İçindəkilər gizlətmək
1 CISCO SD-WAN Təhlükəsizlik Parametrlərini Konfiqurasiya edin
2 Təhlükəsizlik Parametrlərini konfiqurasiya edin
3 İdarəetmə Təyyarəsinin Təhlükəsizlik Parametrlərini konfiqurasiya edin
4 Cisco SD-WAN Manager-də DTLS-i konfiqurasiya edin
5 Data Plane Təhlükəsizlik Parametrlərini konfiqurasiya edin
6 İcazəli Doğrulama növlərini konfiqurasiya edin
7 Yenidən Açma Taymeri dəyişdirin
8 Anti-Replay pəncərəsinin ölçüsünü dəyişdirin
9 IPsec Statik marşrutunu konfiqurasiya edin
10 IPsec Tunel Parametrlərini konfiqurasiya edin
11 IKE Dead-Peer Detection funksiyasını dəyişdirin
12 Digər İnterfeys xüsusiyyətlərini konfiqurasiya edin
13 Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərini söndürün
14 Sənədlər / Resurslar
14.1 İstinadlar

CISCO-LOGO

CISCO SD-WAN Təhlükəsizlik Parametrlərini Konfiqurasiya edin

CISCO-SD-WAN-Təhlükəsizliyi-Parametrləri-MƏHSUL

Təhlükəsizlik Parametrlərini konfiqurasiya edin

Qeyd

Sadələşdirmə və ardıcıllığa nail olmaq üçün Cisco SD-WAN həlli Cisco Catalyst SD-WAN kimi rebrendinq edildi. Bundan əlavə, Cisco IOS XE SD-WAN Release 17.12.1a və Cisco Catalyst SD-WAN Release 20.12.1-dən aşağıdakı komponent dəyişiklikləri tətbiq olunur: Cisco vManage-dən Cisco Catalyst SD-WAN Manager-ə, Cisco vAnalytics-dən Cisco Catalyst-ə SD-WAN Analytics, Cisco vBond - Cisco Catalyst SD-WAN Validator və Cisco vSmart - Cisco Catalyst SD-WAN Controller. Bütün komponent markası dəyişikliklərinin hərtərəfli siyahısı üçün ən son Reliz qeydlərinə baxın. Yeni adlara keçərkən, proqram məhsulunun istifadəçi interfeysi yeniləmələrinə mərhələli yanaşma səbəbindən sənədlər dəstində bəzi uyğunsuzluqlar ola bilər.

Bu bölmə Cisco Catalyst SD-WAN overlay şəbəkəsində idarəetmə müstəvisi və məlumat müstəvisi üçün təhlükəsizlik parametrlərinin necə dəyişdirilməsini təsvir edir.

  • İdarəetmə Təyyarəsinin Təhlükəsizlik Parametrlərini konfiqurasiya edin, yandırın
  • Data Plane Təhlükəsizlik Parametrlərini konfiqurasiya edin, yandırın
  • IKE effektiv IPsec tunellərini konfiqurasiya edin, aktiv
  • Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərini söndürün, aktiv

İdarəetmə Təyyarəsinin Təhlükəsizlik Parametrlərini konfiqurasiya edin

Varsayılan olaraq, idarəetmə təyyarəsi bütün tunellərində məxfiliyi təmin edən protokol kimi DTLS-dən istifadə edir. DTLS UDP üzərində işləyir. Siz idarəetmə təyyarəsinin təhlükəsizlik protokolunu TCP üzərindən işləyən TLS-ə dəyişə bilərsiniz. TLS-dən istifadə etməyin əsas səbəbi odur ki, əgər siz Cisco SD-WAN Controller-i server hesab edirsinizsə, firewall TCP serverlərini UDP serverlərindən daha yaxşı qoruyur. Siz Cisco SD-WAN Controller-də idarəetmə təyyarəsi tunel protokolunu konfiqurasiya edirsiniz: vSmart(config)# təhlükəsizlik nəzarət protokolu tls Bu dəyişikliklə Cisco SD-WAN Controller və marşrutlaşdırıcılar arasında və Cisco SD-WAN Controller arasında bütün idarəetmə təyyarəsi tunelləri və Cisco SD-WAN Manager TLS-dən istifadə edir. Cisco Catalyst SD-WAN Validator-a nəzarət təyyarə tunelləri həmişə DTLS-dən istifadə edir, çünki bu əlaqələr UDP tərəfindən idarə olunmalıdır. Çoxlu Cisco SD-WAN Nəzarətçiləri olan domendə TLS-ni Cisco SD-WAN Nəzarətçilərindən birində konfiqurasiya etdiyiniz zaman həmin nəzarətçidən digər nəzarətçilərə qədər bütün idarəetmə təyyarəsi tunelləri TLS-dən istifadə edir. Başqa bir şəkildə desək, TLS həmişə DTLS-dən üstündür. Bununla belə, digər Cisco SD-WAN Nəzarətçilərinin nöqteyi-nəzərindən, əgər siz onlara TLS konfiqurasiya etməmisinizsə, onlar idarəetmə təyyarəsi tunelində TLS-dən yalnız bir Cisco SD-WAN Nəzarətçisinə, digərlərinə isə DTLS tunellərindən istifadə edirlər. Cisco SD-WAN nəzarətçiləri və onların bütün qoşulmuş marşrutlaşdırıcıları. Bütün Cisco SD-WAN Kontrollerlərinin TLS-dən istifadə etməsi üçün onu hamısında konfiqurasiya edin. Varsayılan olaraq, Cisco SD-WAN Controller TLS sorğuları üçün 23456 portunu dinləyir. Bunu dəyişmək üçün: vSmart(config)# təhlükəsizlik nəzarəti tls-port nömrəsi Port 1025-dən 65535-ə qədər rəqəm ola bilər. İdarə müstəvisinin təhlükəsizlik məlumatlarını göstərmək üçün Cisco SD-WAN Nəzarətçisində idarəetmə bağlantılarını göstər əmrindən istifadə edin. məsələnample: vSmart-2# nəzarət bağlantılarını göstərir

CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-1

Cisco SD-WAN Manager-də DTLS-i konfiqurasiya edin

Cisco SD-WAN Menecerini TLS-dən idarəetmə təyyarəsi təhlükəsizlik protokolu kimi istifadə etmək üçün konfiqurasiya etsəniz, NAT-da port yönləndirməsini aktivləşdirməlisiniz. Əgər siz DTLS-dən idarəetmə təyyarəsinin təhlükəsizlik protokolu kimi istifadə edirsinizsə, heç nə etmək lazım deyil. Yönləndirilən portların sayı Cisco SD-WAN Manager-də işləyən vdaemon proseslərinin sayından asılıdır. Bu proseslər, haqqında məlumatı və yönləndirilən portların sayını göstərmək üçün idarəetmənin xülasəsini göstər əmrindən istifadə edin, dörd daemon prosesinin işlədiyini göstərir:CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-2

Dinləmə portlarını görmək üçün şou nəzarəti yerli-xüsusiyyətləri əmrindən istifadə edin: vManage# show control local-properties

CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-3

Bu çıxış dinləyən TCP portunun 23456 olduğunu göstərir. Əgər siz NAT arxasında Cisco SD-WAN Manager işlədirsinizsə, NAT cihazında aşağıdakı portları açmalısınız:

  • 23456 (əsas - nümunə 0 port)
  • 23456 + 100 (əsas + 100)
  • 23456 + 200 (əsas + 200)
  • 23456 + 300 (əsas + 300)

Nəzərə alın ki, nümunələrin sayı Cisco SD-WAN Meneceri üçün təyin etdiyiniz nüvələrin sayı ilə eynidir, maksimum 8-ə qədər.

Təhlükəsizlik Funksiya Şablonundan istifadə edərək Təhlükəsizlik Parametrlərini konfiqurasiya edin

Bütün Cisco vEdge cihazları üçün Təhlükəsizlik funksiyası şablonundan istifadə edin. Kənar marşrutlaşdırıcılarda və Cisco SD-WAN Təsdiqləyicisində məlumat müstəvisinin təhlükəsizliyi üçün IPsec-i konfiqurasiya etmək üçün bu şablondan istifadə edin. Cisco SD-WAN Manager və Cisco SD-WAN Controller-də idarəetmə təyyarəsinin təhlükəsizliyi üçün DTLS və ya TLS-ni konfiqurasiya etmək üçün Təhlükəsizlik xüsusiyyət şablonundan istifadə edin.

Təhlükəsizlik Parametrlərini konfiqurasiya edin

  1. Cisco SD-WAN Manager menyusundan Konfiqurasiya > Şablonlar seçin.
  2. Xüsusiyyət Şablonları klikləyin və sonra Şablon əlavə edin.
    Qeyd Cisco vManage Release 20.7.1 və əvvəlki buraxılışlarda Xüsusiyyət Şablonları Xüsusiyyət adlanır.
  3. Sol paneldəki Cihazlar siyahısından bir cihaz seçin. Seçilmiş cihaza aid şablonlar sağ paneldə görünür.
  4. Şablonu açmaq üçün Təhlükəsizlik düyməsini basın.
  5. Şablon adı sahəsində şablon üçün ad daxil edin. Ad 128 simvola qədər ola bilər və yalnız hərf-rəqəm simvollarından ibarət ola bilər.
  6. Şablon təsviri sahəsinə şablonun təsvirini daxil edin. Təsvir 2048 simvola qədər ola bilər və yalnız hərf-rəqəm simvollarından ibarət ola bilər.

Xüsusiyyət şablonunu ilk dəfə açdığınız zaman, defolt dəyəri olan hər bir parametr üçün əhatə dairəsi Defolt olaraq təyin edilir (iş işarəsi ilə göstərilir) və defolt parametr və ya dəyər göstərilir. Varsayılanı dəyişdirmək və ya dəyər daxil etmək üçün parametr sahəsinin solunda yerləşən əhatə dairəsi açılan menyusuna klikləyin və aşağıdakılardan birini seçin:

Cədvəl 1:

Parametr Əhatə dairəsi Əhatə dairəsinin təsviri
Xüsusi Cihaz (host simvolu ilə göstərilir) Parametr üçün cihaza xas dəyərdən istifadə edin. Cihaza xas parametrlər üçün funksiya şablonuna dəyər daxil edə bilməzsiniz. Viptela cihazını cihaz şablonuna əlavə edərkən dəyəri daxil edirsiniz.

Device Specific düyməsini kliklədiyiniz zaman Enter Key qutusu açılır. Bu qutu CSV-də parametri müəyyən edən unikal sətir olan açarı göstərir file yaratdığınız. Bu file hər açar üçün bir sütun olan Excel cədvəlidir. Başlıq sətirində açar adları (hər sütunda bir açar) var və ondan sonrakı hər sətir cihaza uyğun gəlir və həmin cihaz üçün düymələrin dəyərlərini müəyyən edir. Siz CSV yükləyin file Viptela cihazını cihaz şablonuna əlavə etdiyiniz zaman. Ətraflı məlumat üçün Şablon Dəyişən Cədvəli Yaradın.

Varsayılan düyməni dəyişdirmək üçün yeni sətir yazın və kursoru Enter Açarı qutusundan kənarlaşdırın.

ExampCihaza xas parametrlər sistemin IP ünvanı, host adı, GPS yeri və sayt ID-sidir.
Parametr Əhatə dairəsi Əhatə dairəsinin təsviri
Qlobal (qlobus işarəsi ilə göstərilir) Parametr üçün dəyər daxil edin və həmin dəyəri bütün cihazlara tətbiq edin.

ExampQlobal olaraq bir qrup cihazlara tətbiq edə biləcəyiniz parametrlər DNS server, syslog server və interfeys MTU-lardır.

İdarəetmə Təyyarəsinin Təhlükəsizliyini konfiqurasiya edin

Qeyd
Control Plane Security Configure bölməsi yalnız Cisco SD-WAN Manager və Cisco SD-WAN Controller üçün tətbiq edilir. Cisco SD-WAN Manager instansiyasında və ya Cisco SD-WAN Controller-də idarəetmə müstəvisi əlaqə protokolunu konfiqurasiya etmək üçün Əsas Konfiqurasiya sahəsini seçin. və aşağıdakı parametrləri konfiqurasiya edin:

Cədvəl 2:

Parametr ad Təsvir
Protokol Cisco SD-WAN Nəzarətçisinə idarəetmə təyyarəsi qoşulmalarında istifadə ediləcək protokolu seçin:

• DTLS (Datagram Nəqliyyat Layeri Təhlükəsizliyi). Bu standartdır.

• TLS (Nəqliyyat Layeri Təhlükəsizliyi)
TLS portuna nəzarət edin TLS seçmisinizsə, istifadə etmək üçün port nömrəsini konfiqurasiya edin:Aralığı: 1025 - 65535Defolt: 23456

Saxla klikləyin

Data Plane Təhlükəsizliyini konfiqurasiya edin
Cisco SD-WAN Validator və ya Cisco vEdge marşrutlaşdırıcısında məlumat müstəvisinin təhlükəsizliyini konfiqurasiya etmək üçün Əsas Konfiqurasiya və Doğrulama Növü nişanlarını seçin və aşağıdakı parametrləri konfiqurasiya edin:

Cədvəl 3:

Parametr ad Təsvir
Rekey Vaxtı Cisco vEdge marşrutlaşdırıcısının Cisco SD-WAN Controller ilə təhlükəsiz DTLS bağlantısında istifadə olunan AES açarını nə qədər tez-tez dəyişdiyini göstərin. OMP zərif yenidən başladılması aktivləşdirilibsə, yenidən açma vaxtı OMP zərif yenidən başlatma taymerinin dəyərindən ən azı iki dəfə olmalıdır.Aralığı: 10 ilə 1209600 saniyə (14 gün)Defolt: 86400 saniyə (24 saat)
Təkrar Pəncərə Sürüşən təkrar pəncərənin ölçüsünü təyin edin.

