Wie Junos Routing-Protokolle zu sichern

Eine Möglichkeit, die Routing-Protokolle zu schützen, ist die Authentifizierung zu ermöglichen, so dass die Protokolle Verkehr akzeptieren nur von Routern Ihnen bekannt. Dieser Ansatz stellt sicher, dass nur vertrauenswürdige Router Routen zur Routing-Tabelle beitragen und somit mit bei der Bestimmung, wie Datenverkehr über das Netzwerk weitergeleitet wird.

Sie aktivieren die Authentifizierung für jedes Routing-Protokoll getrennt.

Sicheres Routing Information Protocol (RIP)

Die sicherste Authentifizierung RIP unterstützt, ist MD5:

[Bearbeiten Protokolle] fred @ Router # set rip Authentifizierung-Typ md5 [bearbeiten Protokolle] fred @ Router # set rip Authentifizierungsschlüssel Schlüssel-string

MD5 erzeugt einen codierten Prüfsumme, die von dem empfangenden Router überprüft wird, bevor er Pakete akzeptiert. Sie müssen das gleiche Passwort für alle RIP-Router im Netzwerk und dem gleichen Authentifizierungstyp konfigurieren. (RIP können Sie auch eine einfache, unverschlüsselte Passwort für die Authentifizierung verwenden.)

Sichere IS-IS

IS-IS unterstützt MD5 und ein einfaches Passwort-Authentifizierung, die einen Klartext, unverschlüsselte Passwort verwendet. Wenn die Authentifizierung aktiviert ist, IS-IS bestätigt, dass alle LSPs von vertrauenswürdigen Router empfangen werden.

Jeder IS-IS-Bereich kann eine eigene Verschlüsselungsverfahren und ein Passwort. Die folgenden Befehle setzen Verschlüsselung in der IS-IS-Level-2-Bereich:

[Bearbeiten Protokolle] fred @ Router # set isis Ebene 2 authentication-type md5 [bearbeiten Protokolle] fred @ Router # set isis Level 2-Authentifizierung-Taste Schlüssel-string

Alle Router im gleichen Bereich müssen den gleichen Authentifizierungsschlüssel haben.

Sichere OSPF

OSPF unterstützt auch MD5 und ein einfaches Passwort-Authentifizierung. Wenn die Authentifizierung aktiviert ist, überprüft OSPF seine Hallo und LSA-Protokoll-Pakete.

Der folgende Befehl legt die OSPF-Verschlüsselung für eine Schnittstelle in einem Bereich, hier den Backbone-Bereich. Für OSPF, müssen Sie die Verschlüsselung für jede Schnittstelle separat eingestellt:

[Bearbeiten Protokolle] fred @ Router # set OSPF-Bereich 0.0.0.0 Schnittstelle interface-name Authentifizierung MD51 Schlüssel Schlüssel-string

Router wird adjacencies nur zu bilden, über Schnittstellen mit anderen Routern der Lage sein, die den gleichen Authentifizierungsschlüssel für dieses Netzwerk konfiguriert sind.

Authentifizieren BGP-Peers

BGP-Sitzungen sind oft Gegenstand von externen Angriffen auf das Netzwerk, weil die Sitzungen im Internet sichtbar sind. Aktivieren der Authentifizierung der BGP-Pakete ausgetauscht durch EBGP Peers verhindert, dass der Router von der Annahme nicht autorisierte Pakete. Für BGP, verwenden Sie auch MD5. Jeder BGP-Gruppe kann eine eigene Authentifizierungskennwort:

[Bearbeiten Protokolle] fred @ Router # set BGP-Gruppe Gruppenname Authentifizierungsschlüssel Schlüssel-string

Sie können auch individuelle Authentifizierung Passwörter zwischen den einzelnen BGP Peer in einer EBGP Sitzung festgelegt:

[Bearbeiten Protokolle] fred @ Router # set BGP-Gruppe Gruppenname Nachbar Adresse authentication-KeyKey-string

Der Nachbar in einer EBGP Sitzung ist oft in einem anderen AS, so dass Sie sicher sein, Authentifizierungsmethoden und Schlüssel mit dem Administrator des externen AS zu koordinieren.

Sie können auch die Authentifizierung zwischen IBGP Peer-Router aktivieren. Auch wenn die IBGP Peers alle innerhalb Ihrer Verwaltungsdomäne sind und Sie kennen sie Router zu trauen, kann es sich lohnen, die Authentifizierung ermöglicht, um zu verhindern versucht zu böswillig diese Sitzungen fälschen.

Aktivieren Sie die Authentifizierung auf MPLS-Signalisierungsprotokolle

Sie verwenden ein Signalisierungsprotokoll mit MPLS - entweder LDP oder RSVP - Etiketten überall in einem MPLS-Netzwerk zuweisen und zu verteilen. Aktivieren der Authentifizierung für diese beiden Protokolle gewährleistet die Sicherheit der MPLS LSPs in dem Netzwerk.

Aktivieren der Authentifizierung für LDP schützt die TCP-Verbindung für die LDP Sitzung gegen Spoofing eingesetzt. Junos OS verwendet eine MD5-Signatur für LDP-Authentifizierung. Sie konfigurieren den gleichen Schlüssel (Passwort) auf beiden Seiten der LDP-Sitzung:

[Bearbeiten Protokolle] fred @ Router # gesetzt LDP Sitzung Adresse Authentifizierungsschlüssel Schlüssel-string

RSVP-Authentifizierung stellt sicher, dass RSVP-Datenverkehr vom Router akzeptiert kommt aus vertrauenswürdigen Quellen. RSVP verwendet MD5-Authentifizierung und alle Peers auf einem gemeinsamen Netzwerksegment muss die gleiche Authentifizierungsschlüssel (Passwort), um miteinander zu kommunizieren:

[Bearbeiten Protokolle] fred @ Router # set uAwg Schnittstelle Schnittstelle Authentifizierungsschlüssel Schlüssel-string

Menü