Continguts amagar
1 CISCO SD-WAN Configura els paràmetres de seguretat
2 Configura els paràmetres de seguretat
3 Configura els paràmetres de seguretat del pla de control
4 Configureu DTLS a Cisco SD-WAN Manager
5 Configura els paràmetres de seguretat del pla de dades
6 Configureu els tipus d'autenticació permesos
7 Canvieu el temporitzador de canvi de tecla
8 Canvieu la mida de la finestra Anti-Replay
9 Configura una ruta estàtica IPsec
10 Configura els paràmetres del túnel IPsec
11 Modifiqueu la detecció d'iguals morts d'IKE
12 Configura altres propietats de la interfície
13 Desactiveu els algorismes de xifratge SSH febles a Cisco SD-WAN Manager
14 Documents/Recursos
14.1 Referències

CISCO-LOGO

CISCO SD-WAN Configura els paràmetres de seguretat

CISCO-SD-WAN-Configura-Paràmetres-Seguretat-PRODUCT

Configura els paràmetres de seguretat

Nota

Per aconseguir simplificació i coherència, la solució Cisco SD-WAN s'ha reanomenat Cisco Catalyst SD-WAN. A més, des de Cisco IOS XE SD-WAN Release 17.12.1a i Cisco Catalyst SD-WAN Release 20.12.1, s'apliquen els canvis de components següents: Cisco vManage a Cisco Catalyst SD-WAN Manager, Cisco vAnalytics a Cisco Catalyst SD-WAN Analytics, Cisco vBond a Cisco Catalyst SD-WAN Validator i Cisco vSmart a Cisco Catalyst SD-WAN Controller. Consulteu les últimes notes de la versió per obtenir una llista completa de tots els canvis de marca dels components. Mentre fem la transició als nous noms, pot ser que hi hagi algunes inconsistències al conjunt de documentació a causa d'un enfocament gradual de les actualitzacions de la interfície d'usuari del producte de programari.

Aquesta secció descriu com canviar els paràmetres de seguretat per al pla de control i el pla de dades a la xarxa de superposició SD-WAN de Cisco Catalyst.

  • Configura els paràmetres de seguretat del pla de control, activat
  • Configura els paràmetres de seguretat del pla de dades, activat
  • Configura els túnels IPsec habilitats per IKE, activat
  • Desactiveu els algorismes de xifratge SSH febles a Cisco SD-WAN Manager, activat

Configura els paràmetres de seguretat del pla de control

Per defecte, el pla de control utilitza DTLS com a protocol que proporciona privadesa a tots els seus túnels. DTLS s'executa sobre UDP. Podeu canviar el protocol de seguretat del pla de control a TLS, que s'executa sobre TCP. La raó principal per utilitzar TLS és que, si considereu que el controlador Cisco SD-WAN és un servidor, els tallafocs protegeixen els servidors TCP millor que els servidors UDP. Configura el protocol del túnel del pla de control en un controlador Cisco SD-WAN: vSmart(config)# protocol de control de seguretat tls Amb aquest canvi, tots els túnels del pla de control entre el controlador Cisco SD-WAN i els encaminadors i entre el controlador Cisco SD-WAN i Cisco SD-WAN Manager utilitzen TLS. Els túnels del pla de control al validador SD-WAN de Cisco Catalyst sempre utilitzen DTLS, perquè aquestes connexions les ha de gestionar UDP. En un domini amb diversos controladors Cisco SD-WAN, quan configureu TLS en un dels controladors Cisco SD-WAN, tots els túnels del pla de control des d'aquest controlador a la resta de controladors utilitzen TLS. Dit d'una altra manera, TLS sempre té prioritat sobre DTLS. Tanmateix, des de la perspectiva dels altres controladors Cisco SD-WAN, si no hi heu configurat TLS, utilitzen TLS al túnel del pla de control només per a aquell controlador Cisco SD-WAN i utilitzen túnels DTLS per a tots els altres. Controladors Cisco SD-WAN i a tots els seus encaminadors connectats. Perquè tots els controladors SD-WAN de Cisco utilitzin TLS, configureu-lo en tots. De manera predeterminada, el controlador Cisco SD-WAN escolta al port 23456 les sol·licituds TLS. Per canviar-ho: vSmart(config)# security control tls-port number El port pot ser un número del 1025 al 65535. Per mostrar la informació de seguretat del pla de control, utilitzeu l'ordre show control connections del controlador Cisco SD-WAN. Per example: vSmart-2# mostra les connexions de control

CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-1

Configureu DTLS a Cisco SD-WAN Manager

Si configureu Cisco SD-WAN Manager per utilitzar TLS com a protocol de seguretat del pla de control, heu d'habilitar el reenviament de ports al vostre NAT. Si utilitzeu DTLS com a protocol de seguretat del pla de control, no cal que feu res. El nombre de ports reenviats depèn del nombre de processos vdaemon que s'executen al Cisco SD-WAN Manager. Per mostrar informació sobre aquests processos i sobre i el nombre de ports que s'estan reenviant, utilitzeu l'ordre show control summary mostra que s'estan executant quatre processos dimonis:CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-2

Per veure els ports d'escolta, utilitzeu l'ordre show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-3

Aquesta sortida mostra que el port TCP d'escolta és 23456. Si esteu executant Cisco SD-WAN Manager darrere d'un NAT, hauríeu d'obrir els ports següents al dispositiu NAT:

  • 23456 (base - port instància 0)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Tingueu en compte que el nombre d'instàncies és el mateix que el nombre de nuclis que heu assignat per a Cisco SD-WAN Manager, fins a un màxim de 8.

