Innholdsfortegnelse:
- Sikker rutingsinformasjonsprotokoll (RIP)
- IS-IS støtter MD5 og en enkel passordautentisering, som bruker et ukryptert passord med klartekst. Når godkjenning er aktivert, validerer IS-IS at alle LSP-er mottas fra klarerte rutere.
- Følgende kommando angir OSPF-kryptering for et grensesnitt i et område, her ryggradsområdet. For OSPF må du sette krypteringen på hvert grensesnitt separat:
- gruppenavn
- adresse
Video: Helsepersonelldagen 2019 – Hvordan sikre riktig helsepersonell i fremtiden? 2025
En måte å beskytte rutingsprotokollene på er å aktivere godkjenning slik at protokollene kun aksepterer trafikk fra rutere som er kjent for deg. Denne tilnærmingen sikrer at kun betroede rutere bidrar til ruter til rutingstabellen, og dermed deltar i å bestemme hvordan trafikk blir rutet gjennom nettverket ditt.
Du aktiverer autentisering for hver ruteprotokoll separat.
Sikker rutingsinformasjonsprotokoll (RIP)
Den mest sikre autentiserings-RIP-støtten er MD5:
[rediger protokoller] fred @ router # sett rip-godkjenningstype md5 [rediger protokoller] fred @ router # sett rip-godkjenningsnøkkel > nøkkelstreng MD5 oppretter et kodet kontrollsum, som er verifisert av mottakerruteren før den aksepterer pakker. Du må konfigurere det samme passordet på alle RIP-rutere på nettverket og samme autentiseringstype. (RIP lar deg også bruke et enkelt, ukryptert passord for autentisering.)
IS-IS støtter MD5 og en enkel passordautentisering, som bruker et ukryptert passord med klartekst. Når godkjenning er aktivert, validerer IS-IS at alle LSP-er mottas fra klarerte rutere.
Hvert IS-IS-område kan ha sin egen krypteringsmetode og passord. Følgende kommandoer angir kryptering i IS-IS nivå 2-området:
[rediger protokoller] fred @ router # sett isis nivå 2 autentiseringstype md5 [rediger protokoller] fred @ router # sett isis nivå 2 autentiseringsnøkkel > nøkkelstreng
Alle rutere innenfor samme område må ha samme autentiseringsnøkkel.
Sikker OSPF
OSPF støtter også MD5 og en enkel passordautentisering. Når autentisering er aktivert, validerer OSPF sin Hello og LSA protokollpakker.Følgende kommando angir OSPF-kryptering for et grensesnitt i et område, her ryggradsområdet. For OSPF må du sette krypteringen på hvert grensesnitt separat:
[rediger protokoller] fred @ router # sett ospf område 0. 0. 0. 0 grensesnitt
grensesnittnavn
autentisering md5 1 nøkkel > nøkkelstreng Rutere vil kun kunne opprette adjacencies over grensesnitt med andre rutere som er konfigurert til å bruke samme autentiseringsnøkkel for det aktuelle nettverket. Godkjenn BGP-jevnaldrende BGP-økter er ofte gjenstand for eksterne angrep på nettverket fordi øktene er synlige på Internett. Aktivering av autentisering av BGP-pakkene som utveksles av EBGP-e-post, forhindrer ruteren i å akseptere uautoriserte pakker. For BGP bruker du også MD5. Hver BGP-gruppe kan ha sitt eget autentiseringspassord:
[rediger protokoller] fred @ router # sett bgp gruppe
gruppenavn
autentiseringsnøkkel
nøkkelstreng Du kan også angi individuelle autentiseringspassord mellom hver BGP-peer i en EBGP-økt: [rediger protokoller] fred @ router # sett bgp-gruppe gruppenavn
nabo
adresse autentiseringsnøkkelnøkkelstreng > Naboen i en EBGP-økt er ofte i en annen AS, så du er sikker på å samordne godkjenningsmetoder og nøkler med administratoren av den eksterne AS. Du kan også aktivere godkjenning mellom IBGP peer routere. Selv om IBGP-jevnaldrene er alle innenfor ditt administrative domene, og du vet at de er klarerte rutere, kan det være verdt å aktivere godkjenning for å forhindre forsøk på å spoofe disse sessene skadelig. Aktiver autentisering på MPLS-signaleringsprotokoller Du bruker en signalprotokoll med MPLS - enten LDP eller RSVP - for å tildele og distribuere etiketter gjennom et MPLS-nettverk. Aktivering av godkjenning for disse to protokollene sikrer sikkerheten til MPLS LSPs i nettverket.
Aktivering av autentisering for LDP beskytter TCP-tilkoblingen som brukes for LDP-økten mot spoofing. Junos OS bruker en MD5 signatur for LDP-godkjenning. Du konfigurerer samme nøkkel (passord) på begge sider av LDP-økten:
[rediger protokoller] fred @ router # sett ldp-økt
adresse
autentiseringsnøkkel
nøkkelstreng
RSVP autentisering sikrer at RSVP-trafikk akseptert av ruteren kommer fra pålitelige kilder. RSVP bruker MD5-godkjenning, og alle jevnaldrende på et felles nettverkssegment må bruke samme autentiseringsnøkkel (passord) for å kommunisere med hverandre: [rediger protokoller] fred @ router # sett rsvp-grensesnitt grensesnitt > autentiseringsnøkkel nøkkel-string
