Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación para protocolos de enrutamiento

Puede configurar un método de autenticación y una contraseña para mensajes de protocolo de enrutamiento para muchos protocolos de enrutamiento, incluidos BGP, IS-IS, OSPF, RIP y RSVP. Para evitar el intercambio de paquetes falsificados o no autenticados, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Los enrutadores vecinos utilizan la contraseña para verificar la autenticidad de los paquetes enviados por el protocolo desde el enrutador o desde una interfaz de enrutador.

En este tema se proporciona información general de alto nivel y algunos ejemplos básicos para autenticar protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar la autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.

Métodos de autenticación para protocolos de enrutamiento

Algunos protocolos de enrutamiento (BGP, IS-IS, OSPF, RIP y RSVP) permiten configurar un método de autenticación y una contraseña. Los enrutadores vecinos utilizan la contraseña para verificar la autenticidad de los paquetes que el protocolo envía desde el enrutador o desde una interfaz de enrutador. Se admiten los siguientes métodos de autenticación:

  • Autenticación simple (IS-IS, OSPF y RIP): utiliza una contraseña de texto simple. El enrutador receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. Debido a que la contraseña se incluye en el paquete transmitido, este método de autenticación es relativamente inseguro. Le recomendamos que evite el uso de este método de autenticación.

  • MD5 y HMAC-MD5 (BGP, IS-IS, OSPF, RIP y RSVP): MD5 crea una suma de comprobación codificada que se incluye en el paquete transmitido. HMAC-MD5, que combina la autenticación HMAC con MD5, agrega el uso de una función hash criptográfica iterada. Con ambos tipos de autenticación, el enrutador receptor utiliza una clave de autenticación (contraseña) para verificar el paquete. La autenticación HMAC-MD5 se define en RFC 2104, HMAC: Keyed-hashing para la autenticación de mensajes.

En general, las contraseñas de autenticación son cadenas de texto que constan de un número máximo de letras y dígitos. Las contraseñas pueden incluir cualquier carácter ASCII. Si incluye espacios en una contraseña, escriba todos los caracteres entre comillas (" ").

Junos-FIPS tiene requisitos de contraseña especiales. La longitud de las contraseñas FIPS debe estar comprendida entre 10 y 20 caracteres. Las contraseñas deben tener al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas y minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el enrutador, no puede configurar contraseñas a menos que cumplan este estándar.

Ejemplo: Configurar la clave de autenticación para los protocolos de enrutamiento BGP e IS-IS

La tarea principal de un enrutador es utilizar sus tablas de enrutamiento y reenvío para reenviar el tráfico del usuario a su destino previsto. Los atacantes pueden enviar paquetes de protocolo de enrutamiento falsificados a un enrutador con la intención de cambiar o corromper el contenido de su tabla de enrutamiento u otras bases de datos, lo que a su vez puede degradar la funcionalidad del enrutador y la red. Para evitar este tipo de ataques, los enrutadores deben asegurarse de que forman relaciones de protocolo de enrutamiento (emparejamiento o relaciones vecinas) con pares de confianza. Una forma de hacerlo es mediante la autenticación de mensajes de protocolo de enrutamiento. Se recomienda encarecidamente utilizar la autenticación al configurar protocolos de enrutamiento.

Junos OS admite la autenticación HMAC-MD5 para BGP, IS-IS, OSPF, RIP y RSVP. HMAC-MD5 utiliza una clave secreta combinada con los datos que se transmiten para calcular un hash. El hash calculado se transmite junto con los datos. El receptor utiliza la clave coincidente para volver a calcular y validar el hash del mensaje. Si un atacante ha falsificado o modificado el mensaje, el hash no coincidirá y los datos se descartarán.

En los siguientes ejemplos, configuramos BGP como el protocolo de puerta de enlace exterior (EGP) e IS-IS como el protocolo de puerta de enlace interior (IGP). Si utiliza OSPF, configúrelo de manera similar a la configuración de IS-IS que se muestra.

Configurar BGP

En el ejemplo siguiente se muestra la configuración de una única clave de autenticación para los distintos grupos del mismo nivel del BGP. También puede configurar la autenticación BGP en los niveles de instancia vecina o de enrutamiento, o para todas las sesiones BGP. Al igual que con cualquier configuración de seguridad, existe una compensación entre el grado de granularidad (y, hasta cierto punto, el grado de seguridad) y la cantidad de administración necesaria para mantener el sistema.