Dəyərlər: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketlərDefolt: 512 paket
IPsec

cüt açarlama

 Bu defolt olaraq söndürülür. klikləyin On yandırmaq üçün.
Parametr ad Təsvir
Doğrulama növü -dən autentifikasiya növlərini seçin Doğrulama Siyahı, və autentifikasiya növlərini qovluğuna köçürmək üçün sağa göstərən oxu klikləyin Seçilmiş Siyahı sütun.

Cisco SD-WAN Release 20.6.1-dən dəstəklənən identifikasiya növləri:

•  esp: ESP başlığında Encapsulating Security Fayload (ESP) şifrələməsini və bütövlüyün yoxlanılmasını aktivləşdirir.

•  ip-udp-esp: ESP şifrələməsini aktivləşdirir. ESP başlığı və faydalı yükün bütövlüyü yoxlamalarına əlavə olaraq, yoxlamalara xarici IP və UDP başlıqları da daxildir.

•  ip-udp-esp-no-id: Cisco Catalyst SD-WAN-ın qeyri-Cisco cihazları ilə birlikdə işləyə bilməsi üçün IP başlığında ID sahəsinə məhəl qoymur.

•  heç biri: IPSec paketlərində bütövlüyün yoxlanılmasını söndürür. Bu seçimdən istifadə etməyi məsləhət görmürük.

 

Cisco SD-WAN Release 20.5.1 və daha əvvəlki versiyalarda dəstəklənən identifikasiya növləri:

•  ah-no-id: Paketin xarici IP başlığında ID sahəsinə məhəl qoymayan AH-SHA1 HMAC və ESP HMAC-SHA1-in təkmilləşdirilmiş versiyasını aktiv edin.

•  ah-sha1-hmac: AH-SHA1 HMAC və ESP HMAC-SHA1-i aktivləşdirin.

•  heç biri: Doğrulama yoxdur seçin.

•  sha1-hmac: ESP HMAC-SHA1-i aktivləşdirin.

 

Qeyd              Cisco SD-WAN Release 20.5.1 və ya daha əvvəl işləyən kənar cihaz üçün siz autentifikasiya növlərini konfiqurasiya etmiş ola bilərsiniz. Təhlükəsizlik şablon. Cihazı Cisco SD-WAN Release 20.6.1 və ya daha yeni versiyaya təkmilləşdirdiyiniz zaman, seçilmiş autentifikasiya növlərini Təhlükəsizlik Cisco SD-WAN Release 20.6.1-dən dəstəklənən autentifikasiya növləri üçün şablon. Doğrulama növlərini yeniləmək üçün aşağıdakıları edin:

1.      Cisco SD-WAN Manager menyusundan seçin Konfiqurasiya >

Şablonlar.

2.      klikləyin Xüsusiyyət Şablonları.

3.      tapın Təhlükəsizlik yeniləmək üçün şablonu seçin və vurun ... və basın Redaktə et.

4.      klikləyin Yeniləyin. Heç bir konfiqurasiyaya dəyişiklik etməyin.

Cisco SD-WAN Manager yeniləyir Təhlükəsizlik dəstəklənən autentifikasiya növlərini göstərmək üçün şablon.

Saxla klikləyin.

Data Plane Təhlükəsizlik Parametrlərini konfiqurasiya edin

Məlumat müstəvisində IPsec standart olaraq bütün marşrutlaşdırıcılarda aktivləşdirilir və standart olaraq IPsec tunel əlaqələri IPsec tunellərində autentifikasiya üçün Encapsulating Security Fayload (ESP) protokolunun təkmilləşdirilmiş versiyasından istifadə edir. Marşrutlaşdırıcılarda siz identifikasiya növünü, IPsec rekeying taymerini və IPsec anti-replay pəncərəsinin ölçüsünü dəyişə bilərsiniz.

İcazəli Doğrulama növlərini konfiqurasiya edin

Cisco SD-WAN Release 20.6.1 və Daha Sonrasında Doğrulama Növləri
Cisco SD-WAN Release 20.6.1-dən aşağıdakı bütövlük növləri dəstəklənir:

  • esp: Bu seçim ESP başlığında Encapsulating Security Fayload (ESP) şifrələməsini və bütövlüyün yoxlanılmasını təmin edir.
  • ip-udp-esp: Bu seçim ESP şifrələməsini aktivləşdirir. ESP başlığında və faydalı yükdə bütövlük yoxlamalarına əlavə olaraq, yoxlamalara xarici IP və UDP başlıqları da daxildir.
  • ip-udp-esp-no-id: Bu seçim ip-udp-esp-ə bənzəyir, lakin xarici IP başlığının ID sahəsi nəzərə alınmır. Cisco Catalyst SD-WAN proqramının Cisco Catalyst SD-WAN-ın qeyri-Cisco cihazları ilə birlikdə işləyə bilməsi üçün IP başlığında ID sahəsinə məhəl qoymamaq üçün bütövlük növləri siyahısında bu seçimi konfiqurasiya edin.
  • heç biri: Bu seçim IPSec paketlərində bütövlüyün yoxlanılmasını söndürür. Bu seçimdən istifadə etməyi məsləhət görmürük.

Defolt olaraq, IPsec tunel əlaqələri autentifikasiya üçün Encapsulating Security Fayload (ESP) protokolunun təkmilləşdirilmiş versiyasından istifadə edir. Müzakirə edilmiş interity növlərini dəyişdirmək və ya bütövlüyü yoxlamasını deaktiv etmək üçün aşağıdakı əmrdən istifadə edin: integrity-type { heç biri | ip-udp-esp | ip-udp-esp-no-id | esp }

Cisco SD-WAN Buraxılışından əvvəl Doğrulama Növləri 20.6.1
Defolt olaraq, IPsec tunel əlaqələri autentifikasiya üçün Encapsulating Security Fayload (ESP) protokolunun təkmilləşdirilmiş versiyasından istifadə edir. Müzakirə edilən autentifikasiya növlərini dəyişdirmək və ya autentifikasiyanı söndürmək üçün aşağıdakı əmrdən istifadə edin: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | heç biri) Defolt olaraq, IPsec tunel əlaqələri həm şifrələmə, həm də autentifikasiyanı təmin edən AES-GCM-256-dan istifadə edir. Hər bir autentifikasiya növünü ayrıca təhlükəsizlik ipsec autentifikasiya növü əmri ilə konfiqurasiya edin. Komanda seçimləri ən güclüdən ən güclüyə doğru sıralanan aşağıdakı autentifikasiya növlərinə uyğunlaşdırılır:

Qeyd
Konfiqurasiya seçimlərindəki sha1 tarixi səbəblərdən istifadə olunur. Doğrulama seçimləri paket bütövlüyünün yoxlanılmasının nə qədər edildiyini göstərir. Bütövlüyü yoxlayan alqoritmi müəyyənləşdirmirlər. Multicast trafikinin şifrələnməsi istisna olmaqla, Cisco Catalyst SD WAN tərəfindən dəstəklənən autentifikasiya alqoritmləri SHA1-dən istifadə etmir. Lakin Cisco SD-WAN Release 20.1.x və sonrakı versiyalarında həm unicast, həm də multicast SHA1-dən istifadə etmir.

