Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Аутентификация для протоколов маршрутизации

Можно настроить метод аутентификации и пароль для сообщений протокола маршрутизации для IGP, IS-IS, OSPF, RIP и RSVP. Чтобы предотвратить обмен неавтоматифицированными или поддельными пакетами, маршрутизаторы должны гарантировать, что они формируют протоколы маршрутной связи (равноправные или соседние отношения) с доверенными равноправными узлами. Один из способов это сделать – аутентификация сообщений протокола маршрутов. Соседние маршрутизаторы используют пароль для проверки подлинности пакетов, отправленных протоколом от маршрутизатора или с интерфейса маршрутизатора. Дополнительные сведения об этом разделе.

Junos OS аутентификации протоколов маршрутизации

Некоторые протоколы внутренних шлюзов (IGP)—протокол маршрутизации промежуточных систем (IS-IS), Open Shortest Path First (OSPF) и Протокол маршрутной информации (RIP) — протокол резервирования ресурсов (RSVP) позволяет настроить метод аутентификации и пароль. Соседние маршрутизаторы используют пароль для проверки подлинности пакетов, отправленных протоколом от маршрутизатора или с интерфейса маршрутизатора. Поддерживаются следующие методы аутентификации:

  • Простая аутентификация (IS-IS, OSPF и RIP) — использует простой текстовый пароль. Для проверки пакета принимающий маршрутизатор использует ключ аутентификации (пароль). Поскольку пароль включен в переданный пакет, этот способ аутентификации является относительно незащищенным. Не рекомендуется использовать этот метод аутентификации.

  • MD5 и HMAC-MD5 (IS-IS, OSPF, RIP и RSVP) — Дайджест сообщений 5 (MD5) создает закодированную контрольную, которая включается в переданный пакет. HMAC-MD5, в котором сочетается аутентификация HMAC и MD5, добавляет использование функции итерированной криптографической хэш-функции. В обоих типах аутентификации принимающий маршрутизатор использует ключ (пароль) аутентификации для проверки пакета. Аутентификация HMAC-MD5 определена в RFC 2104, HMAC: Аутентификация с ключом -hashing для аутентификации сообщений.

В общем, пароли аутентификации – это текстовые строки, которые состоят не более чем из 16 или 255 букв и цифр. Символы могут включать любые строки ASCII. При вложении пробелов в пароль в кавычках уместны все символы ( ").

Junos-FIPS имеет особые требования к паролям. Длина паролей FIPS может быть от 10 до 20 символов. Пароли должны использовать как минимум три из пяти определенных наборов символов (за верхнем регистре, буквы в нижнем регистре, цифры, знаки препинания и другие специальные символы). Если Junos на маршрутизаторе установлен Junos-FIPS, нельзя настроить пароли, если они не соответствуют данному стандарту.

Примере: Настройка ключа аутентификации для BGP IS-IS маршрутизации

Главной задачей маршрутизатора является использование таблиц маршрутов и переадправления для перенаправления пользовательского трафика по назначению. Злоумышленники могут посылать на маршрутизатор поддельные пакеты протокола маршрутов с целью изменения или искажения содержимого таблицы маршрутов или других баз данных, что, в свою очередь, может ухудшить функционирование маршрутизатора и сети. Чтобы предотвратить подобные атаки, маршрутизаторы должны гарантировать, что они формируют отношения протокола маршрутов (равноправные или соседние отношения) с доверенными однорангами. Один из способов это сделать – аутентификация сообщений протокола маршрутов. При настройке протоколов маршрутизации настоятельно рекомендуется использовать аутентификацию. Система Junos OS аутентификацию HMAC-MD5 для BGP, протокол маршрутизации промежуточных систем (IS-IS), Open Shortest Path First (OSPF), протокола маршрутной информации (RIP) и протокола резервирования ресурсов (RSVP). HMAC-MD5 использует секретный ключ, который сочетается с передаваемыми данными для вычисления хэш-передачи. Расчетный hash передается вместе с данными. Приемник использует совпадающий ключ для перекомпенсации и проверки сообщения с помощью hash. Если злоумышленник подделал или изменил сообщение, то он не будет совпадать, и данные будут отброшены.

В следующих примерах BGP протокол внешнего шлюза (EGP) и IS-IS как протокол внутреннего шлюза (IGP). Если используется OSPF, настройте его аналогично IS-IS конфигурации.

