- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Autenticação para protocolos de roteamento
Você pode configurar um método de autenticação e uma senha para mensagens de protocolo de roteamento para muitos protocolos de roteamento, incluindo BGP, IS-IS, OSPF, RIP e RSVP. Para evitar a troca de pacotes não autenticados ou forjados, os roteadores devem garantir que formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) com colegas de confiança. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes enviados pelo protocolo do roteador ou de uma interface de roteador.
Este tópico oferece uma visão geral de alto nível e alguns exemplos básicos para autenticar protocolos de roteamento. Para obter informações detalhadas sobre a configuração da autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.
Métodos de autenticação para protocolos de roteamento
Alguns protocolos de roteamento — BGP, IS-IS, OSPF, RIP e RSVP — permitem que você configure um método de autenticação e uma senha. Os roteadores vizinhos usam a senha para verificar a autenticidade dos pacotes que o protocolo envia do roteador ou de uma interface de roteador. Os seguintes métodos de autenticação são suportados:
Autenticação simples (IS-IS, OSPF e RIP) — usa uma senha de texto simples. O roteador receptor usa uma chave de autenticação (senha) para verificar o pacote. Como a senha está incluída no pacote transmitido, este método de autenticação é relativamente inseguro. Recomendamos que você evite usar este método de autenticação.
MD5 e HMAC-MD5 (BGP, IS-IS, OSPF, RIP e RSVP) — o MD5 cria um checksum codificado que está incluído no pacote transmitido. O HMAC-MD5, que combina a autenticação de HMAC com MD5, adiciona o uso de uma função hash criptográfica iterada. Com ambos os tipos de autenticação, o roteador receptor usa uma chave de autenticação (senha) para verificar o pacote. A autenticação HMAC-MD5 é definida em RFC 2104, HMAC: Keyed-Hashing para autenticação de mensagens.
Em geral, as senhas de autenticação são strings de texto que consistem em algum número máximo de letras e dígitos. As senhas podem incluir quaisquer caracteres ASCII. Se você incluir espaços em uma senha, coloque todos os caracteres entre aspas (" ").
O Junos-FIPS tem requisitos especiais de senha. As senhas FIPS devem ter entre 10 e 20 caracteres de comprimento. As senhas devem usar pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais). Se o Junos-FIPS estiver instalado no roteador, você não poderá configurar senhas a menos que atendam a esse padrão.
Exemplo: Configure a chave de autenticação para protocolos de roteamento BGP e IS-IS
A principal tarefa de um roteador é usar suas tabelas de roteamento e encaminhamento para encaminhar o tráfego de usuários para o destino desejado. Os invasores podem enviar pacotes de protocolo de roteamento forjados para um roteador com a intenção de alterar ou fraudar o conteúdo de sua tabela de roteamento ou outros bancos de dados, o que por sua vez pode degradar a funcionalidade do roteador e da rede. Para evitar tais ataques, os roteadores devem garantir que eles formem relações de protocolo de roteamento (peering ou relacionamentos vizinhos) a pares de confiança. Uma maneira de fazer isso é autenticando mensagens de protocolo de roteamento. Recomendamos fortemente o uso da autenticação na configuração de protocolos de roteamento.
Junos OS oferece suporte à autenticação HMAC-MD5 para BGP, IS-IS, OSPF, RIP e RSVP. O HMAC-MD5 usa uma chave secreta combinada com os dados sendo transmitidos para computar um hash. O hash computado é transmitido junto com os dados. O receptor usa a chave correspondente para recompensar e validar o hash da mensagem. Se um invasor forjou ou modificou a mensagem, o hash não corresponderá e os dados serão descartados.
Nos exemplos a seguir, configuramos o BGP como o protocolo de gateway exterior (EGP) e IS-IS como o protocolo de gateway interior (IGP). Se você usar o OSPF, configure-o de maneira semelhante à configuração IS-IS mostrada.
Configure BGP
O exemplo a seguir mostra a configuração de uma única chave de autenticação para diferentes grupos de peer BGP. Você também pode configurar a autenticação BGP nos níveis de instância de vizinhos ou roteamento, ou para todas as sessões BGP. Como em qualquer configuração de segurança, há uma compensação entre o grau de granularidade (e, em certa medida, o grau de segurança) e a quantidade de gerenciamento necessária para manter o sistema.
