Змест схаваць
1 CISCO SD-WAN Настройка параметраў бяспекі
2 Наладзьце параметры бяспекі
3 Наладзьце параметры бяспекі плоскасці кіравання
4 Наладзьце DTLS у Cisco SD-WAN Manager
5 Наладзьце параметры бяспекі Data Plane
6 Наладзьце дазволеныя тыпы аўтэнтыфікацыі
7 Зменіце таймер пераўключэння
8 Зменіце памер акна Anti-Replay
9 Наладзьце статычны маршрут IPsec
10 Наладзьце параметры тунэля IPsec
11 Змяніць IKE Dead-Peer Detection
12 Наладзьце іншыя ўласцівасці інтэрфейсу
13 Адключыце слабыя алгарытмы шыфравання SSH на Cisco SD-WAN Manager
14 Дакументы / Рэсурсы
14.1 Спасылкі

Лагатып CISCO

CISCO SD-WAN Настройка параметраў бяспекі

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Наладзьце параметры бяспекі

Заўвага

Для дасягнення спрашчэння і паслядоўнасці рашэнне Cisco SD-WAN было перайменавана ў Cisco Catalyst SD-WAN. Акрамя таго, з Cisco IOS XE SD-WAN Release 17.12.1a і Cisco Catalyst SD-WAN Release 20.12.1 прымяняюцца наступныя змены кампанентаў: Cisco vManage на Cisco Catalyst SD-WAN Manager, Cisco vAnalytics на Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator і Cisco vSmart to Cisco Catalyst SD-WAN Controller. Глядзіце апошнія заўвагі да выпуску для поўнага спісу ўсіх змяненняў брэнда кампанентаў. Пакуль мы пераходзім на новыя назвы, некаторыя неадпаведнасці могуць прысутнічаць у камплекце дакументацыі з-за паэтапнага падыходу да абнаўлення карыстальніцкага інтэрфейсу праграмнага прадукту.

У гэтым раздзеле апісваецца, як змяніць параметры бяспекі для плоскасці кіравання і плоскасці даных у накладзенай сетцы Cisco Catalyst SD-WAN.

  • Наладзьце параметры бяспекі плоскасці кіравання, укл
  • Наладзьце параметры бяспекі плоскасці даных, укл
  • Наладзьце тунэлі IPsec з падтрымкай IKE укл
  • Адключыце слабыя алгарытмы шыфравання SSH на Cisco SD-WAN Manager, укл

Наладзьце параметры бяспекі плоскасці кіравання

Па змаўчанні плоскасць кіравання выкарыстоўвае DTLS у якасці пратаколу, які забяспечвае канфідэнцыяльнасць ва ўсіх сваіх тунэлях. DTLS працуе над UDP. Вы можаце змяніць пратакол бяспекі плоскасці кіравання на TLS, які працуе праз TCP. Асноўная прычына выкарыстання TLS заключаецца ў тым, што калі вы лічыце кантролер Cisco SD-WAN серверам, брандмаўэры абараняюць серверы TCP лепш, чым серверы UDP. Вы наладжваеце пратакол тунэля плоскасці кіравання на кантролеры Cisco SD-WAN: vSmart(config)# пратакол кіравання бяспекай tls. Дзякуючы гэтай змене ўсе тунэлі плоскасці кіравання паміж кантролерам Cisco SD-WAN і маршрутызатарамі і паміж кантролерам Cisco SD-WAN і Cisco SD-WAN Manager выкарыстоўваюць TLS. Тунэлі плоскасці кіравання да Cisco Catalyst SD-WAN Validator заўсёды выкарыстоўваюць DTLS, таму што гэтыя злучэнні павінны апрацоўвацца UDP. У дамене з некалькімі кантролерамі Cisco SD-WAN, калі вы наладжваеце TLS на адным з кантролераў Cisco SD-WAN, усе тунэлі плоскасці кіравання ад гэтага кантролера да іншых кантролераў выкарыстоўваюць TLS. Іншымі словамі, TLS заўсёды мае прыярытэт над DTLS. Аднак, з пункту гледжання іншых кантролераў Cisco SD-WAN, калі вы не наладзілі на іх TLS, яны выкарыстоўваюць TLS на тунэлі плоскасці кіравання толькі для гэтага аднаго кантролера Cisco SD-WAN, і яны выкарыстоўваюць тунэлі DTLS для ўсіх астатніх Кантролеры Cisco SD-WAN і ўсе падлучаныя да іх маршрутызатары. Каб усе кантролеры Cisco SD-WAN выкарыстоўвалі TLS, наладзьце яго на ўсіх. Па змаўчанні кантролер Cisco SD-WAN праслухоўвае порт 23456 для запытаў TLS. Каб змяніць гэта: vSmart(config)# security control tls-port number Порт можа быць нумарам ад 1025 да 65535. Каб адлюстраваць інфармацыю аб бяспецы плоскасці кіравання, выкарыстоўвайце каманду show control connections на кантролеры Cisco SD-WAN. Напрыкладample: vSmart-2# паказаць кантрольныя злучэнні

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Наладзьце DTLS у Cisco SD-WAN Manager

Калі вы наладжваеце менеджэр Cisco SD-WAN на выкарыстанне TLS у якасці пратаколу бяспекі плоскасці кіравання, вы павінны ўключыць пераадрасацыю партоў на сваім NAT. Калі вы выкарыстоўваеце DTLS у якасці пратаколу бяспекі плоскасці кіравання, вам не трэба нічога рабіць. Колькасць пераадрасаваных партоў залежыць ад колькасці працэсаў vdaemon, запушчаных у Cisco SD-WAN Manager. Каб адлюстраваць інфармацыю пра гэтыя працэсы, а таксама пра колькасць партоў, якія пераадрасоўваюцца, выкарыстоўвайце каманду show control summary паказвае, што запушчаныя чатыры працэсы дэмана:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Каб убачыць парты праслухоўвання, выкарыстоўвайце каманду show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Гэты вынік паказвае, што праслухоўваючы порт TCP - 23456. Калі вы выкарыстоўваеце Cisco SD-WAN Manager за NAT, вам трэба адкрыць наступныя парты на прыладзе NAT:

  • 23456 (база - порт асобніка 0)
  • 23456 + 100 (падстава + 100)
  • 23456 + 200 (падстава + 200)
  • 23456 + 300 (падстава + 300)

Звярніце ўвагу, што колькасць асобнікаў такая ж, як і колькасць ядраў, якія вы прызначылі для Cisco SD-WAN Manager, максімум да 8.

