Cisco IOS XE セキュリティ コンフィギュレーション ガイド:コントロール プレーンのセキュリティ設定
ネイバー ルータ認証:概要とガイドライン
ネイバー ルータ認証:概要とガイドライン
発行日;2012/02/01 | 英語版ドキュメント(2010/05/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 639KB) | フィードバック

目次

ネイバー ルータ認証:概要とガイドライン

章の内容

ネイバー認証について

ネイバー認証の利点

ネイバー認証を使用するプロトコル

ネイバー認証を設定する場合

ネイバー認証の仕組み

プレーン テキスト認証

MD5 認証

キーの管理(キー チェーン)

ネイバー認証の設定情報の確認

ネイバー ルータ認証:概要とガイドライン

ネイバー ルータ認証を設定すると、ルータが不正なルート更新情報を受け取るのを防ぐことができます。

この章では、総合的なセキュリティ計画の一部としてネイバー ルータ認証について説明します。ネイバー ルータ認証の内容、仕組み、およびネットワーク セキュリティ全体を強化する場合に使用を推奨される理由について説明します。

この章では、ネイバー ルータ認証を「 ネイバー認証 」と呼んでいます。また、ネイバー ルータ認証は「 ルート認証 」と呼ばれることもあります。

ネイバー認証について

この項の内容は、次のとおりです。

ネイバー認証の利点

ネイバー認証を使用するプロトコル

ネイバー認証を設定する場合

ネイバー認証の利点

ネイバー認証が設定されている場合、ネイバー認証はネイバー ルータがルーティング更新情報を交換するときに必ず行われます。この認証により、信頼できるソースから信頼できるルーティング情報をルータが受け取ることができるようになります。

ネイバー認証が使用されていない場合、不正または悪意があるルーティング更新情報によってネットワーク トラフィックのセキュリティが侵害される可能性があります。セキュリティの侵害は、悪意を持ったパーティがトラフィックを迂回または分析する場合に発生することがあります。たとえば、許可されていないルータは偽のルーティング更新情報を送信して他のルータを騙し、そのルータにトラフィックを正しくない送信先に送信させることができます。悪意を持ったパーティは迂回させたトラフィックを分析して組織の機密情報を得たり、単にそのトラフィックを使用して組織のネットワークの通信能力を破壊したりできます。

ネイバー認証を使用すると、ルータがこのような不正なルーティング更新情報を受け取るのを防ぐことができます。

ネイバー認証を使用するプロトコル

次のルーティング プロトコルに対してネイバー認証を設定できます。

Border Gateway Protocol(BGP)

Director Response Protocol(DRP)Server Agent

Intermediate System-to-Intermediate System(IS-IS)

IP Enhanced Interior Gateway Routing Protocol(EIGRP)

Open Shortest Path First(OSPF)

Routing Information Protocol(RIP)バージョン 2

ネイバー認証を設定する場合

次のようなルータでは、ネイバー認証を設定する必要があります。

前述したルーティング プロトコルのいずれかを使用している。

騙されて偽のルート更新情報を受け取る可能性がある。

偽のルート更新情報を受け取った場合にネットワークを危険にさらす可能性がある。

ネイバー認証の設定がすでに行われたネイバーが存在している。

ネイバー認証の仕組み

ルータでネイバー認証を設定すると、ルータは受信する各ルーティング更新パケットの送信元を認証します。これは、送信側ルータと受信側ルータが既知の認証キー(パスワードとも呼ばれる)を交換することによって実現されます。

ネイバー認証には、プレーン テキストと Message Digest Algorithm Version 5(MD5)の 2 つの種類があります。両方とも同じように動作しますが、MD5 は認証キーではなく メッセージ ダイジェスト を送信します。MD5 はキーとメッセージを使用してメッセージ ダイジェストを作成しますが、キー自体は送信されないため、伝送中にキーが読み取られることがありません。プレーン テキスト認証はネットワークで認証キー自体を送信します。


) プレーン テキスト認証は、セキュリティ方針の一部として使用しないでください。プレーン テキスト認証は、主にルーティング インフラストラクチャへの偶発的な変更を避けるために使用します。代わりに MD5 認証を使用してください。



注意 すべてのキー、パスワード、および他のセキュリティ秘密情報と同様に、ネイバー認証で使用される認証キーは安全に保管する必要があります。これは、この機能のセキュリティ上の利点が認証キーの機密性に左右されるためです。また、Simple Network Management Protocol(SNMP)を使用してルータ管理タスクを実行する場合は、暗号化されていない SNMP を使用してキーを送信する場合のリスクを無視しないでください。

この項の内容は、次のとおりです。

プレーン テキスト認証

MD5 認証

プレーン テキスト認証

参加している各ネイバー ルータは 1 つの認証キーを共有する必要があります。設定時は各ルータでこのキーを指定します。一部のプロトコルでは複数のキーを指定できます(その場合、キー番号で各キーを識別する必要があります)。

