Como proteger os protocolos de roteamento junos
Uma maneira de proteger os protocolos de roteamento é para habilitar a autenticação de modo que os protocolos de aceitar o tráfego apenas de routers conhecidos para você. Esta abordagem assegura que os roteadores única confiáveis contribuir rotas à tabela de roteamento e, portanto, participar na determinação de como o tráfego é encaminhado através de sua rede.
Conteúdo
Você habilitar a autenticação para cada protocolo de roteamento separadamente.
Garantir Routing Information Protocol (RIP)
A autenticação mais segura RIP suporta é MD5:
[editar] protocolos fred @ roteador # estabelecidos rip-tipo de autenticação md5 [editar protocolos] fred @ router # set rip autenticação-chave key-string
MD5 cria uma soma de verificação codificada, que é verificada pelo router de recepção, antes que aceita pacotes. Você deve configurar a mesma senha em todos os roteadores RIP na rede e o mesmo tipo de autenticação. (RIP também permite que você use uma senha simples, sem criptografia para autenticação.)
Seguro IS-IS
IS-IS suporta MD5 e autenticação de senha simples, que usa um texto claro, senha não criptografada. Quando a autenticação estiver ativada, IS-IS valida que todos os LSPs são recebidas de roteadores confiáveis.
Cada área de IS-IS pode ter seu próprio método de criptografia e senha. Os seguintes comandos definidos criptografia na IS-IS Nível 2 Área:
[editar] protocolos fred @ router # set Isis nível 2-tipo de autenticação md5 [editar protocolos] fred @ router # set Isis nível 2 de autenticação-chave key-string
Todos os roteadores dentro da mesma área devem ter a mesma chave de autenticação.
garantir OSPF
OSPF também suporta MD5 e autenticação de senha simples. Quando a autenticação é activado, OSPF valida os seus pacotes de protocolo Olá e LSA.
Video: Configurando protocolo de Roteamento OSPF - Netts Treinamentos
O comando a seguir define a criptografia OSPF para uma interface em uma área, aqui a área de backbone. Para OSPF, você deve definir a criptografia em cada interface separadamente:
[editar] protocolos router fred @ # set área OSPF 0.0.0.0 Interface interface de nome chave md51 autenticação key-string
Routers será capaz de formar adjacências somente sobre as interfaces com outros routers que estão configurados para usar a mesma chave de autenticação para essa rede.
Autenticar pares BGP
BGP sessões são muitas vezes alvo de ataques externos na rede porque as sessões são visíveis na Internet. Permitindo a autenticação dos pacotes BGP trocados por pares EBGP impede o roteador de aceitar pacotes não autorizados. Para BGP, você também usam MD5. Cada grupo BGP pode ter sua própria senha de autenticação:
[editar] protocolos fred @ router # grupo conjunto BGP nome do grupo autenticação de chave key-string
Você também pode definir senhas de autenticação individuais entre cada peer BGP em uma sessão EBGP:
[editar] protocolos fred @ router # grupo conjunto BGP nome do grupo vizinho endereço autenticação de keykey-string
O vizinho em uma sessão EBGP é muitas vezes em outro AS, para que você não se esqueça de coordenar os métodos de autenticação e chaves com o administrador do AS externo.
Você também pode habilitar a autenticação entre roteadores pares IBGP. Mesmo que os pares IBGP estão todos dentro do seu domínio administrativo e você sabe que eles sejam confiáveis routers, pode valer a pena permitir a autenticação, a fim de evitar tentativas de falsificar maliciosamente essas sessões.
Ativar a autenticação em protocolos de sinalização MPLS
Você usa um protocolo de sinalização com MPLS - LDP ou RSVP - para alocar e distribuir etiquetas em toda uma rede MPLS. autenticação favorável para estes dois protocolos garante a segurança dos PEL MPLS na rede.
Ativação da autenticação para LDP protege a conexão TCP usado para a sessão LDP contra spoofing. Junos OS usa uma assinatura MD5 para autenticação LDP. Você pode configurar a mesma chave (password) em ambos os lados da sessão LDP:
[editar] protocolos fred @ router set # sessão LDP endereço autenticação de chave key-string
autenticação de RSVP garante que o tráfego de RSVP aceite pelo router vem de fontes confiáveis. De RSVP usa a autenticação MD5, e todos os pares em um segmento de rede comum deve usar a mesma chave de autenticação (senha) para se comunicar uns com os outros:
[editar] protocolos fred @ router # interface do conjunto de RSVP interface autenticação de chave key-string