EN ESTA PÁGINA
Descripción de la autenticación IPsec para paquetes OSPF en conmutadores serie EX
Ejemplo: configuración de autenticación simple para intercambios OSPFv2
Ejemplo: configuración de la autenticación MD5 para intercambios OSPFv2
Ejemplo: configuración de una transición de claves MD5 en una interfaz OSPFv2
Uso de IPsec para proteger redes OSPFv3 (procedimiento de CLI)
Ejemplo: configuración de la autenticación IPsec para una interfaz OSPF
Configuración de la autenticación OSPF
Descripción de la autenticación IPsec para paquetes OSPF en conmutadores serie EX
La seguridad IP (IPsec) proporciona una forma segura de autenticar remitentes y cifrar el tráfico IP versión 4 (IPv4) entre dispositivos de red. IPsec ofrece a los administradores de red de los conmutadores Ethernet de la serie EX de Juniper Networks y a sus usuarios las ventajas de la confidencialidad de los datos, la integridad de los datos, la autenticación del remitente y los servicios antireproducción.
IPsec es un marco para garantizar una comunicación privada segura a través de redes IP y se basa en estándares desarrollados por el International Engineering Task Force (IETF). IPsec proporciona servicios de seguridad en la capa de red del modelo de interconexión de sistemas abiertos (OSI) al permitir que un sistema seleccione los protocolos de seguridad necesarios, determine los algoritmos que se usarán para los servicios de seguridad e implemente las claves criptográficas necesarias para proporcionar los servicios solicitados. Puede usar IPsec para proteger una o más rutas de acceso entre un par de hosts, entre un par de puertas de enlace de seguridad (como conmutadores) o entre una puerta de enlace de seguridad y un host.
OSPF versión 3 (OSPFv3), a diferencia de OSPF versión 2 (OSPFv2), no tiene un método de autenticación integrado y se basa en IPsec para proporcionar esta funcionalidad. Puede proteger interfaces OSPFv3 específicas y proteger vínculos virtuales OSPFv3.
- Algoritmos de autenticación
- Algoritmos de cifrado
- Protocolos IPsec
- Asociaciones de seguridad
- Modos IPsec
Algoritmos de autenticación
La autenticación es el proceso de verificar la identidad del remitente. Los algoritmos de autenticación utilizan una clave compartida para comprobar la autenticidad de los dispositivos IPsec. El sistema operativo Junos de Juniper Networks (Junos OS) utiliza los siguientes algoritmos de autenticación:
Message Digest 5 (MD5) utiliza una función hash unidireccional para convertir un mensaje de longitud arbitraria en un resumen de mensaje de longitud fija de 128 bits. Debido al proceso de conversión, es matemáticamente inviable calcular el mensaje original calculándolo hacia atrás a partir del resumen del mensaje resultante. Del mismo modo, un cambio a un solo carácter en el mensaje hará que genere un número de resumen del mensaje muy diferente.
Para comprobar que el mensaje no ha sido manipulado, Junos OS compara el resumen del mensaje calculado con un resumen del mensaje que se descifra con una clave compartida. Junos OS utiliza la variante de código de autenticación de mensajes hash (HMAC) MD5 que proporciona un nivel adicional de hash. MD5 se puede utilizar con un encabezado de autenticación (AH) y una carga de seguridad de encapsulación (ESP).
El algoritmo de hash seguro 1 (SHA-1) utiliza un algoritmo más sólido que MD5. SHA-1 toma un mensaje de menos de 264 bits de longitud y produce un resumen de mensaje de 160 bits. El resumen de mensaje grande garantiza que los datos no se hayan modificado y que se originen en la fuente correcta. Junos OS utiliza la variante SHA-1 HMAC que proporciona un nivel adicional de hash. SHA-1 se puede usar con AH, ESP e intercambio de claves por Internet (IKE).
Algoritmos de cifrado
El cifrado codifica los datos en un formato seguro para que no puedan ser descifrados por usuarios no autorizados. Al igual que con los algoritmos de autenticación, se usa una clave compartida con algoritmos de cifrado para comprobar la autenticidad de los dispositivos IPsec. Junos OS utiliza los siguientes algoritmos de cifrado:
El encadenamiento de bloques de cifrado estándar de cifrado de datos (DES-CBC) es un algoritmo simétrico de bloques de clave secreta. DES utiliza un tamaño de clave de 64 bits, donde se utilizan 8 bits para la detección de errores y los 56 bits restantes proporcionan cifrado. DES realiza una serie de operaciones lógicas simples en la clave compartida, incluidas permutaciones y sustituciones. CBC toma el primer bloque de 64 bits de salida de DES, combina este bloque con el segundo bloque, lo devuelve al algoritmo DES y repite este proceso para todos los bloques posteriores.