Наладзьце параметры бяспекі з дапамогай шаблону функцыі бяспекі

Выкарыстоўвайце шаблон функцыі бяспекі для ўсіх прылад Cisco vEdge. На краявых маршрутызатарах і ў валідатары Cisco SD-WAN выкарыстоўвайце гэты шаблон, каб наладзіць IPsec для бяспекі плоскасці даных. У Cisco SD-WAN Manager і Cisco SD-WAN Controller выкарыстоўвайце шаблон функцыі бяспекі, каб наладзіць DTLS або TLS для бяспекі плоскасці кіравання.

Наладзьце параметры бяспекі

  1. У меню дыспетчара Cisco SD-WAN абярыце Канфігурацыя > Шаблоны.
  2. Націсніце «Шаблоны функцый», а затым «Дадаць шаблон».
    Заўвага У выпуску Cisco vManage 20.7.1 і больш ранніх версіях шаблоны функцый называюцца функцыямі.
  3. У спісе прылад на левай панэлі выберыце прыладу. Шаблоны, прыдатныя да абранай прылады, з'явяцца на правай панэлі.
  4. Націсніце "Бяспека", каб адкрыць шаблон.
  5. У полі «Назва шаблону» увядзіце назву шаблону. Імя можа складацца з максімум 128 сімвалаў і можа ўтрымліваць толькі літары і лічбы.
  6. У полі Template Description увядзіце апісанне шаблону. Апісанне можа складацца з 2048 сімвалаў і можа ўтрымліваць толькі літары і лічбы.

Калі вы ўпершыню адкрываеце шаблон функцыі, для кожнага параметра, які мае значэнне па змаўчанні, усталёўваецца вобласць па змаўчанні (пазначана галачкай), і паказваецца налада або значэнне па змаўчанні. Каб змяніць значэнне па змаўчанні або ўвесці значэнне, пстрыкніце выпадальнае меню злева ад поля параметраў і абярыце адно з наступнага:

Табліца 1:

Параметр Вобласць прымянення Апісанне сферы прымянення
Спецыфічна для прылады (пазначаецца значком хаста) Выкарыстоўвайце значэнне параметра для прылады. Для параметраў, характэрных для прылады, вы не можаце ўвесці значэнне ў шаблон функцыі. Вы ўводзіце значэнне, калі далучаеце прыладу Viptela да шаблону прылады.

Калі вы націснеце «Спецыфічна для прылады», адкрыецца поле «Увядзіце ключ». У гэтым полі адлюстроўваецца ключ, які з'яўляецца унікальным радком, які ідэнтыфікуе параметр у CSV file што вы ствараеце. гэта file гэта электронная табліца Excel, якая змяшчае адзін слупок для кожнага ключа. Радок загалоўка змяшчае назвы ключоў (адзін ключ на слупок), а кожны наступны радок адпавядае прыладзе і вызначае значэнні ключоў для гэтай прылады. Вы загружаеце CSV file калі вы далучаеце прыладу Viptela да шаблону прылады. Для атрымання дадатковай інфармацыі гл. Стварэнне электроннай табліцы зменных шаблону.

Каб змяніць ключ па змаўчанні, увядзіце новы радок і перамясціце курсор з поля Enter Key.

ExampСпецыфічныя для прылады параметры - гэта IP-адрас сістэмы, імя хаста, месцазнаходжанне GPS і ідэнтыфікатар сайта.
Параметр Вобласць прымянення Апісанне сферы прымянення
Глабальны (пазначаецца значком зямнога шара) Увядзіце значэнне для параметра і прымяніце гэта значэнне да ўсіх прылад.

ExampПараметрамі, якія вы можаце прымяніць глабальна да групы прылад, з'яўляюцца DNS-сервер, сервер сістэмнага часопіса і MTU інтэрфейсу.

Наладзьце бяспеку плоскасці кіравання

Заўвага
Раздзел «Настройка бяспекі плоскасці кіравання» прымяняецца толькі да Cisco SD-WAN Manager і Cisco SD-WAN Controller. Каб наладзіць пратакол злучэння плоскасці кіравання на экзэмпляры Cisco SD-WAN Manager або Cisco SD-WAN Controller, абярыце вобласць Basic Configuration. і наладзьце наступныя параметры:

Табліца 2:

Параметр Імя Апісанне
Пратакол Выберыце пратакол для выкарыстання ў злучэннях плоскасці кіравання з кантролерам Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Гэта па змаўчанні.

• TLS (Бяспека транспартнага ўзроўню)
Кіраванне портам TLS Калі вы выбралі TLS, наладзьце нумар порта для выкарыстання:дыяпазон: з 1025 па 65535Па змаўчанні: 23456

Націсніце Захаваць

Настройка бяспекі Data Plane
Каб наладзіць бяспеку плоскасці дадзеных на валідатары Cisco SD-WAN або маршрутызатары Cisco vEdge, абярыце ўкладкі «Асноўная канфігурацыя» і «Тып аўтэнтыфікацыі» і наладзьце наступныя параметры:

Табліца 3:

Параметр Імя Апісанне
Час пераключэння Укажыце, як часта маршрутызатар Cisco vEdge змяняе ключ AES, які выкарыстоўваецца ў яго бяспечным злучэнні DTLS з кантролерам Cisco SD-WAN. Калі ўключаны пяшчотны перазапуск OMP, час перазапуску павінен быць як мінімум удвая большы за значэнне таймера лагоднага перазапуску OMP.дыяпазон: Ад 10 да 1209600 секунд (14 дзён)Па змаўчанні: 86400 секунд (24 гадзіны)
Акно паўтору Укажыце памер слізгальнага акна прайгравання.

Значэнні: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетаўПа змаўчанні: 512 пакеты
IPsec

папарна-ключ

 Па змаўчанні гэта адключана. Націсніце On каб уключыць яго.
Параметр Імя Апісанне
Тып аўтэнтыфікацыі Выберыце тыпы аўтэнтыфікацыі з Аўтэнтыфікацыя Спісі пстрыкніце стрэлку, якая паказвае ўправа, каб перамясціць тыпы аўтэнтыфікацыі ў Выбраны спіс слупок.

Тыпы аўтэнтыфікацыі, якія падтрымліваюцца Cisco SD-WAN, версія 20.6.1:

•  асабліва: Уключае шыфраванне Encapsulating Security Payload (ESP) і праверку цэласнасці загалоўка ESP.

•  ip-udp-esp: Уключае шыфраванне ESP. У дадатак да праверкі цэласнасці загалоўка ESP і карыснай нагрузкі, праверкі таксама ўключаюць знешнія загалоўкі IP і UDP.

