Zum Hauptinhalt springen

4. Sicherheitsüberlegungen (Security Considerations)

Das in diesem Dokument mit "config true" definierte YANG-Modul ist beschreibbar/erstellbar/löschbar (d.h. es bietet Schreibzugriff auf Konfigurationsinformationen).

Sensible beschreibbare Datenknoten

Diese Datenknoten können in einigen Netzwerkumgebungen als sensibel oder anfällig angesehen werden und erfordern besondere Berücksichtigung:

  • Schreibzugriff sollte nur vertrauenswürdigen Entitäten gewährt werden
  • Geeignete Zugriffskontrollmechanismen sollten implementiert werden

NETCONF-Zugriffskontrolle

Es wird empfohlen, das "Netzwerkkonfigurations-Zugriffskontrollmodell" (NACM) [RFC8341] zu implementieren:

  • Beschränkung des Zugriffs durch bestimmte NETCONF- oder RESTCONF-Benutzer auf bestimmte vorkonfigurierte Operationen
  • Bereitstellung feinkörniger Zugriffskontrollrichtlinien

OSPF-spezifische Sicherheitsüberlegungen

Integrit��t der Segmentrouting-Konfiguration

Prefix-SID-Schutz:

  • Unbefugte Änderungen an Prefix-SIDs können zu Fehlleitung des Datenverkehrs führen
  • Kann Black-Hole-Routing oder Traffic-Hijacking verursachen

Adjacency-SID-Schutz:

  • Änderungen an Adjacency-SIDs können Traffic-Engineering-Pfade beeinflussen
  • Kann Fast-Reroute-Schutz zerstören

SRGB/SRLB-Konflikte

Ein falsch konfigurierter SRGB kann zu folgenden Problemen führen:

  • Label-Space-Konflikte
  • Interoperabilitätsprobleme mit anderen Knoten
  • Ausfall der Segmentrouting-Funktionalität

LSA-Flooding-Angriffe

Bösartige Konfiguration kann Folgendes auslösen:

  • Massive LSA-Updates
  • Verbrauch von Netzwerkbandbreite
  • Erschöpfung der Router-CPU-Ressourcen

Empfohlene Sicherheitsmaßnahmen

  1. Starke Authentifizierung:

    • Verwendung von OSPF-Authentifizierungsmechanismen zum Schutz von Protokollnachrichten
    • OSPFv2: MD5 oder kryptografische Authentifizierung
    • OSPFv3: IPsec

  2. Verwaltungsschnittstellen-Schutz:

    • Verwendung von TLS/SSH-Verschlüsselung für NETCONF/RESTCONF-Sitzungen
    • Implementierung starker Passwortrichtlinien
    • Multi-Faktor-Authentifizierung

  3. Zugriffskontrolllisten (ACL):

    • Beschränkung der Quelladressen für den Zugriff auf die Verwaltungsschnittstelle
    • Implementierung rollenbasierter Zugriffskontrolle (RBAC)

  4. Konfigurationsvalidierung:

    • Implementierung von Pre-Commit-Validierungsmechanismen
    • Erkennung von SID-Konflikten
    • Validierung der SRGB-Bereichs-Plausibilität

  5. Audit und Überwachung:

    • Protokollierung aller Konfigurationsänderungen
    • Überwachung abnormaler LSA-Aktivität
    • Festlegung von Basislinien und Erkennung von Abweichungen

5. IANA-Überlegungen (IANA Considerations)

YANG-Modulname-Registrierung

Die IANA hat den folgenden URI im Register "YANG Module Names" [RFC6020] registriert:

URI: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Registrant Contact: OSPF-Arbeitsgruppe ([email protected])
XML: N/A; der angeforderte URI ist ein XML-Namespace

YANG-Modul-Registrierung

Dieses Dokument registriert das folgende YANG-Modul im Register "YANG Module Names" [RFC6020]:

Name: ietf-ospf-sr-mpls
Namespace: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Prefix: ospf-sr-mpls
Referenz: RFC 9903

6. Referenzen (References)

6.1. Normative Referenzen (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.

  • [RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998.

  • [RFC5340] Coltun, R., Ferguson, D., Moy, J., and A. Lindem, Ed., "OSPF for IPv6", RFC 5340, DOI 10.17487/RFC5340, July 2008.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.

  • [RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.

  • [RFC8665] Psenak, P., Ed., Previdi, S., Ed., Filsfils, C., Gredler, H., Shakir, R., Henderickx, W., and J. Tantsura, "OSPF Extensions for Segment Routing", RFC 8665, DOI 10.17487/RFC8665, December 2019.

  • [RFC8666] Psenak, P., Ed. and S. Previdi, Ed., "OSPFv3 Extensions for Segment Routing", RFC 8666, DOI 10.17487/RFC8666, December 2019.

  • [RFC9129] Yeung, D., Qu, Y., Zhang, J., Chen, I., and A. Lindem, "YANG Data Model for the OSPF Protocol", RFC 9129, DOI 10.17487/RFC9129, October 2022.

6.2. Informative Referenzen (Informative References)

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.

Letztes Update am