4. Considérations de sécurité (Security Considerations)

Cette section est modelée d'après le modèle décrit dans la section 3.7 de [YANG-GUIDE].

Le module YANG "ietf-isis-sr-mpls" définit un modèle de données conçu pour être accessible via des protocoles de gestion basés sur YANG, tels que NETCONF [RFC6241] et RESTCONF [RFC8040]. Ces protocoles de gestion basés sur YANG (1) doivent (doit) utiliser une couche de transport sécurisée (par exemple, SSH [RFC4252], TLS [RFC8446] et QUIC [RFC9000]) et (2) doivent (doit) utiliser l'authentification mutuelle.

Le modèle de contrôle d'accès à la configuration réseau (Network Configuration Access Control Model, NACM) [RFC8341] fournit les moyens de restreindre l'accès pour des utilisateurs NETCONF ou RESTCONF particuliers à un sous-ensemble préconfiguré de toutes les opérations et contenus de protocole NETCONF ou RESTCONF disponibles.

Nœuds de données modifiables

Il existe un certain nombre de nœuds de données définis dans ce module YANG qui sont modifiables/créables/supprimables (c'est-à-dire "config true", qui est la valeur par défaut). Tous les nœuds de données modifiables sont susceptibles d'être sensibles ou vulnérables dans certains environnements réseau. Les opérations d'écriture (par exemple, edit-config) et les opérations de suppression sur ces nœuds de données sans protection ou authentification appropriée peuvent (peuvent) avoir un effet négatif sur les opérations réseau. Les sous-arbres et nœuds de données suivants présentent des sensibilités/vulnérabilités particulières :

/isis:isis/segment-routing
/isis:isis/protocol-srgb
/isis:isis/isis:interfaces/isis:interface/segment-routing
/isis:isis/isis:interfaces/isis:interface/isis:fast-reroute/ti-lfa

La capacité de désactiver ou d'activer la prise en charge IS-IS SR et/ou de modifier les configurations SR peut (peut) entraîner une attaque par déni de service (Denial-of-Service, DoS), car cela peut (peut) provoquer l'abandon ou le mauvais acheminement du trafic. Veuillez vous référer à la section 5 de [RFC8667] pour plus d'informations sur les extensions SR.

Nœuds de données lisibles

Certains nœuds de données lisibles dans ce module YANG peuvent (peuvent) être considérés comme sensibles ou vulnérables dans certains environnements réseau. Il est donc important de contrôler l'accès en lecture (par exemple, via get, get-config ou notification) à ces nœuds de données. Plus précisément, les sous-arbres et nœuds de données suivants présentent des sensibilités/vulnérabilités particulières :

/isis:router-capabilities/sr-capability
/isis:router-capabilities/sr-algorithms
/isis:router-capabilities/local-blocks
/isis:router-capabilities/srms-preference
et les augmentations à la base de données d'état de liaison IS-IS.

L'accès non autorisé à tout nœud de données de ces sous-arbres peut (peut) divulguer les informations d'état opérationnel du protocole IS-IS sur un périphérique.

Il n'y a pas d'opérations RPC ou d'action particulièrement sensibles.

5. Considérations IANA (IANA Considerations)

L'IANA a attribué un nouvel URI dans le registre "IETF XML Registry" [RFC3688] :

URI :  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Contact du registrant :  L'IESG.
XML :  N/A ; l'URI demandé est un espace de noms XML

Ce document enregistre également un nouveau nom de module YANG dans le registre "YANG Module Names" [RFC6020] :

Nom :  ietf-isis-sr-mpls
Maintenu par l'IANA ? :  N
Espace de noms :  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Préfixe :  isis-sr-mpls
Référence :  RFC 9902

6. Références (References)

6.1. Références normatives (Normative References)

[RFC3688] Mealling, M., "The IETF XML Registry", BCP 81, RFC 3688, DOI 10.17487/RFC3688, January 2004, https://www.rfc-editor.org/info/rfc3688.
[RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010, https://www.rfc-editor.org/info/rfc6020.
[RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013, https://www.rfc-editor.org/info/rfc6991.
[RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016, https://www.rfc-editor.org/info/rfc7950.
[RFC8102] Sarkar, P., Ed., Hegde, S., Bowers, C., Gredler, H., and S. Litkowski, "Remote-LFA Node Protection and Manageability", RFC 8102, DOI 10.17487/RFC8102, March 2017, https://www.rfc-editor.org/info/rfc8102.
[RFC8294] Liu, X., Qu, Y., Lindem, A., Hopps, C., and L. Berger, "Common YANG Data Types for the Routing Area", RFC 8294, DOI 10.17487/RFC8294, December 2017, https://www.rfc-editor.org/info/rfc8294.
[RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018, https://www.rfc-editor.org/info/rfc8341.
[RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018, https://www.rfc-editor.org/info/rfc8349.
[RFC8402] Filsfils, C., Ed., Previdi, S., Ed., Ginsberg, L., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing Architecture", RFC 8402, DOI 10.17487/RFC8402, July 2018, https://www.rfc-editor.org/info/rfc8402.
[RFC8667] Previdi, S., Ed., Ginsberg, L., Ed., Filsfils, C., Bashandy, A., Gredler, H., and B. Decraene, "IS-IS Extensions for Segment Routing", RFC 8667, DOI 10.17487/RFC8667, December 2019, https://www.rfc-editor.org/info/rfc8667.
[RFC9020] Litkowski, S., Qu, Y., Lindem, A., Sarkar, P., and J. Tantsura, "YANG Data Model for Segment Routing", RFC 9020, DOI 10.17487/RFC9020, May 2021, https://www.rfc-editor.org/info/rfc9020.
[RFC9130] Litkowski, S., Ed., Yeung, D., Lindem, A., Zhang, J., and L. Lhotka, "YANG Data Model for the IS-IS Protocol", RFC 9130, DOI 10.17487/RFC9130, October 2022, https://www.rfc-editor.org/info/rfc9130.
[RFC9855] Bashandy, A., Litkowski, S., Filsfils, C., Francois, P., Decraene, B., and D. Voyer, "Topology Independent Fast Reroute Using Segment Routing", RFC 9855, DOI 10.17487/RFC9855, October 2025, https://www.rfc-editor.org/info/rfc9855.

6.2. Références informatives (Informative References)

[RFC4252] Ylonen, T. and C. Lonvick, Ed., "The Secure Shell (SSH) Authentication Protocol", RFC 4252, DOI 10.17487/RFC4252, January 2006, https://www.rfc-editor.org/info/rfc4252.
[RFC6241] Enns, R., Ed., Bjorklund, M., Ed., Schoenwaelder, J., Ed., and A. Bierman, Ed., "Network Configuration Protocol (NETCONF)", RFC 6241, DOI 10.17487/RFC6241, June 2011, https://www.rfc-editor.org/info/rfc6241.
[RFC8040] Bierman, A., Bjorklund, M., and K. Watsen, "RESTCONF Protocol", RFC 8040, DOI 10.17487/RFC8040, January 2017, https://www.rfc-editor.org/info/rfc8040.
[RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018, https://www.rfc-editor.org/info/rfc8340.
[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, https://www.rfc-editor.org/info/rfc8446.
[RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019, https://www.rfc-editor.org/info/rfc8660.
[RFC8661] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., and S. Litkowski, "Segment Routing MPLS Interworking with LDP", RFC 8661, DOI 10.17487/RFC8661, December 2019, https://www.rfc-editor.org/info/rfc8661.
[RFC9000] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC : A UDP-Based Multiplexed and Secure Transport", RFC 9000, DOI 10.17487/RFC9000, May 2021, https://www.rfc-editor.org/info/rfc9000.
[YANG-GUIDE] Bierman, A., "Guidelines for Authors and Reviewers of Documents Containing YANG Data Models", Work in Progress, Internet-Draft, draft-ietf-netmod-rfc8407bis-05, 22 August 2024, https://datatracker.ietf.org/doc/html/draft-ietf-netmod-rfc8407bis-05.

Nœuds de données modifiables​

Nœuds de données lisibles​