CISCO SD-WAN Konfigurišite sigurnosne parametre

Konfigurirajte sigurnosne parametre

Napomena

Kako bi se postiglo pojednostavljenje i konzistentnost, Cisco SD-WAN rješenje je rebrendirano u Cisco Catalyst SD-WAN. Osim toga, od Cisco IOS XE SD-WAN izdanja 17.12.1a i Cisco Catalyst SD-WAN izdanja 20.12.1, primjenjuju se sljedeće promjene komponenti: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analitika, Cisco vBond za Cisco Catalyst SD-WAN validator i Cisco vSmart za Cisco Catalyst SD-WAN kontroler. Pogledajte najnovije napomene o izdanju za sveobuhvatnu listu svih promjena imena marke komponenti. Dok prelazimo na nova imena, neke nedosljednosti mogu biti prisutne u skupu dokumentacije zbog postupnog pristupa ažuriranju korisničkog interfejsa softverskog proizvoda.

Ovaj odeljak opisuje kako da promenite bezbednosne parametre za kontrolnu ravan i ravan podataka u mreži preklapanja Cisco Catalyst SD-WAN.

• Konfiguracija sigurnosnih parametara kontrolnog plana, uključeno
• Konfigurirajte sigurnosne parametre podatkovne ravni, uključeno
• Konfiguriši IKE-omogućene IPsec tunele, uključeno
• Onemogućite slabe algoritme SSH šifriranja na Cisco SD-WAN Manageru, uključeno

Konfigurirajte sigurnosne parametre upravljačkog plana

Podrazumevano, kontrolna ravnina koristi DTLS kao protokol koji obezbeđuje privatnost na svim svojim tunelima. DTLS pokreće UDP. Možete promijeniti sigurnosni protokol kontrolne ravni u TLS, koji radi preko TCP-a. Primarni razlog za korišćenje TLS-a je taj što, ako smatrate da je Cisco SD-WAN kontroler server, zaštitni zidovi štite TCP servere bolje od UDP servera. Konfigurišete tunelski protokol kontrolne ravni na Cisco SD-WAN kontroleru: vSmart(config)# sigurnosni kontrolni protokol tls Sa ovom promenom, svi tuneli kontrolne ravni između Cisco SD-WAN kontrolera i rutera i između Cisco SD-WAN kontrolera i Cisco SD-WAN Manager koriste TLS. Tuneli kontrolne ravni za Cisco Catalyst SD-WAN Validator uvijek koriste DTLS, jer ovim vezama mora upravljati UDP. U domenu sa više Cisco SD-WAN kontrolera, kada konfigurišete TLS na jednom od Cisco SD-WAN kontrolera, svi tuneli kontrolne ravni od tog kontrolera do drugih kontrolera koriste TLS. Drugim riječima, TLS uvijek ima prednost nad DTLS-om. Međutim, iz perspektive ostalih Cisco SD-WAN kontrolera, ako niste konfigurirali TLS na njima, oni koriste TLS na tunelu kontrolne ravni samo za taj jedan Cisco SD-WAN kontroler, a koriste DTLS tunele za sve ostale Cisco SD-WAN kontroleri i na sve njihove povezane rutere. Da bi svi Cisco SD-WAN kontroleri koristili TLS, konfigurirajte ga na svim njima. Podrazumevano, Cisco SD-WAN kontroler sluša na portu 23456 za TLS zahteve. Da biste ovo promenili: vSmart(config)# bezbednosna kontrola tls-port broj Port može biti broj od 1025 do 65535. Da biste prikazali bezbednosne informacije kontrolne ravni, koristite komandu show control connections na Cisco SD-WAN kontroleru. Za nprample: vSmart-2# prikazuje kontrolne veze

Konfigurišite DTLS u Cisco SD-WAN Manageru

Ako konfigurišete Cisco SD-WAN Manager da koristi TLS kao sigurnosni protokol kontrolne ravni, morate omogućiti prosljeđivanje portova na svom NAT-u. Ako koristite DTLS kao sigurnosni protokol kontrolne ravni, ne morate ništa da radite. Broj proslijeđenih portova ovisi o broju vdaemon procesa koji se pokreću na Cisco SD-WAN Manageru. Za prikaz informacija o ovim procesima i broju portova koji se prosljeđuju, koristite naredbu show control summary koja pokazuje da su četiri demon procesa pokrenuta:

Da vidite portove za slušanje, koristite naredbu show control local-properties: vManage# show control local-properties

Ovaj izlaz pokazuje da je TCP port za slušanje 23456. Ako koristite Cisco SD-WAN Manager iza NAT-a, trebali biste otvoriti sljedeće portove na NAT uređaju:

• 23456 (baza – instanca 0 port)
• 23456 + 100 (baza + 100)
• 23456 + 200 (baza + 200)
• 23456 + 300 (baza + 300)

Imajte na umu da je broj instanci isti kao i broj jezgara koje ste dodijelili za Cisco SD-WAN Manager, do maksimalno 8.

Konfigurirajte sigurnosne parametre koristeći predložak sigurnosnih funkcija

Koristite predložak Sigurnosne funkcije za sve Cisco vEdge uređaje. Na rubnim ruterima i Cisco SD-WAN Validatoru koristite ovaj predložak za konfiguraciju IPsec-a za sigurnost podatkovne ravni. Na Cisco SD-WAN Manageru i Cisco SD-WAN kontroleru, koristite predložak Sigurnosne funkcije da biste konfigurirali DTLS ili TLS za sigurnost kontrolne ravni.

Konfigurirajte sigurnosne parametre

1. U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Predlošci.
2. Kliknite na Predlošci funkcija, a zatim kliknite na Dodaj predložak.
   Napomena U Cisco vManage izdanju 20.7.1 i ranijim izdanjima, predlošci funkcija se nazivaju Feature.
3. Sa liste uređaja u lijevom oknu odaberite uređaj. Predlošci koji se odnose na odabrani uređaj pojavljuju se u desnom oknu.
4. Kliknite Sigurnost da otvorite predložak.
5. U polje Naziv predloška unesite naziv predloška. Ime može imati do 128 znakova i može sadržavati samo alfanumeričke znakove.
6. U polje Opis predloška unesite opis predloška. Opis može imati do 2048 znakova i može sadržavati samo alfanumeričke znakove.

Kada prvi put otvorite predložak značajke, za svaki parametar koji ima zadanu vrijednost, opseg je postavljen na Zadano (označeno kvačicom), a prikazana je zadana postavka ili vrijednost. Da promijenite zadanu vrijednost ili da unesete vrijednost, kliknite na padajući izbornik opsega lijevo od polja parametra i odaberite jedno od sljedećeg:

Tabela 1:

Parametar Obim

Opis opsega

Specifično za uređaj (označeno ikonom domaćina)

Za parametar koristite vrijednost specifičnu za uređaj. Za parametre specifične za uređaj, ne možete unijeti vrijednost u predložak značajke. Vrijednost unosite kada Viptela uređaj priključite na predložak uređaja. Kada kliknete na Device Specific, otvara se okvir Enter Key. Ovaj okvir prikazuje ključ, koji je jedinstveni niz koji identificira parametar u CSV-u file koje kreirate. Ovo file je Excel tabela koja sadrži jednu kolonu za svaki ključ. Red zaglavlja sadrži nazive ključeva (jedan ključ po koloni), a svaki red nakon toga odgovara uređaju i definira vrijednosti ključeva za taj uređaj. Učitavate CSV file kada priključite Viptela uređaj na šablon uređaja. Za više informacija pogledajte Kreiranje proračunske tablice varijabli predloška. Da biste promijenili zadani ključ, otkucajte novi niz i pomaknite kursor iz okvira Enter Key. ExampPodaci specifičnih za uređaj su IP adresa sistema, ime hosta, GPS lokacija i ID lokacije.

Parametar Obim	Opis opsega
Globalno (označeno ikonom globusa)	Unesite vrijednost za parametar i primijenite tu vrijednost na sve uređaje. ExampLes parametara koje možete globalno primijeniti na grupu uređaja su DNS server, syslog server i MTU-ovi interfejsa.

Konfigurirajte sigurnost kontrolnog plana

Napomena
Odeljak Konfigurišite bezbednost kontrolne ravni primenjuje se samo na Cisco SD-WAN Manager i Cisco SD-WAN kontroler. Da biste konfigurisali protokol veze kontrolne ravni na Cisco SD-WAN Manager instanci ili Cisco SD-WAN kontroleru, izaberite oblast osnovne konfiguracije i konfigurirajte sljedeće parametre:

Tabela 2:

Parametar Ime	Opis
Protokol	Odaberite protokol koji ćete koristiti na kontrolnoj ravni vezama na Cisco SD-WAN kontroler: • DTLS (Datagram Transport Layer Security). Ovo je zadana postavka. • TLS (Transport Layer Security)
Kontrolirajte TLS port	Ako ste odabrali TLS, konfigurirajte broj porta za korištenje:Raspon: 1025 do 65535Zadano: 23456

Kliknite na Save

Konfigurirajte sigurnost podatkovnog plana
Da biste konfigurirali sigurnost podatkovne ravni na Cisco SD-WAN Validatoru ili Cisco vEdge ruteru, odaberite kartice Osnovna konfiguracija i Vrsta provjere autentičnosti i konfigurirajte sljedeće parametre:

Tabela 3:

Parametar Ime	Opis
Rekey Time	Odredite koliko često Cisco vEdge ruter mijenja AES ključ koji se koristi na svojoj sigurnoj DTLS vezi na Cisco SD-WAN kontroler. Ako je omogućeno graciozno ponovno pokretanje OMP-a, vrijeme ponovnog ključa mora biti najmanje dvostruko veće od vrijednosti tajmera gracioznog ponovnog pokretanja OMP-a.Raspon: 10 do 1209600 sekundi (14 dana)Zadano: 86400 sekundi (24 sata)
Replay Window	Odredite veličinu kliznog prozora za ponavljanje. vrijednosti: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketaZadano: 512 paketa
IPsec uparivanje ključeva	Ovo je podrazumevano isključeno. Kliknite On da ga uključite.

