Zum Hauptinhalt springen

4. Sicherheitsüberlegungen (Security Considerations)

Dieser Abschnitt ist nach der in Abschnitt 3.7 von [YANG-GUIDE] beschriebenen Vorlage modelliert.

Das YANG-Modul "ietf-isis-sr-mpls" definiert ein Datenmodell, das für den Zugriff über YANG-basierte Verwaltungsprotokolle wie NETCONF [RFC6241] und RESTCONF [RFC8040] konzipiert ist. Diese YANG-basierten Verwaltungsprotokolle (1) müssen (muss) eine sichere Transportschicht (z. B. SSH [RFC4252], TLS [RFC8446] und QUIC [RFC9000]) verwenden und (2) müssen (muss) gegenseitige Authentifizierung verwenden.

Das Network Configuration Access Control Model (NACM) [RFC8341] bietet die Mittel, um den Zugriff für bestimmte NETCONF- oder RESTCONF-Benutzer auf eine vorkonfigurierte Teilmenge aller verfügbaren NETCONF- oder RESTCONF-Protokolloperationen und -inhalte zu beschränken.

Schreibbare Datenknoten

Es gibt eine Reihe von Datenknoten, die in diesem YANG-Modul definiert sind und beschreibbar/erstellbar/löschbar sind (d. h. "config true", was der Standard ist). Alle schreibbaren Datenknoten sind in einigen Netzwerkumgebungen wahrscheinlich sensitiv oder anfällig. Schreiboperationen (z. B. edit-config) und Löschoperationen an diesen Datenknoten ohne angemessenen Schutz oder Authentifizierung können (können) negative Auswirkungen auf den Netzwerkbetrieb haben. Die folgenden Teilbäume und Datenknoten haben besondere Sensitivitäten/Anfälligkeiten:

  • /isis:isis/segment-routing
  • /isis:isis/protocol-srgb
  • /isis:isis/isis:interfaces/isis:interface/segment-routing
  • /isis:isis/isis:interfaces/isis:interface/isis:fast-reroute/ti-lfa

Die Fähigkeit, IS-IS SR-Unterstützung zu deaktivieren oder zu aktivieren und/oder SR-Konfigurationen zu ändern, kann (kann) zu einem Denial-of-Service (DoS)-Angriff führen, da dies dazu führen kann (kann), dass Datenverkehr verworfen oder falsch geroutet wird. Bitte beachten Sie Abschnitt 5 von [RFC8667] für weitere Informationen zu SR-Erweiterungen.

Lesbare Datenknoten

Einige der lesbaren Datenknoten in diesem YANG-Modul können (können) in einigen Netzwerkumgebungen als sensitiv oder anfällig angesehen werden. Daher ist es wichtig, den Lesezugriff (z. B. über get, get-config oder Benachrichtigung) auf diese Datenknoten zu kontrollieren. Insbesondere die folgenden Teilbäume und Datenknoten haben besondere Sensitivitäten/Anfälligkeiten:

  • /isis:router-capabilities/sr-capability
  • /isis:router-capabilities/sr-algorithms
  • /isis:router-capabilities/local-blocks
  • /isis:router-capabilities/srms-preference
  • und die Erweiterungen der IS-IS LSDB.

Unbefugter Zugriff auf einen Datenknoten dieser Teilbäume kann (kann) die Betriebszustandsinformationen des IS-IS-Protokolls auf einem Gerät offenlegen.

Es gibt keine besonders sensitiven RPC- oder Action-Operationen.

5. IANA-Überlegungen (IANA Considerations)

Die IANA hat eine neue URI im "IETF XML Registry" [RFC3688] zugewiesen:

URI:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Registrant Contact:  Die IESG.
XML:  N/A; die angeforderte URI ist ein XML-Namespace

Dieses Dokument registriert auch einen neuen YANG-Modulnamen im "YANG Module Names"-Register [RFC6020]:

Name:  ietf-isis-sr-mpls
Maintained by IANA?:  N
Namespace:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Prefix:  isis-sr-mpls
Reference:  RFC 9902

6. Referenzen (References)

6.1. Normative Referenzen (Normative References)

  • [RFC3688] Mealling, M., "The IETF XML Registry", BCP 81, RFC 3688, DOI 10.17487/RFC3688, January 2004, https://www.rfc-editor.org/info/rfc3688.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010, https://www.rfc-editor.org/info/rfc6020.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013, https://www.rfc-editor.org/info/rfc6991.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016, https://www.rfc-editor.org/info/rfc7950.

  • [RFC8102] Sarkar, P., Ed., Hegde, S., Bowers, C., Gredler, H., and S. Litkowski, "Remote-LFA Node Protection and Manageability", RFC 8102, DOI 10.17487/RFC8102, March 2017, https://www.rfc-editor.org/info/rfc8102.

  • [RFC8294] Liu, X., Qu, Y., Lindem, A., Hopps, C., and L. Berger, "Common YANG Data Types for the Routing Area", RFC 8294, DOI 10.17487/RFC8294, December 2017, https://www.rfc-editor.org/info/rfc8294.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018, https://www.rfc-editor.org/info/rfc8341.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018, https://www.rfc-editor.org/info/rfc8349.

  • [RFC8402] Filsfils, C., Ed., Previdi, S., Ed., Ginsberg, L., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing Architecture", RFC 8402, DOI 10.17487/RFC8402, July 2018, https://www.rfc-editor.org/info/rfc8402.

  • [RFC8667] Previdi, S., Ed., Ginsberg, L., Ed., Filsfils, C., Bashandy, A., Gredler, H., and B. Decraene, "IS-IS Extensions for Segment Routing", RFC 8667, DOI 10.17487/RFC8667, December 2019, https://www.rfc-editor.org/info/rfc8667.

  • [RFC9020] Litkowski, S., Qu, Y., Lindem, A., Sarkar, P., and J. Tantsura, "YANG Data Model for Segment Routing", RFC 9020, DOI 10.17487/RFC9020, May 2021, https://www.rfc-editor.org/info/rfc9020.

  • [RFC9130] Litkowski, S., Ed., Yeung, D., Lindem, A., Zhang, J., and L. Lhotka, "YANG Data Model for the IS-IS Protocol", RFC 9130, DOI 10.17487/RFC9130, October 2022, https://www.rfc-editor.org/info/rfc9130.

  • [RFC9855] Bashandy, A., Litkowski, S., Filsfils, C., Francois, P., Decraene, B., and D. Voyer, "Topology Independent Fast Reroute Using Segment Routing", RFC 9855, DOI 10.17487/RFC9855, October 2025, https://www.rfc-editor.org/info/rfc9855.

6.2. Informative Referenzen (Informative References)

  • [RFC4252] Ylonen, T. and C. Lonvick, Ed., "The Secure Shell (SSH) Authentication Protocol", RFC 4252, DOI 10.17487/RFC4252, January 2006, https://www.rfc-editor.org/info/rfc4252.

  • [RFC6241] Enns, R., Ed., Bjorklund, M., Ed., Schoenwaelder, J., Ed., and A. Bierman, Ed., "Network Configuration Protocol (NETCONF)", RFC 6241, DOI 10.17487/RFC6241, June 2011, https://www.rfc-editor.org/info/rfc6241.

  • [RFC8040] Bierman, A., Bjorklund, M., and K. Watsen, "RESTCONF Protocol", RFC 8040, DOI 10.17487/RFC8040, January 2017, https://www.rfc-editor.org/info/rfc8040.

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018, https://www.rfc-editor.org/info/rfc8340.

  • [RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, https://www.rfc-editor.org/info/rfc8446.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019, https://www.rfc-editor.org/info/rfc8660.

  • [RFC8661] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., and S. Litkowski, "Segment Routing MPLS Interworking with LDP", RFC 8661, DOI 10.17487/RFC8661, December 2019, https://www.rfc-editor.org/info/rfc8661.

  • [RFC9000] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based Multiplexed and Secure Transport", RFC 9000, DOI 10.17487/RFC9000, May 2021, https://www.rfc-editor.org/info/rfc9000.

  • [YANG-GUIDE] Bierman, A., "Guidelines for Authors and Reviewers of Documents Containing YANG Data Models", Work in Progress, Internet-Draft, draft-ietf-netmod-rfc8407bis-05, 22 August 2024, https://datatracker.ietf.org/doc/html/draft-ietf-netmod-rfc8407bis-05.

Letztes Update am