•  ip-udp-esp-no-id: ігнаруе поле ідэнтыфікатара ў загалоўку IP, каб Cisco Catalyst SD-WAN магла працаваць у спалучэнні з прыладамі іншых вытворцаў.

•  ні адзін: Адключае праверку цэласнасці пакетаў IPSec. Мы не рэкамендуем выкарыстоўваць гэты параметр.

 

Тыпы аўтэнтыфікацыі, якія падтрымліваюцца ў Cisco SD-WAN версіі 20.5.1 і раней:

•  ах-не-ідэнтыфікатар: Уключыць палепшаную версію AH-SHA1 HMAC і ESP HMAC-SHA1, якая ігнаруе поле ID у вонкавым IP-загалоўку пакета.

•  ах-ша1-хмак: Уключыць AH-SHA1 HMAC і ESP HMAC-SHA1.

•  ні адзін: Выберыце адсутнасць аўтэнтыфікацыі.

•  sha1-hmac: Уключыць ESP HMAC-SHA1.

 

Заўвага              Для краявой прылады, якая працуе на Cisco SD-WAN версіі 20.5.1 або больш ранняй, вы маглі наладзіць тыпы аўтэнтыфікацыі з дапамогай Бяспека шаблон. Калі вы абнаўляеце прыладу да Cisco SD-WAN версіі 20.6.1 або больш позняй, абнавіце выбраныя тыпы аўтэнтыфікацыі ў Бяспека шаблон для тыпаў аўтэнтыфікацыі, якія падтрымліваюцца Cisco SD-WAN, версія 20.6.1. Каб абнавіць тыпы аўтэнтыфікацыі, зрабіце наступнае:

1.      У меню Cisco SD-WAN Manager выберыце Канфігурацыя >

Шаблоны.

2.      Націсніце Шаблоны функцый.

3.      Знайсці Бяспека шаблон для абнаўлення і націсніце ... і націсніце Рэдагаваць.

4.      Націсніце Абнаўленне. Не змяняйце канфігурацыю.

Cisco SD-WAN Manager абнаўляе Бяспека шаблон для адлюстравання падтрымоўваных тыпаў аўтэнтыфікацыі.

Націсніце Захаваць.

Наладзьце параметры бяспекі Data Plane

У плоскасці перадачы даных IPsec уключаны па змаўчанні на ўсіх маршрутызатарах, і па змаўчанні злучэнні ў тунэлях IPsec выкарыстоўваюць палепшаную версію пратакола Encapsulating Security Payload (ESP) для аўтэнтыфікацыі ў тунэлях IPsec. На маршрутызатарах вы можаце змяніць тып аўтэнтыфікацыі, таймер змены ключа IPsec і памер акна абароны ад прайгравання IPsec.

Наладзьце дазволеныя тыпы аўтэнтыфікацыі

Тыпы аўтэнтыфікацыі ў Cisco SD-WAN версіі 20.6.1 і пазнейшых
Пачынаючы з выпуску Cisco SD-WAN 20.6.1, падтрымліваюцца наступныя тыпы цэласнасці:

  • esp: гэты параметр уключае шыфраванне Encapsulating Security Payload (ESP) і праверку цэласнасці загалоўка ESP.
  • ip-udp-esp: гэты параметр уключае шыфраванне ESP. У дадатак да праверкі цэласнасці загалоўка ESP і карыснай нагрузкі, праверкі таксама ўключаюць знешнія загалоўкі IP і UDP.
  • ip-udp-esp-no-id: гэты параметр падобны на ip-udp-esp, аднак поле ID знешняга IP-загалоўка ігнаруецца. Наладзьце гэты параметр у спісе тыпаў цэласнасці, каб праграмнае забеспячэнне Cisco Catalyst SD-WAN ігнаравала поле ID у загалоўку IP, каб Cisco Catalyst SD-WAN магла працаваць у спалучэнні з прыладамі іншых вытворцаў.
  • няма: гэтая опцыя адключае праверку цэласнасці пакетаў IPSec. Мы не рэкамендуем выкарыстоўваць гэты параметр.

Па змаўчанні тунэльныя злучэнні IPsec выкарыстоўваюць пашыраную версію пратакола Encapsulating Security Payload (ESP) для аўтэнтыфікацыі. Каб змяніць узгодненыя тыпы інтэр'ераў або адключыць праверку цэласнасці, выкарыстоўвайце наступную каманду: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | асабліва}

Тыпы аўтэнтыфікацыі да выпуску Cisco SD-WAN 20.6.1
Па змаўчанні тунэльныя злучэнні IPsec выкарыстоўваюць пашыраную версію пратакола Encapsulating Security Payload (ESP) для аўтэнтыфікацыі. Каб змяніць узгодненыя тыпы аўтэнтыфікацыі або адключыць аўтэнтыфікацыю, выкарыстоўвайце наступную каманду: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Па змаўчанні IPsec тунэльныя злучэнні выкарыстоўваюць AES-GCM-256, які забяспечвае як шыфраванне, так і аўтэнтыфікацыю. Наладзьце кожны тып аўтэнтыфікацыі асобнай камандай тыпу аўтэнтыфікацыі ipsec бяспекі. Параметры каманды супастаўляюцца з наступнымі тыпамі аўтэнтыфікацыі, якія пералічаны ў парадку ад найбольш надзейнага да найменш надзейнага:

Заўвага
Sha1 у параметрах канфігурацыі выкарыстоўваецца па гістарычных прычынах. Параметры аўтэнтыфікацыі паказваюць, якая частка праверкі цэласнасці пакета зроблена. Яны не ўказваюць алгарытм праверкі цэласнасці. Алгарытмы аўтэнтыфікацыі, якія падтрымліваюцца Cisco Catalyst SD WAN, не выкарыстоўваюць SHA1, за выключэннем шыфравання шматадраснага трафіку. Аднак у выпуску Cisco SD-WAN 20.1.x і далей аднаадрасная і шматадрасная перадача не выкарыстоўваюць SHA1.

