Passa al contenuto principale

4. Considerazioni sulla sicurezza (Security Considerations)

Il modulo YANG definito in questo documento con "config true" è scrivibile/creabile/eliminabile (cioè fornisce accesso in scrittura alle informazioni di configurazione).

Nodi di dati sensibili scrivibili

Questi nodi di dati possono essere considerati sensibili o vulnerabili in alcuni ambienti di rete e richiedono una considerazione speciale:

  • L'accesso in scrittura dovrebbe essere concesso solo a entità fidate
  • Dovrebbero essere implementati meccanismi di controllo dell'accesso appropriati

Controllo di accesso NETCONF

Si raccomanda di implementare il "Modello di controllo dell'accesso alla configurazione di rete" (NACM) [RFC8341]:

  • Limitare l'accesso da parte di utenti NETCONF o RESTCONF specifici a operazioni preconfigurate specifiche
  • Fornire politiche di controllo dell'accesso a grana fine

Considerazioni di sicurezza specifiche per OSPF

Integrità della configurazione del routing di segmento

Protezione Prefix-SID:

  • La modifica non autorizzata dei Prefix-SID può portare a una direzione errata del traffico
  • Può causare routing black-hole o hijacking del traffico

Protezione Adjacency-SID:

  • Le modifiche agli Adjacency-SID possono influire sui percorsi di ingegneria del traffico
  • Può interrompere la protezione del rerouting veloce

Conflitti SRGB/SRLB

Un SRGB configurato in modo improprio può portare a:

  • Conflitti nello spazio delle etichette
  • Problemi di interoperabilità con altri nodi
  • Fallimento della funzionalità di routing di segmento

Attacchi di flooding LSA

Una configurazione dannosa può innescare:

  • Aggiornamenti LSA massicci
  • Consumo di larghezza di banda di rete
  • Esaurimento delle risorse CPU del router

Misure di sicurezza raccomandate

  1. Autenticazione forte:

    • Utilizzare meccanismi di autenticazione OSPF per proteggere i messaggi del protocollo
    • OSPFv2: autenticazione MD5 o crittografica
    • OSPFv3: IPsec

  2. Protezione dell'interfaccia di gestione:

    • Utilizzare la crittografia TLS/SSH per le sessioni NETCONF/RESTCONF
    • Implementare politiche di password forti
    • Autenticazione multi-fattore

  3. Liste di controllo dell'accesso (ACL):

    • Limitare gli indirizzi sorgente di accesso all'interfaccia di gestione
    • Implementare il controllo degli accessi basato sui ruoli (RBAC)

  4. Validazione della configurazione:

    • Implementare meccanismi di validazione pre-commit
    • Rilevare conflitti SID
    • Validare la ragionevolezza dell'intervallo SRGB

  5. Audit e monitoraggio:

    • Registrare tutte le modifiche alla configurazione
    • Monitorare l'attività LSA anomala
    • Stabilire linee di base e rilevare deviazioni

5. Considerazioni IANA (IANA Considerations)

Registrazione del nome del modulo YANG

L'IANA ha registrato il seguente URI nel registro "YANG Module Names" [RFC6020]:

URI: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Contatto del dichiarante: Gruppo di lavoro OSPF ([email protected])
XML: N/A; l'URI richiesto è uno spazio dei nomi XML

Registrazione del modulo YANG

Questo documento registra il seguente modulo YANG nel registro "YANG Module Names" [RFC6020]:

Nome: ietf-ospf-sr-mpls
Spazio dei nomi: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Prefisso: ospf-sr-mpls
Riferimento: RFC 9903

6. Riferimenti (References)

6.1. Riferimenti normativi (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.

  • [RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998.

  • [RFC5340] Coltun, R., Ferguson, D., Moy, J., and A. Lindem, Ed., "OSPF for IPv6", RFC 5340, DOI 10.17487/RFC5340, July 2008.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.

  • [RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.

  • [RFC8665] Psenak, P., Ed., Previdi, S., Ed., Filsfils, C., Gredler, H., Shakir, R., Henderickx, W., and J. Tantsura, "OSPF Extensions for Segment Routing", RFC 8665, DOI 10.17487/RFC8665, December 2019.

  • [RFC8666] Psenak, P., Ed. and S. Previdi, Ed., "OSPFv3 Extensions for Segment Routing", RFC 8666, DOI 10.17487/RFC8666, December 2019.

  • [RFC9129] Yeung, D., Qu, Y., Zhang, J., Chen, I., and A. Lindem, "YANG Data Model for the OSPF Protocol", RFC 9129, DOI 10.17487/RFC9129, October 2022.

6.2. Riferimenti informativi (Informative References)

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.

Ultimo aggiornamento il