Este exemplo também configura uma série de opções de rastreamento para eventos e erros de protocolo de roteamento, que podem ser bons indicadores de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsos ou malformados para o roteador na tentativa de obter um comportamento específico.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
Configure IS-IS
Embora ofereça Junos OS suporte à autenticação para todos os IGPs, alguns IGPs são inerentemente mais seguros do que outros. A maioria dos provedores de serviços usa OSPF ou IS-IS para permitir rápida convergência interna e escalabilidade e usar recursos de engenharia de tráfego com MPLS. Como o IS-IS não opera na camada de rede, é mais difícil falsificar do que o OSPF. O OSPF está encapsulado em IP e, portanto, está sujeito a ataques remotos de spoofing e negação de serviço (DoS).
O exemplo a seguir configura a autenticação para IS-IS. Ele também configura uma série de opções de rastreamento para eventos e erros de protocolo de roteamento, o que pode ser um bom indicador de ataques contra protocolos de roteamento. Esses eventos incluem falhas de autenticação de protocolo, que podem apontar para um invasor. O invasor pode estar enviando pacotes de roteamento falsos ou malformados para o roteador na tentativa de obter um comportamento específico.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Configure o mecanismo de atualização chave de autenticação para protocolos de roteamento
Você pode configurar um mecanismo de atualização de chave de autenticação para os protocolos de roteamento BGP, LDP e IS-IS. Esse mecanismo permite que você atualize as chaves de autenticação sem interromper protocolos de roteamento e sinalização associados, como OSPF e RSVP.
Para configurar esse recurso, inclua a authentication-key-chains declaração no nível de [edit security] hierarquia. Para aplicar a cadeia de chave, você deve configurar o identificador de cadeia de chave e o algoritmo de cadeia de chave no nível de hierarquia apropriado para o protocolo.
As seções a seguir fornecem mais informações sobre a configuração de atualizações chave de autenticação para protocolos de roteamento. Para obter informações detalhadas sobre a configuração de atualizações chave de autenticação para um protocolo de roteamento específico, consulte o guia do usuário para esse protocolo.
- Configure atualizações chave de autenticação
- Configure BGP e LDP para atualizações chave de autenticação
Configure atualizações chave de autenticação
Para configurar o mecanismo de atualização da chave de autenticação, inclua a key-chain declaração no nível da [edit security authentication-key-chains] hierarquia e especifique a opção key de criar um chaveiro que consiste em várias chaves de autenticação.
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain— Atribua um nome ao mecanismo de chaveiro. Você faz referência a este nome nos níveis de hierarquia apropriados para que o protocolo associe atributos de autenticação key-chain exclusivos, conforme especificado usando as seguintes opções:
algorithm— Algoritmo de autenticação para IS-IS.key— Valor inteiro que identifica exclusivamente cada chave dentro de um chaveiro. A faixa é de 0 a 63.options—(somente IS-IS) Formato de codificação de transmissão de protocolo para codificação do código de autenticação de mensagem em pacotes de protocolo de roteamento.secret— Senha em texto criptografado ou formato de texto simples. Mesmo que você insira os dados secretos em formato de texto simples, o segredo sempre aparece em formato criptografado.start-time— Hora de iniciar a transmissão da chave de autenticação, especificada na UTC. O tempo de início deve ser único dentro do chaveiro.
Configure BGP e LDP para atualizações chave de autenticação
Para configurar o mecanismo de atualização chave de autenticação para os protocolos de roteamento BGP e LDP, inclua a authentication-key-chain declaração dentro do nível de [edit protocols (bgp | ldp)] hierarquia. Incluindo a authentication-key-chain declaração associa cada protocolo de roteamento com as chaves de [edit security authentication-key-chains] autenticação. Você também deve configurar a authentication-algorithm declaração e especificar o algoritmo. Por exemplo:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Ao configurar o mecanismo de atualização de chave de autenticação para BGP, você não pode confirmar a 0.0.0.0/allow declaração com chaves de autenticação ou chaveiros. Se você tentar essa ação, a CLI emite um aviso e o commit falha.