Làm thế nào để bảo đảm Junos Routing Protocols - núm vú

Một cách để bảo vệ các giao thức định tuyến là cho phép xác thực để các giao thức chỉ chấp nhận lưu lượng từ các bộ định tuyến được bạn biết đến. Cách tiếp cận này đảm bảo rằng chỉ các router tin cậy mới có thể đóng góp các tuyến đường vào bảng định tuyến, và do đó tham gia vào việc xác định lưu lượng được chuyển qua mạng của bạn như thế nào.

Bạn cho phép xác thực riêng cho từng giao thức định tuyến.

Giao thức Thông tin Định tuyến Bảo mật (RIP)

[edit protocols] fred @ router # set rip authentication-type md5 [edit protocols] fred @ router # set rip authentication-key > key-string

MD5 tạo một checksum được mã hoá, được xác nhận bởi bộ định tuyến nhận trước khi nó chấp nhận các gói dữ liệu. Bạn phải cấu hình cùng một mật khẩu trên tất cả các bộ định tuyến RIP trên mạng và cùng kiểu xác thực. (RIP cũng cho phép bạn sử dụng mật khẩu đơn giản, không được mật mã để xác thực) 
Mỗi IS-IS khu vực có thể có phương pháp mã hóa riêng của mình và mật khẩu. Các lệnh sau thiết lập mã hóa trong khu vực IS-IS Level 2:
[sửa đổi các giao thức] fred @ router # thiết lập isis cấp 2 xác thực kiểu md5 [sửa đổi các giao thức] fred @ router # thiết lập isis cấp 2 xác thực-key > key-string

Tất cả các bộ định tuyến trong cùng một khu vực phải có cùng một khoá xác thực.







Bảo mật OSPF
OSPF cũng hỗ trợ MD5 và chứng thực mật khẩu đơn giản. Khi xác thực được kích hoạt, OSPF xác nhận gói tin giao thức Hello và LSA của nó. Lệnh sau thiết lập mã hóa OSPF cho một giao diện trong một khu vực, ở đây là khu vực xương sống. Đối với OSPF, bạn phải đặt mật mã trên mỗi giao diện riêng biệt:

[sửa đổi các giao thức] fred @ router # set ospf area 0. 0. 0. interface interface 999 authentication md5 1 key > key-string
Các bộ định tuyến có thể chỉ tạo ra sự tương hỗ qua các giao diện với các bộ định tuyến khác được cấu hình để sử dụng cùng một khoá xác thực cho mạng đó.

Xác thực các BGP ngang hàng
Các phiên BGP thường là đối tượng của các cuộc tấn công bên ngoài vào mạng bởi vì các phiên có thể được nhìn thấy trên Internet. Kích hoạt tính xác thực của các gói tin BGP được trao đổi bởi các máy tính cá nhân EBGP ngăn router không chấp nhận các gói tin trái phép. Đối với BGP, bạn cũng sử dụng MD5. Mỗi nhóm BGP có thể có mật khẩu xác thực riêng:
[sửa đổi các giao thức] fred @ router # thiết lập nhóm bgp
nhóm-name xác thực-key key-string Bạn cũng có thể đặt cá nhân mật khẩu xác thực giữa mỗi peer BGP trong một phiên làm việc EBGP:

[sửa đổi các giao thức] fred @ router # thiết lập nhóm bgp

tên nhóm
địa chỉ láng giềng xác thực key key-string > Người hàng xóm trong một phiên họp EBGP thường ở một AS khác, do đó bạn cần phải phối hợp các phương pháp xác thực và các khoá với quản trị viên của AS bên ngoài.
Bạn cũng có thể kích hoạt xác thực giữa các bộ định tuyến ngang hàng IBGP. Ngay cả khi các peer của IBGP đều nằm trong miền quản trị của bạn và bạn biết chúng là các bộ định tuyến đáng tin cậy, nên có thể kích hoạt tính năng xác thực để ngăn chặn những cố gắng lừa đảo giả mạo các phiên này. Kích hoạt tính năng xác thực trên các giao thức báo hiệu MPLS Bạn sử dụng một giao thức báo hiệu với MPLS - hoặc là LDP hoặc RSVP - để phân bổ và phân phối các nhãn trên toàn bộ mạng MPLS. Kích hoạt tính năng xác thực cho hai giao thức này đảm bảo tính bảo mật của LSPs MPLS trong mạng. Bật tính năng xác thực cho LDP bảo vệ kết nối TCP được sử dụng cho phiên LDP chống lừa đảo. Junos OS sử dụng một chữ ký MD5 để xác thực LDP. Bạn cấu hình cùng một khóa (mật khẩu) trên cả hai mặt của phiên LDP:

[sửa đổi các giao thức] fred @ router # set ldp session
địa chỉ xác thực- key key-string RSVP chứng thực đảm bảo rằng giao thông RSVP được chấp nhận bởi bộ định tuyến đến từ các nguồn đáng tin cậy. RSVP sử dụng xác thực MD5, và tất cả các peer trên một phân đoạn mạng chung phải sử dụng cùng một khoá xác thực (mật khẩu) để giao tiếp với nhau: [sửa đổi các giao thức] fred @ router # set rsvp interface

interface > chứng thực-key
key-string