Isi kandungan:
- Secure Routing Information Protocol (RIP)
- IS-IS menyokong MD5 dan pengesahan kata laluan yang mudah, yang menggunakan kata laluan teks yang jelas dan tidak terenkripsi. Apabila pengesahan diaktifkan, IS-IS mengesahkan bahawa semua LSP diterima daripada router yang dipercayai.
- Perintah berikut menetapkan penyulitan OSPF untuk antara muka di kawasan, di sini kawasan tulang belakang. Untuk OSPF, anda mesti menetapkan penyulitan pada setiap antara muka secara berasingan:
- kumpulan-nama
- alamat
Video: 20181206 membuat snort rules deteksi ftp login incorrect 2024
Salah satu cara untuk melindungi protokol routing adalah untuk membolehkan pengesahan supaya protokol menerima trafik hanya dari router yang diketahui kepada anda. Pendekatan ini memastikan bahawa router yang dipercayai hanya menyumbang laluan ke jadual penghalaan dan, dengan itu, mengambil bahagian dalam menentukan bagaimana lalu lintas dihalakan melalui rangkaian anda.
Anda mendayakan pengesahan untuk setiap protokol peralihan secara berasingan.
Secure Routing Information Protocol (RIP)
Pengesahan RIP yang paling selamat adalah MD5:
[sunting protokol] fred @ router # menetapkan rip authentication-type md5 [edit protokol] fred @ router # set key-authentication rip > tali kekunci MD5 mencipta cek cek yang dikodkan, yang disahkan oleh penghantar penerima sebelum menerima paket. Anda mesti mengkonfigurasi kata laluan yang sama pada semua router RIP pada rangkaian dan jenis pengesahan yang sama. (RIP juga membolehkan anda menggunakan kata laluan yang mudah dan tidak terenkripsi untuk pengesahan.)
IS-IS menyokong MD5 dan pengesahan kata laluan yang mudah, yang menggunakan kata laluan teks yang jelas dan tidak terenkripsi. Apabila pengesahan diaktifkan, IS-IS mengesahkan bahawa semua LSP diterima daripada router yang dipercayai.
Setiap kawasan IS-IS boleh mempunyai kaedah penyulitan dan kata laluan tersendiri. Arahan berikut menetapkan enkripsi di kawasan IS-IS Level 2:
[protokol edit] fred @ router # set isis level 2 authentication-type md5 [edit protokol] fred @ router # set isis level 2 authentication-key > rentetan kekunci
Semua penghala di kawasan yang sama mestilah mempunyai kunci pengesahan yang sama.
Secure OSPF
OSPF juga menyokong MD5 dan pengesahan kata laluan mudah. Apabila pengesahan diaktifkan, OSPF mengesahkan paket protokol Hello dan LSA.Perintah berikut menetapkan penyulitan OSPF untuk antara muka di kawasan, di sini kawasan tulang belakang. Untuk OSPF, anda mesti menetapkan penyulitan pada setiap antara muka secara berasingan:
[sunting protokol] fred @ router # tetapkan kawasan ospf 0. 0. 0 muka 0
antara muka-nama
pengesahan md5 1 kekunci > rentetan kekunci Penghala dapat membentuk adjacencies hanya melalui antara muka dengan router lain yang dikonfigurasikan untuk menggunakan kunci pengesahan yang sama untuk rangkaian itu. Benteng sah BGP sesi BGP sering menjadi subjek serangan luaran pada rangkaian kerana sesi itu dapat dilihat di Internet. Mengaktifkan pengesahan paket BGP yang ditukar oleh rakan EBGP menghalang penghala daripada menerima paket yang tidak dibenarkan. Untuk BGP, anda juga menggunakan MD5. Setiap kumpulan BGP boleh mempunyai kata laluan pengesahannya sendiri:
[edit protokol] fred @ router # kumpulan bgp set
kumpulan-nama
key-authentication
key-string kata laluan pengesahan di antara setiap rakan BGP dalam sesi EBGP: [sunting protokol] fred @ router # kumpulan bgp kumpulan nama
jiran
alamat key-key key > Jiran dalam sesi EBGP sering di AS yang lain, jadi anda pasti menyelaraskan kaedah dan kunci pengesahan dengan pentadbir AS luaran. Anda juga boleh mendayakan pengesahan antara penghubung rakan sebaya IBGP. Walaupun rakan sebaya IBGP semuanya berada dalam domain pentadbiran anda dan anda tahu mereka menjadi penghubung yang dipercayai, ia mungkin bernilai membolehkan pengesahan untuk mengelakkan percubaan untuk merosakkan sesi ini secara berniat jahat. Dayakan pengesahan pada protokol isyarat MPLS Anda menggunakan protokol isyarat dengan MPLS - sama ada LDP atau RSVP - untuk memperuntukkan dan mengedarkan label sepanjang rangkaian MPLS. Mengaktifkan pengesahan untuk kedua-dua protokol ini memastikan keselamatan LSP MPLS dalam rangkaian.
Mengaktifkan pengesahan untuk LDP melindungi sambungan TCP yang digunakan untuk sesi LDP terhadap spoofing. Junos OS menggunakan tandatangan MD5 untuk pengesahan LDP. Anda menetapkan kunci yang sama (kata laluan) pada kedua-dua belah sesi LDP:
[sunting protokol] fred @ router # set ldp sesi
alamat
key-string
pengesahan memastikan bahawa trafik RSVP yang diterima oleh penghala datang dari sumber yang dipercayai. RSVP menggunakan pengesahan MD5, dan semua rakan sebaya di segmen rangkaian biasa mesti menggunakan kekunci pengesahan yang sama (kata laluan) untuk berkomunikasi antara satu sama lain:
[sunting protokol] fred @ router # antara muka antarmuka rsvp antara muka > key-authentication -key key