Triple DES-CBC (3DES-CBC) es un algoritmo de cifrado que es similar a DES-CBC pero proporciona un resultado de cifrado mucho más fuerte porque utiliza tres claves para el cifrado de 168 bits (3 x 56 bits). 3DES funciona utilizando la primera clave para cifrar los bloques, la segunda clave para descifrar los bloques y la tercera clave para volver a cifrar los bloques.
Protocolos IPsec
Los protocolos IPsec determinan el tipo de autenticación y cifrado que se aplica a los paquetes protegidos por el conmutador. Junos OS admite los siguientes protocolos IPsec:
AH: definido en RFC 2402, AH proporciona integridad sin conexión y autenticación de origen de datos para IPv4. También proporciona protección contra repeticiones. AH autentica la mayor cantidad posible del encabezado IP, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar durante el tránsito. Dado que el valor de estos campos puede no ser predecible para el remitente, no se pueden proteger mediante AH. En un encabezado IP, AH se puede identificar con un valor de 51 en el campo Protocolo de un paquete IPv4.
ESP: definido en RFC 2406, ESP puede proporcionar cifrado y confidencialidad o integridad sin conexión y flujo de tráfico limitado, autenticación de origen de datos y un servicio antireproducción. En un encabezado IP, ESP se puede identificar con un valor de 50 en el campo Protocolo de un paquete IPv4.
Asociaciones de seguridad
Una consideración IPsec es el tipo de asociación de seguridad (SA) que desea implementar. Una SA es un conjunto de especificaciones IPsec que se negocian entre dispositivos que establecen una relación IPsec. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA puede ser unidireccional o bidireccional, dependiendo de las elecciones realizadas por el administrador de red. Una SA se identifica de forma única mediante un índice de parámetros de seguridad (SPI), una dirección de destino IPv4 o IPv6 y un identificador de protocolo de seguridad (AH o ESP).
Modos IPsec
Junos OS admite los siguientes modos IPsec:
El modo de túnel es compatible con AH y ESP en Junos OS. En el modo de túnel, la SA y los protocolos asociados se aplican a los paquetes IPv4 o IPv6 tunelizados. Para una SA en modo de túnel, un encabezado IP externo especifica el destino de procesamiento IPsec y un encabezado IP interno especifica el destino final del paquete. El encabezado del protocolo de seguridad aparece después del encabezado IP externo y antes del encabezado IP interno. Además, existen ligeras diferencias para el modo túnel cuando se implementa con AH y ESP:
Para AH, partes del encabezado IP externo están protegidas, así como todo el paquete IP tunelizado.
Para ESP, solo está protegido el paquete tunelizado, no el encabezado externo.
Cuando un lado de una SA es una puerta de enlace de seguridad (como un conmutador), la SA debe utilizar el modo de túnel. Sin embargo, cuando el tráfico (por ejemplo, comandos SNMP o sesiones BGP) está destinado a un conmutador, el sistema actúa como host. El modo de transporte está permitido en este caso porque el sistema no actúa como puerta de enlace de seguridad y no envía ni recibe tráfico de tránsito.
Nota:El modo de túnel no es compatible con la autenticación de paquetes de control OSPF v3.
El modo de transporte proporciona una SA entre dos hosts. En el modo de transporte, los protocolos proporcionan protección principalmente para los protocolos de capa superior. Un encabezado de protocolo de seguridad en modo de transporte aparece inmediatamente después del encabezado IP y cualquier opción, y antes de cualquier protocolo de capa superior (por ejemplo, TCP o UDP). Existen ligeras diferencias para el modo de transporte cuando se implementa con AH y ESP:
Para AH, se protegen las partes seleccionadas del encabezado IP, así como las partes seleccionadas de los encabezados de extensión y las opciones seleccionadas dentro del encabezado IPv4.
Para ESP, solo están protegidos los protocolos de capa superior, no el encabezado IP ni los encabezados de extensión anteriores al encabezado ESP.
Descripción de la autenticación OSPFv2
Todos los intercambios de protocolos OSPFv2 se pueden autenticar para garantizar que solo los dispositivos de enrutamiento de confianza participen en el enrutamiento del sistema autónomo. De forma predeterminada, la autenticación OSPFv2 está deshabilitada.
OSPFv3 no tiene un método de autenticación integrado y se basa en la seguridad IP (IPsec) para proporcionar esta funcionalidad.
Puede habilitar los siguientes tipos de autenticación:
-
Autenticación simple: se autentica mediante una contraseña de texto sin formato que se incluye en el paquete transmitido. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete.
-
Autenticación MD5: se autentica mediante una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete.
Puede definir una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento sólo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazan las actualizaciones. El dispositivo de enrutamiento sólo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) definido para esa interfaz.
-
Autenticación IPsec (a partir de Junos OS versión 8.3): autentica las interfaces OSPFv2, el extremo remoto de un vínculo simulado y el vínculo virtual OSPFv2 mediante asociaciones de seguridad manuales (SA) para garantizar que el contenido de un paquete esté seguro entre los dispositivos de enrutamiento. La autenticación IPsec real se configura por separado.