  • ah-sha1-hmac дазваляе шыфраванне і інкапсуляцыю з дапамогай ESP. Аднак у дадатак да праверкі цэласнасці загалоўка ESP і карыснай нагрузкі, праверкі таксама ўключаюць знешнія загалоўкі IP і UDP. Такім чынам, гэты параметр падтрымлівае праверку цэласнасці пакета, аналагічную пратаколу загалоўка аўтэнтыфікацыі (AH). Уся цэласнасць і шыфраванне выконваюцца з дапамогай AES-256-GCM.
  • ah-no-id уключае рэжым, падобны да ah-sha1-hmac, аднак поле ID знешняга IP-загалоўка ігнаруецца. Гэты параметр уключае ў сябе некаторыя прылады SD-WAN, не звязаныя з Cisco Catalyst, у тым ліку Apple AirPort Express NAT, якія маюць памылку, якая прыводзіць да змены поля ID у загалоўку IP, якое не змяняецца. Наладзьце параметр ah-no-id у спісе тыпаў аўтэнтыфікацыі, каб праграмнае забеспячэнне Cisco Catalyst SD-WAN AH ігнаравала поле ID у загалоўку IP, каб праграмнае забеспячэнне Cisco Catalyst SD-WAN магло працаваць разам з гэтымі прыладамі.
  • sha1-hmac дазваляе шыфраванне ESP і праверку цэласнасці.
  • none не адпавядае аўтэнтыфікацыі. Гэтую опцыю варта выкарыстоўваць, толькі калі яна патрабуецца для часовай адладкі. Вы таксама можаце выбраць гэты варыянт у сітуацыях, калі аўтэнтыфікацыя і цэласнасць плоскасці дадзеных не выклікаюць праблем. Cisco не рэкамендуе выкарыстоўваць гэты параметр для вытворчых сетак.

Для атрымання інфармацыі аб тым, на якія палі пакетаў даных уплываюць гэтыя тыпы аўтэнтыфікацыі, гл. Цэласнасць плоскасці даных. Прылады Cisco IOS XE Catalyst SD-WAN і прылады Cisco vEdge рэкламуюць свае настроеныя тыпы аўтэнтыфікацыі ў сваіх уласцівасцях TLOC. Два маршрутызатары па абодва бакі тунэльнага злучэння IPsec узгадняюць аўтэнтыфікацыю для выкарыстання ў злучэнні паміж імі, выкарыстоўваючы самы надзейны тып аўтэнтыфікацыі, настроены на абодвух маршрутызатарах. Напрыкладampкалі адзін маршрутызатар аб'яўляе тыпы ah-sha1-hmac і ah-no-id, а другі маршрутызатар аб'яўляе тып ah-no-id, абодва маршрутызатары дамаўляюцца аб выкарыстанні ah-no-id у тунэльным злучэнні IPsec паміж іх. Калі на двух аднагодках не настроены агульныя тыпы аўтэнтыфікацыі, паміж імі не ўсталёўваецца тунэль IPsec. Алгарытм шыфравання тунэльных злучэнняў IPsec залежыць ад тыпу трафіку:

  • Для аднаадраснага трафіку выкарыстоўваецца алгарытм шыфравання AES-256-GCM.
  • Для шматадраснага трафіку:
  • Cisco SD-WAN Выпуск 20.1.x і больш познія - алгарытм шыфравання AES-256-GCM
  • Папярэднія выпускі – алгарытм шыфравання AES-256-CBC з SHA1-HMAC.

Пры змене тыпу аўтэнтыфікацыі IPsec змяняецца ключ AES для шляху даных.

Зменіце таймер пераўключэння

Перш чым прылады Cisco IOS XE Catalyst SD-WAN і прылады Cisco vEdge змогуць абменьвацца трафікам даных, яны наладжваюць паміж сабой бяспечны канал сувязі з аўтэнтыфікацыяй. Маршрутызатары выкарыстоўваюць тунэлі IPSec паміж сабой у якасці канала і шыфр AES-256 для выканання шыфравання. Кожны маршрутызатар перыядычна стварае новы ключ AES для свайго шляху даных. Па змаўчанні ключ сапраўдны на працягу 86400 секунд (24 гадзіны), а дыяпазон таймера складае ад 10 секунд да 1209600 секунд (14 дзён). Каб змяніць значэнне таймера паўторнага ключа: Device(config)# security ipsec rekey seconds Канфігурацыя выглядае так:

  • бяспека ipsec rekey секунд!

Калі вы хочаце неадкладна стварыць новыя ключы IPsec, вы можаце зрабіць гэта, не змяняючы канфігурацыю маршрутызатара. Для гэтага выдайце каманду request security ipsecrekey на ўзламаным маршрутызатары. Напрыкладample, наступны вынік паказвае, што лакальны SA мае індэкс параметраў бяспекі (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Унікальны ключ звязаны з кожным SPI. Калі гэты ключ узламаны, выкарыстоўвайце каманду "запыт бяспекі ipsec-rekey", каб неадкладна стварыць новы ключ. Гэтая каманда павялічвае SPI. У нашай былойample, SPI змяняецца на 257, і цяпер выкарыстоўваецца звязаны з ім ключ:

  • Прылада # запыт бяспекі ipsecreey
  • Прылада № паказвае ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Пасля стварэння новага ключа маршрутызатар неадкладна адпраўляе яго кантролерам Cisco SD-WAN з дапамогай DTLS або TLS. Кантролеры Cisco SD-WAN адпраўляюць ключ аднарангавым маршрутызатарам. Маршрутызатары пачынаюць выкарыстоўваць яго, як толькі атрымліваюць. Звярніце ўвагу, што ключ, звязаны са старым SPI (256), будзе працягваць выкарыстоўвацца на працягу кароткага часу, пакуль не скончыцца час чакання. Каб неадкладна спыніць выкарыстанне старога ключа, выканайце каманду request security ipsec-rekey двойчы запар. Гэтая паслядоўнасць каманд выдаляе абодва SPI 256 і 257 і ўсталёўвае SPI на 258. Затым маршрутызатар выкарыстоўвае звязаны ключ SPI 258. Аднак звярніце ўвагу, што некаторыя пакеты будуць адкідвацца на кароткі перыяд часу, пакуль усе аддаленыя маршрутызатары не даведаюцца новы ключ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Зменіце памер акна Anti-Replay

Аўтэнтыфікацыя IPsec забяспечвае абарону ад паўторнага прайгравання, прысвойваючы кожнаму пакету ў патоку дадзеных унікальны парадкавы нумар. Такая нумарацыя паслядоўнасці абараняе ад дубліравання пакетаў даных зламыснікам. З абаронай ад паўторнага прайгравання адпраўнік прысвойвае манатонна ўзрастаючыя парадкавыя нумары, а адрасат правярае гэтыя парадкавыя нумары, каб выявіць дублікаты. Паколькі пакеты часта не прыходзяць у парадку, пункт прызначэння падтрымлівае слізгальнае акно парадкавых нумароў, якія ён прымае.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Пакеты з парадкавымі нумарамі, якія знаходзяцца злева ад дыяпазону слізгальнага акна, лічацца старымі або дублікатамі, і пункт прызначэння адкідае іх. Пункт прызначэння адсочвае найбольшы парадкавы нумар, які ён атрымаў, і рэгулюе слізгальнае акно, калі ён атрымлівае пакет з больш высокім значэннем.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Па змаўчанні слізгальнае акно настроена на 512 пакетаў. Яму можна задаць любое значэнне ад 64 да 4096, якое з'яўляецца ступенню 2 (гэта значыць 64, 128, 256, 512, 1024, 2048 або 4096). Каб змяніць памер акна абароны ад прайгравання, выкарыстоўвайце каманду replay-window, указаўшы памер акна:

Нумар акна прайгравання ipsec бяспекі Device(config)#

Канфігурацыя выглядае так:
нумар акна прайгравання ipsec бяспекі! !

