Inhoudsopgave:
- Secure Routering Information Protocol (RIP)
- IS-IS ondersteunt MD5 en een eenvoudige wachtwoordverificatie, waarbij gebruik wordt gemaakt van een niet-versleuteld wachtwoord in duidelijke tekst. Wanneer verificatie is ingeschakeld, valideert IS-IS dat alle LSP's worden ontvangen van vertrouwde routers.
- Met de volgende opdracht wordt de OSPF-codering ingesteld voor een interface in een gebied, hier het backbone-gebied. Voor OSPF moet u de codering op elke interface afzonderlijk instellen:
- group-name
- adres
Video: Linux Tutorial for Beginners: Introduction to Linux Operating System 2024
Een manier om de routeringsprotocollen te beschermen, is door authenticatie in te schakelen, zodat de protocollen alleen verkeer van routers die aan u bekend zijn, accepteert. Deze aanpak zorgt ervoor dat alleen vertrouwde routers routes aan de routeringstabel bijdragen en dus deelnemen aan het bepalen van de manier waarop verkeer via uw netwerk wordt gerouteerd.
U schakelt verificatie voor elk routeringsprotocol afzonderlijk in.
Secure Routering Information Protocol (RIP)
De meest veilige authenticatie RIP ondersteunt is MD5:
[edit protocollen] fred @ router # set rip authenticatie-type md5 [edit protocollen] fred @ router # set rip authenticatie-sleutel > sleutelreeks MD5 maakt een gecodeerde controlesom, die wordt geverifieerd door de ontvangende router voordat deze pakketten accepteert. U moet hetzelfde wachtwoord configureren op alle RIP-routers in het netwerk en op hetzelfde verificatietype. (Met RIP kunt u ook een eenvoudig, niet-versleuteld wachtwoord gebruiken voor verificatie.)
IS-IS ondersteunt MD5 en een eenvoudige wachtwoordverificatie, waarbij gebruik wordt gemaakt van een niet-versleuteld wachtwoord in duidelijke tekst. Wanneer verificatie is ingeschakeld, valideert IS-IS dat alle LSP's worden ontvangen van vertrouwde routers.
Elk IS-IS-gebied kan zijn eigen versleutelingsmethode en wachtwoord hebben. De volgende opdrachten stellen codering in het IS-IS niveau 2-gebied in:
[bewerkingsprotocollen] fred @ router # set isis level 2 authenticatie-type md5 [bewerkingsprotocollen] fred @ router # set isis level 2 authenticatie-sleutel > sleutelreeks
Alle routers binnen hetzelfde gebied moeten dezelfde authenticatiesleutel hebben.
Veilige OSPF
OSPF ondersteunt ook MD5 en een eenvoudige wachtwoordverificatie. Wanneer verificatie is ingeschakeld, valideert OSPF de Hello- en LSA-protocolpakketten.Met de volgende opdracht wordt de OSPF-codering ingesteld voor een interface in een gebied, hier het backbone-gebied. Voor OSPF moet u de codering op elke interface afzonderlijk instellen:
[bewerkingsprotocollen] fred @ router # set ospf-gebied 0. 0. 0. 0 interface
interfacenaam
authenticatie md5 1 sleutel > key-string Routers kunnen alleen adjacencies vormen via interfaces met andere routers die zijn geconfigureerd om dezelfde authenticatiesleutel voor dat netwerk te gebruiken. BGP-peers verifiëren BGP-sessies zijn vaak het onderwerp van externe aanvallen op het netwerk omdat de sessies zichtbaar zijn op internet. Het inschakelen van de authenticatie van de BGP-pakketten die worden uitgewisseld door EBGP-peers, voorkomt dat de router ongeautoriseerde pakketten accepteert. Voor BGP gebruikt u ook MD5. Elke BGP-groep kan een eigen authenticatiewachtwoord hebben:
[bewerkingsprotocollen] fred @ router # set bgp group
group-name
authentication-key
key-string U kunt ook individuele instellen authenticatiewachtwoorden tussen elke BGP-peer in een EBGP-sessie: [bewerkingsprotocollen] fred @ router # set bgp group groepsnaam
neighbor
address authenticatie-key key-string > De buur in een EBGP-sessie bevindt zich vaak in een andere AS, dus u zorgt ervoor dat u authenticatiemethoden en sleutels coördineert met de beheerder van de externe AS. U kunt ook authenticatie tussen IBGP-peerrouters inschakelen. Zelfs als de IBGP-peers zich allemaal in uw administratieve domein bevinden en u weet dat ze betrouwbare routers zijn, is het misschien de moeite waard om verificatie in te schakelen om pogingen te voorkomen om deze sessies kwaadwillig te vervalsen. Verificatie inschakelen voor MPLS-signaleringsprotocollen U gebruikt een meldingsprotocol met MPLS - ofwel LDP of RSVP - om labels toe te wijzen en te distribueren in een MPLS-netwerk. Het inschakelen van verificatie voor deze twee protocollen zorgt voor de beveiliging van de MPLS LSP's in het netwerk.
Door authenticatie in te schakelen voor LDP wordt de TCP-verbinding die voor de LDP-sessie wordt gebruikt beschermd tegen spoofing. Junos OS gebruikt een MD5-handtekening voor LDP-authenticatie. U configureert dezelfde sleutel (wachtwoord) aan beide zijden van de LDP-sessie:
[bewerkingsprotocollen] fred @ router # set ldp sessie
adres
authenticatie-sleutel
sleutelreeks
RSVP verificatie zorgt ervoor dat RSVP-verkeer dat door de router wordt geaccepteerd afkomstig is van vertrouwde bronnen. RSVP gebruikt MD5-authenticatie en alle peers op een gemeenschappelijk netwerksegment moeten dezelfde authenticatiesleutel (wachtwoord) gebruiken om met elkaar te communiceren: [bewerkingsprotocollen] fred @ router # set rsvp interface interface > authenticatie-key key-string