Nota:Puede configurar la autenticación IPsec junto con MD5 o autenticación simple.
Se aplican las siguientes restricciones a la autenticación IPsec para OSPFv2:
-
No se admiten las SA de intercambio dinámico de claves por Internet (IKE).
-
Solo se admite el modo de transporte IPsec. No se admite el modo de túnel.
-
Dado que solo se admiten SA manuales bidireccionales, todos los pares OSPFv2 deben configurarse con la misma SA IPsec. Puede configurar una SA bidireccional manual en el nivel de
[edit security ipsec]jerarquía. -
Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto, para todos los vecinos en vínculos de multiacceso sin difusión (NBMA) o de punto a multipunto de OSPF, y para cada subred que forme parte de un vínculo de difusión.
-
No se admiten interfaces del mismo nivel OSPFv2.
-
Dado que OSPF realiza la autenticación a nivel de área, todos los dispositivos de enrutamiento dentro del área deben tener configurada la misma autenticación y la contraseña (clave) correspondiente. Para que la autenticación MD5 funcione, tanto los dispositivos de enrutamiento de recepción como los de transmisión deben tener la misma clave MD5. Además, una contraseña simple y una clave MD5 son mutuamente excluyentes. Solo puede configurar una contraseña simple, pero con varias claves MD5.
Como parte de sus medidas de seguridad, puede cambiar las claves MD5. Para ello, configure varias claves MD5, cada una con un ID de clave único, y establezca la fecha y la hora para cambiar a la nueva clave. Cada clave MD5 única tiene un ID único. El receptor del paquete OSPF utiliza el ID para determinar qué clave utilizar para la autenticación. El ID de clave, que se requiere para la autenticación MD5, especifica el identificador asociado con la clave MD5.
A partir de Junos OS versión 22.4R1, admitimos la publicidad de la autenticación MD5 OSPF con varias claves activas para enviar paquetes con un límite máximo de dos claves por interfaz. Tener varias claves activas en cualquier momento en la interfaz permite una transición fluida de una clave a otra para OSPF. Puede eliminar claves antiguas sin ningún impacto en la sesión OSPF.
A partir de Junos OS versión 23.3R1 y Junos OS Evolved versión 23.3R1, puede habilitar la autenticación OSPFv2 HMAC-SHA1 con llavero para autenticar paquetes que llegan o se originan desde una interfaz OSPF. Esto garantiza una transición fluida de una clave a otra para OSPFv2 con seguridad mejorada. Puede habilitar OSPFv2 para que envíe paquetes autenticados con sólo la clave MD5 más reciente una vez que todos los vecinos cambien a la clave configurada más reciente. Antes de esta versión, admitimos paquetes OSPF autenticados de publicidad siempre con varias claves MD5 activas con un límite máximo de dos claves por interfaz.
La autenticación HMAC-SHA1 para OSPFv2 no admite:
-
Llavero sin llaves activas.
-
Migración de otros tipos de autenticación existentes a llavero con sesión sin visitas.
-
Migración de sin autenticación a llavero con sesión sin hits.
-
Keyed MD5 como parte de la configuración del llavero.
- Cuando la optimización MD5 multiactiva con
delete-if-not-inusela instrucción de configuración está habilitada y una vez que la negociación de autenticación ocurre con sus vecinos, a partir de ese momento el dispositivo solo utiliza la clave activa para la transmisión de ese vecino negociado. Es decir, no se admite la reversión a la clave anterior.Por ejemplo: R0 y R1 se configuran con key-id 1 as
delete-if-not-inusey key-id 2. Más adelante, si R1 está configurado para quitar el identificador de clave 2, R0 no vuelve a usar ambas claves (identificador de clave 1 e ID de clave 2) para la transmisión. - La actividad del llavero se basa en el tiempo absoluto (reloj de pared) y el reloj de pared puede retroceder después de confirmar. Este tipo de error no se refleja en el momento de la confirmación. Por lo tanto, es importante tener la hora del sistema sincronizada en todos los dispositivos cuando el llavero está activo en una sesión OSPF.
A partir de Junos OS Evolved versión 24.2R1, puede habilitar el módulo de llavero OSPFv2 con autenticación HMAC-SHA2 (OSPFv2 HMAC-SHA2) para autenticar paquetes que lleguen o se originen en una interfaz OSPF. Los algoritmos HMAC SHA2 incluyen HMAC-SHA2-256, HMAC-SHA2-384 y HMAC-SHA2-512 como se define en RFC 5709. Admitimos estos algoritmos junto con HMAC-SHA2-224. Esta función garantiza una transición fluida de una clave a otra para OSPFv2 con seguridad mejorada. También admitimos la autenticación HMAC-SHA1 y HMAC-SHA2 para vínculos virtuales y simulados.
