Съдържание скрий се
1 CISCO SD-WAN Конфигуриране на параметри за сигурност
2 Конфигуриране на параметри за сигурност
3 Конфигурирайте параметрите за сигурност на контролната равнина
4 Конфигурирайте DTLS в Cisco SD-WAN Manager
5 Конфигурирайте параметрите за сигурност на равнината на данни
6 Конфигуриране на разрешените типове удостоверяване
7 Променете таймера за повторно въвеждане
8 Променете размера на прозореца против повторение
9 Конфигурирайте IPsec статичен маршрут
10 Конфигурирайте параметрите на IPsec тунела
11 Променете IKE Dead-Peer Detection
12 Конфигуриране на други свойства на интерфейса
13 Деактивирайте слабите алгоритми за шифроване на SSH на Cisco SD-WAN Manager
14 Документи / Ресурси
14.1 Референции

CISCO-ЛОГО

CISCO SD-WAN Конфигуриране на параметри за сигурност

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Конфигуриране на параметри за сигурност

Забележка

За постигане на опростяване и последователност, решението Cisco SD-WAN е ребрандирано като Cisco Catalyst SD-WAN. В допълнение, от Cisco IOS XE SD-WAN издание 17.12.1a и Cisco Catalyst SD-WAN издание 20.12.1 са приложими следните промени на компонентите: Cisco vManage към Cisco Catalyst SD-WAN Manager, Cisco vAnalytics към Cisco Catalyst SD-WAN Анализ, Cisco vBond към Cisco Catalyst SD-WAN валидатор и Cisco vSmart към Cisco Catalyst SD-WAN контролер. Вижте най-новите бележки по изданието за изчерпателен списък на всички промени в името на марката на компонента. Докато преминаваме към новите имена, може да има някои несъответствия в комплекта документация поради поетапен подход към актуализациите на потребителския интерфейс на софтуерния продукт.

Този раздел описва как да промените параметрите за сигурност за контролната равнина и равнината за данни в мрежата за наслагване на Cisco Catalyst SD-WAN.

  • Конфигуриране на параметрите за сигурност на контролната равнина, включено
  • Конфигуриране на параметрите за сигурност на равнината на данни, включено
  • Конфигуриране на IKE-активирани IPsec тунели, включено
  • Деактивирайте слабите алгоритми за шифроване на SSH на Cisco SD-WAN Manager, включено

Конфигурирайте параметрите за сигурност на контролната равнина

По подразбиране контролната равнина използва DTLS като протокол, който осигурява поверителност на всички свои тунели. DTLS работи над UDP. Можете да промените протокола за сигурност на контролната равнина на TLS, който работи през TCP. Основната причина да използвате TLS е, че ако считате Cisco SD-WAN контролера за сървър, защитните стени защитават TCP сървърите по-добре от UDP сървърите. Вие конфигурирате тунелния протокол на контролната равнина на Cisco SD-WAN контролер: vSmart(config)# security control protocol tls С тази промяна всички тунели на контролната равнина между Cisco SD-WAN контролера и рутерите и между Cisco SD-WAN контролера и Cisco SD-WAN Manager използват TLS. Тунелите на контролната равнина към Cisco Catalyst SD-WAN Validator винаги използват DTLS, тъй като тези връзки трябва да се обработват от UDP. В домейн с множество Cisco SD-WAN контролери, когато конфигурирате TLS на един от Cisco SD-WAN контролерите, всички тунели на контролната равнина от този контролер до другите контролери използват TLS. Казано по друг начин, TLS винаги има предимство пред DTLS. Въпреки това, от гледна точка на другите Cisco SD-WAN контролери, ако не сте конфигурирали TLS на тях, те използват TLS в тунела на контролната равнина само към този един Cisco SD-WAN контролер и използват DTLS тунели към всички останали Cisco SD-WAN контролери и към всичките им свързани рутери. За да накарате всички Cisco SD-WAN контролери да използват TLS, конфигурирайте го на всички тях. По подразбиране Cisco SD-WAN контролерът слуша на порт 23456 за TLS заявки. За да промените това: vSmart(config)# security control tls-port number Портът може да бъде число от 1025 до 65535. За да покажете информация за сигурността на контролната равнина, използвайте командата show control connections на Cisco SD-WAN контролера. Напримерample: vSmart-2# показва контролни връзки

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Конфигурирайте DTLS в Cisco SD-WAN Manager

Ако конфигурирате Cisco SD-WAN Manager да използва TLS като протокол за сигурност на контролната равнина, трябва да активирате пренасочване на портове на вашия NAT. Ако използвате DTLS като протокол за сигурност на контролната равнина, не е необходимо да правите нищо. Броят на препратените портове зависи от броя на процесите на vdaemon, изпълнявани в Cisco SD-WAN Manager. За да покажете информация за тези процеси и за броя на портовете, които се препращат, използвайте командата show control summary показва, че се изпълняват четири демон процеса:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

За да видите слушащите портове, използвайте командата show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Този изход показва, че слушащият TCP порт е 23456. Ако използвате Cisco SD-WAN Manager зад NAT, трябва да отворите следните портове на NAT устройството:

  • 23456 (база – инстанция 0 порт)
  • 23456 + 100 (основа + 100)
  • 23456 + 200 (основа + 200)
  • 23456 + 300 (основа + 300)

Обърнете внимание, че броят на екземплярите е същият като броя на ядрата, които сте задали за Cisco SD-WAN Manager, до максимум 8.

