Aller au contenu principal

4. Considérations de sécurité (Security Considerations)

Le module YANG défini dans ce document avec "config true" est accessible en écriture/création/suppression (c'est-à-dire qu'il fournit un accès en écriture aux informations de configuration).

Nœuds de données sensibles accessibles en écriture

Ces nœuds de données peuvent être considérés comme sensibles ou vulnérables dans certains environnements réseau et nécessitent une attention particulière :

  • L'accès en écriture ne doit être accordé qu'aux entités de confiance
  • Des mécanismes de contrôle d'accès appropriés doivent être mis en œuvre

Contrôle d'accès NETCONF

Il est recommandé de mettre en œuvre le "Modèle de contrôle d'accès à la configuration réseau" (NACM) [RFC8341] :

  • Restreindre l'accès par des utilisateurs NETCONF ou RESTCONF spécifiques à des opérations pré-configurées spécifiques
  • Fournir des politiques de contrôle d'accès à grain fin

Considérations de sécurité spécifiques à OSPF

Intégrité de la configuration du routage par segment

Protection Prefix-SID :

  • La modification non autorisée des Prefix-SID peut conduire à une mauvaise direction du trafic
  • Peut causer un routage en trou noir ou un détournement de trafic

Protection Adjacency-SID :

  • Les modifications d'Adjacency-SID peuvent affecter les chemins d'ingénierie de trafic
  • Peut briser la protection de reroutage rapide

Conflits SRGB/SRLB

Un SRGB mal configuré peut conduire à :

  • Des conflits d'espace d'étiquettes
  • Des problèmes d'interopérabilité avec d'autres nœuds
  • Une défaillance de la fonctionnalité de routage par segment

Attaques par inondation LSA

Une configuration malveillante peut déclencher :

  • Des mises à jour LSA massives
  • Une consommation de bande passante réseau
  • Un épuisement des ressources CPU du routeur

Mesures de sécurité recommandées

  1. Authentification forte :

    • Utiliser les mécanismes d'authentification OSPF pour protéger les messages de protocole
    • OSPFv2 : authentification MD5 ou cryptographique
    • OSPFv3 : IPsec

  2. Protection de l'interface de gestion :

    • Utiliser le chiffrement TLS/SSH pour les sessions NETCONF/RESTCONF
    • Mettre en œuvre des politiques de mots de passe forts
    • Authentification multi-facteurs

  3. Listes de contrôle d'accès (ACL) :

    • Restreindre les adresses sources d'accès à l'interface de gestion
    • Mettre en œuvre un contrôle d'accès basé sur les rôles (RBAC)

  4. Validation de la configuration :

    • Mettre en œuvre des mécanismes de validation pré-commit
    • Détecter les conflits de SID
    • Valider la cohérence de la plage SRGB

  5. Audit et surveillance :

    • Enregistrer tous les changements de configuration
    • Surveiller l'activité LSA anormale
    • Établir des lignes de base et détecter les écarts

5. Considérations IANA (IANA Considerations)

Enregistrement du nom du module YANG

L'IANA a enregistré l'URI suivant dans le registre "YANG Module Names" [RFC6020] :

URI : urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Contact du déclarant : Groupe de travail OSPF ([email protected])
XML : N/A ; l'URI demandé est un espace de noms XML

Enregistrement du module YANG

Ce document enregistre le module YANG suivant dans le registre "YANG Module Names" [RFC6020] :

Nom : ietf-ospf-sr-mpls
Espace de noms : urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Préfixe : ospf-sr-mpls
Référence : RFC 9903

6. Références (References)

6.1. Références normatives (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.

  • [RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998.

  • [RFC5340] Coltun, R., Ferguson, D., Moy, J., and A. Lindem, Ed., "OSPF for IPv6", RFC 5340, DOI 10.17487/RFC5340, July 2008.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.

  • [RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.

  • [RFC8665] Psenak, P., Ed., Previdi, S., Ed., Filsfils, C., Gredler, H., Shakir, R., Henderickx, W., and J. Tantsura, "OSPF Extensions for Segment Routing", RFC 8665, DOI 10.17487/RFC8665, December 2019.

  • [RFC8666] Psenak, P., Ed. and S. Previdi, Ed., "OSPFv3 Extensions for Segment Routing", RFC 8666, DOI 10.17487/RFC8666, December 2019.

  • [RFC9129] Yeung, D., Qu, Y., Zhang, J., Chen, I., and A. Lindem, "YANG Data Model for the OSPF Protocol", RFC 9129, DOI 10.17487/RFC9129, October 2022.

6.2. Références informatives (Informative References)

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.

Dernière mise à jour le