La autenticación HMAC-SHA2 para OSPFv2 no admite:
-
Llavero sin llaves activas.
-
Migración de otros tipos de autenticación existentes a llavero con sesión sin visitas.
-
Migración de sin autenticación a llavero con sesión sin hits.
-
No se admite el algoritmo SHA1 (sin HMAC) en la configuración de llavero.
- Es importante tener la hora del sistema sincronizada en todos los dispositivos cuando el llavero está activo en una sesión OSPF.
Ver también
Descripción de la autenticación OSPFv3
OSPFv3 no tiene un método de autenticación integrado y se basa en el conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec proporciona funciones tales como autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo del origen. Puede utilizar IPsec para proteger interfaces OSPFv3 específicas y proteger vínculos virtuales OSPFv3.
Configure la autenticación IPsec real independientemente de la configuración de OSPFv3 y, a continuación, aplique IPsec a las interfaces OSPFv3 o vínculos virtuales OSPFv3.
OSPFv3 utiliza las partes del encabezado de autenticación IP (AH) y de la carga de seguridad de encapsulación (ESP) del protocolo IPsec para autenticar la información de enrutamiento entre pares. AH puede proporcionar integridad sin conexión y autenticación de origen de datos. También proporciona protección contra repeticiones. AH autentica la mayor cantidad posible del encabezado IP, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar durante el tránsito. Dado que el valor de estos campos puede no ser predecible para el remitente, no se pueden proteger mediante AH. ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.
IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se negocian entre dispositivos que establecen una relación IPsec. Esta conexión símplex proporciona servicios de seguridad a los paquetes transportados por la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos están protegidos por un par de SA. Una SA que se va a utilizar con OSPFv3 debe configurarse manualmente y utilizar el modo de transporte. Los valores estáticos deben configurarse en ambos extremos de la SA.
Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves del índice de parámetros de seguridad (SPI) que se van a utilizar y requieren configuraciones coincidentes en ambos puntos finales (pares OSPFv3). Como resultado, cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.
La elección real de los algoritmos de cifrado y autenticación se deja al administrador de IPsec; Sin embargo, tenemos las siguientes recomendaciones:
Utilice ESP con cifrado NULL para proporcionar autenticación solo a los encabezados de protocolo OSPFv3. Con el cifrado NULL, elige no proporcionar cifrado en los encabezados OSPFv3. Esto puede ser útil para solucionar problemas y depurar. Para obtener más información acerca del cifrado NULL, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.
Utilice ESP con cifrado no NULL para una confidencialidad total. Con el cifrado no NULL, está eligiendo proporcionar cifrado. Para obtener más información acerca del cifrado NULL, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.
Utilice AH para proporcionar autenticación a los encabezados de protocolo OSPFv3, partes del encabezado IPv6 y partes de los encabezados de extensión.
Se aplican las siguientes restricciones a la autenticación IPsec para OSPFv3:
No se admiten asociaciones de seguridad (SA) de intercambio dinámico de claves por Internet (IKE).
Solo se admite el modo de transporte IPsec. En el modo de transporte, solo se cifra y/o autentica la carga útil (los datos que transfiere) del paquete IP. No se admite el modo de túnel.
Dado que solo se admiten SA manuales bidireccionales, todos los pares OSPFv3 deben configurarse con la misma SA IPsec. Puede configurar una SA bidireccional manual en el nivel de
[edit security ipsec]jerarquía.Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto.
Ver también
Ejemplo: configuración de autenticación simple para intercambios OSPFv2
En este ejemplo se muestra cómo habilitar la autenticación simple para los intercambios OSPFv2.
Requisitos
Antes de empezar:
Configure las interfaces del dispositivo. Consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento o la Guía de configuración de interfaces de Junos OS para dispositivos de seguridad.
Configure los identificadores de enrutador para los dispositivos de la red OSPF. Consulte Ejemplo: Configuración de un identificador de enrutador OSPF.
Controle la elección del enrutador designado por OSPF. Consulte Ejemplo: Control de la elección del enrutador designado por OSPF
Configure una red OSPF de área única. Consulte Ejemplo: Configuración de una red OSPF de área única.
Configure una red OSPF multiárea. Consulte Ejemplo: Configuración de una red OSPF multiárea.
Visión general
La autenticación simple utiliza una contraseña de texto sin formato que se incluye en el paquete transmitido. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. Las contraseñas de texto sin formato no están cifradas y pueden estar sujetas a interceptación de paquetes. Este método es el menos seguro y solo debe usarse si la seguridad de la red no es su objetivo.
Solo puede configurar una clave de autenticación simple (contraseña) en el dispositivo de enrutamiento. La clave simple puede tener del 1 al 8 caracteres y puede incluir cadenas ASCII. Si incluye espacios, escriba todos los caracteres entre comillas (" ").
En este ejemplo, especifique la interfaz OSPFv2 so-0/1/0 en el área 0.0.0.0, establezca el tipo de autenticación en simple-password y defina la clave como PssWd4.