Конфигуриране на параметри за сигурност с помощта на шаблона за функция за сигурност

Използвайте шаблона за функция за сигурност за всички Cisco vEdge устройства. На крайните рутери и на Cisco SD-WAN Validator използвайте този шаблон, за да конфигурирате IPsec за защита на равнината на данни. В Cisco SD-WAN Manager и Cisco SD-WAN контролер използвайте шаблона на функцията за сигурност, за да конфигурирате DTLS или TLS за сигурност на контролната равнина.

Конфигуриране на параметри за сигурност

  1. От менюто на Cisco SD-WAN Manager изберете Конфигурация > Шаблони.
  2. Щракнете върху Шаблони за функции и след това щракнете върху Добавяне на шаблон.
    Забележка В Cisco vManage Release 20.7.1 и по-ранни издания шаблоните за функции се наричат ​​Feature.
  3. От списъка с устройства в левия прозорец изберете устройство. Шаблоните, приложими към избраното устройство, се показват в десния прозорец.
  4. Щракнете върху Защита, за да отворите шаблона.
  5. В полето Име на шаблона въведете име за шаблона. Името може да бъде до 128 знака и може да съдържа само буквено-цифрови знаци.
  6. В полето Описание на шаблона въведете описание на шаблона. Описанието може да бъде до 2048 знака и може да съдържа само буквено-цифрови знаци.

Когато за първи път отворите шаблон на функция, за всеки параметър, който има стойност по подразбиране, обхватът е зададен на По подразбиране (указан с отметка) и се показва настройката или стойността по подразбиране. За да промените стойността по подразбиране или да въведете стойност, щракнете върху падащото меню за обхват отляво на полето за параметър и изберете едно от следните:

Таблица 1:

Параметър Обхват Описание на обхвата
Специфично за устройството (обозначено с икона на хост) Използвайте специфична за устройството стойност за параметъра. За параметри, специфични за устройството, не можете да въведете стойност в шаблона на функцията. Вие въвеждате стойността, когато прикачите устройство Viptela към шаблон на устройство.

Когато щракнете върху Специфично устройство, се отваря полето Въведете ключ. Това поле показва ключ, който е уникален низ, който идентифицира параметъра в CSV file които създавате. Това file е електронна таблица на Excel, която съдържа една колона за всеки ключ. Заглавният ред съдържа имената на ключовете (по един ключ на колона) и всеки ред след това съответства на устройство и дефинира стойностите на ключовете за това устройство. Качвате CSV file когато прикачите устройство Viptela към шаблон на устройство. За повече информация вижте Създаване на електронна таблица с променливи на шаблон.

За да промените ключа по подразбиране, въведете нов низ и преместете курсора извън полето Enter Key.

ExampСпецифичните за устройството параметри са IP адрес на системата, име на хост, GPS местоположение и ID на сайта.
Параметър Обхват Описание на обхвата
Глобален (обозначен с икона на глобус) Въведете стойност за параметъра и приложете тази стойност към всички устройства.

Exampфайловете от параметри, които можете да приложите глобално към група устройства, са DNS сървър, syslog сървър и интерфейс MTU.

Конфигурирайте сигурността на контролната равнина

Забележка
Разделът „Конфигуриране на сигурността на контролната равнина“ се отнася само за Cisco SD-WAN Manager и Cisco SD-WAN контролер. За да конфигурирате протокола за свързване на контролната равнина на екземпляр на Cisco SD-WAN Manager или Cisco SD-WAN контролер, изберете областта за основна конфигурация и конфигурирайте следните параметри:

Таблица 2:

Параметър Име Описание
протокол Изберете протокола, който да използвате при връзки на контролна равнина към Cisco SD-WAN контролер:

• DTLS (Datagram Transport Layer Security). Това е по подразбиране.

• TLS (сигурност на транспортния слой)
Контролирайте TLS порт Ако сте избрали TLS, конфигурирайте номера на порта, който да използвате:Обхват: 1025 до 65535По подразбиране: 23456

Щракнете върху Запазване

Конфигурирайте сигурността на равнината на данни
За да конфигурирате сигурността на равнината на данни на Cisco SD-WAN Validator или Cisco vEdge рутер, изберете разделите Basic Configuration и Authentication Type и конфигурирайте следните параметри:

Таблица 3:

Параметър Име Описание
Rekey Time Посочете колко често Cisco vEdge рутер променя AES ключа, използван в неговата защитена DTLS връзка към Cisco SD-WAN контролера. Ако е активирано грациозно рестартиране на OMP, времето за повторно въвеждане трябва да бъде поне два пъти стойността на таймера за грациозно рестартиране на OMP.Обхват: 10 до 1209600 секунди (14 дни)По подразбиране: 86400 секунди (24 часа)
Прозорец за повторение Посочете размера на плъзгащия се прозорец за повторение.

