Autenticación para protocolos de enrutamiento
Puede configurar un método de autenticación y una contraseña para mensajes de protocolo de enrutamiento para muchos protocolos de enrutamiento, incluidos BGP, IS-IS, OSPF, RIP y RSVP. Para evitar el intercambio de paquetes no autenticados o falsificados, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es autenticando los mensajes de protocolo de enrutamiento. Los enrutadores vecinos usan la contraseña para verificar la autenticidad de los paquetes enviados por el protocolo desde el enrutador o desde una interfaz de enrutador.
En este tema, se proporciona una descripción general de alto nivel y algunos ejemplos básicos para autenticar los protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar la autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.
Métodos de autenticación para protocolos de enrutamiento
Algunos protocolos de enrutamiento (BGP, IS-IS, OSPF, RIP y RSVP) le permiten configurar un método de autenticación y una contraseña. Los enrutadores vecinos usan la contraseña para comprobar la autenticidad de los paquetes que el protocolo envía desde el enrutador o desde una interfaz de enrutador. Se admiten los siguientes métodos de autenticación:
-
Autenticación simple (IS-IS, OSPF y RIP): utiliza una contraseña de texto simple. El enrutador receptor usa una clave de autenticación (contraseña) para verificar el paquete. Dado que la contraseña está incluida en el paquete transmitido, este método de autenticación es relativamente inseguro. Recomendamos que evite usar este método de autenticación.
-
MD5 y HMAC-MD5 (BGP, IS-IS, OSPF, RIP y RSVP): MD5 crea una suma de comprobación codificada que se incluye en el paquete transmitido. El HMAC-MD5, que combina la autenticación de HMAC con MD5, agrega el uso de una función hash criptográfica iterada. Con ambos tipos de autenticación, el enrutador receptor usa una clave de autenticación (contraseña) para verificar el paquete. La autenticación HMAC-MD5 se define en RFC 2104, HMAC: Hash con claves para la autenticación de mensajes.
En general, las contraseñas de autenticación son cadenas de texto que constan de un número máximo de letras y dígitos. Las contraseñas pueden incluir cualquier carácter ASCII. Si incluye espacios en una contraseña, encierre todos los caracteres entre comillas (" ").
Junos-FIPS tiene requisitos especiales de contraseña. Las contraseñas FIPS deben tener entre 10 y 20 caracteres de longitud. Las contraseñas deben usar al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el enrutador, no puede configurar contraseñas a menos que cumplan con este estándar.
Ejemplo: Configure la clave de autenticación para los protocolos de enrutamiento BGP e IS-IS
La tarea principal de un enrutador es usar sus tablas de enrutamiento y reenvío para reenviar tráfico de usuario a su destino previsto. Los atacantes pueden enviar paquetes de protocolo de enrutamiento falsificados a un enrutador con la intención de cambiar o dañar el contenido de su tabla de enrutamiento u otras bases de datos, lo que a su vez puede degradar la funcionalidad del enrutador y la red. Para evitar estos ataques, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es autenticando los mensajes de protocolo de enrutamiento. Recomendamos encarecidamente el uso de la autenticación al configurar protocolos de enrutamiento.
Junos OS admite la autenticación HMAC-MD5 para BGP, IS-IS, OSPF, RIP y RSVP. HMAC-MD5 usa una clave secreta combinada con los datos que se transmiten para calcular un hash. El hash calculado se transmite junto con los datos. El receptor usa la clave correspondiente para recomputar y validar el hash del mensaje. Si un atacante ha falsificado o modificado el mensaje, el hash no coincidirá y los datos se descartan.
En los siguientes ejemplos, configuramos el BGP como el protocolo de puerta de enlace exterior (EGP) y el IS-IS como el protocolo de puerta de enlace interior (IGP). Si usa OSPF, configúrelo de manera similar a la configuración IS-IS que se muestra.
Configurar BGP
En el ejemplo siguiente se muestra la configuración de una única clave de autenticación para los distintos grupos pares del BGP. También puede configurar la autenticación de BGP en los niveles de instancia de enrutamiento o vecino, o para todas las sesiones de BGP. Al igual que con cualquier configuración de seguridad, hay un intercambio entre el grado de granularidad (y, hasta cierto punto, el grado de seguridad) y la cantidad de administración necesaria para mantener el sistema.
