Comment sécuriser les protocoles de routage Junos

Une façon de protéger les protocoles de routage est de permettre l'authentification de sorte que les protocoles acceptent uniquement le trafic des routeurs connus de vous. Cette approche garantit que les routeurs de confiance uniquement contribuent itinéraires à la table de routage et, par conséquent, de participer à la détermination de la façon dont le trafic est routé via votre réseau.

Sommaire

Vous activez l'authentification pour chaque protocole de routage séparément.

Fixez Routing Information Protocol (RIP)

L'authentification plus sécurisé RIP prend en charge est MD5:

[protocoles modifier] fred @ routeur # set rip-type d'authentification MD5 [des protocoles modifier] fred @ routeur # set rip authentication-key clé chaîne

Une somme de contrôle MD5 crée codée, qui est contrôlée par le routeur de réception avant d'accepter les paquets. Vous devez configurer le même mot de passe sur tous les routeurs RIP sur le réseau et le même type d'authentification. (RIP permet également d'utiliser un mot de passe simple, non chiffré pour l'authentification.)

Sécurisé IS-IS

IS-IS prend en charge l'authentification MD5 et un simple mot de passe, qui utilise un texte clair, le mot de passe en clair. Lorsque l'authentification est activée, IS-IS confirme que tous les LSP sont reçus de routeurs de confiance.

Chaque zone IS-IS peut avoir sa propre méthode de cryptage et mot de passe. Les commandes suivantes prévues cryptage dans le IS-est de niveau 2 Superficie:

[protocoles modifier] fred @ routeur # jeu de niveau d'Isis-2 type d'authentification MD5 [des protocoles modifier] fred @ routeur # jeu de niveau 2 authentification-clé Isis clé chaîne

Tous les routeurs dans la même zone doivent avoir la même clé d'authentification.

Fixez OSPF

OSPF prend également en charge l'authentification MD5 et un simple mot de passe. Lorsque l'authentification est activée, OSPF valide ses paquets de protocole Bonjour et LSA.

La commande suivante définit le cryptage OSPF pour une interface dans une zone, ici la zone dorsale. Pour OSPF, vous devez définir le cryptage sur chaque interface séparément:

[protocoles modifier] fred @ routeur # ensemble de la zone OSPF 0.0.0.0 d'interface interface-name l'authentification par clé de MD51 clé chaîne

Routeurs pourront former contiguïtés seulement sur les interfaces avec les autres routeurs qui sont configurés pour utiliser la même clé d'authentification pour ce réseau.

Authentifier BGP pairs

Sessions BGP sont souvent l'objet d'attaques externes sur le réseau parce que les sessions sont visibles sur Internet. Activation de l'authentification des paquets BGP échangés par les pairs EBGP empêche le routeur d'accepter les paquets non autorisées. Pour BGP, vous pouvez également utiliser MD5. Chaque groupe BGP peut avoir son propre mot de passe d'authentification:

[protocoles modifier] fred @ # routeur de groupe ensemble de BGP nom de groupe authentication-key clé chaîne

Vous pouvez également définir des mots de passe d'authentification individuelles entre chaque pair BGP dans une session EBGP:


[protocoles modifier] fred @ # routeur de groupe ensemble de BGP nom de groupe voisin adresse authentification KeyKey cordes

Le voisin dans une session EBGP est souvent dans un autre AS, afin que vous soyez sûr de coordonner les méthodes d'authentification et les clés auprès de l'administrateur de l'AS externe.

Vous pouvez également activer l'authentification entre les routeurs IBGP pairs. Même si les pairs IBGP sont tous au sein de votre domaine administratif et vous savez les faire confiance routeurs, il peut être utile d'activer l'authentification afin de prévenir les tentatives d'usurper malicieusement ces sessions.

Activer l'authentification sur les protocoles de signalisation MPLS

Vous utilisez un protocole de signalisation avec MPLS - LDP ou RSVP - à répartir et distribuer des étiquettes à travers un réseau MPLS. Activation de l'authentification pour ces deux protocoles assure la sécurité des LSP MPLS dans le réseau.

Activation de l'authentification pour LDP protège la connexion TCP utilisé pour la session LDP contre l'usurpation d'identité. Junos OS utilise une signature MD5 pour l'authentification LDP. Vous configurez la même clé (mot de passe) sur les deux côtés de la session LDP:

[protocoles modifier] fred @ routeur N ° SET SESSION LDP adresse authentication-key clé chaîne

RSVP authentification garantit que le trafic de RSVP acceptée par proviennent de sources de confiance du routeur. RSVP utilise l'authentification MD5, et tous les pairs sur un segment de réseau commun doit utiliser la même clé d'authentification (mot de passe) afin de communiquer les uns avec les autres:

[protocoles modifier] fred @ # routeur d'interface série de RSVP interface authentication-key clé chaîne

» » » » Comment sécuriser les protocoles de routage Junos