Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP маршрутизации

Понимание аутентификации маршрутизатора для BGP

Использование маршрутизатора, проверки подлинности маршрутов и целостности маршрута значительно снижает риск атаки компьютера или маршрутизатора, настроенного на использование неверной информации маршрутизации с другим маршрутизатором. В этом типе атак атакующий маршрутизатор может быть обманным путем создания петли маршрутов или значительно увеличить таблицу маршрутов атакуемого маршрутизатора, что в свою очередь может сказаться на производительности, или информация о маршруте может быть перенаправлена на место в сети для анализа злоумышленником. Фиктивные объявления маршрутов можно отправить в сегменте. Эти обновления можно принимать в таблицы маршрутизации соседних маршрутизаторов, если не существует механизма аутентификации для проверки источника маршрутов.

Аутентификация маршрутизатора и маршрута позволяет маршрутизаторам обмениваться информацией, только если они могут подтвердить, что общаются с надежным источником на основе пароля (ключа). В этом методе, вместе с маршрутом, посылаемого на другой маршрутизатор, отправляется ключ схеха. Принимающий маршрутизатор сравнивает отправленный ключ с собственным настроенным ключом. Если они одинаковы, маршрут принимается. С помощью алгоритма hashing ключ не отправляется по проводу простым текстом. Вместо этого, значение hash рассчитывается с помощью настроенного ключа. Обновление маршрутов используется в качестве входного текста вместе с ключом в функцию hashing. Этот hash отправляется вместе с обновлением маршрута на принимающий маршрутизатор. Принимающий маршрутизатор сравнивает полученный хеш с хешом, который он генерирует в обновлении маршрута с помощью предварительно настроенного на нем предварительного ключа. Если хеш-коды одинаковы, маршрут предполагается из надежного источника. Ключ известен только отправлятелям и принимающим маршрутизаторам.

Для дальнейшего усиления безопасности можно настроить серию ключей аутентификации (keychain). Каждый ключ имеет уникальное время начала в пределах ключа. Аутентификация ключей позволяет периодически менять пароль без прерывания одноранговых сеансов. Данный метод проверки подлинности ключей называется "неавтомационным", так как ключи накатываются от одного к следующему без сброса одноранговых сеансов или прерывания протокола маршрутизации.

Отправляя одноранговой узла, для идентификации активного ключа аутентификации используются следующие правила:

  • Время начала меньше или равно текущему времени (другими словами, не в будущем).

  • Время начала больше, чем у всех остальных ключей в цепочке, время начала которого меньше текущего (другими словами, ближайшее к текущему времени).

Принимающий одноранговой узла определяет ключ, с помощью которого происходит аутентификация, на основе идентификатора входящих ключей.

Отправляющая равноправная узла определяет текущий ключ аутентификации на основе настроенного времени начала, а затем генерирует значение hash с помощью текущего ключа. Отправляя одноранговую ранговую ставку вставляет объект параметра аутентификации, расширенный TCP, в сообщение BGP обновлений. Объект содержит ID (присвоенный IANA), длину объекта, текущий ключ и значение hash.

Принимающий одноранговой узла проверяет входящий параметр TCP-enhanced authentication, ищет полученный ключ аутентификации и определяет, является ли ключ допустимым в зависимости от времени начала, системного времени и параметра порога допуска. Если ключ принят, принимающий одноранговой узла вычисляет hash и аутентификацию сообщения об обновлении.

Первоначальное применение ключа к сеансу TCP приводит к сбросу сеанса. Однако при применении ключа добавление или удаление пароля из ключа не вызывает сброс сеанса TCP. Кроме того, сеанс TCP не сбрасывается, когда ключ изменяется с одного алгоритма аутентификации на другой.

Прим.:

В 19.1R1 выпуске Junos OS расширить поддержку аутентификации TCP на BGP равноправных BGP, обнаруженных через разрешенные подсети префикса, настроенные в BGP группы. В версиях до Junos OS 19.1 BGP аутентификацию TCP на уровне и [edit protocols bgp group group-name neighbor address][edit protocols bgp group group-name] иерархии. Начиная с Junos OS 19.1, можно настроить аутентификацию TCP в соответствии с разрешаями на [edit protocols bgp group group-name dynamic-neighbor dyn-name] уровне иерархии.

Примере: Настройка аутентификации маршрутизатора для BGP

Все обмены BGP протоколов могут быть аутентификацией, чтобы гарантировать участие только доверенных устройств маршрутов в обновлениях маршрутов автономной системы (AS). По умолчанию аутентификация отключена.

Требования

Перед началом работы:

  • Настройте интерфейсы маршрутизатора.

  • Настройка протокола внутреннего шлюза (IGP).

Обзор

При настройке аутентификации алгоритм создает кодированную контрольнуюума, которая включается в переданный пакет. Получаюющее устройство маршрутизации использует ключ аутентификации (пароль) для проверки контрольнойума пакета.

