Table des matières:
- Protocole RIP (Secure Routing Information Protocol)
- IS-IS prend en charge MD5 et une authentification par mot de passe simple, qui utilise un mot de passe non chiffré en clair. Lorsque l'authentification est activée, IS-IS vérifie que tous les LSP sont reçus des routeurs approuvés.
- La commande suivante définit le cryptage OSPF pour une interface dans une zone, ici la zone de backbone. Pour OSPF, vous devez définir le cryptage séparément sur chaque interface:
- le nom du groupe
- l'adresse
Vidéo: Firewall : comprendre l'essentiel en 7 minutes 2024
Une façon de protéger les protocoles de routage est d'activer l'authentification afin que les protocoles acceptent le trafic uniquement des routeurs que vous connaissez. Cette approche garantit que seuls les routeurs approuvés contribuent à la table de routage et, par conséquent, participent à la détermination de la manière dont le trafic est acheminé via votre réseau.
Vous activez l'authentification pour chaque protocole de routage séparément.
Protocole RIP (Secure Routing Information Protocol)
L'authentification RIP la plus sécurisée prend en charge MD5:
[éditer les protocoles] fred @ routeur # set rip type d'authentification md5 [éditer les protocoles] fred @ routeur # set rip clé d'authentification > key-string MD5 crée une somme de contrôle codée, qui est vérifiée par le routeur récepteur avant qu'il accepte les paquets. Vous devez configurer le même mot de passe sur tous les routeurs RIP du réseau et le même type d'authentification. (RIP vous permet également d'utiliser un mot de passe simple et non crypté pour l'authentification.)
IS-IS prend en charge MD5 et une authentification par mot de passe simple, qui utilise un mot de passe non chiffré en clair. Lorsque l'authentification est activée, IS-IS vérifie que tous les LSP sont reçus des routeurs approuvés.
Chaque zone IS-IS peut avoir sa propre méthode de cryptage et son propre mot de passe. Les commandes suivantes définissent le chiffrement dans la zone IS-IS niveau 2:
[éditer les protocoles] fred @ routeur # définir isis niveau 2 type authentification md5 [éditer les protocoles] fred @ routeur # définir isis niveau 2 clé authentification > key-string
Tous les routeurs dans la même zone doivent avoir la même clé d'authentification.
OSPF sécurisé
OSPF prend également en charge MD5 et une authentification par mot de passe simple. Lorsque l'authentification est activée, OSPF valide ses paquets de protocole Hello et LSA.La commande suivante définit le cryptage OSPF pour une interface dans une zone, ici la zone de backbone. Pour OSPF, vous devez définir le cryptage séparément sur chaque interface:
[éditer les protocoles] fred @ routeur # définir la zone 0. 0. 0. 0 de l'interface
l'authentification de l'interface
la clé md5 1 > key-string Les routeurs ne pourront former des adjacences que sur des interfaces avec d'autres routeurs configurés pour utiliser la même clé d'authentification pour ce réseau. Authentification des homologues BGP Les sessions BGP font souvent l'objet d'attaques externes sur le réseau car les sessions sont visibles sur Internet. L'activation de l'authentification des paquets BGP échangés par des homologues EBGP empêche le routeur d'accepter des paquets non autorisés. Pour BGP, vous utilisez également MD5. Chaque groupe BGP peut avoir son propre mot de passe d'authentification:
[éditer les protocoles] fred @ routeur # définir le groupe bgp
le nom du groupe
la clé d'authentification
la clé mots de passe d'authentification entre chaque homologue BGP dans une session EBGP: [éditer les protocoles] fred @ routeur # définir le groupe bgp nom-groupe
voisin
adresse authentification-clé clé-chaîne > Le voisin d'une session EBGP se trouve souvent dans un autre AS, alors assurez-vous de coordonner les méthodes d'authentification et les clés avec l'administrateur de l'AS externe. Vous pouvez également activer l'authentification entre les routeurs homologues IBGP. Même si les homologues IBGP font tous partie de votre domaine administratif et que vous savez qu'ils sont des routeurs de confiance, il peut être utile d'activer l'authentification afin d'empêcher les tentatives d'usurpation malveillante de ces sessions. Activer l'authentification sur les protocoles de signalisation MPLS Vous utilisez un protocole de signalisation avec MPLS (LDP ou RSVP) pour allouer et distribuer des étiquettes sur un réseau MPLS. L'activation de l'authentification pour ces deux protocoles garantit la sécurité des LSP MPLS sur le réseau.
L'activation de l'authentification pour LDP protège la connexion TCP utilisée pour la session LDP contre l'usurpation d'identité. Junos OS utilise une signature MD5 pour l'authentification LDP. Vous configurez la même clé (mot de passe) des deux côtés de la session LDP:
[éditer les protocoles] fred @ routeur # définir la session ldp
l'adresse
la clé d'authentification
la clé
RSVP l'authentification garantit que le trafic RSVP accepté par le routeur provient de sources fiables. RSVP utilise l'authentification MD5 et tous les homologues sur un segment de réseau commun doivent utiliser la même clé d'authentification (mot de passe) pour communiquer: [éditer les protocoles] fred @ router # définir l'interface rsvp l'interface > clé d'authentification clé-clé