Configuración
Configuración rápida de CLI
Para configurar rápidamente la autenticación simple, copie el siguiente comando, quitando los saltos de línea y, a continuación, pegue el comando en la CLI. Debe configurar todos los dispositivos de enrutamiento dentro del área con la misma autenticación y la contraseña correspondiente.
[edit] set protocols ospf area 0.0.0.0 interface so-0/1/0 authentication simple-password PssWd4
Procedimiento
Procedimiento paso a paso
Para habilitar la autenticación simple para intercambios OSPFv2:
Cree un área OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/1/0
Establezca el tipo de autenticación y la contraseña.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# set authentication simple-password PssWd4
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit protocols ospf area 0.0.0.0 interface so-0/1/0.0] user@host# commit
Nota:Repita toda esta configuración en todos los dispositivos de enrutamiento OSPFv2 del mismo nivel del área.
Resultados
Confirme la configuración introduciendo el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra el formulario cifrado de la contraseña que configuró.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/1/0.0 {
authentication {
simple-password "$9$-3dY4ZUHm5FevX-db2g"; ## SECRET-DATA
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
Comprobación del método de autenticación configurado
Propósito
Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. El campo Tipo de autenticación muestra Contraseña cuando está configurado para autenticación simple.
Acción
Desde el modo operativo, escriba los show ospf interface comandos y y show ospf overview .
Ejemplo: configuración de la autenticación MD5 para intercambios OSPFv2
En este ejemplo se muestra cómo habilitar la autenticación MD5 para intercambios OSPFv2.
Requisitos
Antes de empezar:
Configure las interfaces del dispositivo. Consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento o la Guía de configuración de interfaces de Junos OS para dispositivos de seguridad.
Configure los identificadores de enrutador para los dispositivos de la red OSPF. Consulte Ejemplo: Configuración de un identificador de enrutador OSPF.
Controle la elección del enrutador designado por OSPF. Consulte Ejemplo: Control de la elección del enrutador designado por OSPF
Configure una red OSPF de área única. Consulte Ejemplo: Configuración de una red OSPF de área única.
Configure una red OSPF multiárea. Consulte Ejemplo: Configuración de una red OSPF multiárea.
Visión general
La autenticación MD5 utiliza una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. El dispositivo de enrutamiento receptor utiliza una clave de autenticación (contraseña) para verificar el paquete.
Puede definir una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento sólo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazan las actualizaciones. El dispositivo de enrutamiento sólo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) definido para esa interfaz.
En este ejemplo, se crea el área troncal (área 0.0.0.0), se especifica la interfaz OSPFv2 so-0/2/0, se establece el tipo de autenticación en md5 y, a continuación, se define el identificador de clave de autenticación como 5 y la contraseña como PssWd8.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente la autenticación MD5, copie el siguiente comando y péguelo en la CLI.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 authentication md5 5 key PssWd8
Procedimiento
Procedimiento paso a paso
Para habilitar la autenticación MD5 para intercambios OSPFv2:
Cree un área OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Configure la autenticación MD5 y establezca un ID de clave y una contraseña de autenticación.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# set authentication md5 5 key PssWd8
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit protocols ospf area 0.0.0.0 interface s0-0/2/0.0] user@host# commit
Nota:Repita toda esta configuración en todos los dispositivos de enrutamiento OSPFv2 del mismo nivel.
Resultados
Confirme la configuración introduciendo el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra el formulario cifrado de la contraseña que configuró.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
authentication {
md5 5 key "$9$pXXhuIhreWx-wQF9puBEh"; ## SECRET-DATA
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
Comprobación del método de autenticación configurado
Propósito
Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. Cuando se configura para la autenticación MD5, el campo Tipo de autenticación muestra MD5, el campo ID de clave activa muestra el número único que ingresó que identifica la clave MD5 y el campo Hora de inicio muestra la fecha como Hora de inicio 1970 Jan 01 00:00:00 PST. No se alarme por esta hora de inicio. Esta es la hora de inicio predeterminada que muestra el dispositivo de enrutamiento si la clave MD5 entra en vigor inmediatamente.
Acción
Desde el modo operativo, escriba los show ospf interface comandos y y show ospf overview .
Ejemplo: configuración de una transición de claves MD5 en una interfaz OSPFv2
En este ejemplo se muestra cómo configurar una transición de claves MD5 en una interfaz OSPFv2.
Requisitos
Antes de empezar:
Configure las interfaces del dispositivo. Consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento o la Guía de configuración de interfaces de Junos OS para dispositivos de seguridad.
Configure los identificadores de enrutador para los dispositivos de la red OSPF. Consulte Ejemplo: Configuración de un identificador de enrutador OSPF.
Controle la elección del enrutador designado por OSPF. Consulte Ejemplo: Control de la elección del enrutador designado por OSPF
Configure una red OSPF de área única. Consulte Ejemplo: Configuración de una red OSPF de área única.