Настройка BGP

В следующем примере показана конфигурация одного ключа аутентификации для узел BGP внутренних одноранговых узел BGP. Можно также настроить аутентификацию BGP на соседних, на уровне экземпляров маршрутизации или для всех BGP сеансов. Как и в любой конфигурации системы безопасности, существует компромисс между степенью детализации (и в некоторой степени степенью безопасности) и объемом управления, необходимым для поддержания системы. В этом примере также настраивается несколько параметров трассиирования событий и ошибок протокола маршрутов, которые могут быть хорошим индикатором атак на протоколы маршрутов. К таким событиям относятся ошибки аутентификации протокола, которые могут указать на то, что злоумышленник отправляет на маршрутизатор поддельные или неправильно составленные пакеты маршрутизации, пытаясь выявить определенное поведение.

Настройка IS-IS

Хотя все IGP, поддерживаемые Junos OS, поддерживают аутентификацию, некоторые из них по существу более безопасны, чем другие. Большинство поставщиков услуг используют OSPF или IS-IS для обеспечения быстрой внутренней сходимости и масштабируемости, а также для управление трафиком возможностей с многопротокольная коммутация по меткам (MPLS). Поскольку IS-IS не работает на сетевом уровне, сложнее подмену OSPF, которая инкапсулируется в IP и, таким образом, подвергается удаленному спуфингу и DoS атакам.

В следующем примере также показано, как настроить ряд параметров трассиирования событий и ошибок протокола маршрутов, что может стать хорошим индикатором атак на протоколы маршрутов. К таким событиям относятся ошибки аутентификации протокола, которые могут указать на то, что злоумышленник отправляет на маршрутизатор поддельные или неправильно составленные пакеты маршрутизации, пытаясь выявить определенное поведение.

Настройка механизма обновления ключа аутентификации для BGP протоколов маршрутизации LDP

Можно настроить механизм обновления ключа аутентификации для Border Gateway Protocol(BGP)и протоколов маршрутизации label Distribution Protocol(LDP). Этот механизм позволяет обновлять ключи аутентификации без прерывания связанных протоколов маршрутизации и сигнализации, таких как Open Shortest Path First(OSPF)и протокол настройки резервирования ресурсов(RSVP).

Чтобы настроить эту функцию, включите утверждение на уровне и включите в нее утверждения для протоколов маршрутов BGP authentication-key-chains[edit security] или authentication-algorithm algorithmauthentication-key-chain LDP на [edit protocols] уровне.

Следующие темы предоставляют дополнительные сведения о настройке обновлений ключей аутентификации для BGP и протоколов маршрутизации LDP:

Настройка обновлений ключей аутентификации

Чтобы настроить механизм обновления ключа аутентификации, включите утверждение на уровне иерархии и укажите возможность создания ключа, состоящего из key-chain[edit security authentication-key-chains] нескольких key ключей аутентификации.

key-chain— назначает имя механизму ключей. Это имя также настраивается на уровне иерархии или на уровне иерархии для связываия уникальных атрибутов в соответствии со [edit protocols bgp][edit protocols ldp]authentication key-chain следующими настройками:

  • key- Каждый ключ в ключе ключа определен уникальным целому значению. Диапазон — от 0 до 63.

  • secret- Каждый ключ должен указывать секретный ключ в зашифрованном или нешифрованном формате. Даже если ввести секретные данные в нешифрованном формате, они всегда будут выводиться в зашифрованном формате.

  • start-time- Время начала обновления ключей аутентификации задано в UTC (Согласованное универсальное время), и должно быть уникальным в ключе.

Настройка BGP и LDP для обновлений ключей аутентификации

Чтобы настроить механизм обновления ключа аутентификации для протоколов маршрутизации BGP и LDP, включив в него утверждение уровня иерархии, чтобы связать каждый протокол маршрутизации с ключами authentication-key-chain[edit protocols (bgp | ldp)][edit security authentication-key-chains] аутентификации. Следует также настроить утверждение authentication-algorithm algorithm на уровне [edit protocols (bgp | ldp)] иерархии.

Прим.:

При настройке механизма обновления ключа аутентификации для BGP, невозможно подтвердить утверждение ключами аутентификации 0.0.0.0/allow или цепочками ключей. Система интерфейс командной строки выдает предупреждение и не может зафиксировать подобные конфигурации.

Для получения сведений BGP см. библиотеку протоколов Junos OS маршрутов для устройств маршрутов.