  • ah-sha1-hmac ESP istifadə edərək şifrələmə və enkapsulyasiya etməyə imkan verir. Bununla belə, ESP başlığı və faydalı yükün bütövlüyü yoxlamalarına əlavə olaraq, yoxlamalara xarici IP və UDP başlıqları da daxildir. Beləliklə, bu seçim Authentication Header (AH) protokoluna bənzər paketin bütövlüyünün yoxlanılmasını dəstəkləyir. Bütün bütövlük və şifrələmə AES-256-GCM istifadə edərək həyata keçirilir.
  • ah-no-id ah-sha1-hmac-a bənzər rejimi işə salır, lakin xarici IP başlığının ID sahəsi nəzərə alınmır. Bu seçim bəzi qeyri-Cisco Catalyst SD-WAN cihazlarını, o cümlədən Apple AirPort Express NAT-ı, IP başlığında ID sahəsinin, dəyişməyən sahənin dəyişdirilməsinə səbəb olan xətaya malikdir. Cisco Catalyst SD-WAN proqram təminatının bu cihazlarla birlikdə işləyə bilməsi üçün Cisco Catalyst SD-WAN AH proqramının IP başlığında ID sahəsinə məhəl qoymaması üçün autentifikasiya növləri siyahısında ah-no-id seçimini konfiqurasiya edin.
  • sha1-hmac ESP şifrələməsini və bütövlüyün yoxlanılmasını təmin edir.
  • heç biri identifikasiyaya uyğun gəlmir. Bu seçim yalnız müvəqqəti sazlama üçün lazım olduqda istifadə edilməlidir. Siz həmçinin məlumat müstəvisinin autentifikasiyası və bütövlüyünün narahatlıq doğurmadığı hallarda bu seçimi seçə bilərsiniz. Cisco bu seçimdən istehsal şəbəkələri üçün istifadə etməyi tövsiyə etmir.

Bu autentifikasiya növlərinin hansı məlumat paketi sahələrinə təsir etdiyi haqqında məlumat üçün Məlumat Planının Bütövlüyünə baxın. Cisco IOS XE Catalyst SD-WAN cihazları və Cisco vEdge cihazları TLOC xassələrində konfiqurasiya edilmiş autentifikasiya növlərini reklam edir. IPsec tunel bağlantısının hər iki tərəfindəki iki marşrutlaşdırıcı, hər iki marşrutlaşdırıcıda konfiqurasiya edilmiş ən güclü autentifikasiya növündən istifadə edərək, aralarındakı əlaqədə istifadə etmək üçün autentifikasiyanı müzakirə edir. məsələnampƏgər bir marşrutlaşdırıcı ah-sha1-hmac və ah-no-id növlərini, ikinci marşrutlaşdırıcı isə ah-no-id növünü reklam edirsə, iki marşrutlaşdırıcı arasında IPsec tunel əlaqəsində ah-no-id istifadə etmək üçün danışıqlar aparılır. onlar. Əgər iki həmyaşıdda ümumi identifikasiya növləri konfiqurasiya edilməyibsə, onlar arasında heç bir IPsec tuneli qurulmur. IPsec tunel bağlantılarında şifrələmə alqoritmi trafikin növündən asılıdır:

  • Unicast trafik üçün şifrələmə alqoritmi AES-256-GCM-dir.
  • Multicast trafik üçün:
  • Cisco SD-WAN Release 20.1.x və sonrakı versiyalar – şifrələmə alqoritmi AES-256-GCM-dir
  • Əvvəlki buraxılışlar – şifrələmə alqoritmi SHA256-HMAC ilə AES-1-CBC-dir.

IPsec autentifikasiya növü dəyişdirildikdə, məlumat yolu üçün AES açarı dəyişdirilir.

Yenidən Açma Taymeri dəyişdirin

Cisco IOS XE Catalyst SD-WAN cihazları və Cisco vEdge cihazları məlumat trafikini mübadilə etməzdən əvvəl, onlar arasında etibarlı təsdiqlənmiş rabitə kanalı qururlar. Marşrutlaşdırıcılar kanal kimi aralarındakı IPSec tunellərindən və şifrələməni həyata keçirmək üçün AES-256 şifrəsindən istifadə edirlər. Hər bir marşrutlaşdırıcı vaxtaşırı məlumat yolu üçün yeni AES açarı yaradır. Varsayılan olaraq, açar 86400 saniyə (24 saat) ərzində etibarlıdır və taymer diapazonu 10 saniyə ilə 1209600 saniyə (14 gün) arasındadır. Yenidən açar taymeri dəyərini dəyişmək üçün: Device(config)# security ipsec rekey seconds Konfiqurasiya belə görünür:

  • təhlükəsizlik ipsec rekey saniyə!

Əgər siz dərhal yeni IPsec açarlarını yaratmaq istəyirsinizsə, bunu marşrutlaşdırıcının konfiqurasiyasını dəyişdirmədən edə bilərsiniz. Bunu etmək üçün, təhlükəsi olan marşrutlaşdırıcıda sorğu təhlükəsizlik ipsecrekey əmrini verin. məsələnample, aşağıdakı çıxış yerli SA-nın 256 Təhlükəsizlik Parametri İndeksinə (SPI) malik olduğunu göstərir:CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-4

Unikal açar hər bir SPI ilə əlaqələndirilir. Əgər bu açara təhlükə yaranarsa, dərhal yeni açar yaratmaq üçün sorğu təhlükəsizliyi ipsec-rekey əmrindən istifadə edin. Bu əmr SPI-ni artırır. Keçmişimizdəample, SPI 257-ə dəyişir və onunla əlaqəli açar indi istifadə olunur:

  • Cihaz # təhlükəsizlik ipsecrekey sorğusu
  • Cihaz # ipsec local-sa göstərir

CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-5

Yeni açar yaradıldıqdan sonra marşrutlaşdırıcı onu dərhal DTLS və ya TLS istifadə edərək Cisco SD-WAN Nəzarətçilərinə göndərir. Cisco SD-WAN Controllers açarı həmyaşıd marşrutlaşdırıcılara göndərir. Routerlər onu alan kimi ondan istifadə etməyə başlayırlar. Qeyd edək ki, köhnə SPI (256) ilə əlaqəli açarın vaxtı bitənə qədər qısa müddət ərzində istifadə olunmağa davam edəcək. Köhnə açarın istifadəsini dərhal dayandırmaq üçün sorğu təhlükəsizlik ipsec-rekey əmrini ardıcıl olaraq iki dəfə verin. Bu əmr ardıcıllığı həm SPI 256, həm də 257-ni silir və SPI-ni 258-ə təyin edir. Daha sonra marşrutlaşdırıcı SPI 258-in əlaqəli açarından istifadə edir. Bununla belə, nəzərə alın ki, bütün uzaq marşrutlaşdırıcılar öyrənənə qədər bəzi paketlər qısa müddətə atılacaq. yeni açar.CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-6