Каб дапамагчы з QoS, асобныя вокны прайгравання падтрымліваюцца для кожнага з першых васьмі каналаў трафіку. Сканфігураваны памер акна прайгравання дзеліцца на восем для кожнага канала. Калі QoS наладжана на маршрутызатары, гэты маршрутызатар можа сутыкнуцца з большай, чым чакалася, колькасцю падзенняў пакетаў у выніку механізму абароны ад прайгравання IPsec, і многія скінутыя пакеты з'яўляюцца законнымі. Гэта адбываецца таму, што QoS пераўпарадкоўвае пакеты, даючы больш прыярытэтныя пакеты і затрымліваючы пакеты з больш нізкім прыярытэтам. Каб мінімізаваць або прадухіліць гэтую сітуацыю, вы можаце зрабіць наступнае:

  • Павялічце памер акна абароны ад паўтору.
  • Сканструюйце трафік на першых васьмі каналах трафіку, каб гарантаваць, што трафік у межах канала не будзе зменены.

Наладзьце тунэлі IPsec з падтрымкай IKE
Для бяспечнай перадачы трафіку з накладной сеткі ў сэрвісную сетку можна наладзіць тунэлі IPsec, якія працуюць па пратаколе абмену ключамі Інтэрнэту (IKE). Тунэлі IPsec з падтрымкай IKE забяспечваюць аўтэнтыфікацыю і шыфраванне для забеспячэння бяспечнай перадачы пакетаў. Вы ствараеце тунэль IPsec з падтрымкай IKE, наладжваючы інтэрфейс IPsec. Інтэрфейсы IPsec - гэта лагічныя інтэрфейсы, і вы наладжваеце іх, як і любы іншы фізічны інтэрфейс. Вы наладжваеце параметры пратаколу IKE на інтэрфейсе IPsec і можаце наладжваць іншыя ўласцівасці інтэрфейсу.

Заўвага Cisco рэкамендуе выкарыстоўваць IKE версіі 2. Пачынаючы з выпуску Cisco SD-WAN 19.2.x і далей, папярэдні агульны ключ павінен мець даўжыню не менш за 16 байт. Пры абнаўленні маршрутызатара да версіі 16 памер ключа менш за 19.2 сімвалаў не ўстанаўлівае тунэль IPsec.

Заўвага
Праграмнае забеспячэнне Cisco Catalyst SD-WAN падтрымлівае IKE версіі 2, як гэта вызначана ў RFC 7296. Адным з варыянтаў выкарыстання тунэляў IPsec з'яўляецца дазвол экземплярам віртуальных машын маршрутызатара vEdge Cloud, якія працуюць на Amazon AWS, падключацца да віртуальнага прыватнага воблака Amazon (VPC). Вы павінны наладзіць IKE версіі 1 на гэтых маршрутызатарах. Прылады Cisco vEdge падтрымліваюць толькі VPN на аснове маршрутаў у канфігурацыі IPSec, таму што гэтыя прылады не могуць вызначаць селектары трафіку ў дамене шыфравання.

Наладзьце тунэль IPsec
Каб наладзіць інтэрфейс тунэля IPsec для бяспечнага транспартнага трафіку з сэрвіснай сеткі, вы ствараеце лагічны інтэрфейс IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Вы можаце стварыць тунэль IPsec у транспартным VPN (VPN 0) і ў любым сэрвісным VPN (VPN ад 1 да 65530, за выключэннем 512). Інтэрфейс IPsec мае імя ў фармаце ipsecnumber, дзе лік можа быць ад 1 да 255. Кожны інтэрфейс IPsec павінен мець адрас IPv4. Гэты адрас павінен быць прэфіксам /30. Увесь трафік у VPN, які знаходзіцца ў межах гэтага прэфікса IPv4, накіроўваецца на фізічны інтэрфейс у VPN 0 для бяспечнай адпраўкі праз тунэль IPsec. Каб наладзіць крыніцу тунэля IPsec на лакальнай прыладзе, вы можаце ўказаць IP-адрас фізічны інтэрфейс (у камандзе tunnel-source) або імя фізічнага інтэрфейсу (у камандзе tunnel-source-interface). Пераканайцеся, што фізічны інтэрфейс наладжаны ў VPN 0. Каб наладзіць пункт прызначэння тунэля IPsec, укажыце IP-адрас аддаленай прылады ў камандзе tunnel-destination. Спалучэнне адраса крыніцы (або імя інтэрфейсу крыніцы) і адраса прызначэння вызначае адзіны тунэль IPsec. Можа існаваць толькі адзін тунэль IPsec, які выкарыстоўвае пэўны адрас крыніцы (або назву інтэрфейсу) і пару адрасоў прызначэння.

Наладзьце статычны маршрут IPsec

Каб накіраваць трафік ад сэрвіснага VPN да тунэлю IPsec у транспартным VPN (VPN 0), вы наладжваеце статычны маршрут для IPsec у сэрвісным VPN (VPN, адрозным ад VPN 0 або VPN 512):

  • vEdge(канфігурацыя)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 інтэрфейс
  • ipsecnumber [ipsecnumber2]

Ідэнтыфікатар VPN - гэта ідэнтыфікатар любой службы VPN (VPN ад 1 да 65530, за выключэннем 512). prefix/length - гэта IP-адрас або прэфікс у дзесятковай сістэме запісу з чатырох частак з кропкамі і даўжыня прэфікса статычнага маршруту IPsec. Інтэрфейс - гэта інтэрфейс тунэля IPsec у VPN 0. Вы можаце наладзіць адзін ці два інтэрфейсы тунэля IPsec. Калі вы наладжваеце два, першы з'яўляецца асноўным тунэлем IPsec, а другі - рэзервовым. З двума інтэрфейсамі ўсе пакеты адпраўляюцца толькі ў асноўны тунэль. Калі гэты тунэль выходзіць з ладу, усе пакеты адпраўляюцца ў другасны тунэль. Калі асноўны тунэль аднаўляецца, увесь трафік перамяшчаецца назад у асноўны тунэль IPsec.

