Cisco решила подтолкнуть администраторов сетей к отказу от устаревшей криптографии в протоколе OSPF. Компания сообщила, что новые версии программного обеспечения IOS XE больше не включают по умолчанию поддержку слабых алгоритмов шифрования и аутентификации для некоторых моделей маршрутизаторов и коммутаторов — это сделано, чтобы снизить риск сбоев в работе сети.
Что меняется
Начиная с релиза IOS XE 17.11.1 и более поздних версий, по умолчанию отключена поддержка алгоритмов DES, 3DES и MD5. Речь идёт конкретно о протоколе OSPFv3 (Open Shortest Path First версии 3), который использует IPsec Secure Socket API для аутентификации пакетов, распространяющих информацию о маршрутизации.
Как пояснила Cisco в специальном уведомлении (field notice), теперь для продолжения работы с этими слабыми алгоритмами потребуется явная настройка вручную. «Иначе установление соседства OSPF (neighborship) не состоится, что приведёт к сбою в обслуживании», — говорится в документе.
Чем заменить устаревшие алгоритмы
Вместо DES, 3DES и MD5 Cisco рекомендует использовать более надёжные варианты: Advanced Encryption Standard в режиме Cipher Block Chaining (AES-CBC) — для шифрования, и Secure Hash Algorithm (SHA1 или SHA2) — для аутентификации.
Обходной путь есть, но Cisco его не советует
Компания признаёт, что временное решение существует: перед обновлением до IOS XE 17.11.1 или более поздней версии можно вручную настроить конфигурацию IPsec для OSPFv3 так, чтобы разрешить использование старых алгоритмов. Правда, соответствующая команда доступна только начиная с релиза IOS XE 17.7.1, и применяется она лишь после перезагрузки устройства.
При этом Cisco прямо предостерегает от такого шага. «Мы НЕ рекомендуем этот вариант, поскольку данные слабые криптографические алгоритмы небезопасны и не обеспечивают адекватной защиты от современных угроз. Эту команду следует использовать только в крайнем случае», — подчёркивают в компании.
Если у администраторов возникнут проблемы или вопросы, Cisco рекомендует оформлять сервисный запрос (Service Request) через стандартную процедуру поддержки.
Кого это касается
Программное обеспечение IOS XE работает на широком спектре оборудования Cisco, однако само уведомление затрагивает только часть линейки: маршрутизаторы серии ISR 1100, программный продукт Catalyst 8000V Edge Software, а также граничные платформы Catalyst 8300, 9500 и 8500L.
Для сетевых инженеров, обслуживающих эти устройства, изменение означает, что перед плановым обновлением IOS XE стоит заранее проверить текущую конфигурацию OSPFv3 и при необходимости перейти на AES-CBC и SHA1/SHA2 — иначе после апгрейда соседство OSPF попросту перестанет устанавливаться, а маршрутизация в сети будет нарушена.
Источник: NetworkWorld.