Anti-Replay pəncərəsinin ölçüsünü dəyişdirin

IPsec autentifikasiyası məlumat axınındakı hər bir paketə unikal ardıcıllıq nömrəsi təyin etməklə təkrar oynatmadan qorunma təmin edir. Bu ardıcıl nömrələmə məlumat paketlərini təkrarlayan təcavüzkardan qoruyur. Anti-replay mühafizəsi ilə göndərici monoton şəkildə artan ardıcıllıq nömrələrini təyin edir və təyinat dublikatları aşkar etmək üçün bu ardıcıllıq nömrələrini yoxlayır. Paketlər çox vaxt qaydada gəlmədiyi üçün təyinat yeri qəbul edəcəyi ardıcıl nömrələrin sürüşmə pəncərəsini saxlayır.CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-7

Sürüşən pəncərə diapazonunun soluna düşən ardıcıl nömrələri olan paketlər köhnə və ya dublikat sayılır və təyinat onları buraxır. Təyinat aldığı ən yüksək sıra nömrəsini izləyir və daha yüksək qiymətə malik paketi qəbul edərkən sürüşmə pəncərəsini tənzimləyir.CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-8

Varsayılan olaraq, sürüşmə pəncərəsi 512 paketə təyin edilmişdir. O, 64-nin gücü olan 4096 və 2 arasında istənilən dəyərə təyin edilə bilər (yəni, 64, 128, 256, 512, 1024, 2048 və ya 4096). Anti-replay pəncərəsinin ölçüsünü dəyişdirmək üçün pəncərənin ölçüsünü təyin edərək replay-window əmrindən istifadə edin:

Cihaz(konfiqurasiya)# təhlükəsizlik ipsec təkrar oynatma pəncərəsi nömrəsi

Konfiqurasiya belə görünür:
təhlükəsizlik ipsec təkrar pəncərə nömrəsi! !

QoS ilə kömək etmək üçün ilk səkkiz trafik kanalının hər biri üçün ayrıca təkrar oynatma pəncərələri saxlanılır. Konfiqurasiya edilmiş təkrar oynatma pəncərəsinin ölçüsü hər kanal üçün səkkizə bölünür. QoS marşrutlaşdırıcıda konfiqurasiya edilibsə, IPsec anti-replay mexanizmi nəticəsində həmin marşrutlaşdırıcı gözləniləndən çox paket düşməsi ilə qarşılaşa bilər və atılan paketlərin çoxu qanuni olanlardır. Bu, QoS-in paketləri yenidən sıralaması, daha yüksək prioritetli paketlərə üstünlük verilməsi və daha aşağı prioritet paketləri gecikdirməsi səbəbindən baş verir. Bu vəziyyəti minimuma endirmək və ya qarşısını almaq üçün aşağıdakıları edə bilərsiniz:

  • Anti-replay pəncərəsinin ölçüsünü artırın.
  • Kanal daxilində trafikin yenidən sıralanmamasını təmin etmək üçün ilk səkkiz trafik kanalı üzrə trafiki mühəndisləşdirin.

IKE effektiv IPsec tunellərini konfiqurasiya edin
Trafiki üst-üstə düşən şəbəkədən xidmət şəbəkəsinə təhlükəsiz şəkildə ötürmək üçün siz İnternet Açar Mübadiləsi (IKE) protokolunu işlədən IPsec tunellərini konfiqurasiya edə bilərsiniz. IKE-ni aktivləşdirən IPsec tunelləri paketlərin təhlükəsiz daşınmasını təmin etmək üçün autentifikasiya və şifrələməni təmin edir. Siz IPsec interfeysini konfiqurasiya etməklə IKE-nin aktiv olduğu IPsec tuneli yaradırsınız. IPsec interfeysləri məntiqi interfeyslərdir və siz onları hər hansı digər fiziki interfeys kimi konfiqurasiya edirsiniz. Siz IPsec interfeysində IKE protokol parametrlərini konfiqurasiya edirsiniz və digər interfeys xüsusiyyətlərini konfiqurasiya edə bilərsiniz.

Qeyd Cisco IKE Versiya 2-dən istifadə etməyi tövsiyə edir. Cisco SD-WAN 19.2.x buraxılışından başlayaraq, əvvəlcədən paylaşılan açarın uzunluğu ən azı 16 bayt olmalıdır. Router 16 versiyasına yeniləndikdə açar ölçüsü 19.2 simvoldan az olarsa, IPsec tunelinin qurulması uğursuz olur.

Qeyd
Cisco Catalyst SD-WAN proqramı RFC 2-da müəyyən edildiyi kimi IKE Versiya 7296-ni dəstəkləyir. IPsec tunelləri üçün istifadələrdən biri Amazon AWS-də işləyən vEdge Cloud router VM instansiyalarına Amazon virtual şəxsi buluduna (VPC) qoşulmağa icazə verməkdir. Bu marşrutlaşdırıcılarda IKE Versiya 1-i konfiqurasiya etməlisiniz. Cisco vEdge cihazları yalnız IPSec konfiqurasiyasında marşrut əsaslı VPN-ləri dəstəkləyir, çünki bu cihazlar şifrələmə domenində trafik seçicilərini təyin edə bilmir.

IPsec Tunelini konfiqurasiya edin
Xidmət şəbəkəsindən təhlükəsiz nəqliyyat trafiki üçün IPsec tunel interfeysini konfiqurasiya etmək üçün məntiqi IPsec interfeysi yaradırsınız:CISCO-SD-WAN-Configure-Təhlükəsizlik-Parametrləri-FIG-9

Siz IPsec tunelini nəqliyyat VPN-də (VPN 0) və istənilən VPN xidmətində (1 istisna olmaqla, VPN 65530-dən 512-a qədər) yarada bilərsiniz. IPsec interfeysinin ipsecnumber formatında adı var, burada nömrə 1-dən 255-ə qədər ola bilər. Hər bir IPsec interfeysinin IPv4 ünvanı olmalıdır. Bu ünvan /30 prefiksi olmalıdır. Bu IPv4 prefiksi daxilində olan VPN-dəki bütün trafik IPsec tuneli üzərində təhlükəsiz şəkildə göndərilmək üçün VPN 0-da fiziki interfeysə yönəldilir. Yerli cihazda IPsec tunelinin mənbəyini konfiqurasiya etmək üçün siz ya IP ünvanını təyin edə bilərsiniz. fiziki interfeys (tunel-mənbə əmrində) və ya fiziki interfeysin adı (tunel-mənbə-interfeys əmrində). Fiziki interfeysin VPN 0-da konfiqurasiya edildiyinə əmin olun. IPsec tunelinin təyinat yerini konfiqurasiya etmək üçün tunel-təyinat əmrində uzaq cihazın IP ünvanını göstərin. Mənbə ünvanı (və ya mənbə interfeys adı) və təyinat ünvanının birləşməsi vahid IPsec tunelini müəyyən edir. Xüsusi mənbə ünvanı (və ya interfeys adı) və təyinat ünvan cütündən istifadə edən yalnız bir IPsec tuneli mövcud ola bilər.