Parametar Ime

Opis

Authentication Type

Odaberite tipove provjere autentičnosti iz Autentifikacija Lista, i kliknite na strelicu koja pokazuje desno da premjestite tipove provjere autentičnosti na Izabrana lista kolona. Tipovi provjere autentičnosti podržani od Cisco SD-WAN izdanja 20.6.1: •  esp: Omogućuje enkripciju za enkapsuliranje sigurnosnog tereta (ESP) i provjeru integriteta na zaglavlju ESP-a. •  ip-udp-esp: Omogućava ESP enkripciju. Pored provjera integriteta ESP zaglavlja i korisnog opterećenja, provjere također uključuju vanjska IP i UDP zaglavlja. •  ip-udp-esp-no-id: Ignorira ID polje u IP zaglavlju tako da Cisco Catalyst SD-WAN može raditi zajedno sa uređajima koji nisu Cisco. •  nijedan: Isključuje provjeru integriteta na IPSec paketima. Ne preporučujemo korištenje ove opcije.   Tipovi provjere autentičnosti podržani u Cisco SD-WAN izdanju 20.5.1 i ranijim: •  ah-no-id: Omogućite poboljšanu verziju AH-SHA1 HMAC i ESP HMAC-SHA1 koja ignorira ID polje u vanjskom IP zaglavlju paketa. •  ah-sha1-hmac: Omogućite AH-SHA1 HMAC i ESP HMAC-SHA1. •  nijedan: Odaberite bez provjere autentičnosti. •  sha1-hmac: Omogućite ESP HMAC-SHA1.   Napomena              Za rubni uređaj koji radi na Cisco SD-WAN izdanju 20.5.1 ili ranije, možda ste konfigurirali tipove provjere autentičnosti koristeći Sigurnost šablon. Kada nadogradite uređaj na Cisco SD-WAN izdanje 20.6.1 ili noviju, ažurirajte odabrane tipove provjere autentičnosti u Sigurnost šablon za tipove provjere autentičnosti podržane od Cisco SD-WAN izdanja 20.6.1. Da ažurirate tipove provjere autentičnosti, učinite sljedeće: 1.      U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Predlošci. 2.      Kliknite Feature Templates. 3.      Pronađite Sigurnost predložak za ažuriranje i kliknite … i kliknite Uredi. 4.      Kliknite Ažuriraj. Ne mijenjajte konfiguraciju. Cisco SD-WAN Manager ažurira Sigurnost šablon za prikaz podržanih tipova provjere autentičnosti.

Kliknite na Save.

Konfigurirajte sigurnosne parametre podatkovne ravni

U podatkovnoj ravni, IPsec je omogućen prema zadanim postavkama na svim ruterima, a prema zadanim postavkama IPsec tunelske veze koriste poboljšanu verziju Encapsulating Security Payload (ESP) protokola za autentifikaciju na IPsec tunelima. Na ruterima možete promijeniti tip autentifikacije, IPsec tajmer ponovnog ključa i veličinu IPsec prozora protiv ponavljanja.

Konfigurirajte dozvoljene vrste provjere autentičnosti

Tipovi provjere autentičnosti u Cisco SD-WAN izdanju 20.6.1 i novijim
Od Cisco SD-WAN izdanja 20.6.1, podržani su sljedeći tipovi integriteta:

• esp: Ova opcija omogućava enkripciju Encapsulating Security Payload (ESP) i provjeru integriteta na ESP zaglavlju.
• ip-udp-esp: Ova opcija omogućava ESP enkripciju. Pored provjera integriteta ESP zaglavlja i korisnog opterećenja, provjere također uključuju vanjska IP i UDP zaglavlja.
• ip-udp-esp-no-id: Ova opcija je slična ip-udp-esp, međutim, ID polje vanjskog IP zaglavlja se zanemaruje. Konfigurišite ovu opciju na listi tipova integriteta tako da softver Cisco Catalyst SD-WAN ignoriše ID polje u IP zaglavlju kako bi Cisco Catalyst SD-WAN mogao da radi u kombinaciji sa uređajima koji nisu Cisco.
• ništa: Ova opcija isključuje provjeru integriteta na IPSec paketima. Ne preporučujemo korištenje ove opcije.

Podrazumevano, IPsec tunelske veze koriste poboljšanu verziju Encapsulating Security Payload (ESP) protokola za autentifikaciju. Da biste izmijenili dogovorene tipove interiteta ili onemogućili provjeru integriteta, koristite sljedeću naredbu: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Tipovi provjere autentičnosti prije Cisco SD-WAN izdanja 20.6.1
Podrazumevano, IPsec tunelske veze koriste poboljšanu verziju Encapsulating Security Payload (ESP) protokola za autentifikaciju. Da biste izmijenili ugovorene tipove provjere autentičnosti ili onemogućili autentifikaciju, koristite sljedeću naredbu: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | nema) Podrazumevano, IPsec tunelske veze koriste AES-GCM-256, koji omogućava i enkripciju i autentifikaciju. Konfigurirajte svaki tip provjere autentičnosti zasebnom sigurnosnom ipsec naredbom tipa provjere autentičnosti. Opcije komande mapiraju se na sljedeće tipove provjere autentičnosti, koji su navedeni po redu od najjače do najmanje jake:

Napomena
Sha1 u opcijama konfiguracije se koristi iz istorijskih razloga. Opcije provjere autentičnosti pokazuju koliki je dio provjere integriteta paketa obavljen. Oni ne navode algoritam koji provjerava integritet. Osim šifriranja multicast saobraćaja, algoritmi za autentifikaciju koje podržava Cisco Catalyst SD WAN ne koriste SHA1. Međutim, u Cisco SD-WAN izdanju 20.1.x i dalje, i jednostruko i višestruko slanje ne koriste SHA1.