Configure una red OSPF multiárea. Consulte Ejemplo: Configuración de una red OSPF multiárea.
Visión general
La autenticación MD5 utiliza una suma de comprobación MD5 codificada que se incluye en el paquete transmitido. Para que la autenticación MD5 funcione, tanto los dispositivos de enrutamiento de recepción como los de transmisión deben tener la misma clave MD5.
Puede definir una clave MD5 para cada interfaz. Si MD5 está habilitado en una interfaz, esa interfaz acepta actualizaciones de enrutamiento sólo si la autenticación MD5 se realiza correctamente. De lo contrario, se rechazan las actualizaciones. El dispositivo de enrutamiento sólo acepta paquetes OSPFv2 enviados con el mismo identificador de clave (ID) definido para esa interfaz.
Para mayor seguridad, puede configurar varias claves MD5, cada una con un ID de clave único, y establecer la fecha y hora para cambiar a una nueva clave. El receptor del paquete OSPF utiliza el identificador para determinar qué clave utilizar para la autenticación.
En este ejemplo, configure nuevas claves para que surtan efecto a las 12:01 a.m. del primer día de los próximos tres meses en la interfaz OSPFv2 fe-0/0/1 en el área troncal (área 0.0.0.0) y configure las siguientes opciones de autenticación MD5:
md5: especifica el ID de la clave de autenticación MD5. El ID de clave se puede establecer en cualquier valor entre 0 y 255, con un valor predeterminado de 0. El dispositivo de enrutamiento sólo acepta paquetes OSPFv2 enviados con el mismo ID de clave definido para esa interfaz.
key: especifica la clave MD5. Cada clave puede tener un valor de entre 1 y 16 caracteres. Los caracteres pueden incluir cadenas ASCII. Si incluye espacios, escriba todos los caracteres entre comillas (" ").
start-time: especifica la hora a la que se debe empezar a utilizar la clave MD5. Esta opción permite configurar un mecanismo de transición suave para varias claves. La hora de inicio es relevante para la transmisión, pero no para la recepción de paquetes OSPF.
Debe establecer las mismas contraseñas y fechas y horas de transición en todos los dispositivos del área para que las adyacencias de OSPFv2 permanezcan activas.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente varias claves MD5 en una interfaz OSPFv2, copie los siguientes comandos, quite los saltos de línea y, a continuación, pegue los comandos en la CLI.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 1 key $2010HaL set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01 set protocols ospf area 0.0.0.0 interface fe-0/1/0 authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Procedimiento
Procedimiento paso a paso
Para configurar varias claves MD5 en una interfaz OSPFv2:
Cree un área OSPF.
[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface fe-0/1/0
Configure la autenticación MD5 y establezca una contraseña de autenticación y un ID de clave.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 1 key $2010HaL
Configure una nueva clave para que surta efecto a las 0:01 a.m. del primer día de febrero, marzo y abril.
Configure una nueva contraseña de autenticación y un ID de clave para cada mes.
Para el mes de febrero, escriba lo siguiente:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 2 key NeWpsswdFEB start-time 2011-02-01.00:01
Para el mes de marzo, escriba lo siguiente:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 3 key NeWpsswdMAR start-time 2011-03-01.00:01
Para el mes de abril, introduzca lo siguiente:
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# set authentication md5 4 key NeWpsswdAPR start-time 2011-04-01.00:01
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit protocols ospf area 0.0.0.0 interface fe-0/1/0.0] user@host# commit
Nota:Repita toda esta configuración en todos los dispositivos de enrutamiento OSPFv2 del mismo nivel.
Resultados
Confirme la configuración introduciendo el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra el formulario cifrado de la contraseña que configuró.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/1/0.0 {
authentication {
md5 1 key "$9$wzs24JGDjk.2gfTQ3CAp0B1hy"; ## SECRET-DATA
md5 2 key "$9$Q9gz39t1IcML7EcwgJZq.RhSylMN-b4oZDi" start-time "2011-2-1.00:01:00 -0800"; ## SECRET-DATA
md5 3 key "$9$zjo2nCpIRSWXNhSs4ZG.mEcyreW2gaZGjCt" start-time "2011-3-1.00:01:00 -0800"; ## SECRET-DATA
md5 4 key "$9$fQn90OReML1Rds4oiHBIEhSevMLXNVqm" start-time "2011-4-1.00:01:00 -0700"; ## SECRET-DATA
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
Comprobación del método de autenticación configurado
Propósito
Compruebe que el método de autenticación para enviar y recibir paquetes de protocolo OSPF está configurado. Cuando se configura para la autenticación MD5 con una transición de claves, el campo Tipo de autenticación muestra MD5, el campo ID de clave activa muestra el número único introducido que identifica la clave MD5 y el campo Hora de inicio muestra la hora a la que el dispositivo de enrutamiento comienza a utilizar una clave MD5 para autenticar los paquetes OSPF transmitidos en la interfaz que configuró.
