RFC 7492-2015 Análisis de la seguridad de la detección de reenvío bidireccional (BFD) según las pautas de diseño de claves y autenticación para protocolos de enrutamiento (KARP)
"Introducción Este documento realiza un análisis de brechas del estado actual de la detección de reenvío bidireccional [RFC5880] de acuerdo con los requisitos de las pautas de diseño KARP [RFC6518]. Previamente@ el grupo de trabajo OPSEC ha proporcionado un análisis de los problemas criptográficos con BFD en ""Problemas con métodos de protección criptográfica existentes para protocolos de enrutamiento"" [RFC6039]. Las especificaciones BFD existentes proporcionan una solución de seguridad básica. Se proporciona ID de clave para que la clave utilizada para proteger un paquete pueda cambiarse según demanda. Dos algoritmos criptográficos (MD5 y SHA ?1) son compatibles para la protección de la integridad de los paquetes de control; se ha demostrado que ambos algoritmos están sujetos a ataques de colisión. Protocolos de enrutamiento como ""Autenticación criptográfica RIPv2"" [RFC4822]@ ""IS?IS Autenticación criptográfica genérica"" [ RFC5310]@ y ""OSPFv2 HMAC?SHA Cryptographic Authentication"" [RFC5709] han comenzado a usar BFD para comprobaciones de vitalidad. Mover los protocolos de enrutamiento a un algoritmo más fuerte mientras se usa un algoritmo más débil para BFD permitiría al atacante desactivar BFD en para desactivar el protocolo de enrutamiento. Por lo tanto, BFD necesita coincidir con el enrutamiento. Si bien BFD utiliza un número de secuencia no decreciente@ por paquete para protegerse de ataques de reproducción intraconexión, todavía deja el protocolo vulnerable a los ataques de reproducción entre sesiones.
RFC 7492-2015 Historia
2015RFC 7492-2015 Análisis de la seguridad de la detección de reenvío bidireccional (BFD) según las pautas de diseño de claves y autenticación para protocolos de enrutamiento (KARP)