• ah-sha1-hmac omogućava enkripciju i enkapsulaciju pomoću ESP-a. Međutim, pored provjere integriteta ESP zaglavlja i korisnog opterećenja, provjere uključuju i vanjska IP i UDP zaglavlja. Dakle, ova opcija podržava provjeru integriteta paketa sličnu protokolu Authentication Header (AH). Sav integritet i enkripcija se obavlja pomoću AES-256-GCM.
• ah-no-id omogućava način koji je sličan ah-sha1-hmac, međutim, ID polje vanjskog IP zaglavlja se zanemaruje. Ova opcija prilagođava neke SD-WAN uređaje koji nisu Cisco Catalyst, uključujući Apple AirPort Express NAT, koji imaju grešku koja uzrokuje izmjenu ID polja u IP zaglavlju, polju koje se ne može mijenjati. Konfigurišite opciju ah-no-id na listi tipova provjere autentičnosti kako bi softver Cisco Catalyst SD-WAN AH zanemario ID polje u IP zaglavlju kako bi softver Cisco Catalyst SD-WAN mogao raditi zajedno sa ovim uređajima.
• sha1-hmac omogućava ESP enkripciju i provjeru integriteta.
• none ne preslikava se na nikakvu autentifikaciju. Ovu opciju treba koristiti samo ako je potrebna za privremeno otklanjanje grešaka. Ovu opciju također možete odabrati u situacijama kada autentikacija u podatkovnoj ravni i integritet nisu problem. Cisco ne preporučuje korištenje ove opcije za proizvodne mreže.

Za informacije o tome na koja polja paketa podataka utiču ovi tipovi provjere autentičnosti, pogledajte Integritet podatkovne ravni. Cisco IOS XE Catalyst SD-WAN uređaji i Cisco vEdge uređaji oglašavaju svoje konfigurisane tipove autentifikacije u svojim TLOC svojstvima. Dva usmjerivača s obje strane IPsec tunelske veze dogovaraju autentifikaciju koja će se koristiti za vezu između njih, koristeći najjači tip provjere autentičnosti koji je konfiguriran na oba rutera. Za nprampDakle, ako jedan ruter oglašava tipove ah-sha1-hmac i ah-no-id, a drugi ruter oglašava tip ah-no-id, dva rutera pregovaraju da koriste ah-no-id na IPsec tunelskoj vezi između njima. Ako nisu konfigurirani uobičajeni tipovi provjere autentičnosti na dva ravnopravna uređaja, između njih se ne uspostavlja IPsec tunel. Algoritam šifriranja na IPsec tunelskim vezama ovisi o vrsti prometa:

• Za unicast saobraćaj, algoritam šifriranja je AES-256-GCM.
• Za multicast saobraćaj:
• Cisco SD-WAN izdanje 20.1.x i novije – algoritam šifriranja je AES-256-GCM
• Prethodna izdanja – algoritam šifriranja je AES-256-CBC sa SHA1-HMAC.

Kada se promijeni tip IPsec provjere autentičnosti, mijenja se AES ključ za putanju podataka.

Promijenite tajmer ponovnog ključa

Prije nego što Cisco IOS XE Catalyst SD-WAN uređaji i Cisco vEdge uređaji mogu razmjenjivati ​​promet podataka, oni između sebe postavljaju siguran kanal komunikacije sa autentifikacijom. Ruteri koriste IPSec tunele između sebe kao kanal, a AES-256 šifru za izvođenje enkripcije. Svaki ruter periodično generiše novi AES ključ za svoju putanju podataka. Podrazumevano, ključ važi 86400 sekundi (24 sata), a raspon tajmera je od 10 sekundi do 1209600 sekundi (14 dana). Za promjenu vrijednosti tajmera ponovnog ključa: Device(config)# security ipsec rekey seconds Konfiguracija izgleda ovako:

• sigurnost ipsec rekey sekundi !

Ako želite odmah generirati nove IPsec ključeve, to možete učiniti bez mijenjanja konfiguracije rutera. Da biste to učinili, izdajte naredbu request security ipsecrekey na kompromitovanom ruteru. Za nprampda, sljedeći izlaz pokazuje da lokalni SA ima indeks sigurnosnih parametara (SPI) od 256:

Jedinstveni ključ je povezan sa svakim SPI. Ako je ovaj ključ kompromitovan, koristite naredbu request security ipsec-rekey da odmah generišete novi ključ. Ova komanda povećava SPI. U našem bivšemampSPI se mijenja u 257 i ključ povezan s njim se sada koristi:

• Sigurnosni zahtjev uređaja # ipsecrekey
• Uređaj # prikazuje ipsec local-sa

Nakon što se generiše novi ključ, ruter ga odmah šalje Cisco SD-WAN kontrolerima koristeći DTLS ili TLS. Cisco SD-WAN kontroleri šalju ključ ravnopravnim ruterima. Ruteri ga počinju koristiti čim ga prime. Imajte na umu da će ključ povezan sa starim SPI (256) nastaviti da se koristi kratko vrijeme dok ne istekne. Da biste odmah prestali koristiti stari ključ, izdajte naredbu request security ipsec-rekey dvaput, brzo uzastopno. Ovaj niz naredbi uklanja i SPI 256 i 257 i postavlja SPI na 258. Ruter tada koristi pridruženi ključ SPI 258. Imajte na umu, međutim, da će neki paketi biti odbačeni na kratak vremenski period dok svi udaljeni ruteri ne nauče novi ključ.

Promijenite veličinu prozora protiv ponavljanja

IPsec autentikacija pruža zaštitu od ponavljanja dodjeljujući jedinstveni broj sekvence svakom paketu u toku podataka. Ova sekvenca numeracije štiti od napadača koji duplicira pakete podataka. Sa zaštitom protiv ponavljanja, pošiljalac dodjeljuje monotono rastuće brojeve sekvence, a odredište provjerava te brojeve sekvence kako bi otkrilo duplikate. Budući da paketi često ne pristižu po redu, odredište održava klizni prozor rednih brojeva koje će prihvatiti.

Paketi s brojevima sekvence koji padaju lijevo od raspona kliznog prozora smatraju se starim ili duplikatima, a odredište ih ispušta. Odredište prati najveći redni broj koji je primilo i prilagođava klizni prozor kada primi paket s višom vrijednošću.