一般的に、ルータがルーティング更新情報を送信する場合は、次の認証シーケンスが発生します。


ステップ 1 ルータは、キーおよび対応するキー番号とともにルーティング更新情報をネイバー ルータに送信します。1 つのキーしか使用できないプロトコルでは、キー番号は常にゼロになります。

ステップ 2 受信側(ネイバー)ルータは、そのルータのメモリに格納された同じキーと受け取ったキーを照合します。

ステップ 3 2 つのキーが一致すると、受信側ルータはルーティング更新パケットを受け取ります。2 つのキーが一致しない場合、ルータはルーティング更新パケットを拒否します。

次のプロトコルは、プレーン テキスト認証を使用します。

DRP Server Agent

IS-IS

OSPF

RIP バージョン 2


 

MD5 認

MD5 認証はプレーン テキスト認証のように動作しますが、MD5 はネットワークにキーを送信しません。代わりに、ルータは MD5 アルゴリズムを使用してキーのメッセージ ダイジェスト( ハッシュ とも呼ばれる)を生成します。ルータはキーの代わりにメッセージ ダイジェストを送信するため、誰もネットワークで傍受したり、伝送中にキーを入手したりすることができません。

次のプロトコルは MD5 認証を使用します。

OSPF

RIP バージョン 2

BGP

IP Enhanced IGRP

キーの管理(キー チェーン)

次の IP ルーティング プロトコルに対してキー チェーンを設定できます。

RIP バージョン 2

IP Enhanced IGRP

DRP Server Agent

これらのルーティング プロトコルは、キー チェーンを使用してキーを管理する追加機能を提供します。キー チェーンを設定する場合は、一連のキーにライフタイムを指定します。Cisco IOS XE ソフトウェアはこれらの各キーを順番に使用します。これにより、キーが危険にさらされるリスクが軽減されます。

キー チェーン内のそれぞれのキーの定義では、キーが有効な期間( ライフタイム )を指定する必要があります。キーのライフタイム期間中は、この有効なキーとともにルーティング更新パケットが送信されます。

キーが有効ではない期間はキーを使用できません。したがって、指定したキー チェーンでは、キーの有効期間を重複させて、有効なキーの不在期間をなくす必要があります。有効なキーの不在期間が発生した場合、ネイバー認証は行われず、ルーティング更新は失敗します。

複数のキー チェーンを指定できます。

ルータは、他の参加ルータとともにキーを順番に使用するタイミングを知る必要があることに注意してください(したがって、すべてのルータは同じ時に同じキーを使用します)。ルータでのタイミングの設定については、『Cisco IOS XE Network Management Configuration Guide』の「 Performing Basic System Management 」の章の Network Time Protocol(NTP)とカレンダー コマンドの箇所を参照してください。

ネイバー認証の設定情報の確認

ネイバー認証の設定情報の詳細については、 表 1 に示された適切な項と章を参照してください。

表 1 サポートされる各プロトコルのネイバー認証情報の参照先

プロトコル
マニュアル

BGP

『Cisco IOS XE IP Routing: BGP Configuration Guide』

Configuring BGP Neighbor Session Options

「TTL Security Check for BGP Neighbor Sessions」

「Configuring the TTL Security Check for BGP Neighbor Sessions」

「Configuring the TTL-Security Check: Example」

IP Enhanced IGRP

『Cisco IOS XE IP Routing: EIGRP Configuration Guide』

Configuring EIGRP

「Configuring EIGRP Route Authentication: Autonomous System Configuration」

「Configuring EIGRP Route Authentication: Named Configuration」

IS-IS

『Cisco IOS XE IP Routing: ISIS Configuration Guide』

Enhancing Security in an IS-IS Network

「Setting an Authentication Password for each Interface」

「Setting an Area Password for each IS-IS Area」

「Configuring IS-IS Authentication」

MPLS LDP

『Cisco IOS XE Multiprotocol Label Switching Configuration Guide』

MPLS Label Distribution Protocol (LDP)

「Protecting Data Between LDP Peers with MD5 Authentication」

OSPF

『Cisco IOS XE IP Routing: OSPF Configuration Guide』

Configuring OSPF

「Configuring OSPF Interface Parameters」

「Configuring OSPF Area Parameters」

「Creating Virtual Links」

RIP バージョン 2

『Cisco IOS XE IP Routing: RIP Configuration Guide』

Configuring Routing Information Protocol

「Enabling RIP Authentication」

キー チェーンの設定情報の詳細については、『 Cisco IOS XE IP Routing: Protocol-Independent Configuration Guide 』の「 Configuring IP Routing Protocol-Independent Features 」の章にある「Managing Authentication Keys」の項を参照してください。