Configureu els paràmetres de seguretat mitjançant la plantilla de funcions de seguretat

Utilitzeu la plantilla de funció de seguretat per a tots els dispositius Cisco vEdge. Als encaminadors perifèrics i al validador de Cisco SD-WAN, utilitzeu aquesta plantilla per configurar IPsec per a la seguretat del pla de dades. A Cisco SD-WAN Manager i Cisco SD-WAN Controller, utilitzeu la plantilla de funció de seguretat per configurar DTLS o TLS per a la seguretat del pla de control.

Configura els paràmetres de seguretat

  1. Al menú Cisco SD-WAN Manager, trieu Configuració > Plantilles.
  2. Feu clic a Plantilles de funcions i, a continuació, feu clic a Afegeix una plantilla.
    Nota A Cisco vManage Release 20.7.1 i versions anteriors, Plantilles de característiques s'anomena Característica.
  3. A la llista Dispositius del panell esquerre, trieu un dispositiu. Les plantilles aplicables al dispositiu seleccionat apareixen al panell dret.
  4. Feu clic a Seguretat per obrir la plantilla.
  5. Al camp Nom de la plantilla, introduïu un nom per a la plantilla. El nom pot tenir fins a 128 caràcters i només pot contenir caràcters alfanumèrics.
  6. Al camp Descripció de la plantilla, introduïu una descripció de la plantilla. La descripció pot tenir fins a 2048 caràcters i només pot contenir caràcters alfanumèrics.

Quan obriu una plantilla de funció per primera vegada, per a cada paràmetre que tingui un valor predeterminat, l'abast s'estableix com a Predeterminat (indicat amb una marca de verificació) i es mostra la configuració o valor predeterminat. Per canviar el valor predeterminat o per introduir un valor, feu clic al menú desplegable d'abast a l'esquerra del camp del paràmetre i trieu una de les opcions següents:

Taula 1:

Paràmetre Àmbit Descripció de l'abast
Dispositiu específic (indicat per una icona d'amfitrió) Utilitzeu un valor específic del dispositiu per al paràmetre. Per als paràmetres específics del dispositiu, no podeu introduir un valor a la plantilla de funcions. Introduïu el valor quan connecteu un dispositiu Viptela a una plantilla de dispositiu.

Quan feu clic a Dispositiu específic, s'obre el quadre Introdueix la clau. Aquest quadre mostra una clau, que és una cadena única que identifica el paràmetre en un CSV file que creeu. Això file és un full de càlcul d'Excel que conté una columna per a cada clau. La fila de capçalera conté els noms de les claus (una clau per columna) i cada fila posterior correspon a un dispositiu i defineix els valors de les claus per a aquest dispositiu. Pengeu el CSV file quan connecteu un dispositiu Viptela a una plantilla de dispositiu. Per obtenir més informació, vegeu Crear un full de càlcul de variables de plantilla.

Per canviar la clau predeterminada, escriviu una cadena nova i moveu el cursor fora del quadre Introduïu la clau.

ExampEls fitxers de paràmetres específics del dispositiu són l'adreça IP del sistema, el nom d'amfitrió, la ubicació GPS i l'ID del lloc.
Paràmetre Àmbit Descripció de l'abast
Global (indicat per una icona de globus) Introduïu un valor per al paràmetre i apliqueu aquest valor a tots els dispositius.

ExampEls fitxers de paràmetres que podeu aplicar globalment a un grup de dispositius són el servidor DNS, el servidor syslog i les MTU d'interfície.

Configura la seguretat del pla de control

Nota
La secció Configura la seguretat del pla de control només s'aplica a Cisco SD-WAN Manager i Cisco SD-WAN Controller. Per configurar el protocol de connexió del pla de control en una instància de Cisco SD-WAN Manager o en un Cisco SD-WAN Controller, trieu l'àrea Configuració bàsica i configureu els paràmetres següents:

Taula 2:

Paràmetre Nom Descripció
Protocol Trieu el protocol que voleu utilitzar a les connexions del pla de control a un controlador Cisco SD-WAN:

• DTLS (DatagSeguretat de la capa de transport de RAM). Aquesta és la predeterminada.

•  TLS (Seguretat de la capa de transport)
Control del port TLS Si heu seleccionat TLS, configureu el número de port que voleu utilitzar:Interval: 1025 a 65535Per defecte: 23456

Feu clic a Desa

Configura la seguretat del pla de dades
Per configurar la seguretat del pla de dades en un validador Cisco SD-WAN o un encaminador Cisco vEdge, trieu les pestanyes Configuració bàsica i Tipus d'autenticació i configureu els paràmetres següents:

Taula 3:

Paràmetre Nom Descripció
Rekey Time Especifiqueu amb quina freqüència un encaminador Cisco vEdge canvia la clau AES utilitzada a la seva connexió DTLS segura al controlador Cisco SD-WAN. Si s'habilita el reinici graciós de l'OMP, el temps de reactivació ha de ser almenys el doble del valor del temporitzador de reinici graciós OMP.Interval: De 10 a 1209600 segons (14 dies)Per defecte: 86400 segons (24 hores)
Finestra de reproducció Especifiqueu la mida de la finestra de reproducció lliscant.

Valors: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paquetsPer defecte: 512 paquets
IPsec

claus per parells

 Això està desactivat per defecte. Feu clic On per encendre-lo.
Paràmetre Nom Descripció
Tipus d'autenticació Seleccioneu els tipus d'autenticació a Autenticació Llista, i feu clic a la fletxa que apunta cap a la dreta per moure els tipus d'autenticació a Llista seleccionada columna.

Tipus d'autenticació compatibles amb Cisco SD-WAN Release 20.6.1:

•  esp: activa el xifratge de la càrrega útil de seguretat encapsulada (ESP) i la comprovació d'integritat a la capçalera ESP.

•  ip-udp-esp: Habilita el xifratge ESP. A més de les comprovacions d'integritat a la capçalera ESP i la càrrega útil, les comprovacions també inclouen les capçaleres IP i UDP exteriors.

•  ip-udp-esp-no-id: ignora el camp ID de la capçalera IP perquè Cisco Catalyst SD-WAN pugui funcionar juntament amb dispositius que no són de Cisco.

•  cap: desactiva la comprovació d'integritat als paquets IPSec. No recomanem utilitzar aquesta opció.

 

Tipus d'autenticació compatibles amb Cisco SD-WAN Release 20.5.1 i anteriors:

•  ah-no-id: habiliteu una versió millorada d'AH-SHA1 HMAC i ESP HMAC-SHA1 que ignora el camp d'identificació de la capçalera IP exterior del paquet.

•  ah-sha1-hmac: habiliteu AH-SHA1 HMAC i ESP HMAC-SHA1.

•  cap: no seleccioneu cap autenticació.

•  sha1-hmac: activa ESP HMAC-SHA1.

 

Nota              Per a un dispositiu perifèric que s'executa amb Cisco SD-WAN Release 20.5.1 o anterior, és possible que hàgiu configurat tipus d'autenticació mitjançant un Seguretat plantilla. Quan actualitzeu el dispositiu a Cisco SD-WAN Release 20.6.1 o posterior, actualitzeu els tipus d'autenticació seleccionats a la Seguretat plantilla als tipus d'autenticació compatibles amb Cisco SD-WAN versió 20.6.1. Per actualitzar els tipus d'autenticació, feu el següent:

1.      Al menú Cisco SD-WAN Manager, trieu Configuració >

Plantilles.

2.      Feu clic Plantilles de funcions.

3.      Troba el Seguretat plantilla per actualitzar i feu clic a... i feu clic Edita.

4.      Feu clic Actualització. No modifiqueu cap configuració.

Cisco SD-WAN Manager actualitza el Seguretat plantilla per mostrar els tipus d'autenticació admesos.

Feu clic a Desa.

Configura els paràmetres de seguretat del pla de dades

Al pla de dades, IPsec està habilitat de manera predeterminada a tots els encaminadors i, per defecte, les connexions de túnel IPsec utilitzen una versió millorada del protocol de càrrega útil de seguretat encapsulada (ESP) per a l'autenticació en túnels IPsec. Als encaminadors, podeu canviar el tipus d'autenticació, el temporitzador de reintroducció de claus IPsec i la mida de la finestra anti-reproducció IPsec.

Configureu els tipus d'autenticació permesos

Tipus d'autenticació a Cisco SD-WAN versió 20.6.1 i posterior
Des de la versió 20.6.1 de Cisco SD-WAN, s'admeten els tipus d'integritat següents:

  • esp: aquesta opció habilita el xifratge de la càrrega útil de seguretat (ESP) i la comprovació d'integritat a la capçalera ESP.
  • ip-udp-esp: aquesta opció habilita el xifratge ESP. A més de les comprovacions d'integritat a la capçalera ESP i la càrrega útil, les comprovacions també inclouen les capçaleres IP i UDP exteriors.
  • ip-udp-esp-no-id: aquesta opció és similar a ip-udp-esp, però s'ignora el camp ID de la capçalera IP exterior. Configureu aquesta opció a la llista de tipus d'integritat perquè el programari Cisco Catalyst SD-WAN ignori el camp ID de la capçalera IP de manera que el Cisco Catalyst SD-WAN pugui funcionar juntament amb dispositius que no són de Cisco.
  • cap: aquesta opció desactiva la verificació d'integritat als paquets IPSec. No recomanem utilitzar aquesta opció.

De manera predeterminada, les connexions del túnel IPsec utilitzen una versió millorada del protocol de càrrega útil de seguretat encapsulada (ESP) per a l'autenticació. Per modificar els tipus d'interitat negociats o per desactivar la comprovació d'integritat, utilitzeu l'ordre següent: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Tipus d'autenticació abans de la versió 20.6.1 de Cisco SD-WAN
De manera predeterminada, les connexions del túnel IPsec utilitzen una versió millorada del protocol de càrrega útil de seguretat encapsulada (ESP) per a l'autenticació. Per modificar els tipus d'autenticació negociats o per desactivar l'autenticació, utilitzeu l'ordre següent: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Per defecte, IPsec Les connexions del túnel utilitzen AES-GCM-256, que proporciona xifratge i autenticació. Configureu cada tipus d'autenticació amb una comanda de tipus d'autenticació ipsec de seguretat independent. Les opcions d'ordre s'assignen als tipus d'autenticació següents, que s'enumeren per ordre de més fort a menys fort:

Nota
El sha1 a les opcions de configuració s'utilitza per raons històriques. Les opcions d'autenticació indiquen quanta part de la comprovació d'integritat del paquet es fa. No especifiquen l'algoritme que verifica la integritat. Excepte per al xifratge del trànsit multicast, els algorismes d'autenticació compatibles amb Cisco Catalyst SD WAN no utilitzen SHA1. Tanmateix, a Cisco SD-WAN Release 20.1.x i posteriors, tant l'unicast com la multicast no utilitzen SHA1.

  • ah-sha1-hmac permet el xifratge i l'encapsulació mitjançant ESP. Tanmateix, a més de les comprovacions d'integritat a la capçalera ESP i la càrrega útil, les comprovacions també inclouen les capçaleres IP i UDP exteriors. Per tant, aquesta opció admet una comprovació d'integritat del paquet semblant al protocol de l'encapçalament d'autenticació (AH). Tota la integritat i el xifratge es realitza mitjançant AES-256-GCM.
  • ah-no-id habilita un mode similar a ah-sha1-hmac, però, el camp ID de la capçalera IP exterior s'ignora. Aquesta opció s'adapta a alguns dispositius SD-WAN que no són de Cisco Catalyst, inclòs l'Apple AirPort Express NAT, que tenen un error que fa que es modifiqui el camp ID de la capçalera IP, un camp no mutable. Configureu l'opció ah-no-id a la llista de tipus d'autenticació perquè el programari Cisco Catalyst SD-WAN AH ignori el camp ID de la capçalera IP de manera que el programari Cisco Catalyst SD-WAN pugui funcionar juntament amb aquests dispositius.
  • sha1-hmac permet el xifratge ESP i la comprovació d'integritat.
  • cap mapa cap a cap autenticació. Aquesta opció només s'ha d'utilitzar si és necessària per a la depuració temporal. També podeu triar aquesta opció en situacions en què l'autenticació i la integritat del pla de dades no són una preocupació. Cisco no recomana utilitzar aquesta opció per a xarxes de producció.

Per obtenir informació sobre quins camps de paquets de dades es veuen afectats per aquests tipus d'autenticació, vegeu Integritat del pla de dades. Els dispositius Cisco IOS XE Catalyst SD-WAN i els dispositius Cisco vEdge anuncien els seus tipus d'autenticació configurats a les seves propietats TLOC. Els dos encaminadors a banda i banda d'una connexió de túnel IPsec negocien l'autenticació per utilitzar-los a la connexió entre ells, utilitzant el tipus d'autenticació més fort que està configurat als dos encaminadors. Per exampsi un encaminador anuncia els tipus ah-sha1-hmac i ah-no-id, i un segon encaminador anuncia el tipus ah-no-id, els dos encaminadors negocien utilitzar ah-no-id a la connexió del túnel IPsec entre ells. Si no es configura cap tipus d'autenticació habitual als dos iguals, no s'estableix cap túnel IPsec entre ells. L'algoritme de xifratge de les connexions del túnel IPsec depèn del tipus de trànsit:

  • Per al trànsit unicast, l'algoritme de xifratge és AES-256-GCM.
  • Per al trànsit multicast:
  • Cisco SD-WAN Release 20.1.x i posterior: l'algoritme de xifratge és AES-256-GCM
  • Versions anteriors: l'algoritme de xifratge és AES-256-CBC amb SHA1-HMAC.

Quan es canvia el tipus d'autenticació IPsec, es canvia la clau AES de la ruta de dades.

Canvieu el temporitzador de canvi de tecla

Abans que els dispositius Cisco IOS XE Catalyst SD-WAN i els dispositius Cisco vEdge puguin intercanviar trànsit de dades, configuren un canal de comunicacions autenticat segur entre ells. Els encaminadors utilitzen túnels IPSec entre ells com a canal i el xifratge AES-256 per realitzar el xifratge. Cada encaminador genera una nova clau AES per a la seva ruta de dades periòdicament. De manera predeterminada, una clau és vàlida durant 86400 segons (24 hores) i l'interval del temporitzador és de 10 segons a 1209600 segons (14 dies). Per canviar el valor del temporitzador de reclau: Device(config)# security ipsec rekey seconds La configuració té aquest aspecte:

  • seguretat ipsec rekey seconds!

Si voleu generar noves claus IPsec immediatament, podeu fer-ho sense modificar la configuració de l'encaminador. Per fer-ho, emet l'ordre request security ipsecrekey al router compromès. Per example, la sortida següent mostra que la SA local té un índex de paràmetres de seguretat (SPI) de 256:CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-4

A cada SPI s'associa una clau única. Si aquesta clau està compromesa, utilitzeu l'ordre request security ipsec-rekey per generar una nova clau immediatament. Aquesta ordre augmenta l'SPI. En el nostre example, l'SPI canvia a 257 i ara s'utilitza la clau associada:

  • El dispositiu # sol·licita seguretat ipsecrekey
  • Dispositiu # mostra ipsec local-sa

CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-5

Després de generar la nova clau, l'encaminador l'envia immediatament als controladors Cisco SD-WAN mitjançant DTLS o TLS. Els controladors Cisco SD-WAN envien la clau als encaminadors iguals. Els encaminadors comencen a utilitzar-lo tan bon punt el reben. Tingueu en compte que la clau associada a l'antiga SPI (256) es continuarà utilitzant durant un breu temps fins que s'acabi el temps. Per deixar d'utilitzar la clau antiga immediatament, emeteu l'ordre request security ipsec-rekey dues vegades, en ràpida successió. Aquesta seqüència d'ordres elimina tant SPI 256 com 257 i estableix l'SPI a 258. Aleshores, l'encaminador utilitza la clau associada de SPI 258. Tingueu en compte, però, que alguns paquets s'eliminaran durant un curt període de temps fins que tots els encaminadors remots aprenguin. la nova clau.CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-6

Canvieu la mida de la finestra Anti-Replay

L'autenticació IPsec proporciona protecció contra la reproducció assignant un número de seqüència únic a cada paquet d'un flux de dades. Aquesta numeració de seqüències protegeix contra un atacant que dupliqui paquets de dades. Amb la protecció contra la reproducció, el remitent assigna números de seqüència monòtonament creixents i la destinació comprova aquests números de seqüència per detectar duplicats. Com que els paquets sovint no arriben en ordre, la destinació manté una finestra lliscant de números de seqüència que acceptarà.CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-7

Els paquets amb números de seqüència que cauen a l'esquerra de l'interval de finestra lliscant es consideren antics o duplicats i la destinació els deixa caure. La destinació fa un seguiment del número de seqüència més alt que ha rebut i ajusta la finestra lliscant quan rep un paquet amb un valor més alt.CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-8

Per defecte, la finestra lliscant està configurada en 512 paquets. Es pot establir en qualsevol valor entre 64 i 4096 que sigui una potència de 2 (és a dir, 64, 128, 256, 512, 1024, 2048 o 4096). Per modificar la mida de la finestra anti-reproducció, utilitzeu l'ordre replay-window, especificant la mida de la finestra:

Número de la finestra de reproducció ipsec de seguretat del dispositiu (config) #

La configuració té aquest aspecte:
número de finestra de reproducció ipsec de seguretat! !

Per ajudar amb la QoS, es mantenen finestres de reproducció separades per a cadascun dels vuit primers canals de trànsit. La mida de la finestra de reproducció configurada es divideix per vuit per a cada canal. Si la QoS està configurada en un encaminador, aquest pot experimentar un nombre de caigudes de paquets més gran del que s'esperava com a resultat del mecanisme anti-replay IPsec, i molts dels paquets que s'abandonen són legítims. Això passa perquè la QoS reordena els paquets, donant un tractament preferent als paquets de prioritat més alta i retardant els paquets de prioritat més baixa. Per minimitzar o prevenir aquesta situació, podeu fer el següent:

  • Augmenta la mida de la finestra anti-replay.
  • Enginyeu el trànsit als vuit primers canals de trànsit per assegurar-vos que el trànsit dins d'un canal no es reordena.

Configura túnels IPsec habilitats per IKE
Per transferir de manera segura el trànsit de la xarxa de superposició a una xarxa de servei, podeu configurar túnels IPsec que executin el protocol IKE (Internet Key Exchange). Els túnels IPsec habilitats per IKE proporcionen autenticació i xifratge per garantir el transport de paquets segur. Podeu crear un túnel IPsec habilitat per IKE configurant una interfície IPsec. Les interfícies IPsec són interfícies lògiques i les configureu com qualsevol altra interfície física. Podeu configurar els paràmetres del protocol IKE a la interfície IPsec i podeu configurar altres propietats de la interfície.

Nota Cisco recomana utilitzar la versió 2 d'IKE. A partir de la versió 19.2.x de Cisco SD-WAN, la clau prèviament compartida ha de tenir almenys 16 bytes de longitud. L'establiment del túnel IPsec falla si la mida de la clau és inferior a 16 caràcters quan s'actualitza l'encaminador a la versió 19.2.

Nota
El programari Cisco Catalyst SD-WAN admet la versió 2 d'IKE tal com es defineix a la RFC 7296. Un ús per als túnels IPsec és permetre que les instàncies de VM de l'encaminador vEdge Cloud que s'executen a Amazon AWS es connectin al núvol privat virtual (VPC) d'Amazon. Heu de configurar la versió 1 d'IKE en aquests encaminadors. Els dispositius Cisco vEdge només admeten VPN basades en rutes en una configuració IPSec perquè aquests dispositius no poden definir selectors de trànsit al domini de xifratge.

Configurar un túnel IPsec
Per configurar una interfície de túnel IPsec per al trànsit de transport segur des d'una xarxa de serveis, creeu una interfície IPsec lògica:CISCO-SD-WAN-Configura-Paràmetres-Seguretat-FIG-9

Podeu crear el túnel IPsec a la VPN de transport (VPN 0) i a qualsevol VPN de servei (VPN 1 a 65530, excepte la 512). La interfície IPsec té un nom en el format número ipsec, on el número pot ser de l'1 al 255. Cada interfície IPsec ha de tenir una adreça IPv4. Aquesta adreça ha de ser un prefix /30. Tot el trànsit de la VPN que es troba dins d'aquest prefix IPv4 es dirigeix ​​a una interfície física de VPN 0 per enviar-lo de manera segura a través d'un túnel IPsec. Per configurar l'origen del túnel IPsec al dispositiu local, podeu especificar l'adreça IP de la interfície física (a l'ordre tunnel-source) o el nom de la interfície física (a l'ordre tunnel-source-interface). Assegureu-vos que la interfície física està configurada a VPN 0. Per configurar la destinació del túnel IPsec, especifiqueu l'adreça IP del dispositiu remot a l'ordre de destinació del túnel. La combinació d'una adreça d'origen (o nom d'interfície d'origen) i una adreça de destinació defineix un únic túnel IPsec. Només pot existir un túnel IPsec que utilitzi una adreça d'origen específica (o un nom d'interfície) i un parell d'adreces de destinació.

Configura una ruta estàtica IPsec

Per dirigir el trànsit de la VPN de servei a un túnel IPsec a la VPN de transport (VPN 0), configureu una ruta estàtica específica d'IPsec en una VPN de servei (una VPN diferent de la VPN 0 o la VPN 512):

  • vEdge (config) # vpn vpn-id
  • vEdge (config-vpn) # ip ipsec-route prefix/longitud vpn 0 interfície
  • número ips [ipsecnumber2]

L'identificador de VPN és el de qualsevol VPN de servei (VPN 1 a 65530, excepte la 512). prefix/longitud és l'adreça IP o el prefix, en notació decimal de quatre punts, i la longitud del prefix de la ruta estàtica específica d'IPsec. La interfície és la interfície del túnel IPsec a VPN 0. Podeu configurar una o dues interfícies de túnel IPsec. Si en configureu dos, el primer és el túnel IPsec principal i el segon és la còpia de seguretat. Amb dues interfícies, tots els paquets s'envien només al túnel principal. Si aquest túnel falla, tots els paquets s'envien al túnel secundari. Si el túnel principal torna a pujar, tot el trànsit es trasllada al túnel IPsec principal.

Habilita IKE versió 1
Quan creeu un túnel IPsec en un encaminador vEdge, la versió 1 d'IKE s'habilita de manera predeterminada a la interfície del túnel. Les propietats següents també estan habilitades per defecte per a IKEv1:

  • Autenticació i xifratge: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algorisme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat
  • Número del grup Diffie-Hellman: 16
  • Interval de temps de reintroducció: 4 hores
  • Mode d'establiment SA—Principal

Per defecte, IKEv1 utilitza el mode principal IKE per establir SA IKE. En aquest mode, s'intercanvien sis paquets de negociació per establir la SA. Per intercanviar només tres paquets de negociació, activeu el mode agressiu:

Nota
S'ha d'evitar sempre que sigui possible el mode agressiu IKE amb claus compartides prèviament. En cas contrari, s'hauria de triar una clau precompartida forta.

  • vEdge (config) # vpn vpn-id interfície número ipsec ike
  • vEdge(config-ike)# mode agressiu

Per defecte, IKEv1 utilitza el grup Diffie-Hellman 16 a l'intercanvi de claus IKE. Aquest grup utilitza el grup exponencial més modular (MODP) de 4096 bits durant l'intercanvi de claus IKE. Podeu canviar el número de grup a 2 (per a MODP de 1024 bits), 14 (MODP de 2048 bits) o 15 (MODP de 3072 bits):

  • vEdge (config) # vpn vpn-id interfície número ipsec ike
  • vEdge(config-ike)# número de grup

De manera predeterminada, l'intercanvi de claus IKE utilitza el xifratge CBC estàndard de xifratge avançat AES-256 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat. Podeu canviar l'autenticació:

  • vEdge (config) # vpn vpn-id interfície número ipsec ike
  • vEdge(config-ike)# suite de xifratge

La suite d'autenticació pot ser una de les següents:

  • aes128-cbc-sha1: xifratge CBC estàndard de xifratge avançat AES-128 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat
  • aes128-cbc-sha2: xifratge CBC estàndard de xifratge avançat AES-128 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA256 per a la integritat
  • aes256-cbc-sha1: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algorisme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat; aquesta és la predeterminada.
  • aes256-cbc-sha2: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA256 per a la integritat

De manera predeterminada, les claus IKE s'actualitzen cada 1 hora (3600 segons). Podeu canviar l'interval de canvi de clau a un valor de 30 segons a 14 dies (1209600 segons). Es recomana que l'interval de reactivació sigui d'almenys 1 hora.

  • vEdge (config) # vpn vpn-id interfície número ipsec com
  • vEdge(config-ike)# rekey seconds

Per forçar la generació de claus noves per a una sessió IKE, emet l'ordre de petició ipsec ike-rekey.

  • vEdge (config) # vpn vpn-id interfaceipsec número ike

Per a IKE, també podeu configurar l'autenticació de clau precompartida (PSK):

  • vEdge (config) # vpn vpn-id interfície número ipsec ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password is the password to use with the pre-shared key. Pot ser una cadena ASCII o hexadecimal d'1 a 127 caràcters.

Si el peer IKE remot requereix un identificador local o remot, podeu configurar aquest identificador:

  • vEdge (config) # vpn vpn-id interfície número ipsec ike tipus d'autenticació
  • vEdge(config-authentication-type)# identificador d'identificador local
  • vEdge(config-authentication-type)# identificador d'identificador remot

L'identificador pot ser una adreça IP o qualsevol cadena de text d'1 a 63 caràcters. Per defecte, l'ID local és l'adreça IP d'origen del túnel i l'ID remot és l'adreça IP de destinació del túnel.

Habilita IKE versió 2
Quan configureu un túnel IPsec per utilitzar la versió 2 d'IKE, les propietats següents també estan habilitades de manera predeterminada per a IKEv2:

  • Autenticació i xifratge: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algorisme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat
  • Número del grup Diffie-Hellman: 16
  • Interval de temps de reintroducció: 4 hores

Per defecte, IKEv2 utilitza el grup Diffie-Hellman 16 a l'intercanvi de claus IKE. Aquest grup utilitza el grup exponencial més modular (MODP) de 4096 bits durant l'intercanvi de claus IKE. Podeu canviar el número de grup a 2 (per a MODP de 1024 bits), 14 (MODP de 2048 bits) o 15 (MODP de 3072 bits):

  • vEdge (config) # vpn vpn-id interfície ipsecnumber ike
  • vEdge(config-ike)# número de grup

De manera predeterminada, l'intercanvi de claus IKE utilitza el xifratge CBC estàndard de xifratge avançat AES-256 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat. Podeu canviar l'autenticació:

  • vEdge (config) # vpn vpn-id interfície ipsecnumber ike
  • vEdge(config-ike)# suite de xifratge

La suite d'autenticació pot ser una de les següents:

  • aes128-cbc-sha1: xifratge CBC estàndard de xifratge avançat AES-128 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat
  • aes128-cbc-sha2: xifratge CBC estàndard de xifratge avançat AES-128 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA256 per a la integritat
  • aes256-cbc-sha1: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algorisme de codi d'autenticació de missatges hash amb clau HMAC-SHA1 per a la integritat; aquesta és la predeterminada.
  • aes256-cbc-sha2: xifratge CBC estàndard de xifratge avançat AES-256 amb l'algoritme de codi d'autenticació de missatges hash amb clau HMAC-SHA256 per a la integritat

De manera predeterminada, les claus IKE s'actualitzen cada 4 hores (14,400 segons). Podeu canviar l'interval de canvi de claus a un valor de 30 segons a 14 dies (1209600 segons):

  • vEdge (config) # vpn vpn-id interfície ipsecnumber ike
  • vEdge(config-ike)# rekey seconds

Per forçar la generació de claus noves per a una sessió IKE, emet l'ordre de petició ipsec ike-rekey. Per a IKE, també podeu configurar l'autenticació de clau precompartida (PSK):

  • vEdge (config) # vpn vpn-id interfície ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password is the password to use with the pre-shared key. Pot ser una cadena ASCII o hexadecimal, o pot ser una clau xifrada amb AES. Si el peer IKE remot requereix un identificador local o remot, podeu configurar aquest identificador:
  • vEdge (config) # vpn vpn-id interfície número ipsec ike tipus d'autenticació
  • vEdge(config-authentication-type)# identificador d'identificador local
  • vEdge(config-authentication-type)# identificador d'identificador remot

L'identificador pot ser una adreça IP o qualsevol cadena de text d'1 a 64 caràcters. Per defecte, l'ID local és l'adreça IP d'origen del túnel i l'ID remot és l'adreça IP de destinació del túnel.

Configura els paràmetres del túnel IPsec

Taula 4: Historial de funcions

Característica Nom Informació de publicació Descripció
Criptogràfic addicional Cisco SD-WAN versió 20.1.1 Aquesta característica afegeix suport per
Suport algorítmic per a IPSec   HMAC_SHA256, HMAC_SHA384 i
Túnels   HMAC_SHA512 algorismes per a
    seguretat millorada.

De manera predeterminada, els paràmetres següents s'utilitzen al túnel IPsec que transporta trànsit IKE:

  • Autenticació i xifratge: algorisme AES-256 en GCM (mode Galois/comptador)
  • Interval de reintroducció: 4 hores
  • Finestra de reproducció: 32 paquets

Podeu canviar el xifratge del túnel IPsec al xifratge AES-256 en CBC (mode d'encadenament de blocs de xifrat, amb HMAC utilitzant l'autenticació de missatges de hash amb clau SHA-1 o SHA-2 o a nul amb HMAC mitjançant SHA-1 o SHA-2). Autenticació de missatges hash amb clau SHA-XNUMX, per no xifrar el túnel IPsec utilitzat per al trànsit d'intercanvi de claus IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256-null | | aes256-null-sha256 | aes384-null-sha256)

De manera predeterminada, les claus IKE s'actualitzen cada 4 hores (14,400 segons). Podeu canviar l'interval de canvi de claus a un valor de 30 segons a 14 dies (1209600 segons):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# reclau segons

Per forçar la generació de claus noves per a un túnel IPsec, emet l'ordre de petició ipsec ipsec-rekey. De manera predeterminada, el secret directe perfecte (PFS) està habilitat als túnels IPsec, per garantir que les sessions anteriors no es vegin afectades si les claus futures es veuen compromeses. PFS força un nou intercanvi de claus Diffie-Hellman, per defecte utilitzant el grup de mòduls principal Diffie-Hellman de 4096 bits. Podeu canviar la configuració de PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec) # perfecte-forward-secrecy pfs-setting

pfs-setting pot ser un dels següents:

  • grup-2: utilitzeu el grup de mòduls primers Diffie-Hellman de 1024 bits.
  • grup-14: utilitzeu el grup de mòduls primers Diffie-Hellman de 2048 bits.
  • grup-15: utilitzeu el grup de mòduls primers Diffie-Hellman de 3072 bits.
  • grup-16: utilitzeu el grup de mòduls primers Diffie-Hellman de 4096 bits. Aquesta és la predeterminada.
  • cap: desactiva PFS.

Per defecte, la finestra de reproducció IPsec al túnel IPsec és de 512 bytes. Podeu establir la mida de la finestra de reproducció en 64, 128, 256, 512, 1024, 2048 o 4096 paquets:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# número de la finestra de reproducció

Modifiqueu la detecció d'iguals morts d'IKE

IKE utilitza un mecanisme de detecció d'iguals morts per determinar si la connexió amb un igual d'IKE és funcional i accessible. Per implementar aquest mecanisme, IKE envia un paquet Hello al seu igual, i aquest envia un reconeixement com a resposta. De manera predeterminada, IKE envia paquets Hello cada 10 segons, i després de tres paquets no reconeguts, IKE declara que el veí està mort i destrueix el túnel fins a l'igual. A partir de llavors, IKE envia periòdicament un paquet Hello al peer i restableix el túnel quan el peer torna a connectar-se. Podeu canviar l'interval de detecció de vivacitat a un valor de 0 a 65535 i podeu canviar el nombre de reintents a un valor de 0 a 255.

Nota

Per a les VPN de transport, l'interval de detecció de vivacitat es converteix en segons mitjançant la fórmula següent: Interval per a l'intent de retransmissió número N = interval * 1.8N-1, per exempleampsi l'interval s'estableix en 10 i es torna a intentar a 5, l'interval de detecció augmenta de la següent manera:

  • Intent 1: 10 * 1.81-1= 10 segons
  • Intent 2: 10 * 1.82-1= 18 segons
  • Intent 3: 10 * 1.83-1= 32.4 segons
  • Intent 4: 10 * 1.84-1= 58.32 segons
  • Intent 5: 10 * 1.85-1= 104.976 segons

vEdge (config-interface-ipsecnumber) # número de reintents d'interval de detecció d'iguals morts

Configura altres propietats de la interfície

Per a les interfícies de túnel IPsec, només podeu configurar les propietats de la interfície addicionals següents:

  • vEdge(config-interface-ipsec) # mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-ajust bytes

Desactiveu els algorismes de xifratge SSH febles a Cisco SD-WAN Manager

Taula 5: Taula d'historial de funcions

Característica Nom Informació de publicació Característica Descripció
Desactiveu els algorismes de xifratge SSH febles a Cisco SD-WAN Manager Cisco vManage versió 20.9.1 Aquesta funció us permet desactivar algorismes SSH més febles a Cisco SD-WAN Manager que poden no complir amb determinats estàndards de seguretat de dades.

Informació sobre la desactivació dels algorismes de xifratge SSH febles a Cisco SD-WAN Manager
Cisco SD-WAN Manager proporciona un client SSH per a la comunicació amb components de la xarxa, inclosos controladors i dispositius perifèrics. El client SSH proporciona una connexió xifrada per a la transferència de dades segura, basada en una varietat d'algoritmes de xifratge. Moltes organitzacions requereixen un xifratge més fort que el que ofereix SHA-1, AES-128 i AES-192. Des de la versió 20.9.1 de Cisco vManage, podeu desactivar els algorismes de xifratge més febles següents perquè un client SSH no utilitzi aquests algorismes:

  • SHA-1
  • AES-128
  • AES-192

Abans de desactivar aquests algorismes de xifratge, assegureu-vos que els dispositius Cisco vEdge, si n'hi ha, a la xarxa, utilitzen una versió de programari posterior a la versió 18.4.6 de Cisco SD-WAN.

Beneficis de desactivar algorismes de xifratge SSH febles a Cisco SD-WAN Manager
La desactivació d'algoritmes de xifratge SSH més febles millora la seguretat de la comunicació SSH i garanteix que les organitzacions que utilitzen Cisco Catalyst SD-WAN compleixin les estrictes normatives de seguretat.

Desactiveu els algorismes de xifratge SSH febles a Cisco SD-WAN Manager mitjançant la CLI

  1. Al menú Cisco SD-WAN Manager, trieu Eines > Terminal SSH.
  2. Trieu el dispositiu Cisco SD-WAN Manager en el qual voleu desactivar els algorismes SSH més febles.
  3. Introduïu el nom d'usuari i la contrasenya per iniciar sessió al dispositiu.
  4. Introduïu el mode de servidor SSH.
    • vmanage(config)# sistema
    • vmanage(config-system)# ssh-server
  5. Feu una de les accions següents per desactivar un algorisme de xifratge SSH:
    • Desactiva SHA-1:
  6. manage(config-ssh-server)# sense kex-algo sha1
  7. manage(config-ssh-server)# commit
    Es mostra el missatge d'advertència següent: S'han generat els advertiments següents: 'system ssh-server kex-algo sha1': ADVERTIMENT: Assegureu-vos que totes les vostres vores executin la versió de codi > 18.4.6 que negocia millor que SHA1 amb vManage. En cas contrari, aquestes vores poden quedar fora de línia. Procedir? [sí, no] sí
    • Assegureu-vos que tots els dispositius Cisco vEdge de la xarxa estiguin executant Cisco SD-WAN Release 18.4.6 o posterior i introduïu sí.
    • Desactivar AES-128 i AES-192:
    • vmanage(config-ssh-server)# sense xifratge aes-128-192
    • vmanage (config-ssh-server) # commit
      Es mostra el següent missatge d'advertència:
      S'han generat els següents avisos:
      'system ssh-server cipher aes-128-192': ADVERTIMENT: si us plau, assegureu-vos que totes les vores executin la versió de codi > 18.4.6 que negocia millor que AES-128-192 amb vManage. En cas contrari, aquestes vores poden quedar fora de línia. Procedir? [sí, no] sí
    • Assegureu-vos que tots els dispositius Cisco vEdge de la xarxa estiguin executant Cisco SD-WAN Release 18.4.6 o posterior i introduïu sí.

Comproveu que els algorismes de xifratge SSH febles estan desactivats al Gestor SD-WAN de Cisco mitjançant la CLI

  1. Al menú Cisco SD-WAN Manager, trieu Eines > Terminal SSH.
  2. Seleccioneu el dispositiu Cisco SD-WAN Manager que voleu verificar.
  3. Introduïu el nom d'usuari i la contrasenya per iniciar sessió al dispositiu.
  4. Executeu l'ordre següent: show running-config system ssh-server
  5. Confirmeu que la sortida mostri una o més de les ordres que desactiven els algorismes de xifratge més febles:
    • sense xifrat aes-128-192
    • no kex-algo sha1

Documents/Recursos

CISCO SD-WAN Configura els paràmetres de seguretat [pdfGuia de l'usuari
SD-WAN Configura els paràmetres de seguretat, SD-WAN, Configura els paràmetres de seguretat, Paràmetres de seguretat

Referències

Deixa un comentari

La teva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats *