Como proteger Junos Routing Protocolos
Uma maneira de proteger os protocolos de roteamento é para habilitar a autenticação de modo que os protocolos de aceitar o tráfego apenas de routers conhecidos para você. Esta abordagem assegura que os roteadores única confiáveis contribuir rotas à tabela de roteamento e, portanto, participar na determinação de como o tráfego é encaminhado através de sua rede.
Menu
Você habilitar a autenticação para cada protocolo de roteamento separadamente.
Garantir o Routing Information Protocol (RIP)
A autenticação mais segura RIP suporta é MD5:
[editar] protocolos fred @ roteador # estabelecidos rip-tipo de autenticação md5 [editar protocolos] fred @ router # set rip autenticação-chave -chave cadeia
MD5 cria um checksum codificado, que é verificado pelo roteador de recebimento antes que aceita pacotes. Você deve configurar a mesma senha em todos os roteadores RIP na rede e o mesmo tipo de autenticação. (RIP também permite que você use uma senha simples, sem criptografia para autenticação.)
Seguro IS-IS
IS-IS suporta MD5 e autenticação de senha simples, que utiliza um texto claro e senha não criptografada. Quando a autenticação estiver ativada, IS-IS valida que todos os LSPs são recebidas de roteadores confiáveis.
Cada área de IS-IS pode ter seu próprio método de criptografia e senha. Os comandos a seguir definidos criptografia na IS-IS Nível 2 Área:
[editar] protocolos fred @ router # set Isis nível 2-tipo de autenticação md5 [editar protocolos] fred @ router # set Isis nível 2 de autenticação-chave -chave cadeia
Todos os roteadores dentro da mesma área devem ter a mesma chave de autenticação.
garantir OSPF
OSPF também suporta MD5 e autenticação de senha simples. Quando a autenticação estiver ativada, OSPF valida seus pacotes de protocolo Olá e LSA.
O comando a seguir define a criptografia OSPF para uma interface em uma área, aqui a área de backbone. Para OSPF, você deve definir a criptografia em cada interface separadamente:
[editar] protocolos router fred @ # set área OSPF 0.0.0.0 Interface interface de nome chave de autenticação md51 -chave cadeia
Routers será capaz de formar adjacências somente sobre interfaces com outros roteadores que estão configurados para usar a mesma chave de autenticação para essa rede.
Autenticar BGP pares
BGP sessões são muitas vezes objecto de ataques externos na rede, porque as sessões são visíveis na Internet. Permitindo a autenticação dos pacotes BGP trocadas pelos pares EBGP impede que o roteador de aceitar pacotes não autorizados. Para BGP, você também usam MD5. Cada grupo BGP pode ter sua própria senha de autenticação:
[editar] protocolos fred @ router # grupo conjunto BGP nome do grupo autenticação de chave -chave cadeia
Você também pode definir senhas de autenticação individuais entre cada peer BGP em uma sessão EBGP:
[editar] protocolos fred @ router # grupo conjunto BGP nome do grupo vizinho endereço autenticação de keykey-string
O vizinho em uma sessão EBGP é muitas vezes em outro AS, para que você não se esqueça de coordenar os métodos de autenticação e chaves com o administrador do AS externo.
Você também pode habilitar a autenticação entre roteadores pares IBGP. Mesmo que os pares IBGP estão todos dentro de seu domínio administrativo e você sabe que eles sejam confiáveis routers, pode valer a pena permitir a autenticação, a fim de impedir as tentativas de falsificar maliciosamente essas sessões.
Activar a autenticação em protocolos de sinalização MPLS
Você usa um protocolo de sinalização com MPLS - LDP ou RSVP - para alocar e distribuir etiquetas em toda uma rede MPLS. Activar autenticação para estes dois protocolos garante a segurança dos LSPs MPLS na rede.
Ativação da autenticação para LDP protege a conexão TCP utilizado para a sessão LDP contra a falsificação. Junos OS usa uma assinatura MD5 para autenticação LDP. É configurar a mesma chave (password) em ambos os lados da sessão LDP:
[editar] protocolos fred @ router set # sessão LDP endereço autenticação de chave -chave cadeia
autenticação de RSVP garante que o tráfego de RSVP aceite pelo router vem de fontes confiáveis. De RSVP usa a autenticação MD5, e todos os pares em um segmento de rede comum deve usar a mesma chave de autenticação (password) para se comunicar uns com os outros:
[editar] protocolos fred @ router # set interface rsvp interface autenticação de chave -chave cadeia