Inhaltsverzeichnis:
- Sicheres Routing-Informationsprotokoll (RIP)
- IS-IS unterstützt MD5 und eine einfache Passwort-Authentifizierung, die ein unverschlüsseltes Passwort verwendet. Wenn die Authentifizierung aktiviert ist, überprüft IS-IS, dass alle LSPs von vertrauenswürdigen Routern empfangen werden.
- Der folgende Befehl setzt die OSPF-Verschlüsselung für eine Schnittstelle in einem Bereich, hier dem Backbone-Bereich. Für OSPF müssen Sie die Verschlüsselung für jede Schnittstelle separat festlegen:
- Gruppenname
- Adresse
Video: L2TP over IPsec-VPN-Einwahl mit Windows 10 [German FullHD] 2024
Eine Möglichkeit, die Routing-Protokolle zu schützen, besteht darin, die Authentifizierung so zu aktivieren, dass die Protokolle nur Datenverkehr von Ihnen bekannten Routern akzeptieren. Dieser Ansatz stellt sicher, dass nur vertrauenswürdige Router Routen in die Routing-Tabelle eintragen und somit an der Ermittlung der Weiterleitung von Datenverkehr über das Netzwerk beteiligt sind.
Sie aktivieren die Authentifizierung für jedes Routingprotokoll separat.
Sicheres Routing-Informationsprotokoll (RIP)
Die sicherste Authentifizierungs-RIP-Unterstützung ist MD5:
[Protokolle bearbeiten] fred @ router # set rip authentication-type md5 [Protokolle bearbeiten] fred @ router # set rip authentication-key > Schlüssel-String MD5 erzeugt eine verschlüsselte Prüfsumme, die vom empfangenden Router verifiziert wird, bevor er Pakete akzeptiert. Sie müssen dasselbe Kennwort auf allen RIP-Routern im Netzwerk und demselben Authentifizierungstyp konfigurieren. (Mit RIP können Sie auch ein einfaches, unverschlüsseltes Passwort für die Authentifizierung verwenden.)
IS-IS unterstützt MD5 und eine einfache Passwort-Authentifizierung, die ein unverschlüsseltes Passwort verwendet. Wenn die Authentifizierung aktiviert ist, überprüft IS-IS, dass alle LSPs von vertrauenswürdigen Routern empfangen werden.
Jeder IS-IS-Bereich kann eine eigene Verschlüsselungsmethode und ein eigenes Kennwort haben. Die folgenden Befehle legen die Verschlüsselung im Bereich IS-IS Level 2 fest:
[Protokolle bearbeiten] fred @ router # isis level 2 authentication-type md5 [Protokolle bearbeiten] fred @ router # isis level 2 authentication-key > key-string
Alle Router innerhalb desselben Bereichs müssen denselben Authentifizierungsschlüssel haben.
Secure OSPF
OSPF unterstützt auch MD5 und eine einfache Passwortauthentifizierung. Wenn die Authentifizierung aktiviert ist, validiert OSPF seine Hello- und LSA-Protokollpakete.Der folgende Befehl setzt die OSPF-Verschlüsselung für eine Schnittstelle in einem Bereich, hier dem Backbone-Bereich. Für OSPF müssen Sie die Verschlüsselung für jede Schnittstelle separat festlegen:
[Protokolle bearbeiten] fred @ router # set ospf area 0. 0. 0. 0 Schnittstelle
Schnittstellenname
Authentifizierung md5 1 Schlüssel > key-string Router können nur über Schnittstellen mit anderen Routern, die so konfiguriert sind, dass sie denselben Authentifizierungsschlüssel für dieses Netzwerk verwenden, Nachbarschaften bilden. BGP-Peers authentifizieren BGP-Sitzungen sind häufig Gegenstand von externen Angriffen auf das Netzwerk, da die Sitzungen im Internet sichtbar sind. Das Aktivieren der Authentifizierung der BGP-Pakete, die von EBGP-Peers ausgetauscht werden, verhindert, dass der Router nicht autorisierte Pakete akzeptiert. Für BGP verwenden Sie auch MD5. Jede BGP-Gruppe kann ein eigenes Authentifizierungspasswort haben:
[Editierprotokolle] fred @ router # set bgp group
Gruppenname
Authentifizierungsschlüssel
key-string Sie können auch individuelle Authentifizierungspasswörter zwischen jedem BGP-Peer in einer EBGP-Sitzung: [Protokolle bearbeiten] fred @ router # set bgp group Gruppenname
Nachbar
Adresse Authentifizierungsschlüssel key-string > Der Nachbar in einer EBGP-Sitzung befindet sich oft in einem anderen AS, daher müssen Sie die Authentifizierungsmethoden und Schlüssel mit dem Administrator des externen AS koordinieren. Sie können die Authentifizierung auch zwischen IBGP-Peer-Routern aktivieren. Selbst wenn sich die IBGP-Peers in Ihrer Verwaltungsdomäne befinden und Sie sie als vertrauenswürdige Router kennen, kann es sinnvoll sein, die Authentifizierung zu aktivieren, um zu verhindern, dass diese Sitzungen bösartig gefälscht werden. Authentifizierung bei MPLS-Signalisierungsprotokollen aktivieren Sie verwenden ein Signalisierungsprotokoll mit MPLS - entweder LDP oder RSVP -, um Labels in einem MPLS-Netzwerk zuzuordnen und zu verteilen. Die Aktivierung der Authentifizierung für diese beiden Protokolle gewährleistet die Sicherheit der MPLS-LSPs im Netzwerk.
Die Aktivierung der Authentifizierung für LDP schützt die für die LDP-Sitzung verwendete TCP-Verbindung vor Spoofing. Das Junos-Betriebssystem verwendet eine MD5-Signatur für die LDP-Authentifizierung. Sie konfigurieren denselben Schlüssel (Passwort) auf beiden Seiten der LDP-Sitzung:
[Protokolle bearbeiten] fred @ router # set ldp session
Adresse
Authentifizierungsschlüssel
Schlüssel-String
RSVP Die Authentifizierung stellt sicher, dass der vom Router akzeptierte RSVP-Datenverkehr von vertrauenswürdigen Quellen stammt. RSVP verwendet MD5-Authentifizierung, und alle Peers in einem gemeinsamen Netzwerksegment müssen denselben Authentifizierungsschlüssel (Kennwort) verwenden, um miteinander zu kommunizieren: [Protokolle bearbeiten] fred @ router # set rsvp interface interface > Authentifizierungsschlüssel Schlüssel-String