Po defaultu, klizni prozor je postavljen na 512 paketa. Može se postaviti na bilo koju vrijednost između 64 i 4096 koja je stepen 2 (tj. 64, 128, 256, 512, 1024, 2048 ili 4096). Da biste izmijenili veličinu prozora protiv ponavljanja, koristite naredbu replay-window, navodeći veličinu prozora:

Device(config)# sigurnosni ipsec broj prozora za ponavljanje

Konfiguracija izgleda ovako:
sigurnost ipsec replay-window broj ! !

Da bi se pomoglo sa QoS-om, održavaju se odvojeni prozori za ponavljanje za svaki od prvih osam saobraćajnih kanala. Konfigurirana veličina prozora za reprodukciju podijeljena je sa osam za svaki kanal. Ako je QoS konfiguriran na ruteru, taj ruter bi mogao doživjeti veći broj ispuštanja paketa od očekivanog kao rezultat IPsec mehanizma protiv ponavljanja, a mnogi paketi koji se ispuštaju su legitimni. Ovo se događa zato što QoS preuređuje pakete, dajući paketima višeg prioriteta preferencijalni tretman i odgađajući pakete nižeg prioriteta. Da biste smanjili ili spriječili ovu situaciju, možete učiniti sljedeće:

• Povećajte veličinu prozora protiv ponavljanja.
• Inženjering saobraćaja na prvih osam saobraćajnih kanala kako bi se osiguralo da se saobraćaj unutar kanala ne preuređuje.

Konfigurirajte IKE-omogućene IPsec tunele
Da biste bezbedno preneli saobraćaj sa preklapajuće mreže na uslužnu mrežu, možete da konfigurišete IPsec tunele koji pokreću protokol Internet Key Exchange (IKE). IKE-omogućeni IPsec tuneli pružaju autentifikaciju i enkripciju kako bi se osigurao siguran transport paketa. IKE-omogućen IPsec tunel kreirate konfiguracijom IPsec sučelja. IPsec sučelja su logička sučelja, a vi ih konfigurirate kao i svaki drugi fizički interfejs. Konfigurišete parametre IKE protokola na IPsec interfejsu, a možete konfigurisati i druga svojstva interfejsa.

Napomena Cisco preporučuje korišćenje IKE verzije 2. Od izdanja Cisco SD-WAN 19.2.x nadalje, unapred deljeni ključ treba da bude dugačak najmanje 16 bajtova. Uspostavljanje IPsec tunela ne uspijeva ako je veličina ključa manja od 16 znakova kada se ruter nadogradi na verziju 19.2.

Napomena
Softver Cisco Catalyst SD-WAN podržava IKE verziju 2 kako je definisano u RFC 7296. Jedna upotreba za IPsec tunele je omogućavanje vEdge Cloud ruter VM instanci koje rade na Amazon AWS da se povežu na Amazon virtuelni privatni oblak (VPC). Morate konfigurirati IKE verziju 1 na ovim ruterima. Cisco vEdge uređaji podržavaju samo VPN-ove zasnovane na rutama u IPSec konfiguraciji jer ovi uređaji ne mogu definirati birače prometa u domeni šifriranja.

Konfigurirajte IPsec tunel
Da biste konfigurirali IPsec tunelsko sučelje za siguran transportni promet iz uslužne mreže, kreirate logički IPsec sučelje:

Možete kreirati IPsec tunel u transportnom VPN-u (VPN 0) iu bilo kojem servisnom VPN-u (VPN 1 do 65530, osim 512). IPsec interfejs ima ime u formatu ipsecnumber, pri čemu broj može biti od 1 do 255. Svaki IPsec interfejs mora imati IPv4 adresu. Ova adresa mora biti prefiks /30. Sav promet u VPN-u koji je unutar ovog IPv4 prefiksa usmjerava se na fizičko sučelje u VPN-u 0 kako bi se sigurno slao preko IPsec tunela. Da biste konfigurirali izvor IPsec tunela na lokalnom uređaju, možete odrediti ili IP adresu fizičko sučelje (u naredbi tunel-izvor) ili ime fizičkog sučelja (u naredbi tunel-izvor-sučelje). Uvjerite se da je fizičko sučelje konfigurirano u VPN 0. Za konfiguriranje odredišta IPsec tunela, navedite IP adresu udaljenog uređaja u naredbi tunel-destination. Kombinacija izvorne adrese (ili imena izvornog interfejsa) i odredišne ​​adrese definira jedan IPsec tunel. Može postojati samo jedan IPsec tunel koji koristi određenu izvornu adresu (ili naziv interfejsa) i par odredišne ​​adrese.

Konfigurirajte IPsec statičku rutu

Da biste usmjerili promet od servisnog VPN-a do IPsec tunela u transportnom VPN-u (VPN 0), konfigurirate statičku rutu specifičnu za IPsec u VPN-u usluge (VPN koji nije VPN 0 ili VPN 512):

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-rute prefiks/dužina vpn 0 interfejs
• ipsecnumber [ipsecnumber2]

VPN ID je onaj bilo kojeg servisnog VPN-a (VPN 1 do 65530, osim 512). prefiks/dužina je IP adresa ili prefiks, u decimalnoj četverodijelnoj notaciji s tačkama, i dužina prefiksa statičke rute specifične za IPsec. Sučelje je IPsec tunelsko sučelje u VPN-u 0. Možete konfigurirati jedno ili dva IPsec tunelska sučelja. Ako konfigurirate dva, prvi je primarni IPsec tunel, a drugi rezervni. Sa dva interfejsa, svi paketi se šalju samo u primarni tunel. Ako taj tunel ne uspije, svi paketi se zatim šalju u sekundarni tunel. Ako se primarni tunel vrati, sav promet se vraća u primarni IPsec tunel.

Omogućite IKE verziju 1
Kada kreirate IPsec tunel na vEdge ruteru, IKE verzija 1 je omogućena po defaultu na sučelju tunela. Sljedeća svojstva su također omogućena po defaultu za IKEv1:

• Autentifikacija i enkripcija—AES-256 napredna standardna enkripcija CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• Diffie-Hellman grupa broj—16
• Vremenski interval ponovnog ključa—4 sata
• Način uspostavljanja SA—Glavni

Podrazumevano, IKEv1 koristi IKE glavni način za uspostavljanje IKE SA-ova. U ovom modu, šest pregovaračkih paketa se razmjenjuje za uspostavljanje SA. Da biste razmijenili samo tri pregovaračka paketa, omogućite agresivni način rada:

Napomena
IKE agresivni način rada s unaprijed zajedničkim ključevima treba izbjegavati gdje god je to moguće. U suprotnom bi trebalo odabrati jak unaprijed dijeljeni ključ.

• vEdge(config)# vpn vpn-id interfejs ipsec broj ike
• vEdge(config-ike)# način agresivan

Podrazumevano, IKEv1 koristi Diffie-Hellman grupu 16 u IKE razmjeni ključeva. Ova grupa koristi 4096-bitnu modularnu eksponencijalnu (MODP) grupu tokom IKE razmjene ključeva. Možete promijeniti broj grupe u 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ili 15 (3072-bitni MODP):

• vEdge(config)# vpn vpn-id interfejs ipsec broj ike
• vEdge(config-ike)# broj grupe

Prema zadanim postavkama, IKE razmjena ključeva koristi AES-256 napredno standardno šifriranje CBC enkripciju s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem s ključem za integritet. Autentifikaciju možete promijeniti:

• vEdge(config)# vpn vpn-id interfejs ipsec broj ike
• vEdge(config-ike)# cipher-suite

Komplet za provjeru autentičnosti može biti jedan od sljedećih:

• aes128-cbc-sha1—AES-128 napredna standardna enkripcija CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• aes128-cbc-sha2—AES-128 napredna standardna enkripcija CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• aes256-cbc-sha1—AES-256 napredna standardna enkripcija standardna CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet; ovo je zadana postavka.
• aes256-cbc-sha2—AES-256 napredna standardna enkripcija CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet

Podrazumevano, IKE ključevi se osvježavaju svakih 1 sat (3600 sekundi). Interval ponovnog ključa možete promijeniti na vrijednost od 30 sekundi do 14 dana (1209600 sekundi). Preporučuje se da interval ponovnog ključa bude najmanje 1 sat.

• vEdge(config)# vpn vpn-id interfejs ipsec broj kao
• vEdge(config-ike)# rekey sekundi

Da biste prisilili generiranje novih ključeva za IKE sesiju, izdajte zahtjev ipsec ike-rekey naredbu.

• vEdge(config)# vpn vpn-id interfejsipsec broj ike

Za IKE, također možete konfigurirati autentifikaciju unaprijed dijeljenog ključa (PSK):

• vEdge(config)# vpn vpn-id interfejs ipsec broj ike
• vEdge(config-ike)# šifra za provjeru autentičnosti unaprijed dijeljeni ključ unaprijed dijeljena tajna lozinka je lozinka koja se koristi s unaprijed dijeljenim ključem. To može biti ASCII ili heksadecimalni niz dužine od 1 do 127 znakova.

Ako udaljeni IKE peer zahtijeva lokalni ili udaljeni ID, možete konfigurirati ovaj identifikator:

• vEdge(config)# vpn vpn-id sučelje ipsec broj ike tip autentikacije
• vEdge(config-authentication-type)# lokalni id
• vEdge(config-authentication-type)# id udaljenog ID-a

Identifikator može biti IP adresa ili bilo koji tekstualni niz dužine od 1 do 63 znaka. Podrazumevano, lokalni ID je izvorna IP adresa tunela, a udaljeni ID je odredišna IP adresa tunela.

Omogućite IKE verziju 2
Kada konfigurirate IPsec tunel da koristi IKE verziju 2, sljedeća svojstva su također omogućena po defaultu za IKEv2:

• Autentifikacija i enkripcija—AES-256 napredna standardna enkripcija CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• Diffie-Hellman grupa broj—16
• Vremenski interval ponovnog ključa—4 sata

Podrazumevano, IKEv2 koristi Diffie-Hellman grupu 16 u IKE razmjeni ključeva. Ova grupa koristi 4096-bitnu modularnu eksponencijalnu (MODP) grupu tokom IKE razmjene ključeva. Možete promijeniti broj grupe u 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ili 15 (3072-bitni MODP):

• vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
• vEdge(config-ike)# broj grupe

Prema zadanim postavkama, IKE razmjena ključeva koristi AES-256 napredno standardno šifriranje CBC enkripciju s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem s ključem za integritet. Autentifikaciju možete promijeniti:

• vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
• vEdge(config-ike)# cipher-suite

Komplet za provjeru autentičnosti može biti jedan od sljedećih:

• aes128-cbc-sha1—AES-128 napredna standardna enkripcija CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• aes128-cbc-sha2—AES-128 napredna standardna enkripcija CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet
• aes256-cbc-sha1—AES-256 napredna standardna enkripcija standardna CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet; ovo je zadana postavka.
• aes256-cbc-sha2—AES-256 napredna standardna enkripcija CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za heš za integritet

Podrazumevano, IKE ključevi se osvježavaju svaka 4 sata (14,400 sekundi). Interval ponovnog unosa ključa možete promijeniti na vrijednost od 30 sekundi do 14 dana (1209600 sekundi):

• vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
• vEdge(config-ike)# rekey sekundi

Da biste prisilili generiranje novih ključeva za IKE sesiju, izdajte zahtjev ipsec ike-rekey naredbu. Za IKE, također možete konfigurirati autentifikaciju unaprijed dijeljenog ključa (PSK):

• vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
• vEdge(config-ike)# šifra za provjeru autentičnosti unaprijed dijeljeni ključ unaprijed dijeljena tajna lozinka je lozinka koja se koristi s unaprijed dijeljenim ključem. To može biti ASCII ili heksadecimalni niz, ili može biti AES šifrirani ključ. Ako udaljeni IKE peer zahtijeva lokalni ili udaljeni ID, možete konfigurirati ovaj identifikator:
• vEdge(config)# vpn vpn-id sučelje ipsecnumber ike tip autentikacije
• vEdge(config-authentication-type)# lokalni id
• vEdge(config-authentication-type)# id udaljenog ID-a

Identifikator može biti IP adresa ili bilo koji tekstualni niz dužine od 1 do 64 znaka. Podrazumevano, lokalni ID je izvorna IP adresa tunela, a udaljeni ID je odredišna IP adresa tunela.

Konfigurirajte parametre IPsec tunela

Tabela 4: Istorija karakteristika

Feature Ime	Informacije o izdanju	Opis
Dodatna kriptografska	Cisco SD-WAN izdanje 20.1.1	Ova funkcija dodaje podršku za
Algoritamska podrška za IPSec		HMAC_SHA256, HMAC_SHA384 i
Tuneli		HMAC_SHA512 algoritmi za
		poboljšana sigurnost.

Prema zadanim postavkama, sljedeći parametri se koriste na IPsec tunelu koji prenosi IKE promet:

• Autentifikacija i enkripcija—AES-256 algoritam u GCM (Galois/counter mod)
• Interval ponovnog ključa—4 sata
• Prozor za ponavljanje—32 paketa

Možete promijeniti enkripciju na IPsec tunelu na AES-256 šifru u CBC-u (režim ulančavanja blokova šifre, sa HMAC-om koji koristi SHA-1 ili SHA-2 heš provjeru autentičnosti poruke ili na null sa HMAC koristeći SHA-1 ili SHA-2 provjera autentičnosti poruke s ključem, da se ne šifrira IPsec tunel koji se koristi za IKE promet razmjene ključeva:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

Podrazumevano, IKE ključevi se osvježavaju svaka 4 sata (14,400 sekundi). Interval ponovnog unosa ključa možete promijeniti na vrijednost od 30 sekundi do 14 dana (1209600 sekundi):

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey sekundi

Da biste prisilili generiranje novih ključeva za IPsec tunel, izdajte naredbu zahtjev ipsec ipsec-rekey. Prema zadanim postavkama, savršena tajnost prosljeđivanja (PFS) je omogućena na IPsec tunelima, kako bi se osiguralo da prošle sesije nisu pogođene ako budu kompromitovani ključevi. PFS forsira novu razmjenu ključeva Diffie-Hellman, po defaultu koristeći 4096-bitnu Diffie-Hellmanovu grupu primarnih modula. Možete promijeniti PFS postavku:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# perfect-forward-secretcy pfs-setting

pfs-setting može biti jedno od sljedećeg:

• group-2—Koristite 1024-bitnu Diffie-Hellmanovu grupu primarnih modula.
• group-14—Koristite 2048-bitnu Diffie-Hellmanovu grupu primarnih modula.
• group-15—Koristite 3072-bitnu Diffie-Hellmanovu grupu primarnih modula.
• group-16—Koristite 4096-bitnu Diffie-Hellmanovu grupu primarnih modula. Ovo je zadana postavka.
• ništa—onemogućite PFS.

Podrazumevano, prozor za ponavljanje IPsec-a na IPsec tunelu je 512 bajtova. Možete postaviti veličinu prozora za ponavljanje na 64, 128, 256, 512, 1024, 2048 ili 4096 paketa:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# broj prozora za ponavljanje

Modificirajte IKE Dead-Peer Detection

IKE koristi mehanizam za otkrivanje mrtvih ravnopravnih korisnika kako bi utvrdio da li je veza s IKE ravnopravnom osobom funkcionalna i dostupna. Da bi implementirao ovaj mehanizam, IKE šalje Hello paket svom ravnopravnom uređaju, a ravnopravni partner šalje potvrdu kao odgovor. Podrazumevano, IKE šalje Hello pakete svakih 10 sekundi, a nakon tri nepriznata paketa, IKE proglašava susjeda mrtvim i ruši tunel do ravnog partnera. Nakon toga, IKE periodično šalje Hello paket peer-u i ponovo uspostavlja tunel kada se peer vrati na mrežu. Možete promijeniti interval detekcije živosti na vrijednost od 0 do 65535, a možete promijeniti broj ponovnih pokušaja na vrijednost od 0 do 255.

Napomena

Za transportne VPN-ove, interval detekcije živosti se pretvara u sekunde koristeći sljedeću formulu: Interval za broj pokušaja ponovnog prijenosa N = interval * 1.8N-1Za npr.ampako je interval postavljen na 10 i ponovo pokuša na 5, interval detekcije se povećava na sljedeći način:

• 1. pokušaj: 10 * 1.81-1= 10 sekundi
• Pokušaj 2: 10 * 1.82-1= 18 sekundi
• Pokušaj 3: 10 * 1.83-1= 32.4 sekundi
• Pokušaj 4: 10 * 1.84-1= 58.32 sekundi
• Pokušaj 5: 10 * 1.85-1= 104.976 sekundi

vEdge(config-interface-ipsecnumber)# broj ponovnih pokušaja intervala detekcije mrtvih kolega

Konfigurišite druga svojstva interfejsa

Za IPsec tunelska sučelja, možete konfigurirati samo sljedeća dodatna svojstva sučelja:

• vEdge(config-interface-ipsec)# mtu bajtova
• vEdge(config-interface-ipsec)# tcp-mss-adjust bajtova

Onemogućite slabe algoritme SSH enkripcije na Cisco SD-WAN Manageru

Tabela 5: Tabela istorije karakteristika

Feature Ime	Informacije o izdanju	Feature Opis
Onemogućite slabe algoritme SSH enkripcije na Cisco SD-WAN Manageru	Cisco vManage izdanje 20.9.1	Ova funkcija vam omogućava da onemogućite slabije SSH algoritme na Cisco SD-WAN Manageru koji možda nisu u skladu sa određenim standardima sigurnosti podataka.

Informacije o onemogućavanju slabih algoritama SSH enkripcije na Cisco SD-WAN Manageru
Cisco SD-WAN Manager pruža SSH klijenta za komunikaciju sa komponentama u mreži, uključujući kontrolere i rubne uređaje. SSH klijent obezbeđuje šifrovanu vezu za siguran prenos podataka, zasnovanu na raznim algoritmima za šifrovanje. Mnoge organizacije zahtijevaju jaču enkripciju od one koju pružaju SHA-1, AES-128 i AES-192. Od Cisco vManage izdanja 20.9.1, možete onemogućiti sljedeće slabije algoritme šifriranja tako da SSH klijent ne koristi ove algoritme:

• SHA-1
• AES-128
• AES-192

Pre nego što onemogućite ove algoritme šifrovanja, uverite se da Cisco vEdge uređaji, ako ih ima, u mreži, koriste izdanje softvera kasnije od Cisco SD-WAN izdanja 18.4.6.

Prednosti onemogućavanja slabih algoritama SSH enkripcije na Cisco SD-WAN Manageru
Onemogućavanje slabijih algoritama SSH enkripcije poboljšava sigurnost SSH komunikacije i osigurava da su organizacije koje koriste Cisco Catalyst SD-WAN u skladu sa strogim sigurnosnim propisima.

Onemogućite slabe algoritme SSH enkripcije na Cisco SD-WAN menadžeru koristeći CLI

1. U meniju Cisco SD-WAN Manager izaberite Alatke > SSH terminal.
2. Odaberite uređaj Cisco SD-WAN Manager na kojem želite da onemogućite slabije SSH algoritme.
3. Unesite korisničko ime i lozinku za prijavu na uređaj.
4. Uđite u način rada SSH servera.
   • vmanage(config)# sistem
   • vmanage(config-system)# ssh-server
5. Učinite nešto od sljedećeg da onemogućite SSH algoritam šifriranja:
   • Onemogući SHA-1:
6. manage(config-ssh-server)# nema kex-algo sha1
7. manage(config-ssh-server)# urezivanje
   Prikazana je sljedeća poruka upozorenja: Generirana su sljedeća upozorenja: 'system ssh-server kex-algo sha1': UPOZORENJE: Uvjerite se da sve vaše rubove pokreću verziju koda > 18.4.6 koja bolje pregovara od SHA1 sa vManage-om. U suprotnom te ivice mogu postati van mreže. Nastaviti? [da, ne] da
   • Uverite se da svi Cisco vEdge uređaji u mreži koriste Cisco SD-WAN izdanje 18.4.6 ili noviju i unesite da.
   • Onemogućite AES-128 i AES-192:
   • vmanage(config-ssh-server)# bez šifre aes-128-192
   • vmanage(config-ssh-server)# urezivanje
     Prikazuje se sljedeća poruka upozorenja:
     Generisana su sljedeća upozorenja:
     'system ssh-server cipher aes-128-192': UPOZORENJE: Uvjerite se da sve vaše rubove pokreću verziju koda > 18.4.6 koja bolje pregovara od AES-128-192 sa vManage-om. U suprotnom te ivice mogu postati van mreže. Nastaviti? [da, ne] da
   • Uverite se da svi Cisco vEdge uređaji u mreži koriste Cisco SD-WAN izdanje 18.4.6 ili noviju i unesite da.

Provjerite jesu li slabi algoritmi SSH enkripcije onemogućeni na Cisco SD-WAN Manageru koristeći CLI

1. U meniju Cisco SD-WAN Manager izaberite Alatke > SSH terminal.
2. Izaberite uređaj Cisco SD-WAN Manager koji želite da potvrdite.
3. Unesite korisničko ime i lozinku za prijavu na uređaj.
4. Pokrenite sljedeću naredbu: show running-config system ssh-server
5. Potvrdite da izlaz prikazuje jednu ili više naredbi koje onemogućuju slabije algoritme šifriranja:
   • nema šifre aes-128-192
   • nema kex-algo sha1

Dokumenti / Resursi

CISCO SD-WAN Konfigurišite sigurnosne parametre [pdf] Korisnički priručnik SD-WAN Konfiguracija sigurnosnih parametara, SD-WAN, konfiguracija sigurnosnih parametara, sigurnosnih parametara

Reference

• Uputstvo za upotrebu