- play_arrow Clases de inicio de sesión y configuración de inicio de sesión
- play_arrow Cuentas de usuario
- play_arrow Contraseñas para el acceso de usuarios
- play_arrow Módulo de plataforma segura
- play_arrow Administración de acceso remoto
- Información general sobre el acceso remoto
- Módems USB para la gestión remota de dispositivos de seguridad
- Acceso web seguro para administración remota
- Ejemplo: Control de acceso de administración en dispositivos de red de Juniper
- Directrices de configuración para proteger el acceso al puerto de la consola
- Configuración del tipo de puerto de la consola (procedimiento de la CLI)
- play_arrow control de acceso
- Métodos de autenticación de control de acceso
- Prevención del acceso no autorizado a los conmutadores de la serie EX mediante el modo desatendido para el arranque en universal
- Prevención del acceso no autorizado a los conmutadores de la serie EX mediante el modo desatendido para el arranque en universal
- Configuración del servidor RADIUS para la autenticación
- RADIO sobre TLS (RADSEC)
- Autenticación 802.1X
- Autenticación MAC RADIUS
- Contabilidad 802.1X y RADIUS
- Ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de varios suplicantes en un conmutador de la serie EX
- Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un conmutador de la serie EX
- Interfaces habilitadas para la autenticación 802.1X o MAC RADIUS
- Derivación MAC estática de 802.1X y autenticación MAC RADIUS
- Configuración de PEAP para la autenticación MAC RADIUS
- Autenticación de portal cautivo
- Orden de autenticación flexible en conmutadores de la serie EX
- Falla del servidor Respaldo y autenticación
- Tiempo de espera de la sesión de autenticación
- Autenticación web central
- Asignación de VLAN dinámica para puertos incoloros
- VoIP en conmutadores de la serie EX
- play_arrow Configuración del control de acceso a la red basado en puertos IEEE 802.1x
- play_arrow Configuración del control de acceso a la red basado en puertos IEEE 802.1x en modo LAN mejorado
- Descripción general de 802.1X para enrutadores de la serie MX en modo LAN mejorado
- Descripción de 802.1X y LLDP y LLDP-MED en enrutadores de la serie MX en modo LAN mejorado
- Descripción de la contabilidad 802.1X y RADIUS en enrutadores de la serie MX en modo LAN mejorado
- Descripción de 802.1X y VoIP en enrutadores de la serie MX en modo LAN mejorado
- Descripción de VLAN invitadas para 802.1X en enrutadores serie MX en modo LAN mejorado
- Descripción de las VLAN dinámicas para 802.1X en enrutadores serie MX en modo LAN mejorado
- Descripción de la falla del servidor, la reserva y la autenticación en enrutadores de la serie MX en modo LAN mejorado
- Configuración de la contabilidad RADIUS 802.1X en enrutadores de la serie MX en modo LAN mejorado
- Configuración de la interfaz 802.1X en enrutadores de la serie MX en modo LAN mejorado
- Configuración de LLDP-MED en enrutadores de la serie MX en modo LAN mejorado
- Configuración de LLDP en enrutadores de la serie MX en modo LAN mejorado
- Configuración de la reserva de errores del servidor en enrutadores de la serie MX en modo LAN mejorado
- Descripción de la autenticación de portal cautivo en los enrutadores de la serie MX
- Descripción del tiempo de espera de la sesión de autenticación en enrutadores de la serie MX
- Flujo del proceso de autenticación para enrutadores de la serie MX en modo LAN mejorado
- Especificación de conexiones de servidor RADIUS en un enrutador de la serie MX en modo LAN mejorado
- Configuración de la autenticación del portal cautivo en enrutadores de la serie MX en modo LAN mejorado
- Diseño de una página de inicio de sesión de autenticación de portal cautivo en un enrutador de la serie MX
- Configuración de la omisión MAC estática de la autenticación en enrutadores de la serie MX en modo LAN mejorado
- Control de los tiempos de espera de la sesión de autenticación en un enrutador de la serie MX en modo LAN mejorado
- Configuración de la autenticación MAC RADIUS en enrutadores de la serie MX en modo LAN mejorado
- Ejemplo: Configuración de la autenticación MAC RADIUS en un enrutador de la serie MX
- Ejemplo: Configuración de la autenticación de portal cautivo en un enrutador de la serie MX
- Ejemplo: Conexión de un servidor RADIUS para 802.1X a un enrutador de la serie MX
- Ejemplo: Configuración del 802.1X en salas de conferencias para proporcionar acceso a Internet a los visitantes corporativos en un enrutador de la serie MX
- Ejemplo: Configuración de la omisión MAC estática de la autenticación en un enrutador de la serie MX
- Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS en enrutadores de la serie MX
- play_arrow Detección de dispositivos
- play_arrow Seguridad del nombre de dominio
- Descripción general de DNSSEC
- Configuración del valor TTL para el almacenamiento en caché del servidor DNS
- Ejemplo: Configuración de DNSSEC
- Ejemplo: Configuración de dominios seguros y claves de confianza para DNSSEC
- Ejemplo: Configuración de claves para DNSSEC
- Descripción general del proxy DNS
- Configuración del dispositivo como proxy DNS
- play_arrow Indicadores de permisos
- acceso
- control de acceso
- Admin
- admin-control
- todo
- claro
- configurar
- control
- campo
- cortafuegos
- control de firewall
- disquete
- flujo-grifo
- flujo-grifo-control
- flujo-grifo-operación
- Operación del generador de perfiles de desplazados internos
- interfaz
- control de interfaz
- mantenimiento
- red
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- restablecimiento
- revertir
- enrutamiento
- control de enrutamiento
- secreto
- control secreto
- Seguridad
- control de seguridad
- cáscara
- Snmp
- control SNMP
- sistema
- control del sistema
- rastreo
- control de trazas
- ver
- configuración de vista
- play_arrow Instrucciones de configuración y comandos operativos
Autenticación para protocolos de enrutamiento
Puede configurar un método de autenticación y una contraseña para mensajes de protocolo de enrutamiento para muchos protocolos de enrutamiento, incluidos BGP, IS-IS, OSPF, RIP y RSVP. Para evitar el intercambio de paquetes falsificados o no autenticados, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Los enrutadores vecinos utilizan la contraseña para verificar la autenticidad de los paquetes enviados por el protocolo desde el enrutador o desde una interfaz de enrutador.
