Indholdsfortegnelse:
- Sikker Routing Information Protocol (RIP)
- IS-IS understøtter MD5 og en simpel adgangskodeautentificering, der bruger et ukrypteret kodeord, der ikke er krypteret. Når godkendelse er aktiveret, validerer IS-IS, at alle LSP'er modtages fra pålidelige routere.
- Følgende kommando angiver OSPF-kryptering for en grænseflade i et område, her backbone-området. For OSPF skal du indstille krypteringen på hver grænseflade separat:
- gruppe navn
- adresse
Video: RWBY Volume 4, Chapter 1: The Next Step | Rooster Teeth 2024
En måde at beskytte ruteprotokollerne på er at aktivere godkendelse, så protokollerne kun accepterer trafik fra routere, der er kendt af dig. Denne tilgang sikrer, at kun betroede routere bidrager med ruter til rutingstabellen og dermed deltager i at bestemme, hvordan trafikken bliver sendt via dit netværk.
Du aktiverer autentificering for hver ruteprotokoll separat.
Sikker Routing Information Protocol (RIP)
Den sikreste godkendelse RIP understøtter er MD5:
[rediger protokoller] fred @ router # set rip-godkendelsestype md5 [rediger protokoller] fred @ router # sæt rip-godkendelsestast > key-string MD5 opretter et kodet checksum, som bekræftes af den modtagende router, inden den accepterer pakker. Du skal konfigurere den samme adgangskode på alle RIP-routere på netværket og den samme autentificeringstype. (RIP giver dig også mulighed for at bruge en enkel, ukrypteret adgangskode til godkendelse.)
IS-IS understøtter MD5 og en simpel adgangskodeautentificering, der bruger et ukrypteret kodeord, der ikke er krypteret. Når godkendelse er aktiveret, validerer IS-IS, at alle LSP'er modtages fra pålidelige routere.
Hvert IS-IS-område kan have sin egen krypteringsmetode og adgangskode. Følgende kommandoer angiver kryptering i IS-IS-niveau 2-området:
[rediger protokoller] fred @ router # sæt isis niveau 2 autentificeringstype md5 [rediger protokoller] fred @ router # sæt isis niveau 2 godkendelsestast > key-string
Alle routere inden for samme område skal have samme godkendelsesnøgle.
Secure OSPF
OSPF understøtter også MD5 og en simpel adgangskode godkendelse. Når autentificering er aktiveret, validerer OSPF sine Hello og LSA-protokollapakker.Følgende kommando angiver OSPF-kryptering for en grænseflade i et område, her backbone-området. For OSPF skal du indstille krypteringen på hver grænseflade separat:
[rediger protokoller] fred @ router # sæt ospf område 0. 0. 0. 0 interface
interface navn
godkendelse md5 1 tast > key-string Routere vil kun kunne danne adjacencies over grænseflader med andre routere, der er konfigureret til at bruge den samme autentificeringsnøgle til det pågældende netværk. Godkendelse af BGP-kammerater BGP-sessioner er ofte genstand for eksterne angreb på netværket, fordi sessionerne er synlige på internettet. Aktivering af autentificering af BGP-pakkerne udvekslet af EBGP-jævnaldrende forhindrer routeren i at acceptere uautoriserede pakker. For BGP bruger du også MD5. Hver BGP-gruppe kan have sin egen godkendelsesadgangskode:
[rediger protokoller] fred @ router # sæt bgp gruppe
gruppe navn
autentificeringstast
nøglesnor Du kan også indstille individuelle godkendelsesadgangskoder mellem hver BGP-peer i en EBGP-session: [rediger protokoller] fred @ router # sæt bgp-gruppe gruppe navn
nabo
adresse autentificeringstast nøgle streng > Naboen i en EBGP-session er ofte i en anden AS, så du er sikker på at koordinere godkendelsesmetoder og nøgler med administratoren af den eksterne AS. Du kan også aktivere godkendelse mellem IBGP peer routere. Selvom IBGP-jævnaldrende er alle inden for dit administrative domæne, og du kender dem til at være tillid til routere, kan det være værd at aktivere godkendelse for at forhindre forsøg på at spoof disse sessioner ondskabsfuldt. Aktiver godkendelse på MPLS-signalprotokoller Du bruger en signalprotokol med MPLS - enten LDP eller RSVP - til at allokere og distribuere etiketter i et MPLS-netværk. Aktivering af godkendelse af disse to protokoller sikrer sikkerheden for MPLS LSP'erne i netværket.
Aktivering af godkendelse til LDP beskytter den TCP-forbindelse, der bruges til LDP-sessionen mod spoofing. Junos OS bruger en MD5 signatur til LDP-godkendelse. Du konfigurerer den samme nøgle (adgangskode) på begge sider af LDP-sessionen:
[rediger protokoller] fred @ router # set ldp session
adresse
nøgleord
nøglesnor
RSVP autentificering sikrer, at RSVP-trafik accepteret af routeren kommer fra pålidelige kilder. RSVP bruger MD5-godkendelse, og alle jævnaldrende på et fælles netværkssegment skal bruge den samme autentificeringsnøgle (adgangskode) for at kommunikere med hinanden: [rediger protokoller] fred @ router # set rsvp interface interface > autentificering-key -tasten-string