Уключыце IKE версіі 1
Калі вы ствараеце тунэль IPsec на маршрутызатары vEdge, версія IKE 1 уключана па змаўчанні ў інтэрфейсе тунэля. Наступныя ўласцівасці таксама ўключаны па змаўчанні для IKEv1:

  • Аўтэнтыфікацыя і шыфраванне — удасканалены стандарт шыфравання AES-256, шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення з ключом і хэшам HMAC-SHA1 для цэласнасці
  • Нумар групы Дыфі-Хеллмана—16
  • Інтэрвал пераключэння — 4 гадзіны
  • Рэжым стварэння СА—Асноўны

Па змаўчанні IKEv1 выкарыстоўвае асноўны рэжым IKE для ўстанаўлення IKE SA. У гэтым рэжыме адбываецца абмен шасцю пакетамі перамоў для ўстанаўлення SA. Каб абмяняцца толькі трыма перамоўнымі пакетамі, уключыце агрэсіўны рэжым:

Заўвага
Па магчымасці варта пазбягаць агрэсіўнага рэжыму IKE з агульнымі ключамі. У адваротным выпадку трэба выбраць надзейны агульны ключ.

  • vEdge(config)# vpn vpn-id інтэрфейс ipsec нумар ike
  • vEdge(config-ike)# рэжым агрэсіўны

Па змаўчанні IKEv1 выкарыстоўвае групу Дзіфі-Хеллмана 16 у абмене ключамі IKE. Гэтая група выкарыстоўвае 4096-бітную больш модульную экспанентную групу (MODP) падчас абмену ключамі IKE. Вы можаце змяніць нумар групы на 2 (для 1024-бітнага MODP), 14 (2048-бітнага MODP) або 15 (3072-бітнага MODP):

  • vEdge(config)# vpn vpn-id інтэрфейс ipsec нумар ike
  • vEdge(config-ike)# нумар групы

Па змаўчанні абмен ключамі IKE выкарыстоўвае пашыраны стандарт шыфравання AES-256, шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення з ключом і хэшам HMAC-SHA1 для забеспячэння цэласнасці. Вы можаце змяніць аўтэнтыфікацыю:

  • vEdge(config)# vpn vpn-id інтэрфейс ipsec нумар ike
  • vEdge(config-ike)# набор шыфраў

Набор аўтэнтыфікацыі можа быць адным з наступнага:

  • aes128-cbc-sha1—пашыраны стандарт шыфравання AES-128. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA1 з ключом і хэшам для забеспячэння цэласнасці
  • aes128-cbc-sha2—пашыраны стандарт шыфравання AES-128. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA256 з ключом і хэшам для забеспячэння цэласнасці
  • aes256-cbc-sha1—пашыраны стандарт шыфравання AES-256 Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення HMAC-SHA1 з ключавым хэшам для забеспячэння цэласнасці; гэта па змаўчанні.
  • aes256-cbc-sha2—пашыраны стандарт шыфравання AES-256. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA256 з ключом і хэшам для забеспячэння цэласнасці

Па змаўчанні ключы IKE абнаўляюцца кожныя 1 гадзіну (3600 секунд). Вы можаце змяніць інтэрвал пераключэння на значэнне ад 30 секунд да 14 дзён (1209600 секунд). Рэкамендуецца, каб інтэрвал пераключэння быў не менш за 1 гадзіну.

  • vEdge(config)# vpn vpn-ідэнтыфікатар інтэрфейсу нумар ipsec як
  • vEdge(config-ike)# паўторны ключ секунд

Каб прымусова стварыць новыя ключы для сеанса IKE, выпусціце каманду request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id інтэрфейсipsec нумар ike

Для IKE вы таксама можаце наладзіць аўтэнтыфікацыю з агульным ключом (PSK):

  • vEdge(config)# vpn vpn-id інтэрфейс ipsec нумар ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password - гэта пароль для выкарыстання з агульным ключом. Гэта можа быць ASCII або шаснаццатковы радок даўжынёй ад 1 да 127 сімвалаў.

Калі выдаленаму аднарангаваму IKE патрабуецца лакальны або аддалены ідэнтыфікатар, вы можаце наладзіць гэты ідэнтыфікатар:

  • vEdge(config)# vpn vpn-ідэнтыфікатар інтэрфейсу ipsec нумар ike authentication-type
  • vEdge(config-authentication-type)# лакальны ідэнтыфікатар
  • vEdge(config-authentication-type)# ID аддаленага ідэнтыфікатара

Ідэнтыфікатарам можа быць IP-адрас або любы тэкставы радок даўжынёй ад 1 да 63 сімвалаў. Па змаўчанні лакальны ідэнтыфікатар - гэта зыходны IP-адрас тунэля, а аддалены ідэнтыфікатар - гэта IP-адрас прызначэння тунэля.

Уключыце IKE версіі 2
Калі вы наладжваеце тунэль IPsec для выкарыстання IKE версіі 2, наступныя ўласцівасці таксама ўключаны па змаўчанні для IKEv2:

  • Аўтэнтыфікацыя і шыфраванне — удасканалены стандарт шыфравання AES-256, шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення з ключом і хэшам HMAC-SHA1 для цэласнасці
  • Нумар групы Дыфі-Хеллмана—16
  • Інтэрвал пераключэння — 4 гадзіны

Па змаўчанні IKEv2 выкарыстоўвае групу Дзіфі-Хеллмана 16 у абмене ключамі IKE. Гэтая група выкарыстоўвае 4096-бітную больш модульную экспанентную групу (MODP) падчас абмену ключамі IKE. Вы можаце змяніць нумар групы на 2 (для 1024-бітнага MODP), 14 (2048-бітнага MODP) або 15 (3072-бітнага MODP):

  • vEdge(config)# vpn vpn-id інтэрфейс ipsecnumber ike
  • vEdge(config-ike)# нумар групы

Па змаўчанні абмен ключамі IKE выкарыстоўвае пашыраны стандарт шыфравання AES-256, шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення з ключом і хэшам HMAC-SHA1 для забеспячэння цэласнасці. Вы можаце змяніць аўтэнтыфікацыю:

  • vEdge(config)# vpn vpn-id інтэрфейс ipsecnumber ike
  • vEdge(config-ike)# набор шыфраў