En este tema se proporciona información general de alto nivel y algunos ejemplos básicos para autenticar protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar la autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.
Métodos de autenticación para protocolos de enrutamiento
Algunos protocolos de enrutamiento (BGP, IS-IS, OSPF, RIP y RSVP) permiten configurar un método de autenticación y una contraseña. Los enrutadores vecinos utilizan la contraseña para verificar la autenticidad de los paquetes que el protocolo envía desde el enrutador o desde una interfaz de enrutador. Se admiten los siguientes métodos de autenticación:
Autenticación simple (IS-IS, OSPF y RIP): utiliza una contraseña de texto simple. El enrutador receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. Debido a que la contraseña se incluye en el paquete transmitido, este método de autenticación es relativamente inseguro. Le recomendamos que evite el uso de este método de autenticación.
MD5 y HMAC-MD5 (BGP, IS-IS, OSPF, RIP y RSVP): MD5 crea una suma de comprobación codificada que se incluye en el paquete transmitido. HMAC-MD5, que combina la autenticación HMAC con MD5, agrega el uso de una función hash criptográfica iterada. Con ambos tipos de autenticación, el enrutador receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. La autenticación HMAC-MD5 se define en RFC 2104, HMAC: Keyed-hashing para la autenticación de mensajes.
En general, las contraseñas de autenticación son cadenas de texto que constan de un número máximo de letras y dígitos. Las contraseñas pueden incluir cualquier carácter ASCII. Si incluye espacios en una contraseña, escriba todos los caracteres entre comillas (" ").
Junos-FIPS tiene requisitos de contraseña especiales. La longitud de las contraseñas FIPS debe estar comprendida entre 10 y 20 caracteres. Las contraseñas deben tener al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas y minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el enrutador, no puede configurar contraseñas a menos que cumplan este estándar.
Ejemplo: Configurar la clave de autenticación para los protocolos de enrutamiento BGP e IS-IS
La tarea principal de un enrutador es utilizar sus tablas de enrutamiento y reenvío para reenviar el tráfico del usuario a su destino previsto. Los atacantes pueden enviar paquetes de protocolo de enrutamiento falsificados a un enrutador con la intención de cambiar o corromper el contenido de su tabla de enrutamiento u otras bases de datos, lo que a su vez puede degradar la funcionalidad del enrutador y la red. Para evitar este tipo de ataques, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Se recomienda encarecidamente utilizar la autenticación al configurar protocolos de enrutamiento.
Junos OS admite la autenticación HMAC-MD5 para BGP, IS-IS, OSPF, RIP y RSVP. HMAC-MD5 utiliza una clave secreta combinada con los datos que se transmiten para calcular un hash. El hash calculado se transmite junto con los datos. El receptor utiliza la clave coincidente para volver a calcular y validar el hash del mensaje. Si un atacante ha falsificado o modificado el mensaje, el hash no coincidirá y los datos se descartarán.
En los siguientes ejemplos, configuramos BGP como el protocolo de puerta de enlace exterior (EGP) e IS-IS como el protocolo de puerta de enlace interior (IGP). Si utiliza OSPF, configúrelo de manera similar a la configuración de IS-IS que se muestra.
Configurar BGP
En el ejemplo siguiente se muestra la configuración de una única clave de autenticación para los distintos grupos del mismo nivel del BGP. También puede configurar la autenticación BGP en los niveles de instancia vecina o de enrutamiento, o para todas las sesiones BGP. Al igual que con cualquier configuración de seguridad, existe una compensación entre el grado de granularidad (y, hasta cierto punto, el grado de seguridad) y la cantidad de administración necesaria para mantener el sistema.
En este ejemplo también se configuran varias opciones de seguimiento para eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante. El atacante puede estar enviando paquetes de enrutamiento falsificados o mal formados al enrutador en un intento de provocar un comportamiento determinado.
[edit]
protocols {
bgp {
group ibgp {
type internal;
traceoptions {
file bgp-trace size 1m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
neighbor 10.2.1.1;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
group ebgp {
type external;
traceoptions {
file ebgp-trace size 10m files 10;
flag state;
flag general;
}
local-address 10.10.5.1;
log-updown;
peer-as 2;
neighbor 10.2.1.2;
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii";
}
}
}
Configurar IS-IS
Aunque Junos OS admite la autenticación para todos los IGP, algunos IGP son inherentemente más seguros que otros. La mayoría de los proveedores de servicios utilizan OSPF o IS-IS para permitir una rápida convergencia interna y escalabilidad, y para utilizar capacidades de ingeniería de tráfico con MPLS. Dado que IS-IS no funciona en la capa de red, es más difícil suplantar que OSPF. OSPF está encapsulado en IP y, por lo tanto, está sujeto a ataques remotos de suplantación de identidad y denegación de servicio (DoS).
En el ejemplo siguiente se configura la autenticación para IS-IS. También configura una serie de opciones de rastreo para eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante. El atacante puede estar enviando paquetes de enrutamiento falsificados o mal formados al enrutador en un intento de provocar un comportamiento determinado.
[edit]
protocols {
isis {
level 1 {
authentication-key "$9$aH1j8gqQ1gjyjgjhgjgiiiii"; # SECRET-DATA
authentication-type md5;
}
interface at-0/0/0.131 {
lsp-interval 50;
level 2 disable;
level 1 {
metric 3;
hello-interval 5;
hold-time 60;
}
}
interface lo0.0 {
passive;
}
traceoptions {
file isis-trace size 10m files 10;
flag normal;
flag error;
}
}
}
Configurar el mecanismo de actualización de claves de autenticación para protocolos de enrutamiento
Puede configurar un mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento BGP, LDP e IS-IS. Este mecanismo permite actualizar las claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización asociados, como OSPF y RSVP.
Para configurar esta característica, incluya la authentication-key-chains instrucción en el nivel de [edit security] jerarquía. Para aplicar el llavero, debe configurar el identificador del llavero y el algoritmo del llavero en el nivel de jerarquía adecuado para el protocolo.
En las secciones siguientes se proporciona más información acerca de cómo configurar actualizaciones de claves de autenticación para protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar actualizaciones de claves de autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.
- Configurar actualizaciones de claves de autenticación
- Configurar BGP y LDP para actualizaciones de claves de autenticación
Configurar actualizaciones de claves de autenticación
Para configurar el mecanismo de actualización de claves de autenticación, incluya la key-chain instrucción en el [edit security authentication-key-chains] nivel de jerarquía y especifique la key opción para crear un llavero que conste de varias claves de autenticación.
[edit security authentication-key-chains]
key-chain key-chain-name {
key key {
algorithm (hmac-sha-1 | md5)
options (basic | isis-enhanced)
secret secret-data;
start-time yyyy-mm-dd.hh:mm:ss;
}
}
key-chain: asigne un nombre al mecanismo del llavero. Se hace referencia a este nombre en los niveles de jerarquía adecuados para que el protocolo asocie atributos de autenticación key-chain únicos, como se especifica mediante las siguientes opciones:
algorithm—Algoritmo de autenticación para IS-IS.key: valor entero que identifica de forma exclusiva cada clave dentro de un llavero. El rango es de 0 a 63.options—(Sólo IS-IS) Formato de codificación de transmisión de protocolo para codificar el código de autenticación de mensajes en paquetes de protocolo de enrutamiento.secret: contraseña en formato de texto cifrado o texto sin formato. Incluso si introduce los datos secretos en formato de texto sin formato, el secreto siempre aparece en formato cifrado.start-time: hora de inicio para la transmisión de claves de autenticación, especificada en UTC. La hora de inicio debe ser única dentro del llavero.
Configurar BGP y LDP para actualizaciones de claves de autenticación
Para configurar el mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento BGP y LDP, incluya la authentication-key-chain instrucción dentro del nivel de [edit protocols (bgp | ldp)] jerarquía. La inclusión de la authentication-key-chain instrucción asocia cada protocolo de enrutamiento con las claves de [edit security authentication-key-chains] autenticación. También debe configurar la authentication-algorithm instrucción y especificar el algoritmo. Por ejemplo:
[edit protocols]
bgp {
group group-name {
neighbor address {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
}
ldp {
session session-addr {
authentication-algorithm algorithm;
authentication-key-chain key-chain-name;
}
}
Al configurar el mecanismo de actualización de claves de autenticación para BGP, no puede confirmar la 0.0.0.0/allow instrucción con claves de autenticación ni llaveros. Si intenta realizar esta acción, la CLI emite una advertencia y se produce un error en la confirmación.
