配置LDP安全特性
在对安全性要求较高的网络中,可以通过配置LDP MD5认证、LDP Keychain认证、LDP GTSM(Generalized TTL Security Mechanism)来提高网络的安全性。缺省情况下,没有配置LDP安全特性。建议配置这些特性,否则系统可能不安全。
应用环境
配置LDP MD5认证
MD5的典型应用是针对一段信息计算出对应的信息摘要,从而防止信息被篡改。MD5信息摘要是通过不可逆的字符串变换算法产生的,结果唯一。因此,不管信息内容在传输过程中发生任何形式的改变,只要重新计算就会产生不同的信息摘要,接收端就可以由此判定收到的是一个不正确的报文。
配置MD5认证时,LDP会话的两个对等体可以配置不同的认证方式:明文方式或者密文方式,但是密码必须相同。
配置LDP Keychain认证
Keychain是一种增强型加密算法,类似于MD5,Keychain也是针对同一段信息计算出对应的信息摘要,实现LDP报文防篡改校验。
Keychain允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法(包括MD5,SHA-1等)及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法以及密码的有效时间,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。
在配置LDP Keychain认证之前,首先需要配置全局的Keychain认证,才能配置成功。否则LDP会话将会断开。
配置LDP GTSM功能
GTSM机制通过TTL的检测来达到防止攻击的目的。攻击者模拟真实的LDP协议单播报文,对节点发送报文。当设备的接口板接收到这些报文后,发现是本机报文,则直接上送控制层面的LDP协议处理,而不加辨别其“合法性”。控制层面因为处理这些“合法”报文,导致系统异常繁忙,CPU占用率高。
配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对节点进行保护,增强系统的安全性。
前置任务
在配置LDP安全特性之前,需完成以下任务:
使能MPLS和MPLS LDP能力。
(可选)配置全局的Keychain认证。
配置LDP MD5认证
配置LDP认证,可以提高LDP会话连接的安全性。需要在会话两端的LSR上进行配置。
背景信息
为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5认证。LDP会话的两个对等体可以配置不同的认证方式,但是密码必须相同。
LDP MD5就是应用其对同一信息段产生唯一摘要信息的特点来实现LDP报文防篡改校验,比一般意义上TCP校验更为严格。
MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。
Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。
LDP安全认证的配置,按生效优先级从高到低的排序是:对单对等体的配置、按对等体组批量配置、对所有对等体批量配置。对于同一优先级的配置,Keychain认证和MD5认证是互斥的。对于不同优先级的配置,Keychain认证和MD5认证可以同时配置,但对同一对等体来说,只有高优先级的配置生效。例如:对单对等体Peer1配置了MD5认证后,再对所有对等体批量配置Keychain认证,则Peer1仍采用MD5认证。其他对等体会采用Keychain认证。
操作步骤
- 对单对等体配置LDP MD5认证
- 执行命令md5-password { plain | cipher } peer-lsr-id password,使能MD5认证,并配置认证密码。
密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
在用户配置认证密码时有明文和密文两种形式选择,这里的明文密文是对用户设置的认证密码在配置文件中的记录形式而言的。明文就是直接记录用户设置的字符串,密文就是记录经过特殊算法加密后的字符串。
配置密码时,如果选择明文模式,密码将会以明文的方式保存在配置文件中。这种格式有高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
配置LDP MD5认证会导致LDP会话重建,与原来会话相关的LSP将被删除。
- 执行命令md5-password { plain | cipher } peer-lsr-id password,使能MD5认证,并配置认证密码。
- 按对等体组批量配置LDP
MD5认证
- 执行命令md5-password { plain | cipher } peer-group ip-prefix-name password,按对等体组批量使能MD5认证,并配置认证密码。
其中,对等体组包含的对等体IP地址范围,由IP地址前缀列表ip-prefix-name来限定。因此,执行此步骤前需要先配置名称为ip-prefix-name的IP地址前缀列表。
密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
- 执行命令md5-password { plain | cipher } peer-group ip-prefix-name password,按对等体组批量使能MD5认证,并配置认证密码。
- 对所有对等体批量配置LDP
MD5认证
- 执行命令md5-password { plain | cipher } all password,对所有对等体批量使能MD5认证,并配置认证密码。
密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。
- 执行命令md5-password { plain | cipher } all password,对所有对等体批量使能MD5认证,并配置认证密码。
配置LDP Keychain认证
配置LDP Keychain认证,可以提高LDP会话连接的安全性。需要在会话两端的LSR上进行配置。
背景信息
为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置Keychain认证。
Keychain允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法(包括MD5,SHA-1等)及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法以及密码的有效时间,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。
MD5算法配置简单,配置后生成单一密码,需要人为干预才可以切换密码,适用于需要短时间加密的网络。
Keychain具有一组密码,可以根据配置自动切换,但是配置过程较为复杂,适用于对安全性能要求比较高的网络。
LDP安全认证的配置,按生效优先级从高到低的排序是:对单对等体的配置、按对等体组批量配置、对所有对等体批量配置。对于同一优先级的配置,Keychain认证和MD5认证是互斥的。对于不同优先级的配置,Keychain认证和MD5认证可以同时配置,但对同一对等体来说,只有高优先级的配置生效。例如:对单对等体Peer1配置了MD5认证后,再对所有对等体批量配置Keychain认证,则Peer1仍采用MD5认证。其他对等体会采用Keychain认证。
配置LDP Keychain认证之前,首先要配置全局Keychain。具体配置过程参见《NE40E 配置指南-安全》。
操作步骤
- 对单对等体配置LDP Keychain认证
- 执行命令authentication key-chain peer peer-id name keychain-name,使能LDP Keychain认证,并引用配置的Keychain名称。
配置LDP Keychain认证会导致LDP会话重建,与原来会话相关的LSP将被删除。
- 执行命令authentication key-chain peer peer-id name keychain-name,使能LDP Keychain认证,并引用配置的Keychain名称。
- 按对等体组批量配置LDP
Keychain认证
- 对所有对等体批量配置LDP
Keychain认证
- 执行命令system-view,进入系统视图。
- 执行命令mpls ldp,进入MPLS-LDP视图。
- 执行命令authentication key-chain all name keychain-name,对所有对等体批量使能LDP Keychain认证,并引用配置的Keychain名称。
- (可选)执行命令authentication exclude peer peer-id,指定不认证的对等体。
- 执行命令commit,提交配置。