В данном примере содержатся следующие утверждения для настройки и применения ключа:

  • key— Ключ в качестве ключа может иметь несколько ключей. Каждый ключ в ключе должен быть определен по уникальному многому значению. Диапазон допустимого значения идентификатора находится в пределах от 0 до 63.

    Ключ может иметь длину до 126 символов. Символы могут включать любые строки ASCII. Если вы включаете пробелы, заготавлите все символы в кавычках ( «).

  • tolerance(Необязательно) Для каждого ключа можно настроить значение порога тактового значения в секундах. Порог тактового изменения применим к приемнику, принимая ключи для BGP обновлений. Настраиваемый диапазон составляет от 0 до 999 999 999 999 секунд. В течение периода порога допустимый текущий или предыдущий пароль.

  • key-chain-Для каждого ключа необходимо указать имя. В данном примере определяется одна ключная ветвь: bgp-auth. На устройстве маршрутки можно использовать несколько ключей. Например, можно использовать ключ для BGP, ключ для OSPF и ключ для LDP.

  • secret-Для каждого ключа в ключе ключа необходимо установить секретный пароль. Этот пароль можно вводить в текстовом или зашифрованном формате в данной secret записи. Он всегда отображается в зашифрованном формате.

  • start-time- Каждый ключ должен указать время начала в формате UTC. Управление передается от одного ключа к следующему. Когда прибывает настроенное время начала (основываясь на часах устройства маршрутки), ключ с этим временем начинает работать. Время начала задано в локальном часовом поясе для устройства маршрутов и должно быть уникальным в ключе-ключе.

  • authentication-key-chain- Позволяет применить ключ на глобальном уровне BGP всех одноранговых узлах, для группы или для соседа. Этот пример применяет ключ к узлам, определенным во внешней BGP (EBGP) под названием ext .

  • authentication-algorithm-Для каждого ключа можно указать алгоритм hashing. Алгоритм может быть AES-128, MD5 или SHA-1.

    Ключ и алгоритм аутентификации связываются с соседней BGP сеансом.

В данном примере настраивается ключ-ключ с именем bgp-auth . Ключ 0 будет отправлен и принят начиная с 2011-6-23.20:19:33 -0700, и перестанет быть отправлен и принят, когда следующий ключ в ключе (ключ 1) станет активным. Ключ 1 станет активным на один год позже, 2012-6-23.20:19:33-0700, и не остановится на отправлении и приеме, если другой ключ не будет сконфигурирован с временем начала, который будет позднее времени начала ключа 1. Порог тактового 30 секунд применяется к приемнику, который принимает ключи. В течение периода порога допустим либо текущий, либо предыдущий ключ. Ключи являются общими секретными паролями. Это означает, что соседи, получающие аутентификацию обновлений маршрутизации, должны иметь ту же самую конфигурацию ключа аутентификации, включая одинаковые ключи (пароли). Таким образом, маршрутизаторы М0 и М1 должны иметь ту же самую конфигурацию с ключом аутентификации, если они настроены в качестве одноранговых. В данном примере показана конфигурация только на одном из устройств маршрутов.

Схема топологии

Рис. 1 показывает топологию, используемую в этом примере.

Рис. 1: Аутентификация BGPАутентификация BGP

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Процедуры

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Чтобы настроить маршрутизатор М1 на прием фильтров маршрутов с устройства CE1 и выполнить фильтрацию исходящие маршруты с помощью полученных фильтров:

  1. Настройте локализованную автономную систему.

  2. Настройте одну или несколько BGP групп.

  3. Настройте аутентификацию с несколькими ключами.

    Время начала каждого ключа должно быть уникальным в пределах ключа.

  4. Примените ключ аутентификации, чтобы BGP и задай алгоритм геширования.

  5. (Необязательно) Примените значение порога тактовой рывки в секундах.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocols команд show routing-options и show security команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Повторите эту процедуру для каждого BGP в сети, используя соответствующие имена интерфейсов и адреса для каждого BGP с поддержкой системы.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка проверки подлинности для соседнего

Цель

Убедитесь, AutheKeyChain что этот параметр отображается в выходных данных show bgp neighbor команды.

Действий

В рабочем режиме введите show bgp neighbor команду.

Проверка отправленных сообщений авторизации

Цель

Подтвердим BGP что у BGP есть расширенный параметр авторизации.

Действий

В рабочем режиме введите monitor traffic interface fe-0/0/1 команду.

Проверка ошибок аутентификации

Цель

Проверьте число пакетов, отброшенных TCP из-за ошибок аутентификации.

Действий

В рабочем режиме введите show system statistics tcp | match auth команду.

Проверка работы ключа

Цель

Проверьте число пакетов, отброшенных TCP из-за ошибок аутентификации.

Действий

В рабочем режиме введите show security keychain detail команду.