Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la autenticación BFD para SI-SI

La detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando se ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques de servicio puede ser significativo. Recomendamos encarecidamente el uso de la autenticación si ejecuta BFD en varios saltos o a través de túneles inseguros. Junos OS admite la autenticación para sesiones BFD que se ejecutan a través de SI-SI. La autenticación BFD solo se admite en la imagen nacional y no está disponible en la imagen de exportación.

Para autenticar las sesiones de BFD, especifique un algoritmo de autenticación y un llavero y, a continuación, asocie esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.

En las siguientes secciones se describen los algoritmos de autenticación compatibles, los llaveros de seguridad y el nivel de autenticación que se pueden configurar:

Algoritmos de autenticación BFD

Junos OS admite los siguientes algoritmos para la autenticación BFD:

  • simple-password: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o varias contraseñas. Este método es el menos seguro y debe usarse solo cuando las sesiones BFD no están sujetas a la interceptación de paquetes.

  • keyed-md5: algoritmo hash de síntesis de mensaje con clave 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión de BFD, el MD5 con claves utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a los ataques de reproducción. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.

  • meticulous-keyed-md5: algoritmo hash de Message Digest 5 con clave meticulosa. Este método funciona de la misma manera que el MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que MD5 con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.

  • keyed-sha-1: algoritmo de hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con claves utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se lleva en los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.

  • meticulous-keyed-sha-1: algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que el SHA con claves, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que SHA con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.

Nota:

El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulous-keyed-sha-1. Las sesiones de BFD que usan estos algoritmos pueden dejar de funcionar después de un cambio.

Llaveros de autenticación de seguridad

El llavero de autenticación de seguridad define los atributos de autenticación que se usan para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado con un protocolo a través del nombre del llavero, las actualizaciones de claves de autenticación pueden producirse sin interrumpir los protocolos de enrutamiento y señalización.

El llavero de autenticación contiene uno o varios llaveros. Cada llavero contiene una o varias claves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero deben configurarse en ambos extremos de la sesión de BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.

BFD permite múltiples clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definidos. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.

Autenticación estricta versus autenticación flexible

De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación flexible. Cuando se configura una comprobación flexible, los paquetes se aceptan sin que se compruebe la autenticación al final de la sesión. Esta función está diseñada solo para períodos de transición.

Documentación relacionada