IPsec Statik marşrutunu konfiqurasiya edin

Trafiki VPN xidmətindən IPsec tunelinə nəqliyyat VPN-də (VPN 0) yönəltmək üçün siz VPN xidmətində (VPN 0 və ya VPN 512-dən başqa VPN) IPsec-ə xas statik marşrutu konfiqurasiya edirsiniz:

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-marşrut prefiksi/uzunluq vpn 0 interfeysi
  • ipsecnumber [ipsecnumber2]

VPN ID istənilən VPN xidmətinə aiddir (1 istisna olmaqla, VPN 65530-dən 512-a qədər). prefiks/uzunluq ondalık dörd hissəli nöqtəli notasiyada IP ünvanı və ya prefiks və IPsec-ə məxsus statik marşrutun prefiks uzunluğudur. İnterfeys VPN 0-da IPsec tunel interfeysidir. Siz bir və ya iki IPsec tunel interfeysini konfiqurasiya edə bilərsiniz. İkisini konfiqurasiya etsəniz, birincisi əsas IPsec tuneli, ikincisi isə ehtiyat nüsxəsidir. İki interfeys ilə bütün paketlər yalnız əsas tunelə göndərilir. Bu tunel uğursuz olarsa, bütün paketlər ikinci tunelə göndərilir. Əgər əsas tunel yenidən yuxarı qalxarsa, bütün trafik əsas IPsec tunelinə köçürülür.

IKE Versiya 1-i aktivləşdirin
vEdge marşrutlaşdırıcısında IPsec tuneli yaratdığınız zaman tunel interfeysində defolt olaraq IKE Versiya 1 aktivləşdirilir. Aşağıdakı xüsusiyyətlər də IKEv1 üçün defolt olaraq aktivdir:

  • Doğrulama və şifrələmə—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 təkmil şifrələmə standartı CBC şifrələməsi
  • Diffie-Hellman qrupunun nömrəsi - 16
  • Yenidən işləmə müddəti - 4 saat
  • SA qurulması rejimi - Əsas

Varsayılan olaraq, IKEv1 IKE SA-ları yaratmaq üçün IKE əsas rejimindən istifadə edir. Bu rejimdə SA yaratmaq üçün altı danışıqlar paketi mübadiləsi aparılır. Yalnız üç danışıqlar paketini mübadilə etmək üçün aqressiv rejimi aktivləşdirin:

Qeyd
Əvvəlcədən paylaşılan açarları olan IKE aqressiv rejimi mümkün olan hər yerdə qarşısı alınmalıdır. Əks halda güclü əvvəlcədən paylaşılan açar seçilməlidir.

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi
  • vEdge(config-ike)# rejimi aqressivdir

Varsayılan olaraq, IKEv1 IKE açar mübadiləsində Diffie-Hellman qrupu 16-dan istifadə edir. Bu qrup IKE açar mübadiləsi zamanı 4096-bit daha modul eksponensial (MODP) qrupundan istifadə edir. Qrup nömrəsini 2 (1024-bit MODP üçün), 14 (2048-bit MODP) və ya 15 (3072-bit MODP) olaraq dəyişə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi
  • vEdge(config-ike)# qrup nömrəsi

Varsayılan olaraq, IKE açar mübadiləsi bütövlüyü üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 qabaqcıl şifrələmə standartı CBC şifrələməsindən istifadə edir. Siz identifikasiyanı dəyişə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi
  • vEdge(config-ike)# şifrə paketi

Doğrulama paketi aşağıdakılardan biri ola bilər:

  • aes128-cbc-sha1—bütövlük üçün HMAC-SHA128 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 qabaqcıl şifrələmə standartı CBC şifrələməsi
  • aes128-cbc-sha2—bütövlük üçün HMAC-SHA128 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-256 qabaqcıl şifrələmə standartı CBC şifrələməsi
  • aes256-cbc-sha1—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 təkmil şifrələmə standartı CBC şifrələməsi; bu standartdır.
  • aes256-cbc-sha2—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-256 qabaqcıl şifrələmə standartı CBC şifrələməsi

Varsayılan olaraq, IKE açarları hər 1 saatdan bir (3600 saniyə) təzələnir. Yenidən açarlama intervalını 30 saniyədən 14 günə (1209600 saniyə) qədər dəyişə bilərsiniz. Təkrarlama intervalının ən azı 1 saat olması tövsiyə olunur.

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi kimi
  • vEdge(config-ike)# təkrar açar saniyə

IKE sessiyası üçün yeni açarların yaradılmasını məcbur etmək üçün sorğu ipsec ike-rekey əmrini verin.

  • vEdge(config)# vpn vpn-id interfaceipsec nömrəsi

IKE üçün siz həmçinin əvvəlcədən paylaşılan açarın (PSK) autentifikasiyasını konfiqurasiya edə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi
  • vEdge(config-ike)# autentifikasiya tipli əvvəlcədən paylaşılan açar öncədən paylaşılan gizli parol parolu əvvəlcədən paylaşılan açarla istifadə ediləcək paroldur. Bu, ASCII və ya 1-dən 127-yə qədər simvol uzunluğunda onaltılıq sətir ola bilər.

Uzaqdan IKE peer yerli və ya uzaq ID tələb edirsə, siz bu identifikatoru konfiqurasiya edə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsec nömrəsi ike autentifikasiya növü
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

İdentifikator IP ünvanı və ya 1 ilə 63 simvol uzunluğunda istənilən mətn sətri ola bilər. Varsayılan olaraq, yerli ID tunelin mənbə IP ünvanıdır və uzaq ID tunelin təyinat IP ünvanıdır.

IKE Versiya 2-i aktivləşdirin
IKE Versiya 2-dən istifadə etmək üçün IPsec tunelini konfiqurasiya etdiyiniz zaman, aşağıdakı xüsusiyyətlər də IKEv2 üçün defolt olaraq aktiv edilir:

  • Doğrulama və şifrələmə—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 təkmil şifrələmə standartı CBC şifrələməsi
  • Diffie-Hellman qrupunun nömrəsi - 16
  • Yenidən işləmə müddəti - 4 saat

Varsayılan olaraq, IKEv2 IKE açar mübadiləsində Diffie-Hellman qrupu 16-dan istifadə edir. Bu qrup IKE açar mübadiləsi zamanı 4096-bit daha modul eksponensial (MODP) qrupundan istifadə edir. Qrup nömrəsini 2 (1024-bit MODP üçün), 14 (2048-bit MODP) və ya 15 (3072-bit MODP) olaraq dəyişə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber
  • vEdge(config-ike)# qrup nömrəsi

