Configuración de claves de autenticación BGP Message Digest 5 (MD5)
La autenticación BGP (Border Gateway Protocol) es una capa adicional de seguridad que permite a los direccionadores compartir información sólo si pueden verificar que se están comunicando con una fuente de confianza, basándose en una clave. La autenticación TCP MD5 entre iguales BGP verifica cada mensaje transmitido enviado a través de la sesión BGP.
Requisitos de autenticación BGP
Asegúrese de cumplir los siguientes requisitos de autenticación de BGP MD5:
-
Las claves de BGP MD5 se deben crear como una clave de tipo estándar importada (no una clave raíz). El material clave que proporcione debe ser base64-encoded y la cadena original no puede superar un máximo de 126 caracteres ASCII imprimibles de longitud. Para obtener más información, consulte Creación de claves de cifrado codificadas en base64.
El material clave debe ser base64-encoded y puede tener hasta 7.500 bytes. El nombre de la clave (diferente del material de clave) es un nombre legible por personas único para la identificación de su clave.
-
Durante una sesión BGP autenticada, los pares BGP deben configurarse con la misma clave para establecer una relación de vecindad BGP. Los direccionadores que están configurados con una clave diferente no pueden mantener una relación de vecindad BGP.
Configuración de claves de autenticación BGP MD5
Puede almacenar las claves en Key Protect o Hyper Protect Crypto Services (HPCS). Para desactivar la autenticación BGP MD5, siga estos pasos:
-
Configure una instancia de almacén de claves con claves. Para obtener instrucciones, consulte Key Protect: Iniciación a las claves de cifrado o HPCS: Creación e importación de claves de cifrado.
Si utiliza HPCS, es importante que tenga en cuenta que el valor
"extractable": <key_type>se establece entruepara las claves estándar. -
Después de crear claves de cifrado para Direct Link, utilice IBM Cloud Identity and Access Management (IAM) para otorgar autorización entre la instancia y el servicio Direct Link. Puede otorgar acceso a nivel de instancia, lo que otorga al servicio Direct Link acceso a todas las claves dentro de esa instancia. También puede otorgar acceso a cada clave individualmente. Para obtener instrucciones, consulte Utilización de autorizaciones para otorgar acceso entre servicios.
Si utiliza Key Protect, seleccione Recursos basados en atributos seleccionados después de seleccionar Direct Link como servicio de origen. A continuación, seleccione Tipo de recurso > Direct Link Connect o Tipo de recurso > Direct Link Dedicated antes de seleccionar Key Protect como servicio de destino.
Debe otorgar acceso a todas las claves de la instancia; de lo contrario, debe otorgar una nueva autorización de servicio a servicio cada vez que desee utilizar una clave distinta para Direct Link. Mientras la pasarela utilice una clave, nunca debe suprimirla, ni revocar la autorización de servicio a servicio.
-
Si la instancia de Key Protect o HPCS tiene una regla de restricción basada en contexto (CBR), se debe añadir una referencia de servicio de Direct Link a la zona de red de dicha regla. Para obtener instrucciones, consulte Cómo se integra Direct Link con restricciones basadas en contexto.