Стойности: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетаПо подразбиране: 512 пакета
IPsec

двоен ключ

 Това е изключено по подразбиране. Кликнете On за да го включите.
Параметър Име Описание
Тип удостоверяване Изберете типовете удостоверяване от Удостоверяване списъки щракнете върху стрелката, сочеща надясно, за да преместите типовете удостоверяване в Избран списък колона.

Типове удостоверяване, поддържани от Cisco SD-WAN версия 20.6.1:

•  особено: Разрешава криптиране на капсулиране на полезния товар за сигурност (ESP) и проверка на целостта на заглавката на ESP.

•  ip-udp-esp: Активира ESP криптиране. В допълнение към проверките за интегритет на ESP хедъра и полезния товар, проверките включват и външните IP и UDP хедъри.

•  ip-udp-esp-no-id: Игнорира ID полето в IP хедъра, така че Cisco Catalyst SD-WAN да може да работи във връзка с устройства, които не са на Cisco.

•  няма: Изключва проверката на целостта на IPSec пакети. Не препоръчваме да използвате тази опция.

 

Типове удостоверяване, поддържани в Cisco SD-WAN версия 20.5.1 и по-стари:

•  а-не-id: Активирайте подобрена версия на AH-SHA1 HMAC и ESP HMAC-SHA1, която игнорира ID полето във външната IP заглавка на пакета.

•  ах-ша1-хмак: Активирайте AH-SHA1 HMAC и ESP HMAC-SHA1.

•  няма: Изберете без удостоверяване.

•  sha1-hmac: Активирайте ESP HMAC-SHA1.

 

Забележка              За крайно устройство, работещо на Cisco SD-WAN версия 20.5.1 или по-стара, може да сте конфигурирали типове удостоверяване с помощта на сигурност шаблон. Когато надстроите устройството до Cisco SD-WAN версия 20.6.1 или по-нова, актуализирайте избраните типове удостоверяване в сигурност шаблон към типовете удостоверяване, поддържани от Cisco SD-WAN версия 20.6.1. За да актуализирате типовете удостоверяване, направете следното:

1.      От менюто на Cisco SD-WAN Manager изберете Конфигурация >

Шаблони.

2.      Кликнете Шаблони за функции.

3.      Намерете сигурност шаблон за актуализиране и щракнете ... и щракнете Редактиране.

4.      Кликнете Актуализация. Не променяйте никаква конфигурация.

Cisco SD-WAN Manager актуализира сигурност шаблон за показване на поддържаните типове удостоверяване.

Щракнете върху Запазване.

Конфигурирайте параметрите за сигурност на равнината на данни

В равнината на данни IPsec е активиран по подразбиране на всички маршрутизатори и по подразбиране IPsec тунелните връзки използват подобрена версия на протокола Encapsulating Security Payload (ESP) за удостоверяване на IPsec тунели. На рутерите можете да промените типа удостоверяване, таймера за повторно въвеждане на IPsec и размера на прозореца за защита срещу повторение на IPsec.

Конфигуриране на разрешените типове удостоверяване

Типове удостоверяване в Cisco SD-WAN версия 20.6.1 и по-нови
От Cisco SD-WAN версия 20.6.1 се поддържат следните типове интегритет:

  • esp: Тази опция позволява шифроване на капсулиране на полезния товар за сигурност (ESP) и проверка на целостта на ESP заглавката.
  • ip-udp-esp: Тази опция позволява ESP криптиране. В допълнение към проверките за цялост на ESP хедъра и полезния товар, проверките включват и външните IP и UDP хедъри.
  • ip-udp-esp-no-id: Тази опция е подобна на ip-udp-esp, но полето ID на външния IP хедър се игнорира. Конфигурирайте тази опция в списъка с типове интегритет, за да накарате софтуера Cisco Catalyst SD-WAN да игнорира ID полето в IP хедъра, така че Cisco Catalyst SD-WAN да може да работи във връзка с устройства, които не са на Cisco.
  • няма: Тази опция изключва проверката на целостта на IPSec пакети. Не препоръчваме да използвате тази опция.

По подразбиране IPsec тунелните връзки използват подобрена версия на протокола Encapsulating Security Payload (ESP) за удостоверяване. За да промените договорените типове интегритет или да деактивирате проверката за интегритет, използвайте следната команда: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Типове удостоверяване преди Cisco SD-WAN версия 20.6.1
По подразбиране IPsec тунелните връзки използват подобрена версия на протокола Encapsulating Security Payload (ESP) за удостоверяване. За да промените договорените типове удостоверяване или да деактивирате удостоверяването, използвайте следната команда: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) По подразбиране IPsec тунелните връзки използват AES-GCM-256, който осигурява както криптиране, така и удостоверяване. Конфигурирайте всеки тип удостоверяване с отделна команда за защита ipsec authentication-type. Опциите на командата съответстват на следните типове удостоверяване, които са изброени в ред от най-силните до най-малко силните:

Забележка
Sha1 в опциите за конфигурация се използва по исторически причини. Опциите за удостоверяване показват каква част от проверката за целостта на пакета е извършена. Те не уточняват алгоритъма, който проверява целостта. С изключение на криптирането на мултикаст трафик, алгоритмите за удостоверяване, поддържани от Cisco Catalyst SD WAN, не използват SHA1. Въпреки това в Cisco SD-WAN версия 20.1.x и по-нататък както едноадресното, така и груповото предаване не използват SHA1.

