İçindekiler:
- Güvenli Yönlendirme Bilgileri Protokolü (RIP)
- IS-IS, MD5'i desteklemekte ve basit bir şifre, şifresiz şifre kullanan basit bir şifre kimlik doğrulamasını desteklemektedir. Kimlik doğrulama etkinleştirildiğinde, IS-IS tüm LSP'lerin güvenilir yönlendiricilerden alındığını doğrular.
- Aşağıdaki komut, bir alandaki bir arabirim için OSPF şifrelemesini, burada omurga alanı belirler. OSPF için, her arabirimdeki şifrelemeyi ayrı ayrı ayarlamanız gerekir:
- grup adı
- adres
Video: Router OSPF Protokolü ile iki Farklı Ağı Haberleştirme 2024
Yönlendirme protokollerini korumanın bir yolu, protokollerin yalnızca sizin bildiğiniz yönlendiricilerin trafiklerini kabul edebilmesi için kimlik doğrulamasını sağlamaktır. Bu yaklaşım, yalnızca güvenilir yönlendiricilerin yönlendirme tablosuna güzergahlara katkıda bulunmalarını ve dolayısıyla trafiğin ağınız üzerinden nasıl yönlendirileceğini belirlemelerini sağlar.
Her bir yönlendirme protokolü için kimlik doğrulamasını ayrı ayrı etkinleştirirsiniz.
Güvenli Yönlendirme Bilgileri Protokolü (RIP)
RIP destekleyen en güvenli kimlik doğrulama MD5'tir:
[protokolleri düzenle] fred @ router # set rip kimlik doğrulama türü md5 [düzenleme protokolleri] fred @ router # set rip kimlik doğrulama anahtarı > key-string MD5, paket kabul etmeden önce alıcı yönlendirici tarafından doğrulanmış bir kodlanmış sağlama toplamı oluşturur. Aynı şifreyi ağdaki tüm RIP yönlendiricilerinde ve aynı kimlik doğrulama türüne yapılandırmanız gerekir. (RIP, kimlik doğrulaması için basit, şifrelenmemiş bir şifre kullanmanıza da olanak tanır.)
IS-IS, MD5'i desteklemekte ve basit bir şifre, şifresiz şifre kullanan basit bir şifre kimlik doğrulamasını desteklemektedir. Kimlik doğrulama etkinleştirildiğinde, IS-IS tüm LSP'lerin güvenilir yönlendiricilerden alındığını doğrular.
Her IS-IS bölgesi, kendi şifreleme yöntemi ve şifresine sahip olabilir. Aşağıdaki komutlar, IS-IS Düzey 2 alanındaki şifrelemeyi ayarlar:
[protokolleri düzenle] fred @ router # set isis düzey 2 kimlik doğrulama türü md5 [düzenleme protokolleri] fred @ router # set isis düzey 2 kimlik doğrulama anahtarı > key-string
Aynı alan içindeki tüm yönlendiriciler aynı kimlik doğrulama anahtarına sahip olmalıdır.
Güvenli OSPF
OSPF ayrıca MD5'i ve basit bir şifre doğrulamasını desteklemektedir. Kimlik doğrulama etkinleştirildiğinde, OSPF, Merhaba ve LSA protokol paketlerini doğrular.Aşağıdaki komut, bir alandaki bir arabirim için OSPF şifrelemesini, burada omurga alanı belirler. OSPF için, her arabirimdeki şifrelemeyi ayrı ayrı ayarlamanız gerekir:
[protokolleri düzenle] fred @ router # ospf alanı 0 0. 0. 0 arabirimi
arabirim adı
kimlik doğrulama md5 1 anahtar > key-string Yönlendiriciler, yalnızca o ağ için aynı kimlik doğrulama anahtarı kullanacak şekilde yapılandırılmış diğer yönlendiricilerle olan arabirimler üzerinden bitişiklik oluşturabilir. BGP hakemlerini doğrulayın BGP oturumları, genellikle oturumlar Internet'te görülebileceğinden ağ üzerinde harici saldırılara maruz kalmaktadır. EBGP eşleri tarafından değiştirilen BGP paketlerinin kimlik doğrulamasının etkinleştirilmesi, yönlendiricinin yetkisiz paketleri kabul etmesini önler. BGP için MD5'i de kullanırsınız. Her BGP grubunun kendi kimlik doğrulama parolası olabilir:
[düzenleme protokolleri] fred @ router # set bgp grubu
grup adı
kimlik doğrulama anahtarı
anahtar dizesi Ayrıca, bir EBGP oturumunda her bir BGP eşi arasında kimlik doğrulama şifresi: [düzenleme protokolleri] fred @ yönlendirici # set bgp grubu grup adı
komşu
adres kimlik doğrulama anahtarı anahtar dizesi > Bir EBGP oturumundaki komşu sıklıkla başka bir AS'dedir; bu nedenle, doğrulama yöntemlerini ve anahtarlarını harici AS yöneticisi ile koordine ettiğinizden emin olun. IBGP eş yönlendiriciler arasında kimlik doğrulamasını da etkinleştirebilirsiniz. IBGP hakemlerinin tamamı idari alanınızdaysa ve bunları güvenilir yönlendiriciler olarak biliyorsanız, bu oturumların kötü amaçlı olarak taklit edilme girişimlerini önlemek için kimlik doğrulamasını sağlamaya değer olabilir. MPLS sinyal protokollerinde kimlik doğrulamayı etkinleştirin MPLS şebekesine etiketler ayırmak ve dağıtmak için MPLS ile (LDP veya RSVP) bir sinyal protokolü kullanıyorsunuz. Bu iki protokol için kimlik doğrulamayı etkinleştirmek, ağdaki MPLS LSP'lerin güvenliğini sağlar.
LDP için kimlik doğrulamasını etkinleştirmek, LDP oturumu için kullanılan sahte bağlantıya karşı TCP bağlantısını sızdırmaya karşı korur. Junos OS, LDP kimlik doğrulaması için bir MD5 imza kullanır. LDP oturumunun her iki tarafında aynı anahtarı (parola) yapılandırırsınız:
[protokolleri düzenle] fred @ router # set ldp oturumu
adres
kimlik doğrulama anahtarı
anahtar dizesi
RSVP kimlik doğrulama, yönlendirici tarafından kabul edilen RSVP trafiğinin güvenilir kaynaklardan geldiğini garanti eder. RSVP, MD5 kimlik doğrulamasını kullanır ve ortak bir ağ kesimindeki tüm arkadaşlar, birbirleriyle iletişim kurmak için aynı kimlik doğrulama anahtarı (şifre) kullanmalıdır: [protokolleri düzenle] fred @ yönlendirici # set rsvp arabirimi arabirimi > anahtar doğrulama anahtar dizesi