Varsayılan olaraq, IKE açar mübadiləsi bütövlüyü üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 qabaqcıl şifrələmə standartı CBC şifrələməsindən istifadə edir. Siz identifikasiyanı dəyişə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber
  • vEdge(config-ike)# şifrə paketi

Doğrulama paketi aşağıdakılardan biri ola bilər:

  • aes128-cbc-sha1—bütövlük üçün HMAC-SHA128 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 qabaqcıl şifrələmə standartı CBC şifrələməsi
  • aes128-cbc-sha2—bütövlük üçün HMAC-SHA128 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-256 qabaqcıl şifrələmə standartı CBC şifrələməsi
  • aes256-cbc-sha1—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-1 təkmil şifrələmə standartı CBC şifrələməsi; bu standartdır.
  • aes256-cbc-sha2—bütövlük üçün HMAC-SHA256 açarlı hash mesaj identifikasiyası kodu alqoritmi ilə AES-256 qabaqcıl şifrələmə standartı CBC şifrələməsi

Varsayılan olaraq, IKE açarları hər 4 saatdan bir (14,400 saniyə) təzələnir. Yenidən açarlama intervalını 30 saniyədən 14 günə (1209600 saniyə) qədər dəyişə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber
  • vEdge(config-ike)# təkrar açar saniyə

IKE sessiyası üçün yeni açarların yaradılmasını məcbur etmək üçün sorğu ipsec ike-rekey əmrini verin. IKE üçün siz həmçinin əvvəlcədən paylaşılan açarın (PSK) autentifikasiyasını konfiqurasiya edə bilərsiniz:

  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber
  • vEdge(config-ike)# autentifikasiya tipli əvvəlcədən paylaşılan açar öncədən paylaşılan gizli parol parolu əvvəlcədən paylaşılan açarla istifadə ediləcək paroldur. Bu, ASCII və ya onaltılıq sətir ola bilər və ya AES ilə şifrələnmiş açar ola bilər. Uzaqdan IKE peer yerli və ya uzaq ID tələb edirsə, siz bu identifikatoru konfiqurasiya edə bilərsiniz:
  • vEdge(config)# vpn vpn-id interfeysi ipsecnumber ike autentifikasiya növü
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

İdentifikator IP ünvanı və ya 1 ilə 64 simvol uzunluğunda istənilən mətn sətri ola bilər. Varsayılan olaraq, yerli ID tunelin mənbə IP ünvanıdır və uzaq ID tunelin təyinat IP ünvanıdır.

IPsec Tunel Parametrlərini konfiqurasiya edin

Cədvəl 4: Xüsusiyyət Tarixçəsi

Xüsusiyyət ad Buraxılış məlumatı Təsvir
Əlavə kriptoqrafik Cisco SD-WAN Buraxılış 20.1.1 Bu xüsusiyyət üçün dəstək əlavə edir
IPSec üçün alqoritmik dəstək   HMAC_SHA256, HMAC_SHA384 və
Tunellər   üçün HMAC_SHA512 alqoritmləri
    gücləndirilmiş təhlükəsizlik.

Varsayılan olaraq, IKE trafikini daşıyan IPsec tunelində aşağıdakı parametrlər istifadə olunur:

  • Doğrulama və şifrələmə—GCM-də AES-256 alqoritmi (Galois/counter rejimi)
  • Yenidən açma intervalı - 4 saat
  • Təkrar pəncərə - 32 paket

Siz IPsec tunelindəki şifrələməni CBC-də AES-256 şifrəsinə dəyişdirə bilərsiniz (şifrə bloku zəncirləmə rejimi, HMAC ilə ya SHA-1, ya da SHA-2 açarlı hash mesaj autentifikasiyası ilə və ya SHA-1 və ya istifadə edərək HMAC ilə null IKE açar mübadiləsi trafiki üçün istifadə edilən IPsec tunelini şifrələməmək üçün SHA-2 açarlı hash mesaj identifikasiyası:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# şifr dəsti (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-null-256sha | aes256-null-sha384 | aes256-null-sha512)

Varsayılan olaraq, IKE açarları hər 4 saatdan bir (14,400 saniyə) təzələnir. Yenidən açarlama intervalını 30 saniyədən 14 günə (1209600 saniyə) qədər dəyişə bilərsiniz:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# təkrar açar saniyə

IPsec tuneli üçün yeni açarların yaradılmasını məcbur etmək üçün sorğu ipsec ipsec-rekey əmrini verin. Defolt olaraq, IPsec tunellərində mükəmməl irəli məxfilik (PFS) aktivləşdirilir ki, gələcək açarlar təhlükə altına düşərsə, keçmiş seanslara təsir göstərməsin. PFS, standart olaraq 4096-bit Diffie-Hellman əsas modul qrupundan istifadə edərək yeni Diffie-Hellman açar mübadiləsini məcbur edir. PFS parametrini dəyişə bilərsiniz:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# mükəmməl irəli məxfilik pfs parametri

pfs parametrləri aşağıdakılardan biri ola bilər:

  • qrup-2—1024-bit Diffie-Hellman əsas modul qrupundan istifadə edin.
  • qrup-14—2048-bit Diffie-Hellman əsas modul qrupundan istifadə edin.
  • qrup-15—3072-bit Diffie-Hellman əsas modul qrupundan istifadə edin.
  • qrup-16—4096-bit Diffie-Hellman əsas modul qrupundan istifadə edin. Bu standartdır.
  • heç biri - PFS-ni deaktiv edin.

Varsayılan olaraq, IPsec tunelində IPsec təkrar oynatma pəncərəsi 512 baytdır. Siz təkrar oynatma pəncərəsinin ölçüsünü 64, 128, 256, 512, 1024, 2048 və ya 4096 paketə təyin edə bilərsiniz:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# təkrar oynatma pəncərəsi nömrəsi

IKE Dead-Peer Detection funksiyasını dəyişdirin

IKE, IKE həmyaşıdı ilə əlaqənin funksional və əlçatan olub olmadığını müəyyən etmək üçün ölü həmyaşıdların aşkarlanması mexanizmindən istifadə edir. Bu mexanizmi həyata keçirmək üçün IKE həmyaşıdına Hello paketi göndərir və həmyaşıd cavab olaraq təsdiq göndərir. Varsayılan olaraq, IKE hər 10 saniyədən bir Hello paketləri göndərir və üç qəbul edilməmiş paketdən sonra IKE qonşunun öldüyünü elan edir və tuneli həmyaşıdına yıxır. Bundan sonra, IKE vaxtaşırı həmyaşıdına Hello paketi göndərir və həmyaşıd yenidən onlayn olduqda tuneli yenidən qurur. Canlılığın aşkarlanması intervalını 0-dan 65535-ə qədər dəyişə bilərsiniz və təkrar cəhdlərin sayını 0-dan 255-ə qədər dəyişə bilərsiniz.