  • ah-sha1-hmac позволява криптиране и капсулиране с помощта на ESP. Въпреки това, в допълнение към проверките за цялост на ESP заглавката и полезния товар, проверките включват и външните IP и UDP заглавки. Следователно тази опция поддържа проверка на целостта на пакета, подобна на протокола за заглавка за удостоверяване (AH). Цялата цялост и криптиране се извършва с помощта на AES-256-GCM.
  • ah-no-id разрешава режим, който е подобен на ah-sha1-hmac, но ID полето на външния IP хедър се игнорира. Тази опция включва някои SD-WAN устройства, различни от Cisco Catalyst, включително Apple AirPort Express NAT, които имат грешка, която кара ID полето в IP хедъра, непроменливо поле, да бъде модифицирано. Конфигурирайте опцията ah-no-id в списъка с типове удостоверяване, за да накарате софтуера Cisco Catalyst SD-WAN AH да игнорира ID полето в IP хедъра, така че софтуерът Cisco Catalyst SD-WAN да може да работи във връзка с тези устройства.
  • sha1-hmac позволява ESP криптиране и проверка на целостта.
  • none не се свързва с никаква автентификация. Тази опция трябва да се използва само ако е необходима за временно отстраняване на грешки. Можете също така да изберете тази опция в ситуации, в които удостоверяването и целостта на равнината на данните не представляват проблем. Cisco не препоръчва използването на тази опция за производствени мрежи.

За информация относно това кои полета на пакети с данни са засегнати от тези типове удостоверяване, вижте Целостта на равнината на данни. Устройствата Cisco IOS XE Catalyst SD-WAN и устройствата Cisco vEdge рекламират своите конфигурирани типове удостоверяване в своите TLOC свойства. Двата рутера от двете страни на IPsec тунелна връзка договарят удостоверяването, което да се използва във връзката между тях, като използват най-силния тип удостоверяване, който е конфигуриран и на двата рутера. Напримерample, ако един рутер рекламира типовете ah-sha1-hmac и ah-no-id, а вторият рутер рекламира типа ah-no-id, двата рутера преговарят да използват ah-no-id на IPsec тунелната връзка между тях. Ако не са конфигурирани общи типове удостоверяване на двата партньора, между тях не се установява IPsec тунел. Алгоритъмът за криптиране на IPsec тунелни връзки зависи от типа трафик:

  • За уникаст трафик алгоритъмът за криптиране е AES-256-GCM.
  • За мултикаст трафик:
  • Cisco SD-WAN версия 20.1.x и по-нова – алгоритъмът за криптиране е AES-256-GCM
  • Предишни версии – алгоритъмът за криптиране е AES-256-CBC с SHA1-HMAC.

Когато типът IPsec удостоверяване се промени, AES ключът за пътя на данните се променя.

Променете таймера за повторно въвеждане

Преди устройствата Cisco IOS XE Catalyst SD-WAN и устройствата Cisco vEdge да могат да обменят трафик на данни, те създават защитен удостоверен комуникационен канал между тях. Рутерите използват IPSec тунели между тях като канал и шифър AES-256 за извършване на криптиране. Всеки рутер периодично генерира нов AES ключ за своя път на данни. По подразбиране ключът е валиден за 86400 секунди (24 часа), а обхватът на таймера е от 10 секунди до 1209600 секунди (14 дни). За да промените стойността на таймера за повторно включване: Device(config)# security ipsec rekey seconds Конфигурацията изглежда така:

  • сигурност ipsec rekey секунди!

Ако искате незабавно да генерирате нови IPsec ключове, можете да го направите, без да променяте конфигурацията на рутера. За да направите това, издайте командата request security ipsecrekey на компрометирания рутер. Напримерample, следният изход показва, че локалният SA има индекс на параметър за сигурност (SPI) от 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Уникален ключ е свързан с всеки SPI. Ако този ключ е компрометиран, използвайте командата request security ipsec-rekey, за да генерирате незабавно нов ключ. Тази команда увеличава SPI. В нашия бившample, SPI се променя на 257 и ключът, свързан с него, вече се използва:

  • Device# искане за защита ipsecreey
  • Устройство # показва ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

След като новият ключ бъде генериран, рутерът го изпраща незабавно до Cisco SD-WAN контролерите, използвайки DTLS или TLS. Контролерите Cisco SD-WAN изпращат ключа към партньорските рутери. Рутерите започват да го използват веднага щом го получат. Имайте предвид, че ключът, свързан със стария SPI (256), ще продължи да се използва за кратко време, докато изтече времето. За да спрете незабавно да използвате стария ключ, издайте командата за защита на заявката ipsec-rekey два пъти, в бърза последователност. Тази последователност от команди премахва както SPI 256, така и 257 и задава SPI на 258. След това рутерът използва свързания ключ на SPI 258. Обърнете внимание обаче, че някои пакети ще бъдат изпуснати за кратък период от време, докато всички отдалечени рутери се научат новия ключ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Променете размера на прозореца против повторение

IPsec удостоверяването осигурява защита срещу повторение чрез присвояване на уникален пореден номер на всеки пакет в поток от данни. Това номериране на последователности предпазва от нападател, който дублира пакети с данни. Със защита срещу повторно възпроизвеждане изпращачът присвоява монотонно нарастващи поредни номера, а дестинацията проверява тези поредни номера, за да открие дубликати. Тъй като пакетите често не пристигат по ред, местоназначението поддържа плъзгащ се прозорец с поредни номера, които ще приеме.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Пакетите с поредни номера, които попадат вляво от обхвата на плъзгащия се прозорец, се считат за стари или дубликати и дестинацията ги изпуска. Дестинацията проследява най-големия пореден номер, който е получила, и коригира плъзгащия се прозорец, когато получи пакет с по-висока стойност.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

По подразбиране плъзгащият се прозорец е настроен на 512 пакета. Може да бъде зададена всяка стойност между 64 и 4096, която е степен на 2 (т.е. 64, 128, 256, 512, 1024, 2048 или 4096). За да промените размера на прозореца против повторение, използвайте командата replay-window, като посочите размера на прозореца:

Device(config)# security ipsec номер на прозореца за повторение

Конфигурацията изглежда така:
сигурност ipsec номер на прозорец за повторение! !

За да се помогне с QoS, се поддържат отделни прозорци за повторение за всеки от първите осем канала за трафик. Конфигурираният размер на прозореца за повторение е разделен на осем за всеки канал. Ако QoS е конфигуриран на рутер, този рутер може да претърпи по-голям от очаквания брой изпускания на пакети в резултат на механизма за предотвратяване на повторение на IPsec и много от изпуснатите пакети са легитимни. Това се случва, защото QoS пренарежда пакетите, като дава преференциално третиране на пакетите с по-висок приоритет и забавя пакетите с по-нисък приоритет. За да минимизирате или предотвратите тази ситуация, можете да направите следното:

  • Увеличете размера на прозореца против повторение.
  • Проектирайте трафика върху първите осем канала за трафик, за да гарантирате, че трафикът в рамките на даден канал не е пренареден.

Конфигурирайте IPsec тунели с активиран IKE
За сигурно прехвърляне на трафик от мрежата с наслагване към обслужваща мрежа, можете да конфигурирате IPsec тунели, които изпълняват протокола Internet Key Exchange (IKE). IPsec тунелите с активиран IKE осигуряват удостоверяване и криптиране, за да осигурят защитен транспорт на пакети. Вие създавате IKE-активиран IPsec тунел чрез конфигуриране на IPsec интерфейс. IPsec интерфейсите са логически интерфейси и вие ги конфигурирате точно като всеки друг физически интерфейс. Вие конфигурирате параметрите на протокола IKE на интерфейса IPsec и можете да конфигурирате други свойства на интерфейса.

Забележка Cisco препоръчва използването на IKE версия 2. От Cisco SD-WAN версия 19.2.x нататък, предварително споделеният ключ трябва да е с дължина поне 16 байта. Установяването на IPsec тунел е неуспешно, ако размерът на ключа е по-малък от 16 знака, когато рутерът е надстроен до версия 19.2.

Забележка
Софтуерът Cisco Catalyst SD-WAN поддържа IKE версия 2, както е дефинирано в RFC 7296. Една употреба на IPsec тунели е да позволи на vEdge Cloud рутер VM екземпляри, работещи на Amazon AWS, да се свързват с виртуалния частен облак на Amazon (VPC). Трябва да конфигурирате IKE версия 1 на тези рутери. Устройствата Cisco vEdge поддържат само VPN базирани на маршрут в IPSec конфигурация, тъй като тези устройства не могат да дефинират селектори за трафик в домейна за криптиране.

Конфигурирайте IPsec тунел
За да конфигурирате IPsec тунелен интерфейс за защитен транспортен трафик от сервизна мрежа, вие създавате логически IPsec интерфейс:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Можете да създадете IPsec тунел в транспортната VPN (VPN 0) и във всяка услуга VPN (VPN 1 до 65530, с изключение на 512). IPsec интерфейсът има име във формат ipsecnumber, където числото може да бъде от 1 до 255. Всеки IPsec интерфейс трябва да има IPv4 адрес. Този адрес трябва да бъде префикс /30. Целият трафик във VPN, който е в рамките на този IPv4 префикс, се насочва към физически интерфейс във VPN 0, за да бъде изпратен сигурно през IPsec тунел. За да конфигурирате източника на IPsec тунела на локалното устройство, можете да посочите или IP адреса на физическия интерфейс (в командата tunnel-source) или името на физическия интерфейс (в командата tunnel-source-interface). Уверете се, че физическият интерфейс е конфигуриран във VPN 0. За да конфигурирате дестинацията на IPsec тунела, укажете IP адреса на отдалеченото устройство в командата tunnel-destination. Комбинацията от адрес на източник (или име на интерфейс на източник) и адрес на местоназначение дефинира един IPsec тунел. Може да съществува само един IPsec тунел, който използва специфичен адрес на източник (или име на интерфейс) и двойка адреси на местоназначение.

Конфигурирайте IPsec статичен маршрут

За да насочите трафика от услугата VPN към IPsec тунел в транспортната VPN (VPN 0), вие конфигурирате IPsec-специфичен статичен маршрут в услуга VPN (VPN, различна от VPN 0 или VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 интерфейс
  • ipsecnumber [ipsecnumber2]

VPN ID е този на всяка услуга VPN (VPN 1 до 65530, с изключение на 512). prefix/length е IP адресът или префиксът в десетична нотация с четири части и точка и дължината на префикса на специфичния за IPsec статичен маршрут. Интерфейсът е IPsec тунелен интерфейс във VPN 0. Можете да конфигурирате един или два IPsec тунелни интерфейса. Ако конфигурирате два, първият е основният IPsec тунел, а вторият е резервният. С два интерфейса всички пакети се изпращат само към основния тунел. Ако този тунел се провали, всички пакети се изпращат към вторичния тунел. Ако основният тунел се възстанови, целият трафик се премества обратно към основния IPsec тунел.

Активирайте IKE версия 1
Когато създавате IPsec тунел на vEdge рутер, IKE версия 1 е активирана по подразбиране в интерфейса на тунела. Следните свойства също са активирани по подразбиране за IKEv1:

  • Удостоверяване и криптиране—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщения за интегритет
  • Номер на групата на Дифи-Хелман—16
  • Времеви интервал за презаключване - 4 часа
  • Режим на установяване на SA — Основен

По подразбиране IKEv1 използва основния режим на IKE, за да установи IKE SA. В този режим се обменят шест пакета за преговори за установяване на SA. За да обмените само три пакета за преговори, активирайте агресивен режим:

Забележка
Агресивният режим на IKE с предварително споделени ключове трябва да се избягва, когато е възможно. В противен случай трябва да се избере силен предварително споделен ключ.

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер ike
  • vEdge(config-ike)# режим агресивен

По подразбиране IKEv1 използва група 16 на Diffie-Hellman в обмена на IKE ключове. Тази група използва 4096-битовата по-модулна експоненциална (MODP) група по време на обмен на IKE ключове. Можете да промените номера на групата на 2 (за 1024-битов MODP), 14 (2048-битов MODP) или 15 (3072-битов MODP):

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер ike
  • vEdge(config-ike)# номер на група

По подразбиране обменът на IKE ключове използва AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за целостта. Можете да промените удостоверяването:

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер ike
  • vEdge(config-ike)# пакет за шифроване

Пакетът за удостоверяване може да бъде един от следните:

  • aes128-cbc-sha1—AES-128 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за интегритет
  • aes128-cbc-sha2—AES-128 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA256 алгоритъм за код за удостоверяване на хеш съобщение за интегритет
  • aes256-cbc-sha1—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за интегритет; това е по подразбиране.
  • aes256-cbc-sha2—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA256 алгоритъм за код за удостоверяване на хеш съобщение за интегритет

По подразбиране IKE ключовете се обновяват на всеки 1 час (3600 секунди). Можете да промените интервала на повторно въвеждане на стойност от 30 секунди до 14 дни (1209600 секунди). Препоръчва се интервалът на повторно въвеждане да бъде поне 1 час.

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер като
  • vEdge(config-ike)# rekey секунди

За да принудите генерирането на нови ключове за IKE сесия, подайте командата за заявка ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id интерфейсipsec номер ike

За IKE можете също да конфигурирате удостоверяване с предварително споделен ключ (PSK):

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password е паролата за използване с предварително споделения ключ. Може да бъде ASCII или шестнадесетичен низ с дължина от 1 до 127 знака.

Ако отдалеченият IKE партньор изисква локален или отдалечен идентификатор, можете да конфигурирате този идентификатор:

  • vEdge(config)# vpn vpn-id интерфейс ipsec номер ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# идентификатор на отдалечен идентификатор

Идентификаторът може да бъде IP адрес или произволен текстов низ с дължина от 1 до 63 знака. По подразбиране локалният идентификатор е IP адресът на източника на тунела, а отдалеченият идентификатор е IP адресът на местоназначението на тунела.

Активирайте IKE версия 2
Когато конфигурирате IPsec тунел да използва IKE версия 2, следните свойства също са разрешени по подразбиране за IKEv2:

  • Удостоверяване и криптиране—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщения за интегритет
  • Номер на групата на Дифи-Хелман—16
  • Времеви интервал за презаключване - 4 часа

По подразбиране IKEv2 използва група 16 на Diffie-Hellman в обмена на IKE ключове. Тази група използва 4096-битовата по-модулна експоненциална (MODP) група по време на обмен на IKE ключове. Можете да промените номера на групата на 2 (за 1024-битов MODP), 14 (2048-битов MODP) или 15 (3072-битов MODP):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# номер на група

По подразбиране обменът на IKE ключове използва AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за целостта. Можете да промените удостоверяването:

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# пакет за шифроване

Пакетът за удостоверяване може да бъде един от следните:

  • aes128-cbc-sha1—AES-128 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за интегритет
  • aes128-cbc-sha2—AES-128 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA256 алгоритъм за код за удостоверяване на хеш съобщение за интегритет
  • aes256-cbc-sha1—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA1 алгоритъм за код за удостоверяване на хеш съобщение за интегритет; това е по подразбиране.
  • aes256-cbc-sha2—AES-256 усъвършенстван стандарт за криптиране CBC криптиране с HMAC-SHA256 алгоритъм за код за удостоверяване на хеш съобщение за интегритет

По подразбиране IKE ключовете се обновяват на всеки 4 часа (14,400 30 секунди). Можете да промените интервала на повторно въвеждане на стойност от 14 секунди до 1209600 дни (XNUMX секунди):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# rekey секунди

За да принудите генерирането на нови ключове за IKE сесия, подайте командата за заявка ipsec ike-rekey. За IKE можете също да конфигурирате удостоверяване с предварително споделен ключ (PSK):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password е паролата за използване с предварително споделения ключ. Може да бъде ASCII или шестнадесетичен низ, или може да бъде AES-шифрован ключ. Ако отдалеченият IKE партньор изисква локален или отдалечен идентификатор, можете да конфигурирате този идентификатор:
  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# идентификатор на отдалечен идентификатор

Идентификаторът може да бъде IP адрес или произволен текстов низ с дължина от 1 до 64 знака. По подразбиране локалният идентификатор е IP адресът на източника на тунела, а отдалеченият идентификатор е IP адресът на местоназначението на тунела.

Конфигурирайте параметрите на IPsec тунела

Таблица 4: История на характеристиките

Характеристика Име Информация за изданието Описание
Допълнителна криптография Cisco SD-WAN версия 20.1.1 Тази функция добавя поддръжка за
Алгоритмична поддръжка за IPSec   HMAC_SHA256, HMAC_SHA384 и
Тунели   HMAC_SHA512 алгоритми за
    повишена сигурност.

По подразбиране следните параметри се използват в IPsec тунела, който пренася IKE трафик:

  • Удостоверяване и криптиране—алгоритъм AES-256 в GCM (режим на Галоа/брояч)
  • Интервал на повторно ключване - 4 часа
  • Прозорец за повторение—32 пакета

Можете да промените шифроването на IPsec тунела на шифър AES-256 в CBC (режим на верижно свързване на шифрови блокове, с HMAC, използвайки или SHA-1, или SHA-2 хеш удостоверяване на съобщения с ключ, или на нула с HMAC, използвайки SHA-1 или Удостоверяване на SHA-2 ключово хеш съобщение, за да не шифрова IPsec тунела, използван за трафик за обмен на IKE ключове:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 |. aes256-null-sha384 |. aes256-null-sha512)

По подразбиране IKE ключовете се обновяват на всеки 4 часа (14,400 30 секунди). Можете да промените интервала на повторно въвеждане на стойност от 14 секунди до 1209600 дни (XNUMX секунди):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# повторен ключ секунди

За да принудите генерирането на нови ключове за IPsec тунел, издайте командата request ipsec ipsec-rekey. По подразбиране перфектната предна секретност (PFS) е активирана на IPsec тунели, за да се гарантира, че миналите сесии не са засегнати, ако бъдещите ключове са компрометирани. PFS принуждава нов обмен на ключове на Diffie-Hellman, като по подразбиране използва 4096-битовата основна модулна група на Diffie-Hellman. Можете да промените настройката на PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# съвършена-напред-секретност pfs-настройка

pfs-setting може да бъде едно от следните:

  • group-2—Използвайте 1024-битовата група на простия модул на Diffie-Hellman.
  • group-14—Използвайте 2048-битовата група на простия модул на Diffie-Hellman.
  • group-15—Използвайте 3072-битовата група на простия модул на Diffie-Hellman.
  • group-16—Използвайте 4096-битовата група на основния модул на Diffie-Hellman. Това е по подразбиране.
  • няма—Деактивирайте PFS.

По подразбиране прозорецът за повторение на IPsec в IPsec тунела е 512 байта. Можете да зададете размера на прозореца за повторение на 64, 128, 256, 512, 1024, 2048 или 4096 пакета:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# номер на прозорец за повторение

Променете IKE Dead-Peer Detection

IKE използва механизъм за откриване на мъртъв партньор, за да определи дали връзката към IKE партньор е функционална и достъпна. За да приложи този механизъм, IKE изпраща Hello пакет до своя партньор, а партньорът изпраща потвърждение в отговор. По подразбиране IKE изпраща Hello пакети на всеки 10 секунди и след три непотвърдени пакета IKE обявява съседа за мъртъв и разкъсва тунела към партньора. След това IKE периодично изпраща Hello пакет до партньора и възстановява тунела, когато партньорът се върне онлайн. Можете да промените интервала за откриване на жизненост на стойност от 0 до 65535 и можете да промените броя на повторните опити на стойност от 0 до 255.

Забележка

За транспортни VPN интервалът за откриване на активност се преобразува в секунди, като се използва следната формула: Интервал за номер на опит за повторно предаване N = интервал * 1.8N-1 За пр.ample, ако интервалът е зададен на 10 и се опита отново на 5, интервалът на откриване се увеличава, както следва:

  • Опит 1: 10 * 1.81-1= 10 секунди
  • опит 2: 10 * 1.82-1= 18 секунди
  • опит 3: 10 * 1.83-1= 32.4 секунди
  • опит 4: 10 * 1.84-1= 58.32 секунди
  • опит 5: 10 * 1.85-1= 104.976 секунди

vEdge(config-interface-ipsecnumber)# брой повторни опити за интервал за откриване на мъртъв партньор

Конфигуриране на други свойства на интерфейса

За IPsec тунелни интерфейси можете да конфигурирате само следните допълнителни свойства на интерфейса:

  • vEdge(config-interface-ipsec)# mtu байта
  • vEdge(config-interface-ipsec)# tcp-mss-adjust байтове

Деактивирайте слабите алгоритми за шифроване на SSH на Cisco SD-WAN Manager

Таблица 5: Таблица с хронология на характеристиките

Характеристика Име Информация за изданието Характеристика Описание
Деактивирайте слабите алгоритми за шифроване на SSH на Cisco SD-WAN Manager Cisco vManage Версия 20.9.1 Тази функция ви позволява да деактивирате по-слабите SSH алгоритми на Cisco SD-WAN Manager, които може да не отговарят на определени стандарти за сигурност на данните.

Информация относно деактивирането на слаби SSH криптиращи алгоритми на Cisco SD-WAN Manager
Cisco SD-WAN Manager предоставя SSH клиент за комуникация с компоненти в мрежата, включително контролери и крайни устройства. SSH клиентът предоставя криптирана връзка за защитен трансфер на данни, базирана на различни алгоритми за криптиране. Много организации изискват по-силно криптиране от това, осигурено от SHA-1, AES-128 и AES-192. От Cisco vManage Release 20.9.1 можете да деактивирате следните по-слаби алгоритми за криптиране, така че SSH клиент да не използва тези алгоритми:

  • SHA-1
  • AES-128
  • AES-192

Преди да деактивирате тези алгоритми за шифроване, уверете се, че Cisco vEdge устройствата, ако има такива, в мрежата, използват версия на софтуера, по-късна от Cisco SD-WAN версия 18.4.6.

Предимства от деактивирането на слаби SSH криптиращи алгоритми на Cisco SD-WAN Manager
Деактивирането на по-слаби SSH криптиращи алгоритми подобрява сигурността на SSH комуникацията и гарантира, че организациите, използващи Cisco Catalyst SD-WAN, са в съответствие със строги разпоредби за сигурност.

Деактивирайте слабите алгоритми за криптиране на SSH на Cisco SD-WAN Manager с помощта на CLI

  1. От менюто на Cisco SD-WAN Manager изберете Инструменти > SSH терминал.
  2. Изберете устройството Cisco SD-WAN Manager, на което искате да деактивирате по-слабите SSH алгоритми.
  3. Въведете потребителското име и паролата, за да влезете в устройството.
  4. Влезте в режим на SSH сървър.
    • vmanage(config)# система
    • vmanage(config-system)# ssh-сървър
  5. Направете едно от следните неща, за да деактивирате SSH алгоритъм за криптиране:
    • Деактивирайте SHA-1:
  6. управление (config-ssh-сървър)# без kex-algo sha1
  7. управление (config-ssh-сървър)# ангажиране
    Показва се следното предупредително съобщение: Бяха генерирани следните предупреждения: 'system ssh-server kex-algo sha1': ПРЕДУПРЕЖДЕНИЕ: Моля, уверете се, че всичките ви ръбове изпълняват версия на код > 18.4.6, която преговаря по-добре от SHA1 с vManage. В противен случай тези ръбове може да станат офлайн. Продължавам? [да, не] да
    • Уверете се, че всички Cisco vEdge устройства в мрежата работят с Cisco SD-WAN версия 18.4.6 или по-нова и въведете да.
    • Деактивирайте AES-128 и AES-192:
    • vmanage(config-ssh-сървър)# без шифър aes-128-192
    • vmanage(config-ssh-сървър)# ангажиране
      Показва се следното предупредително съобщение:
      Бяха генерирани следните предупреждения:
      'system ssh-server cipher aes-128-192': ПРЕДУПРЕЖДЕНИЕ: Моля, уверете се, че всичките ви ръбове изпълняват версия на кода > 18.4.6, която преговаря по-добре от AES-128-192 с vManage. В противен случай тези ръбове може да станат офлайн. Продължавам? [да,не] да
    • Уверете се, че всички Cisco vEdge устройства в мрежата работят с Cisco SD-WAN версия 18.4.6 или по-нова и въведете да.

Проверете дали слабите алгоритми за SSH криптиране са деактивирани в Cisco SD-WAN Manager с помощта на CLI

  1. От менюто на Cisco SD-WAN Manager изберете Инструменти > SSH терминал.
  2. Изберете устройството Cisco SD-WAN Manager, което искате да проверите.
  3. Въведете потребителското име и паролата, за да влезете в устройството.
  4. Изпълнете следната команда: show running-config system ssh-server
  5. Потвърдете, че изходът показва една или повече от командите, които деактивират по-слабите алгоритми за криптиране:
    • без шифър aes-128-192
    • няма kex-algo sha1

Документи / Ресурси

CISCO SD-WAN Конфигуриране на параметри за сигурност [pdf] Ръководство за потребителя
SD-WAN Конфигуриране на параметри за сигурност, SD-WAN, Конфигуриране на параметри за сигурност, Параметри за сигурност

Референции

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *