解説書 Vol.1
IS-ISには,受信パケットを認証する機能があります。認証機能により,一部の攻撃を防ぐことができます。
- ネットワーク上に不正にIS-ISプロトコルを送受信する機器が存在しても,認証鍵が一致しない限り,この機器と接続しないよう動作します。
- ネットワーク上に存在する攻撃者の機器が,ネットワーク上にすでに存在し接続している正しいルータのふりをしてLSPを送信してきても,不正機器の認証鍵が一致しない限り,このLSPを無視します。
IS-IS認証の認証対象は二つあります。それぞれ隣接ルータとLSPです。
本装置がサポートするIS-IS認証方式は二つあります。それぞれ,平文認証と暗号化認証です。
- <この項の構成>
- (1) 隣接ルータの認証
- (2) LSPの認証
- (3) 平文認証
- (4) HMAC-MD5認証
- (5) 認証の変更
(1) 隣接ルータの認証
隣接ルータへ接続している本装置のインタフェースに設定した認証鍵と,本装置へ接続している隣接ルータのインタフェースに設定した認証鍵が同じ場合にだけ,本装置と隣接ルータが互いに認証に成功し,接続することができます。
ブロードキャスト型インタフェースでは,レベル個別に認証します。ポイント−ポイント型インタフェースでは,レベルを区別せずに隣接ルータを認証します。
- 【注意事項】
- ブロードキャスト型インタフェースの場合
ある回線に接続しているすべてのルータで,その回線への接続IS-ISインタフェースのレベル1接続ルータ認証鍵を一致させてください。また,その回線への接続IS-ISインタフェースのレベル2隣接ルータ認証鍵を一致させてください。認証鍵が一致していない場合,隣接ルータとつながりません。
- ポイント−ポイント型インタフェースの場合
対向装置と同じ認証鍵をレベル指定なしで設定してください。認証鍵が一致していない場合,隣接ルータとつながりません。
認証鍵をレベル指定して設定した場合,レベル1-2インタフェースまたはレベル1インタフェースではレベル1の認証鍵を使用します。レベル2インタフェースではレベル2の認証鍵を使用します。
(2) LSPの認証
LSPの生成元ルータに設定した認証鍵と,本装置に設定した認証鍵が同じ場合だけ,本装置が該当LSPを受け入れます。逆に,本装置に設定した認証鍵と,IS-ISネットワーク上のほかのルータに設定した認証鍵が同じ場合だけ,本装置が生成したLSPがほかのルータに受け入れられます。
- 【注意事項】
- レベル1ドメイン上にあるすべてのルータで,レベル1のLSP認証鍵を一致させてください。一致していない場合,レベル1の経路が正しく生成されません。
- IS-ISドメイン上にあるすべてのレベル2ルータで,レベル2の認証鍵を一致させてください。一致していない場合,レベル2の経路が正しく生成されません。
(3) 平文認証
平文認証は,認証鍵がそのままの形でパケットに含まれる方式です。平文認証のモデル図を次に示します。
送信・広告側では認証鍵をパケットの認証フィールドにコピーします。受信側では,認証鍵とパケット中の認証フィールドを比較し,これが一致したときだけ認証に成功したものとみなします。
認証方式の不一致,認証鍵長の不一致,および認証鍵の不一致は,すべて認証失敗とみなします。
図14-5 平文認証のモデル図
(4) HMAC-MD5認証
HMAC-MD5認証は,パケットと認証鍵を基にHMAC-MD5ハッシュ関数を実行し,その結果得られるハッシュ値がパケットに含まれる方式です。HMAC-MD5認証のモデル図を次に示します。
送信・広告側では,パケットと認証鍵を基にHMAC-MD5ハッシュ値を求め,これをパケットの認証フィールドにコピーします。受信側では,受信パケットと認証鍵を元にHMAC-MD5ハッシュ値を求め,ハッシュ値とパケット中の認証フィールドの値を比較し,これが一致したときだけ認証に成功したものとみなします。
認証方式の不一致,およびハッシュ値の不一致は,認証失敗とみなします。
図14-6 HMAC-MD5認証のモデル図
(5) 認証の変更
本装置では,受信時の認証確認を行わず,常に認証に成功したことにするコンフィグレーションオプションをサポートします。認証鍵や認証方式を変更する場合,このオプションを使用し,以下の手順で運用してください。これにより,設定変更をルータ1台ずつ行い,かつIS-ISプロトコル通信を切断することなく,認証設定を変更することができます。
- まず,認証変更対象の全ルータについて,1台ずつ順に「認証確認しない」オプションを設定します。
- ついで,認証変更対象の全ルータについて,1台ずつ順に認証設定を変更します。
- 最後に,認証変更対象の全ルータについて,1台ずつ順に「認証確認しない」オプション設定を削除します。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.