Набор аўтэнтыфікацыі можа быць адным з наступнага:

  • aes128-cbc-sha1—пашыраны стандарт шыфравання AES-128. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA1 з ключом і хэшам для забеспячэння цэласнасці
  • aes128-cbc-sha2—пашыраны стандарт шыфравання AES-128. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA256 з ключом і хэшам для забеспячэння цэласнасці
  • aes256-cbc-sha1—пашыраны стандарт шыфравання AES-256 Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамлення HMAC-SHA1 з ключавым хэшам для забеспячэння цэласнасці; гэта па змаўчанні.
  • aes256-cbc-sha2—пашыраны стандарт шыфравання AES-256. Шыфраванне CBC з алгарытмам аўтэнтыфікацыі паведамленняў HMAC-SHA256 з ключом і хэшам для забеспячэння цэласнасці

Па змаўчанні ключы IKE абнаўляюцца кожныя 4 гадзіны (14,400 30 секунд). Вы можаце змяніць інтэрвал пераключэння на значэнне ад 14 секунд да 1209600 дзён (XNUMX секунд):

  • vEdge(config)# vpn vpn-id інтэрфейс ipsecnumber ike
  • vEdge(config-ike)# паўторны ключ секунд

Каб прымусова стварыць новыя ключы для сеанса IKE, выпусціце каманду request ipsec ike-rekey. Для IKE вы таксама можаце наладзіць аўтэнтыфікацыю з агульным ключом (PSK):

  • vEdge(config)# vpn vpn-id інтэрфейс ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password - гэта пароль для выкарыстання з агульным ключом. Гэта можа быць ASCII або шаснаццатковы радок, або гэта можа быць ключ, зашыфраваны AES. Калі выдаленаму аднарангаваму IKE патрабуецца лакальны або аддалены ідэнтыфікатар, вы можаце наладзіць гэты ідэнтыфікатар:
  • vEdge(config)# vpn vpn-ідэнтыфікатар інтэрфейсу ipsecnumber ike тып аўтэнтыфікацыі
  • vEdge(config-authentication-type)# лакальны ідэнтыфікатар
  • vEdge(config-authentication-type)# ID аддаленага ідэнтыфікатара

Ідэнтыфікатарам можа быць IP-адрас або любы тэкставы радок даўжынёй ад 1 да 64 сімвалаў. Па змаўчанні лакальны ідэнтыфікатар - гэта зыходны IP-адрас тунэля, а аддалены ідэнтыфікатар - гэта IP-адрас прызначэння тунэля.

Наладзьце параметры тунэля IPsec

Табліца 4: Гісторыя функцый

Асаблівасць Імя Інфармацыя аб выпуску Апісанне
Дадатковая крыптаграфія Cisco SD-WAN, выпуск 20.1.1 Гэтая функцыя дадае падтрымку для
Алгарытмічная падтрымка IPSec   HMAC_SHA256, HMAC_SHA384 і
Тунэлі   HMAC_SHA512 алгарытмы для
    павышаная бяспека.

Па змаўчанні ў тунэлі IPsec, які перадае трафік IKE, выкарыстоўваюцца наступныя параметры:

  • Аўтэнтыфікацыя і шыфраванне — алгарытм AES-256 у GCM (рэжым Галуа/лічыльнік)
  • Інтэрвал пераключэння — 4 гадзіны
  • Акно прайгравання—32 пакеты

Вы можаце змяніць шыфраванне ў тунэлі IPsec на шыфр AES-256 у CBC (рэжым злучэння блокаў шыфраў, з HMAC з выкарыстаннем альбо SHA-1, альбо SHA-2 аўтэнтыфікацыі хэш-паведамленняў, альбо на нуль з HMAC з выкарыстаннем SHA-1 або Аўтэнтыфікацыя паведамлення з ключом SHA-2, каб не шыфраваць тунэль IPsec, які выкарыстоўваецца для трафіку абмену ключамі IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# набор шыфраў (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Па змаўчанні ключы IKE абнаўляюцца кожныя 4 гадзіны (14,400 30 секунд). Вы можаце змяніць інтэрвал пераключэння на значэнне ад 14 секунд да 1209600 дзён (XNUMX секунд):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# паўторны ключ секунд

Каб прымусова стварыць новыя ключы для тунэля IPsec, выканайце каманду request ipsec ipsec-rekey. Па змаўчанні для тунэляў IPsec уключана дасканалая прамая сакрэтнасць (PFS), каб гарантаваць, што мінулыя сеансы не будуць закрануты ў выпадку ўзлому будучых ключоў. PFS прымушае новы абмен ключамі Дыфі-Хеллмана па змаўчанні з выкарыстаннем 4096-бітнай групы простых модуляў Дыфі-Хеллмана. Вы можаце змяніць наладу PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# налада pfs з поўнай сакрэтнасцю перадачы

Налада pfs можа быць адной з наступных:

  • group-2 — выкарыстоўвайце 1024-бітную групу простага модуля Дзіфі-Хеллмана.
  • group-14 — выкарыстоўвайце 2048-бітную групу простага модуля Дзіфі-Хеллмана.
  • group-15 — выкарыстоўвайце 3072-бітную групу простага модуля Дзіфі-Хеллмана.
  • group-16 — выкарыстоўвайце 4096-бітную групу простага модуля Дзіфі-Хеллмана. Гэта па змаўчанні.
  • няма — адключыць PFS.

Па змаўчанні акно прайгравання IPsec у тунэлі IPsec складае 512 байт. Вы можаце ўсталяваць памер акна прайгравання ў 64, 128, 256, 512, 1024, 2048 або 4096 пакетаў:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# нумар акна прайгравання

Змяніць IKE Dead-Peer Detection

IKE выкарыстоўвае механізм выяўлення мёртвых аднарангавых вузлоў, каб вызначыць, ці з'яўляецца злучэнне з аднарангавым узлом IKE функцыянальным і ці даступным. Каб рэалізаваць гэты механізм, IKE пасылае пакет Hello свайму аднарангаваму, а той у адказ пасылае пацверджанне. Па змаўчанні IKE адпраўляе пакеты Hello кожныя 10 секунд, і пасля трох непрызнаных пакетаў IKE абвяшчае суседа мёртвым і разрывае тунэль да аднагодку. Пасля гэтага IKE перыядычна адпраўляе аднарангаваму пакет Hello і аднаўляе тунэль, калі аднарангавы вернецца ў сетку. Вы можаце змяніць інтэрвал выяўлення актыўнасці на значэнне ад 0 да 65535, а колькасць паўторных спроб - ад 0 да 255.

Заўвага

Для транспартных VPN інтэрвал выяўлення актыўнасці пераўтворыцца ў секунды з дапамогай наступнай формулы: Інтэрвал колькасці спроб паўторнай перадачы N = інтэрвал * 1.8N-1, напрыкладample, калі інтэрвал усталяваны ў 10 і паўторныя спробы ў 5, інтэрвал выяўлення павялічваецца наступным чынам:

  • Спроба 1: 10 * 1.81-1 = 10 секунд
  • Спроба 2: 10 * 1.82-1 = 18 секунд
  • Спроба 3: 10 * 1.83-1 = 32.4 секунд
  • Спроба 4: 10 * 1.84-1 = 58.32 секунд
  • Спроба 5: 10 * 1.85-1 = 104.976 секунд

vEdge(config-interface-ipsecnumber)# Колькасць паўторных спроб інтэрвалу выяўлення мёртвага аднагодка

Наладзьце іншыя ўласцівасці інтэрфейсу

Для тунэльных інтэрфейсаў IPsec вы можаце наладзіць толькі наступныя дадатковыя ўласцівасці інтэрфейсу:

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Адключыце слабыя алгарытмы шыфравання SSH на Cisco SD-WAN Manager

Табліца 5: Табліца гісторыі функцый

Асаблівасць Імя Інфармацыя аб выпуску Асаблівасць Апісанне
Адключыце слабыя алгарытмы шыфравання SSH на Cisco SD-WAN Manager Cisco vManage, выпуск 20.9.1 Гэтая функцыя дазваляе адключыць больш слабыя алгарытмы SSH на Cisco SD-WAN Manager, якія могуць не адпавядаць пэўным стандартам бяспекі даных.

Інфармацыя аб адключэнні слабых алгарытмаў шыфравання SSH на Cisco SD-WAN Manager
Cisco SD-WAN Manager забяспечвае кліент SSH для сувязі з кампанентамі ў сетцы, уключаючы кантролеры і краявыя прылады. Кліент SSH забяспечвае зашыфраванае злучэнне для бяспечнай перадачы даных на аснове розных алгарытмаў шыфравання. Многім арганізацыям патрабуецца больш моцнае шыфраванне, чым тое, якое забяспечваецца SHA-1, AES-128 і AES-192. З Cisco vManage Release 20.9.1 вы можаце адключыць наступныя больш слабыя алгарытмы шыфравання, каб кліент SSH не выкарыстоўваў гэтыя алгарытмы:

  • SHA-1
  • AES-128
  • AES-192

Перад адключэннем гэтых алгарытмаў шыфравання пераканайцеся, што прылады Cisco vEdge, калі такія маюцца, у сетцы, выкарыстоўваюць выпуск праграмнага забеспячэння, пазнейшы за Cisco SD-WAN, выпуск 18.4.6.

Перавагі адключэння слабых алгарытмаў шыфравання SSH у Cisco SD-WAN Manager
Адключэнне больш слабых алгарытмаў шыфравання SSH павышае бяспеку сувязі SSH і гарантуе, што арганізацыі, якія выкарыстоўваюць Cisco Catalyst SD-WAN, адпавядаюць строгім правілам бяспекі.

Адключыце слабыя алгарытмы шыфравання SSH на Cisco SD-WAN Manager з дапамогай CLI

  1. У меню дыспетчара Cisco SD-WAN абярыце Інструменты > Тэрмінал SSH.
  2. Выберыце прыладу Cisco SD-WAN Manager, на якой вы хочаце адключыць больш слабыя алгарытмы SSH.
  3. Увядзіце імя карыстальніка і пароль для ўваходу ў прыладу.
  4. Увайдзіце ў рэжым сервера SSH.
    • vmanage(config)# сістэма
    • vmanage(config-system)# ssh-сервер
  5. Зрабіце адно з наступнага, каб адключыць алгарытм шыфравання SSH:
    • Адключыць SHA-1:
  6. кіраваць (config-ssh-server)# няма kex-algo sha1
  7. кіраваць (config-ssh-сервер)# фіксаваць
    Адлюстроўваецца наступнае папярэджанне: Былі створаны наступныя папярэджанні: 'system ssh-server kex-algo sha1': ПАПЯРЭДЖАННЕ: пераканайцеся, што на ўсіх вашых краях працуе версія кода > 18.4.6, якая лепш узгадняе з vManage, чым SHA1. У адваротным выпадку гэтыя краю могуць апынуцца па-за сеткай. Працягнуць? [так,не] так
    • Пераканайцеся, што ўсе прылады Cisco vEdge у сетцы працуюць пад кіраваннем Cisco SD-WAN версіі 18.4.6 або больш позняй, і ўвядзіце "так".
    • Адключыць AES-128 і AES-192:
    • vmanage(config-ssh-server)# без шыфра aes-128-192
    • vmanage(config-ssh-server)# фіксацыя
      Адлюструецца наступнае папярэджанне:
      Былі створаны наступныя папярэджанні:
      'system ssh-server cipher aes-128-192': ПАПЯРЭДЖАННЕ: калі ласка, пераканайцеся, што на ўсіх вашых краях працуе версія кода > 18.4.6, якая лепш узгадняе з vManage, чым AES-128-192. У адваротным выпадку гэтыя краю могуць апынуцца па-за сеткай. Працягнуць? [так,не] так
    • Пераканайцеся, што ўсе прылады Cisco vEdge у сетцы працуюць пад кіраваннем Cisco SD-WAN версіі 18.4.6 або больш позняй, і ўвядзіце "так".

Пераканайцеся, што слабыя алгарытмы шыфравання SSH адключаны ў Cisco SD-WAN Manager з дапамогай CLI

  1. У меню дыспетчара Cisco SD-WAN абярыце Інструменты > Тэрмінал SSH.
  2. Выберыце прыладу Cisco SD-WAN Manager, якую вы хочаце праверыць.
  3. Увядзіце імя карыстальніка і пароль для ўваходу ў прыладу.
  4. Выканайце наступную каманду: show running-config system ssh-server
  5. Пераканайцеся, што вынік паказвае адну або некалькі каманд, якія адключаюць больш слабыя алгарытмы шыфравання:
    • няма шыфра aes-128-192
    • няма kex-algo sha1

Дакументы / Рэсурсы

CISCO SD-WAN Настройка параметраў бяспекі [pdfКіраўніцтва карыстальніка
SD-WAN Настройка параметраў бяспекі, SD-WAN, Настройка параметраў бяспекі, Параметры бяспекі

Спасылкі

Пакінуць каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаны *