Passa al contenuto principale

4. Considerazioni sulla sicurezza (Security Considerations)

Questa sezione è modellata sul modello descritto nella Sezione 3.7 di [YANG-GUIDE].

Il modulo YANG "ietf-isis-sr-mpls" definisce un modello di dati progettato per essere accessibile tramite protocolli di gestione basati su YANG, come NETCONF [RFC6241] e RESTCONF [RFC8040]. Questi protocolli di gestione basati su YANG (1) devono (deve) utilizzare un livello di trasporto sicuro (ad esempio, SSH [RFC4252], TLS [RFC8446] e QUIC [RFC9000]) e (2) devono (deve) utilizzare l'autenticazione reciproca.

Il Network Configuration Access Control Model (NACM) [RFC8341] fornisce i mezzi per limitare l'accesso per particolari utenti NETCONF o RESTCONF a un sottoinsieme preconfigurato di tutte le operazioni e i contenuti del protocollo NETCONF o RESTCONF disponibili.

Nodi dati scrivibili

Ci sono un certo numero di nodi dati definiti in questo modulo YANG che sono scrivibili/creabili/eliminabili (cioè "config true", che è l'impostazione predefinita). Tutti i nodi dati scrivibili sono probabilmente sensibili o vulnerabili in alcuni ambienti di rete. Le operazioni di scrittura (ad esempio, edit-config) e le operazioni di eliminazione su questi nodi dati senza adeguata protezione o autenticazione possono (possono) avere un effetto negativo sulle operazioni di rete. I seguenti sottoalberi e nodi dati hanno particolari sensibilità/vulnerabilità:

  • /isis:isis/segment-routing
  • /isis:isis/protocol-srgb
  • /isis:isis/isis:interfaces/isis:interface/segment-routing
  • /isis:isis/isis:interfaces/isis:interface/isis:fast-reroute/ti-lfa

La capacità di disabilitare o abilitare il supporto IS-IS SR e/o modificare le configurazioni SR può (può) provocare un attacco Denial-of-Service (DoS), poiché ciò può (può) causare l'eliminazione o il routing errato del traffico. Si prega di fare riferimento alla Sezione 5 di [RFC8667] per ulteriori informazioni sulle estensioni SR.

Nodi dati leggibili

Alcuni dei nodi dati leggibili in questo modulo YANG possono (possono) essere considerati sensibili o vulnerabili in alcuni ambienti di rete. È quindi importante controllare l'accesso in lettura (ad esempio, tramite get, get-config o notifica) a questi nodi dati. In particolare, i seguenti sottoalberi e nodi dati hanno particolari sensibilità/vulnerabilità:

  • /isis:router-capabilities/sr-capability
  • /isis:router-capabilities/sr-algorithms
  • /isis:router-capabilities/local-blocks
  • /isis:router-capabilities/srms-preference
  • e le estensioni al database dello stato di collegamento IS-IS.

L'accesso non autorizzato a qualsiasi nodo dati di questi sottoalberi può (può) rivelare le informazioni sullo stato operativo del protocollo IS-IS su un dispositivo.

Non ci sono operazioni RPC o action particolarmente sensibili.

5. Considerazioni IANA (IANA Considerations)

L'IANA ha assegnato un nuovo URI nel registro "IETF XML Registry" [RFC3688]:

URI:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Registrant Contact:  L'IESG.
XML:  N/A; l'URI richiesto è uno spazio dei nomi XML

Questo documento registra anche un nuovo nome di modulo YANG nel registro "YANG Module Names" [RFC6020]:

Name:  ietf-isis-sr-mpls
Maintained by IANA?:  N
Namespace:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Prefix:  isis-sr-mpls
Reference:  RFC 9902

6. Riferimenti (References)

6.1. Riferimenti normativi (Normative References)

  • [RFC3688] Mealling, M., "The IETF XML Registry", BCP 81, RFC 3688, DOI 10.17487/RFC3688, January 2004, https://www.rfc-editor.org/info/rfc3688.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010, https://www.rfc-editor.org/info/rfc6020.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013, https://www.rfc-editor.org/info/rfc6991.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016, https://www.rfc-editor.org/info/rfc7950.

  • [RFC8102] Sarkar, P., Ed., Hegde, S., Bowers, C., Gredler, H., and S. Litkowski, "Remote-LFA Node Protection and Manageability", RFC 8102, DOI 10.17487/RFC8102, March 2017, https://www.rfc-editor.org/info/rfc8102.

  • [RFC8294] Liu, X., Qu, Y., Lindem, A., Hopps, C., and L. Berger, "Common YANG Data Types for the Routing Area", RFC 8294, DOI 10.17487/RFC8294, December 2017, https://www.rfc-editor.org/info/rfc8294.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018, https://www.rfc-editor.org/info/rfc8341.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018, https://www.rfc-editor.org/info/rfc8349.

  • [RFC8402] Filsfils, C., Ed., Previdi, S., Ed., Ginsberg, L., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing Architecture", RFC 8402, DOI 10.17487/RFC8402, July 2018, https://www.rfc-editor.org/info/rfc8402.

  • [RFC8667] Previdi, S., Ed., Ginsberg, L., Ed., Filsfils, C., Bashandy, A., Gredler, H., and B. Decraene, "IS-IS Extensions for Segment Routing", RFC 8667, DOI 10.17487/RFC8667, December 2019, https://www.rfc-editor.org/info/rfc8667.

  • [RFC9020] Litkowski, S., Qu, Y., Lindem, A., Sarkar, P., and J. Tantsura, "YANG Data Model for Segment Routing", RFC 9020, DOI 10.17487/RFC9020, May 2021, https://www.rfc-editor.org/info/rfc9020.

  • [RFC9130] Litkowski, S., Ed., Yeung, D., Lindem, A., Zhang, J., and L. Lhotka, "YANG Data Model for the IS-IS Protocol", RFC 9130, DOI 10.17487/RFC9130, October 2022, https://www.rfc-editor.org/info/rfc9130.

  • [RFC9855] Bashandy, A., Litkowski, S., Filsfils, C., Francois, P., Decraene, B., and D. Voyer, "Topology Independent Fast Reroute Using Segment Routing", RFC 9855, DOI 10.17487/RFC9855, October 2025, https://www.rfc-editor.org/info/rfc9855.

6.2. Riferimenti informativi (Informative References)

  • [RFC4252] Ylonen, T. and C. Lonvick, Ed., "The Secure Shell (SSH) Authentication Protocol", RFC 4252, DOI 10.17487/RFC4252, January 2006, https://www.rfc-editor.org/info/rfc4252.

  • [RFC6241] Enns, R., Ed., Bjorklund, M., Ed., Schoenwaelder, J., Ed., and A. Bierman, Ed., "Network Configuration Protocol (NETCONF)", RFC 6241, DOI 10.17487/RFC6241, June 2011, https://www.rfc-editor.org/info/rfc6241.

  • [RFC8040] Bierman, A., Bjorklund, M., and K. Watsen, "RESTCONF Protocol", RFC 8040, DOI 10.17487/RFC8040, January 2017, https://www.rfc-editor.org/info/rfc8040.

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018, https://www.rfc-editor.org/info/rfc8340.

  • [RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, https://www.rfc-editor.org/info/rfc8446.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019, https://www.rfc-editor.org/info/rfc8660.

  • [RFC8661] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., and S. Litkowski, "Segment Routing MPLS Interworking with LDP", RFC 8661, DOI 10.17487/RFC8661, December 2019, https://www.rfc-editor.org/info/rfc8661.

  • [RFC9000] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based Multiplexed and Secure Transport", RFC 9000, DOI 10.17487/RFC9000, May 2021, https://www.rfc-editor.org/info/rfc9000.

  • [YANG-GUIDE] Bierman, A., "Guidelines for Authors and Reviewers of Documents Containing YANG Data Models", Work in Progress, Internet-Draft, draft-ietf-netmod-rfc8407bis-05, 22 August 2024, https://datatracker.ietf.org/doc/html/draft-ietf-netmod-rfc8407bis-05.

Ultimo aggiornamento il