En este ejemplo también se configuran varias opciones de seguimiento para los eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que podrían apuntar a un atacante. El atacante puede enviar paquetes de enrutamiento falsificados o malformados al enrutador en un intento de detectar un comportamiento determinado.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
Configurar IS-IS
Aunque Junos OS admite la autenticación para todos los IGP, algunas IGP son intrínsecamente más seguras que otras. La mayoría de los proveedores de servicios utilizan OSPF o IS-IS para permitir una convergencia y escalabilidad internas rápidas, y para usar capacidades de ingeniería de tráfico con MPLS. Dado que IS-IS no funciona en la capa de red, es más difícil de falsificar que OSPF. El OSPF está encapsulado en IP y, por lo tanto, está sujeto a ataques de suplantación de servicio y denegación de servicio (DoS) remotos.
En el siguiente ejemplo, se configura la autenticación para IS-IS. También configura una serie de opciones de rastreo para los eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que podrían apuntar a un atacante. El atacante puede enviar paquetes de enrutamiento falsificados o malformados al enrutador en un intento de detectar un comportamiento determinado.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Configurar el mecanismo de actualización de clave de autenticación para protocolos de enrutamiento
Puede configurar un mecanismo de actualización de clave de autenticación para los protocolos de enrutamiento BGP, LDP y IS-IS. Este mecanismo le permite actualizar las claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización asociados, como OSPF y RSVP.
Para configurar esta función, incluya la authentication-key-chains instrucción en el [edit security] nivel de jerarquía. Para aplicar la cadena de claves, debe configurar el identificador de cadena clave y el algoritmo de cadena de claves en el nivel jerárquico adecuado para el protocolo.
En las siguientes secciones se proporciona más información acerca de cómo configurar las actualizaciones de claves de autenticación para protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar las actualizaciones de claves de autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.
- Configurar actualizaciones de claves de autenticación
- Configurar BGP y LDP para actualizaciones de claves de autenticación
Configurar actualizaciones de claves de autenticación
Para configurar el mecanismo de actualización de clave de autenticación, incluya la key-chain instrucción en el [edit security authentication-key-chains] nivel de jerarquía y especifique la key opción de crear un llavero que consta de varias claves de autenticación.
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain— Asigne un nombre al mecanismo de llavero. Se hace referencia a este nombre en los niveles de jerarquía adecuados para que el protocolo asocie atributos de autenticación key-chain únicos, como se especifica mediante las siguientes opciones:
-
algorithm—Algoritmo de autenticación para IS-IS. -
key—Valor entero que identifica de manera única cada clave dentro de un llavero. El rango es de 0 a 63. -
options—(SOLO IS-IS) Formato de codificación de protocolo para codificar el código de autenticación de mensaje en paquetes de protocolo de enrutamiento. -
secret— Contraseña en formato de texto cifrado o sin formato. Incluso si ingresa los datos secretos en formato de texto sin formato, el secreto siempre aparece en formato cifrado. -
start-time— Hora de inicio para la transmisión de claves de autenticación, especificada en LA. La hora de inicio debe ser única dentro del llavero.
Configurar BGP y LDP para actualizaciones de claves de autenticación
Para configurar el mecanismo de actualización de clave de autenticación para los protocolos de enrutamiento BGP y LDP, incluya la authentication-key-chain instrucción dentro del [edit protocols (bgp | ldp)] nivel de jerarquía. Al incluir la authentication-key-chain instrucción, se asocia cada protocolo de enrutamiento con las claves de [edit security authentication-key-chains] autenticación. También debe configurar la authentication-algorithm instrucción y especificar el algoritmo. Por ejemplo:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Al configurar el mecanismo de actualización de clave de autenticación para BGP, no puede confirmar la 0.0.0.0/allow instrucción con claves de autenticación o llaveros. Si intenta esta acción, la CLI emite una advertencia y se produce un error en la confirmación.