En este ejemplo también se configuran varias opciones de seguimiento para eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante. El atacante puede estar enviando paquetes de enrutamiento falsificados o mal formados al enrutador en un intento de provocar un comportamiento determinado.

Configurar IS-IS

Aunque Junos OS admite la autenticación para todos los IGP, algunos IGP son inherentemente más seguros que otros. La mayoría de los proveedores de servicios utilizan OSPF o IS-IS para permitir una rápida convergencia interna y escalabilidad, y para utilizar capacidades de ingeniería de tráfico con MPLS. Dado que IS-IS no funciona en la capa de red, es más difícil suplantar que OSPF. OSPF está encapsulado en IP y, por lo tanto, está sujeto a ataques remotos de suplantación de identidad y denegación de servicio (DoS).

En el ejemplo siguiente se configura la autenticación para IS-IS. También configura una serie de opciones de rastreo para eventos y errores de protocolo de enrutamiento, que pueden ser buenos indicadores de ataques contra protocolos de enrutamiento. Estos eventos incluyen errores de autenticación de protocolo, que pueden apuntar a un atacante. El atacante puede estar enviando paquetes de enrutamiento falsificados o mal formados al enrutador en un intento de provocar un comportamiento determinado.

Configurar el mecanismo de actualización de claves de autenticación para protocolos de enrutamiento

Puede configurar un mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento BGP, LDP e IS-IS. Este mecanismo permite actualizar las claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización asociados, como OSPF y RSVP.

Para configurar esta característica, incluya la authentication-key-chains instrucción en el nivel de [edit security] jerarquía. Para aplicar el llavero, debe configurar el identificador del llavero y el algoritmo del llavero en el nivel de jerarquía adecuado para el protocolo.

En las secciones siguientes se proporciona más información acerca de cómo configurar actualizaciones de claves de autenticación para protocolos de enrutamiento. Para obtener información detallada acerca de cómo configurar actualizaciones de claves de autenticación para un protocolo de enrutamiento específico, consulte la guía del usuario de ese protocolo.

Configurar actualizaciones de claves de autenticación

Para configurar el mecanismo de actualización de claves de autenticación, incluya la key-chain instrucción en el [edit security authentication-key-chains] nivel de jerarquía y especifique la key opción para crear un llavero que conste de varias claves de autenticación.

key-chain: asigne un nombre al mecanismo del llavero. Se hace referencia a este nombre en los niveles de jerarquía adecuados para que el protocolo asocie atributos de autenticación key-chain únicos, como se especifica mediante las siguientes opciones:

  • algorithm—Algoritmo de autenticación para IS-IS.

  • key: valor entero que identifica de forma exclusiva cada clave dentro de un llavero. El rango es de 0 a 63.

  • options—(Sólo IS-IS) Formato de codificación de transmisión de protocolo para codificar el código de autenticación de mensajes en paquetes de protocolo de enrutamiento.

  • secret: contraseña en formato de texto cifrado o texto sin formato. Incluso si introduce los datos secretos en formato de texto sin formato, el secreto siempre aparece en formato cifrado.

  • start-time: hora de inicio para la transmisión de claves de autenticación, especificada en UTC. La hora de inicio debe ser única dentro del llavero.

Configurar BGP y LDP para actualizaciones de claves de autenticación

Para configurar el mecanismo de actualización de claves de autenticación para los protocolos de enrutamiento BGP y LDP, incluya la authentication-key-chain instrucción dentro del nivel de [edit protocols (bgp | ldp)] jerarquía. La inclusión de la authentication-key-chain instrucción asocia cada protocolo de enrutamiento con las claves de [edit security authentication-key-chains] autenticación. También debe configurar la authentication-algorithm instrucción y especificar el algoritmo. Por ejemplo:

Nota:

Al configurar el mecanismo de actualización de claves de autenticación para BGP, no puede confirmar la 0.0.0.0/allow instrucción con claves de autenticación ni llaveros. Si intenta realizar esta acción, la CLI emite una advertencia y se produce un error en la confirmación.