Acción
Desde el modo operativo, escriba los show ospf interface comandos y y show ospf overview .
Uso de IPsec para proteger redes OSPFv3 (procedimiento de CLI)
OSPF versión 3 (OSPFv3) no tiene un método de autenticación integrado y se basa en la seguridad IP (IPsec) para proporcionar esta funcionalidad. Puede utilizar IPsec para proteger las interfaces OSPFv3 en conmutadores de la serie EX.
Este tema incluye:
Configuración de asociaciones de seguridad
Cuando configure una asociación de seguridad (SA), incluya sus opciones de autenticación, cifrado, dirección, modo, protocolo e índice de parámetros de seguridad (SPI).
Para configurar una asociación de seguridad:
Protección de redes OPSFv3
Puede proteger la red OSPFv3 aplicando la SA a la configuración de OSPFv3.
Para proteger la red OSPFv3:
[edit protocols ospf3 area area-number interface interface-name] user@switch# set ipsec-sa sa-name
Ejemplo: configuración de la autenticación IPsec para una interfaz OSPF
En este ejemplo se muestra cómo habilitar la autenticación de seguridad IP (IPsec) para una interfaz OSPF.
Requisitos
Antes de empezar:
Configure las interfaces del dispositivo. Consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento o la Guía de configuración de interfaces de Junos OS para dispositivos de seguridad.
Configure los identificadores de enrutador para los dispositivos de la red OSPF. Consulte Ejemplo: Configuración de un identificador de enrutador OSPF.
Controle la elección del enrutador designado por OSPF. Consulte Ejemplo: Control de la elección del enrutador designado por OSPF
Configure una red OSPF de área única. Consulte Ejemplo: Configuración de una red OSPF de área única.
Configure una red OSPF multiárea. Consulte Ejemplo: Configuración de una red OSPF multiárea.
Visión general
Puede utilizar la autenticación IPsec para OSPFv2 y OSPFv3. Puede configurar la autenticación IPsec real por separado y aplicarla a la configuración de OSPF aplicable.
OSPFv2
A partir de Junos OS versión 8.3, puede utilizar la autenticación IPsec para autenticar interfaces OSPFv2, el extremo remoto de un vínculo simulado y el vínculo virtual OSPFv2 mediante asociaciones de seguridad manuales (SA) para asegurarse de que el contenido de un paquete está seguro entre los dispositivos de enrutamiento.
Puede configurar la autenticación IPsec junto con MD5 o autenticación simple.
Para habilitar la autenticación IPsec, siga uno de estos procedimientos:
Para una interfaz OSPFv2, incluya la
ipsec-sa nameinstrucción para una interfaz específica:interface interface-name ipsec-sa name;
Para un vínculo simulado remoto, incluya la
ispec-sa nameinstrucción para el extremo remoto del vínculo simulado:sham-link-remote address ipsec-sa name;
Nota:Si una configuración de VPN de capa 3 tiene varios vínculos falsos con la misma dirección IP de punto de conexión remoto, debe configurar la misma asociación de seguridad IPsec para todos los puntos de conexión remotos. Puede configurar una VPN de capa 3 en el nivel jerárquico
[edit routing-instances routing-instance-name instance-type]. Para obtener más información acerca de las VPN de capa 3, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.Para un vínculo virtual, incluya la
ipsec-sa nameinstrucción para un vínculo virtual específico:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
OSPFv3
OSPFv3 no tiene un método de autenticación integrado y se basa en IPsec para proporcionar esta funcionalidad. La autenticación IPsec se utiliza para proteger las interfaces OSPFv3 y los vínculos virtuales OSPFv3 mediante SA manuales para garantizar que el contenido de un paquete esté seguro entre los dispositivos de enrutamiento.
Para aplicar la autenticación, siga uno de estos procedimientos:
Para una interfaz OSPFv3, incluya la
ipsec-sa nameinstrucción para una interfaz específica:interface interface-name ipsec-sa name;
Para un vínculo virtual, incluya la
ipsec-sa nameinstrucción para un vínculo virtual específico:virtual-link neighbor-id router-id transit-area area-id ipsec-sa name;
Tasks to Complete for Both OSPFv2 and OSPFv3
En este ejemplo, se realizan las tareas siguientes:
Configure la autenticación IPsec. Para ello, defina una SA manual denominada sa1 y especifique la dirección de procesamiento, el protocolo utilizado para proteger el tráfico IP, el índice de parámetros de seguridad (SPI) y el algoritmo y la clave de autenticación.
Configure la siguiente opción en el nivel jerárquico
[edit security ipsec security-association sa-name mode]:transporte: especifica el modo de transporte. Este modo protege el tráfico cuando el extremo de comunicación y el punto de conexión criptográfico son los mismos. La parte de datos del paquete IP está cifrada, pero el encabezado IP no.
