves de autenticación para BGP y protocolos de enrutamiento LDP:

Configuración de actualizaciones de claves de autenticación

Para configurar el mecanismo de actualización de claves de autenticación key-chain , incluya la [edit security authentication-key-chains] instrucción en el nivel de la key jerarquía y especifique la opción de crear una cadena clave que se componga de varias claves de autenticación.

key-chain: asigna un nombre al mecanismo de la cadena de claves. Este nombre también se configura en los [edit protocols bgp] niveles o [edit protocols ldp] en jerarquías para asociar atributos únicos authentication key-chain según se especifica con las opciones siguientes:

  • key: cada clave de un llavero se identifica mediante un valor entero único. El rango está comprendido entre 0 y 63.

  • secret: cada clave debe especificar un secreto en texto cifrado o en formato de texto sin formato. Aunque escriba los datos secretos en formato de texto sin formato, el secreto siempre aparece en formato cifrado.

  • start-time: los tiempos de inicio de las actualizaciones de claves de autenticación se especifican en LAR (Hora universal coordinada) y deben ser únicas dentro del llavero.

Configuración de BGP y LDP para las actualizaciones de claves de autenticación

Para configurar el mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento de BGP authentication-key-chain y LDP, [edit protocols (bgp | ldp)] incluya la instrucción en el nivel de jerarquía para [edit security authentication-key-chains] asociar cada protocolo de enrutamiento con las claves de autenticación. También debe configurar la authentication-algorithm algorithm instrucción en el nivel de [edit protocols (bgp | ldp)] jerarquía.

Nota:

Al configurar el mecanismo de actualización de claves de autenticación para BGP, no 0.0.0.0/allow puede comprometer la instrucción con claves de autenticación o cadenas de claves. La CLI emite una advertencia y no puede confirmar dichas configuraciones.

Para obtener más información sobre el BGP de red, consulte la biblioteca Junos OS protocolos de enrutamiento para dispositivos de enrutamiento.