Qeyd

Nəqliyyat VPN-ləri üçün canlılığın aşkarlanması intervalı aşağıdakı düsturdan istifadə etməklə saniyələrə çevrilir: Yenidən ötürmə cəhdi üçün interval N = interval * 1.8N-1Məs.ample, əgər interval 10-a təyin edilərsə və 5-ə yenidən cəhd edilərsə, aşkarlama intervalı aşağıdakı kimi artır:

  • 1-ci cəhd: 10 * 1.81-1= 10 saniyə
  • cəhd 2: 10 * 1.82-1= 18 saniyə
  • cəhd 3: 10 * 1.83-1= 32.4 saniyə
  • cəhd 4: 10 * 1.84-1= 58.32 saniyə
  • cəhd 5: 10 * 1.85-1= 104.976 saniyə

vEdge(config-interface-ipsecnumber)# ölü həmyaşıd aşkarlama intervalı təkrar sınaq nömrəsi

Digər İnterfeys xüsusiyyətlərini konfiqurasiya edin

IPsec tunel interfeysləri üçün siz yalnız aşağıdakı əlavə interfeys xassələrini konfiqurasiya edə bilərsiniz:

  • vEdge(config-interface-ipsec)# mtu bayt
  • vEdge(config-interface-ipsec)# tcp-mss-tənzimləmə baytları

Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərini söndürün

Cədvəl 5: Xüsusiyyət Tarixçəsi Cədvəli

Xüsusiyyət ad Buraxılış məlumatı Xüsusiyyət Təsvir
Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərini söndürün Cisco vManage Release 20.9.1 Bu funksiya Cisco SD-WAN Manager-də müəyyən məlumat təhlükəsizliyi standartlarına uyğun gəlməyən daha zəif SSH alqoritmlərini söndürməyə imkan verir.

Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərinin Deaktiv edilməsi Haqqında Məlumat
Cisco SD-WAN Manager nəzarətçilər və kənar cihazlar da daxil olmaqla şəbəkədəki komponentlərlə əlaqə saxlamaq üçün SSH müştərisini təmin edir. SSH müştərisi müxtəlif şifrələmə alqoritmlərinə əsaslanan təhlükəsiz məlumat ötürülməsi üçün şifrələnmiş əlaqə təmin edir. Bir çox təşkilat SHA-1, AES-128 və AES-192 tərəfindən təmin ediləndən daha güclü şifrələmə tələb edir. Cisco vManage Release 20.9.1-dən SSH müştərisinin bu alqoritmlərdən istifadə etməməsi üçün siz aşağıdakı zəif şifrələmə alqoritmlərini deaktiv edə bilərsiniz:

  • SHA-1
  • AES-128
  • AES-192

Bu şifrələmə alqoritmlərini deaktiv etməzdən əvvəl, Cisco vEdge cihazlarının, əgər varsa, şəbəkədə Cisco SD-WAN Release 18.4.6-dan daha gec proqram buraxılışından istifadə etdiyinə əmin olun.

Cisco SD-WAN Menecerində Zəif SSH Şifrələmə Alqoritmlərinin Deaktiv edilməsinin Faydaları
Daha zəif SSH şifrələmə alqoritmlərinin söndürülməsi SSH rabitəsinin təhlükəsizliyini yaxşılaşdırır və Cisco Catalyst SD-WAN istifadə edən təşkilatların ciddi təhlükəsizlik qaydalarına uyğun olmasını təmin edir.

CLI istifadə edərək Cisco SD-WAN Manager-də Zəif SSH Şifrələmə Alqoritmlərini söndürün

  1. Cisco SD-WAN Manager menyusundan Tools > SSH Terminal seçin.
  2. Daha zəif SSH alqoritmlərini söndürmək istədiyiniz Cisco SD-WAN Manager cihazını seçin.
  3. Cihaza daxil olmaq üçün istifadəçi adı və şifrənizi daxil edin.
  4. SSH server rejiminə daxil olun.
    • vmanage(config)# sistemi
    • vmanage(config-system)# ssh-server
  5. SSH şifrələmə alqoritmini deaktiv etmək üçün aşağıdakılardan birini edin:
    • SHA-1-i deaktiv edin:
  6. idarə et(config-ssh-server)# no kex-algo sha1
  7. idarə et(config-ssh-server)# icra et
    Aşağıdakı xəbərdarlıq mesajı göstərilir: Aşağıdakı xəbərdarlıqlar yaradıldı: 'sistem ssh-server kex-algo sha1': XƏBƏRDARLIQ: Lütfən, bütün kənarlarınızın vManage ilə SHA18.4.6-dən daha yaxşı danışıq aparan kod versiyası > 1 işlədiyinə əmin olun. Əks halda həmin kənarlar oflayn ola bilər. Davam etmək? [bəli, yox] bəli
    • Şəbəkədəki hər hansı Cisco vEdge cihazının Cisco SD-WAN Release 18.4.6 və ya daha yeni versiyada işlədiyinə əmin olun və bəli daxil edin.
    • AES-128 və AES-192-ni söndürün:
    • vmanage(config-ssh-server)# aes-128-192 şifrəsi yoxdur
    • vmanage(config-ssh-server)# yerinə yetirin
      Aşağıdakı xəbərdarlıq mesajı göstərilir:
      Aşağıdakı xəbərdarlıqlar yaradıldı:
      'sistem ssh-server cipher aes-128-192': XƏBƏRDARLIQ: Lütfən, bütün kənarlarınızın vManage ilə AES-18.4.6-128-dən daha yaxşı danışan kod versiyası > 192 işlədiyinə əmin olun. Əks halda həmin kənarlar oflayn ola bilər. Davam etmək? [bəli, yox] bəli
    • Şəbəkədəki hər hansı Cisco vEdge cihazının Cisco SD-WAN Release 18.4.6 və ya daha yeni versiyada işlədiyinə əmin olun və bəli daxil edin.

CLI-dan istifadə edərək Cisco SD-WAN Menecerində Zəif SSH Şifrələmə Alqoritmlərinin Deaktiv edildiyini yoxlayın

  1. Cisco SD-WAN Manager menyusundan Tools > SSH Terminal seçin.
  2. Doğrulamaq istədiyiniz Cisco SD-WAN Manager cihazını seçin.
  3. Cihaza daxil olmaq üçün istifadəçi adı və şifrənizi daxil edin.
  4. Aşağıdakı əmri yerinə yetirin: çalışan konfiqurasiya sistemini ssh-server göstərin
  5. Çıxışın daha zəif şifrələmə alqoritmlərini söndürən bir və ya bir neçə əmri göstərdiyini təsdiqləyin:
    • aes-128-192 şifrəsi yoxdur
    • heç bir kex-algo sha1

Sənədlər / Resurslar

CISCO SD-WAN Təhlükəsizlik Parametrlərini Konfiqurasiya edin [pdf] İstifadəçi təlimatı
SD-WAN Konfiqurasiya Təhlükəsizlik Parametrləri, SD-WAN, Konfiqurasiya Təhlükəsizlik Parametrləri, Təhlükəsizlik Parametrləri

İstinadlar

Şərh buraxın

E-poçt ünvanınız dərc olunmayacaq. Tələb olunan sahələr qeyd olunub *