Configure la siguiente opción en el nivel jerárquico
[edit security ipsec security-association sa-name manual direction]:bidireccional: define la dirección del procesamiento IPsec. Al especificar el sistema bidreccional, se utilizan en ambas direcciones los mismos algoritmos, claves y valores de índice de parámetros de seguridad (SPI) que configure.
Configure las siguientes opciones en el nivel jerárquico
[edit security ipsec security-association sa-name manual direction bidirectional]:protocolo: define el protocolo IPsec utilizado por la SA manual para proteger el tráfico IP. Puede especificar el encabezado de autenticación (AH) o la carga de seguridad de encapsulación (ESP). Si especifica AH, lo que hace en este ejemplo, no puede configurar el cifrado.
spi: configura el SPI para la SA manual. Un SPI es un valor arbitrario que identifica de forma exclusiva qué SA usar en el host receptor. El host de envío utiliza el SPI para identificar y seleccionar qué SA utilizar para proteger cada paquete. El host receptor utiliza el SPI para identificar y seleccionar el algoritmo de cifrado y la clave utilizada para descifrar los paquetes. En este ejemplo, se especifica 256.
authentication: configura el algoritmo y la clave de autenticación. La opción de algoritmo especifica el algoritmo hash que autentica los datos del paquete. En este ejemplo, se especifica hmac-md5-96, que produce un resumen de 128 bits. La opción clave indica el tipo de clave de autenticación. En este ejemplo, se especifica ascii-text-key, que son 16 caracteres ASCII para el algoritmo hmac-md5-96 .
Habilite la autenticación IPsec en la interfaz OSPF so-0/2/0.0 en el área troncal (área 0.0.0.0) incluyendo el nombre de la SA sa1 manual que configuró en el
[edit security ipsec]nivel de jerarquía.
Topología
Configuración
- Configuración de asociaciones de seguridad
- Habilitación de la autenticación IPsec para una interfaz OSPF
Configuración de asociaciones de seguridad
Configuración rápida de CLI
Para configurar rápidamente una SA manual para usarla con la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, quite los saltos de línea y, a continuación, pegue los comandos en la CLI.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Procedimiento paso a paso
Para configurar una SA manual para utilizarla en una interfaz OSPF:
Especifique un nombre para la SA.
[edit] user@host# edit security ipsec security-association sa1
Especifique el modo de la SA.
[edit security ipsec security-association sa1 ] user@host# set mode transport
Configure la dirección de la SA manual.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional
Configure el protocolo IPsec que se va a utilizar.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional protocol ah
Configure el valor del SPI.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional spi 256
Configure el algoritmo y la clave de autenticación.
[edit security ipsec security-association sa1 ] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abcd
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit security ipsec security-association sa1 ] user@host# commit
Nota:Repita toda esta configuración en todos los dispositivos de enrutamiento OSPF pares.
Resultados
Confirme la configuración introduciendo el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra el formulario cifrado de la contraseña que configuró.
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Habilitación de la autenticación IPsec para una interfaz OSPF
Configuración rápida de CLI
Para aplicar rápidamente una SA manual usada para la autenticación IPsec a una interfaz OSPF, copie el siguiente comando y péguelo en la CLI.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procedimiento paso a paso
Para habilitar la autenticación IPsec para una interfaz OSPF:
Cree un área OSPF.
Nota:Para especificar OSPFv3, incluya la
ospf3instrucción en el nivel jerárquico[edit protocols].[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Aplique la SA manual de IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# commit
Nota:Repita toda esta configuración en todos los dispositivos de enrutamiento OSPF pares.
Resultados
Confirme la configuración introduciendo el show protocols ospf comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Para confirmar la configuración de OSPFv3, escriba el show protocols ospf3 comando.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de la configuración de asociación de seguridad IPsec
- Comprobación de la asociación de seguridad IPsec en la interfaz OSPF
Comprobación de la configuración de asociación de seguridad IPsec
Propósito
Compruebe las opciones de asociación de seguridad IPsec configuradas. Verifique la siguiente información:
El campo Asociación de seguridad muestra el nombre de la asociación de seguridad configurada.
El campo SPI muestra el valor que ha configurado.
El campo Modo muestra el modo de transporte.
El campo Tipo muestra manual como el tipo de asociación de seguridad.
Acción
Desde el modo operativo, ingrese el show ipsec security-associations comando.
Comprobación de la asociación de seguridad IPsec en la interfaz OSPF
Propósito
Compruebe que la asociación de seguridad IPsec que configuró se ha aplicado a la interfaz OSPF. Confirme que el campo Nombre de SA de IPSec muestra el nombre de la asociación de seguridad IPsec configurada.
Acción
Desde el modo operativo, escriba el show ospf interface detail comando para OSPFv2 y escriba el show ospf3 interface detail comando para OSPFv3.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.