Cuntenuti ammuccià
1 CISCO SD-WAN Configurate i Paràmetri di Sicurezza
2 Configurate i Paràmetri di Sicurezza
3 Configurate i parametri di sicurezza di u pianu di cuntrollu
4 Configurate DTLS in Cisco SD-WAN Manager
5 Configurate i Paràmetri di Sicurezza di u Pianu di Dati
6 Configurate i Tipi di Autentificazione Permessi
7 Cambia u Timer di Rekeying
8 Cambia a dimensione di a finestra Anti-Replay
9 Configurate una Route statica IPsec
10 Configurate i Paràmetri di u Tunnel IPsec
11 Mudificà IKE Dead-Peer Detection
12 Configurate altre proprietà di l'interfaccia
13 Disattivate l'algoritmi di crittografia SSH debule in Cisco SD-WAN Manager
14 Documenti / Risorse
14.1 Referenze

CISCO-LOGO

CISCO SD-WAN Configurate i Paràmetri di Sicurezza

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Configurate i Paràmetri di Sicurezza

Nota

Per ottene a simplificazione è a coerenza, a suluzione Cisco SD-WAN hè stata rebranded cum'è Cisco Catalyst SD-WAN. Inoltre, da Cisco IOS XE SD-WAN Release 17.12.1a è Cisco Catalyst SD-WAN Release 20.12.1, i seguenti cambiamenti di cumpunenti sò applicabili: Cisco vManage à Cisco Catalyst SD-WAN Manager, Cisco vAnalytics à Cisco Catalyst SD-WAN Analytics, Cisco vBond à Cisco Catalyst SD-WAN Validator, è Cisco vSmart à Cisco Catalyst SD-WAN Controller. Vede l'ultime Note di Liberazione per una lista cumpleta di tutti i cambiamenti di marca di cumpunenti. Mentre facemu a transizione à i novi nomi, alcune inconsistenzi puderanu esse presenti in a documentazione stabilita per via di un approcciu graduale à l'aghjurnamenti di l'interfaccia d'utilizatore di u pruduttu software.

Questa sezione descrive cumu cambià i paràmetri di sicurità per u pianu di cuntrollu è u pianu di dati in a reta di sovrapposizione Cisco Catalyst SD-WAN.

  • Configure Control Plane Security Parameters, on
  • Configurate i Paràmetri di Sicurezza di u Pianu di Dati, on
  • Configurate i Tunnel IPsec IKE-Enabled, on
  • Disattivate l'algoritmi di crittografia SSH debule nantu à Cisco SD-WAN Manager, attivatu

Configurate i parametri di sicurezza di u pianu di cuntrollu

Per automaticamente, u pianu di cuntrollu usa DTLS cum'è u protokollu chì furnisce a privacy in tutti i so tunnel. DTLS corre sopra UDP. Pudete cambià u protocolu di sicurezza di u pianu di cuntrollu in TLS, chì corre nantu à TCP. U mutivu primariu per utilizà TLS hè chì, se cunsiderà u Cisco SD-WAN Controller per esse un servitore, i firewalls prutegge i servitori TCP megliu cà i servitori UDP. Cunfigurate u protokollu di u tunnel di u pianu di cuntrollu nantu à un Controller Cisco SD-WAN: vSmart (config) # protokollu di cuntrollu di sicurezza tls Cù stu cambiamentu, tutti i tunnel di u pianu di cuntrollu trà u Controller Cisco SD-WAN è i router è trà u Controller Cisco SD-WAN è Cisco SD-WAN Manager utilizanu TLS. I tunnel di l'aereo di cuntrollu à Cisco Catalyst SD-WAN Validator utilizanu sempre DTLS, perchè queste cunnessione deve esse trattatu da UDP. In un duminiu cù più Cisco SD-WAN Controllers, quandu cunfigurate TLS in unu di i Cisco SD-WAN Controllers, tutti i tunnelli di u pianu di cuntrollu da quellu controller à l'altri controller utilizanu TLS. Dittu un altru modu, TLS hà sempre a precedenza annantu à DTLS. Tuttavia, da a perspettiva di l'altri Controller Cisco SD-WAN, se ùn avete micca cunfiguratu TLS nantu à elli, usanu TLS in u tunnel di u pianu di cuntrollu solu à quellu Controller Cisco SD-WAN, è usanu tunnel DTLS à tutti l'altri. Cisco SD-WAN Controllers è à tutti i so routers cunnessi. Per avè tutti i Controller Cisco SD-WAN utilizanu TLS, cunfigurà nantu à tutti. Per automaticamente, u Cisco SD-WAN Controller ascolta u portu 23456 per e dumande TLS. Per cambià questu: vSmart (config) # cuntrollu di sicurezza tls-port number U portu pò esse un numeru da 1025 à 65535. Per vede l'infurmazioni di sicurezza di u pianu di cuntrollu, utilizate u cumandamentu di cunnessioni di cuntrollu di mostra nantu à u Cisco SD-WAN Controller. Per esample: vSmart-2# mostra i cunnessione di cuntrollu

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Configurate DTLS in Cisco SD-WAN Manager

Se cunfigurate u Cisco SD-WAN Manager per utilizà TLS cum'è u protokollu di sicurezza di u pianu di cuntrollu, duvete attivà u portu forwarding in u vostru NAT. Sè vo aduprate DTLS cum'è u protocolu di sicurezza di u pianu di cuntrollu, ùn avete micca bisognu di fà nunda. U numaru di porti trasmessi dipende da u numeru di prucessi vdaemon in esecuzione in u Cisco SD-WAN Manager. Per vede l'infurmazioni nantu à sti prucessi è circa è u numeru di porti chì sò stati trasmessi, aduprate l'ordine di riassuntu di cuntrollu di mostra mostra chì quattru prucessi di demoni sò in esecuzione:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Per vede i porti d'ascolta, aduprate u cumandimu show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Questa pruduzzione mostra chì u portu TCP d'ascolta hè 23456. Se site Cisco SD-WAN Manager daretu à un NAT, duvete apre i seguenti porti in u dispositivu NAT:

  • 23456 (base - istanza 0 portu)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Nota chì u numeru di istanze hè u listessu cum'è u numeru di core chì avete assignatu per u Cisco SD-WAN Manager, finu à un massimu di 8.

Configurate i Paràmetri di Sicurezza Utilizendu u Template di Funzioni di Sicurezza

Aduprate u mudellu di funzione di Sicurezza per tutti i dispositi Cisco vEdge. Nantu à i router di punta è in u Validatore Cisco SD-WAN, utilizate stu mudellu per cunfigurà IPsec per a sicurità di u pianu di dati. In Cisco SD-WAN Manager è Cisco SD-WAN Controller, aduprate u mudellu di funzione di Sicurezza per cunfigurà DTLS o TLS per a sicurità di u pianu di cuntrollu.

Configurate i Paràmetri di Sicurezza

  1. Da u menu Cisco SD-WAN Manager, sceglite Configurazione> Modelli.
  2. Cliccate Feature Templates è dopu cliccate Add Template.
    Nota In Cisco vManage Release 20.7.1 è versioni precedenti, i Modelli di Funzioni sò chjamati Feature.
  3. Da a lista di i dispusitivi in ​​u pane di manca, sceglite un dispositivu. I mudelli applicabili à u dispusitivu sceltu appariscenu in u pane drittu.
  4. Cliccate Sicurezza per apre u mudellu.
  5. In u campu di u Template Name, entre un nome per u mudellu. U nome pò esse finu à 128 caratteri è pò cuntene solu caratteri alfanumerichi.
  6. In u campu di Descrizzione di u Template, inserite una descrizzione di u mudellu. A descrizzione pò esse finu à 2048 caratteri è pò cuntene solu caratteri alfanumerichi.

Quandu avete prima apertu un mudellu di funziunalità, per ogni paràmetru chì hà un valore predeterminatu, u scopu hè stabilitu à Default (indicatu da una marca di spunta), è a paràmetra predeterminata o u valore hè mostratu. Per cambià u valore predeterminatu o per inserisce un valore, cliccate nantu à u menù drop-down scope à a manca di u campu di paràmetru è sceglite unu di i seguenti:

Tabella 1:

Parametru Scopu Descrizzione di u scopu
Dispositivu specificu (indicatu da una icona di l'ospite) Aduprate un valore specificu di u dispusitivu per u paràmetru. Per i paràmetri specifichi di u dispositivu, ùn pudete micca inserisce un valore in u mudellu di funziunalità. You entre u valore quandu vi attache un dispusitivu Viptela à un mudellu dispusitivu.

Quandu clicate Device Specific, a casella Enter Key si apre. Questa casella mostra una chjave, chì hè una stringa unica chì identifica u paràmetru in un CSV file chì tù crea. Questu file hè un fogliu di calculu Excel chì cuntene una colonna per ogni chjave. A fila di l'intestazione cuntene i nomi di chjave (una chjave per colonna), è ogni fila dopu currisponde à un dispositivu è definisce i valori di e chjave per quellu dispusitivu. Caricate u CSV file quandu vi aghjunghje un dispusitivu Viptela à un mudellu dispusitivu. Per più infurmazione, vede Crea una foglia di calculu di Variabili Template.

Per cambià a chjave predeterminata, scrivite una nova stringa è move u cursore fora di a casella Enter Key.

Exampi paràmetri specifichi di u dispusitivu sò l'indirizzu IP di u sistema, u nome d'ospitu, u locu GPS è l'ID di u situ.
Parametru Scopu Descrizzione di u scopu
Globale (indicatu da una icona di u globu) Inserite un valore per u paràmetru, è applicà quellu valore à tutti i dispositi.

Exampi paràmetri chì pudete applicà in u mondu à un gruppu di dispusitivi sò u servitore DNS, u servitore syslog è l'interfaccia MTU.

Configurate a sicurezza di u pianu di cuntrollu

Nota
A sezione di Configurazione di a Sicurezza di u Pianu di Controlu si applica solu à u Cisco SD-WAN Manager è u Cisco SD-WAN Controller. è cunfigurà i seguenti parametri:

Tabella 2:

Parametru Nome Descrizzione
Protocolu Sceglite u protokollu da aduprà nantu à e cunnessione di u pianu di cuntrollu à un Controller Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Questu hè u predefinitu.

• TLS (Transport Layer Security)
Cuntrolla u portu TLS Sè avete sceltu TLS, cunfigurà u numeru di portu per utilizà:Gamma: 1025 à 65535Default: 23456

Cliccate Salvà

Configurate a sicurezza di u pianu di dati
Per cunfigurà a sicurità di u pianu di dati in un Validatore Cisco SD-WAN o un router Cisco vEdge, sceglite e schede di Configurazione di Base è Tipu di Autentificazione, è cunfigurà i seguenti parametri:

Tabella 3:

Parametru Nome Descrizzione
Rekey Time Specificate quante volte un router Cisco vEdge cambia a chjave AES utilizata in a so cunnessione DTLS sicura à u Cisco SD-WAN Controller. Se l'OMP graceful restart hè attivatu, u tempu di rekeying deve esse almenu duie volte u valore di l'OMP graceful restart timer.Gamma: 10 à 1209600 seconde (14 ghjorni)Default: 86400 seconde (24 ore)
Finestra di riproduzione Specificate a dimensione di a finestra di riproduzione scorrevule.

Valori: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pacchettiDefault: 512 pacchetti
IPsec

coppiu-keying

 Questu hè disattivatu per automaticamente. Cliccate On per accende.
Parametru Nome Descrizzione
Tipu d'autentificazione Selezziunà i tipi di autentificazione da u Autentificazione Lista, è cliccate a freccia chì punta à diritta per spustà i tipi di autentificazione à u Lista selezziunata culonna.

Tipi di autenticazione supportati da Cisco SD-WAN Release 20.6.1:

•  esp: Permette a criptografia di l'Encapsulating Security Payload (ESP) è a verificazione di l'integrità nantu à l'intestazione ESP.

•  ip-udp-esp: Permette a criptografia ESP. In più di i cuntrolli di integrità nantu à l'intestazione ESP è u payload, i cuntrolli includenu ancu l'intestazione IP esterna è UDP.

•  ip-udp-esp-no-id: Ignore u campu ID in l'intestazione IP per chì Cisco Catalyst SD-WAN pò travaglià in cunghjunzione cù i dispositi non Cisco.

•  nimu: Disattiva a verificazione di l'integrità nantu à i pacchetti IPSec. Ùn ricumandemu micca aduprà sta opzione.

 

Tipi di autenticazione supportati in Cisco SD-WAN Release 20.5.1 è precedenti:

•  ah-no-id: Habilita una versione rinfurzata di AH-SHA1 HMAC è ESP HMAC-SHA1 chì ignora u campu ID in l'intestazione IP esterna di u pacchettu.

•  ah-sha1-hmac: Attivà AH-SHA1 HMAC è ESP HMAC-SHA1.

•  nimu: Selezziunate micca autentificazione.

•  sha1-hmac: Habilita ESP HMAC-SHA1.

 

Nota              Per un dispositivu di punta in esecuzione in Cisco SD-WAN Release 20.5.1 o precedente, pudete avè cunfiguratu tipi di autentificazione utilizendu un Sicurezza mudellu. Quandu aghjurnà u dispusitivu à Cisco SD-WAN Release 20.6.1 o più tardi, aghjurnà i tipi di autentificazione selezziunati in u Sicurezza mudellu à i tipi di autentificazione supportati da Cisco SD-WAN Release 20.6.1. Per aghjurnà i tipi di autentificazione, fate u seguente:

1.      Da u menù Cisco SD-WAN Manager, sceglite Cunfigurazione >

Templates.

2.      Cliccate Modelli di funziunalità.

3.      Truvate u Sicurezza mudellu per aghjurnà è cliccate ... è cliccate Edit.

4.      Cliccate Actualizazione. Ùn mudificà micca alcuna cunfigurazione.

Cisco SD-WAN Manager aghjurnà u Sicurezza mudellu per vede i tipi di autentificazione supportati.

Cliccate Salvà.

Configurate i Paràmetri di Sicurezza di u Pianu di Dati

In u pianu di dati, IPsec hè attivatu per difettu in tutti i routers, è per automaticamente e cunnessione di u tunnel IPsec utilizanu una versione rinfurzata di u protokollu Encapsulating Security Payload (ESP) per l'autentificazione in i tunnel IPsec. Nantu à i routers, pudete cambià u tipu d'autentificazione, u timer di rekeying IPsec, è a dimensione di a finestra IPsec anti-replay.

Configurate i Tipi di Autentificazione Permessi

Tipi di autenticazione in Cisco SD-WAN Release 20.6.1 è più tardi
Da Cisco SD-WAN Release 20.6.1, i seguenti tipi di integrità sò supportati:

  • esp: Questa opzione permette a criptografia di l'Encapsulating Security Payload (ESP) è a verificazione di l'integrità nantu à l'intestazione ESP.
  • ip-udp-esp: Questa opzione permette a criptografia ESP. In più di i cuntrolli di integrità nantu à l'intestazione ESP è u payload, i cuntrolli includenu ancu l'intestazione IP esterna è UDP.
  • ip-udp-esp-no-id: Questa opzione hè simile à ip-udp-esp, però, u campu ID di l'intestazione IP esterna hè ignoratu. Configurate sta opzione in a lista di tipi di integrità per avè u software Cisco Catalyst SD-WAN ignora u campu di ID in l'intestazione IP per chì u Cisco Catalyst SD-WAN pò travaglià in cunghjunzione cù i dispositi non Cisco.
  • nimu: Questa opzione disattiva a verificazione di l'integrità nantu à i pacchetti IPSec. Ùn ricumandemu micca aduprà sta opzione.

Per automaticamente, e cunnessione di u tunnel IPsec utilizanu una versione rinfurzata di u protokollu Encapsulating Security Payload (ESP) per l'autentificazione. Per mudificà i tipi di interità negoziati o per disattivà u cuntrollu di integrità, utilizate u cumandimu seguente: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Tipi di autentificazione prima di Cisco SD-WAN Release 20.6.1
Per automaticamente, e cunnessione di u tunnel IPsec utilizanu una versione rinfurzata di u protokollu Encapsulating Security Payload (ESP) per l'autentificazione. Per mudificà i tipi di autentificazione negoziati o per disattivà l'autentificazione, utilizate u cumandimu seguente: Dispositivu (config) # security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Per automaticamente, IPsec e cunnessione di u tunnel utilizanu AES-GCM-256, chì furnisce sia criptografia è autentificazione. Configurate ogni tipu d'autentificazione cù un cumandamentu di tipu d'autentificazione ipsec di sicurezza separata. L'opzioni di cumandamenti mappanu à i seguenti tipi di autentificazione, chì sò listati in ordine da u più forte à u menu forte:

Nota
U sha1 in l'opzioni di cunfigurazione hè utilizatu per ragioni storichi. L'opzioni di autentificazione indicanu quantu di u cuntrollu di l'integrità di u pacchettu hè fattu. Ùn specificanu micca l'algoritmu chì verifica l'integrità. Eccettu per a criptografia di u trafficu multicast, l'algoritmi di autentificazione supportati da Cisco Catalyst SD WAN ùn utilizanu SHA1. Tuttavia, in Cisco SD-WAN Release 20.1.x è in seguitu, sia unicast sia multicast ùn utilizanu SHA1.

  • ah-sha1-hmac permette a criptografia è l'incapsulazione cù ESP. In ogni casu, in più di i cuntrolli di integrità nantu à l'intestazione ESP è a carica utile, i cuntrolli includenu ancu l'intestazione IP esterna è UDP. Dunque, sta opzione supporta un cuntrollu di integrità di u pacchettu simile à u protocolu di l'intestazione di l'autenticazione (AH). Tutta l'integrità è a criptografia sò realizate cù AES-256-GCM.
  • ah-no-id permette un modu chì hè simile à ah-sha1-hmac, in ogni modu, u campu ID di l'intestazione IP esterna hè ignoratu. Questa opzione accumpagna certi dispositi SD-WAN chì ùn sò micca Cisco Catalyst, cumpresu l'Apple AirPort Express NAT, chì anu un bug chì provoca u campu ID in l'intestazione IP, un campu non-mutable, per esse mudificatu. Configurate l'opzione ah-no-id in a lista di i tipi di autentificazione per avè u software Cisco Catalyst SD-WAN AH ignora u campu d'ID in l'intestazione IP per chì u software Cisco Catalyst SD-WAN pò travaglià in cunghjunzione cù questi dispositi.
  • sha1-hmac permette a crittografia ESP è a verificazione di integrità.
  • nimu mappe à nisuna autentificazione. Questa opzione deve esse aduprata solu s'ellu hè necessariu per a debugging temporale. Pudete ancu sceglie sta opzione in situazioni induve l'autentificazione di u pianu di dati è l'integrità ùn sò micca una preoccupazione. Cisco ùn hè micca cunsigliatu di utilizà sta opzione per e rete di produzzione.

Per infurmazione nantu à quali campi di pacchetti di dati sò affettati da questi tipi di autentificazione, vede Integrità di u pianu di dati. I dispositi Cisco IOS XE Catalyst SD-WAN è i dispositi Cisco vEdge publicità i so tipi di autentificazione cunfigurati in e so proprietà TLOC. I dui routers in ogni latu di una cunnessione di u tunnel IPsec negozianu l'autentificazione per aduprà nantu à a cunnessione trà elli, utilizendu u tipu d'autentificazione più forte chì hè cunfiguratu nantu à i dui routers. Per esample, se un router annuncia i tipi ah-sha1-hmac è ah-no-id, è un second router publicità u tipu ah-no-id, i dui routers negoziate per utilizà ah-no-id nantu à a cunnessione di u tunnel IPsec trà elli. Se ùn ci sò micca cunfigurati tipi di autentificazione cumuni nantu à i dui pari, ùn hè micca stabilitu un tunnel IPsec trà elli. L'algoritmu di criptografia nantu à e cunnessione di u tunnel IPsec dipende da u tipu di trafficu:

  • Per u trafficu unicast, l'algoritmu di criptografia hè AES-256-GCM.
  • Per u trafficu multicast:
  • Cisco SD-WAN Release 20.1.x è più tardi - l'algoritmu di crittografia hè AES-256-GCM
  • Versioni precedenti - l'algoritmu di crittografia hè AES-256-CBC cù SHA1-HMAC.

Quandu u tipu d'autentificazione IPsec hè cambiatu, a chjave AES per a strada di dati hè cambiata.

Cambia u Timer di Rekeying

Prima chì i dispositi Cisco IOS XE Catalyst SD-WAN è i dispositi Cisco vEdge ponu scambià u trafficu di dati, stabiliscenu un canale di cumunicazione autentificatu sicuru trà elli. I routers utilizanu tunnel IPSec trà elli cum'è u canali, è u cifru AES-256 per realizà a criptografia. Ogni router genera una nova chjave AES per a so strada di dati periodicamente. Per automaticamente, una chjave hè valida per 86400 seconde (24 ore), è u intervallu di u timer hè di 10 seconde à 1209600 seconde (14 ghjorni). Per cambià u valore di u timer di rekey: Dispositivu (config) # security ipsec rekey seconds A cunfigurazione hè cusì:

  • security ipsec rekey seconds !

Se vulete generà novi chjavi IPsec immediatamente, pudete fà senza mudificà a cunfigurazione di u router. Per fà questu, emette u cumandimu ipsecrekey di sicurezza di dumanda nantu à u router cumprumissu. Per esample, l'output seguente mostra chì a SA locale hà un Indice di Parametri di Sicurezza (SPI) di 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Una chjave unica hè assuciata à ogni SPI. Se sta chjave hè cumprumessa, aduprate l'ordine di sicurezza ipsec-rekey per generà immediatamente una nova chjave. Stu cumandamentu aumenta l'SPI. In u nostru example, l'SPI cambia à 257 è a chjave assuciata cù questu hè avà usata:

  • Dispositivu # dumanda a sicurità ipsecrekey
  • Dispositivu # mostra ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Dopu chì a nova chjave hè generata, u router l'invia immediatamente à i Controllers Cisco SD-WAN cù DTLS o TLS. I Controllers Cisco SD-WAN mandanu a chjave à i router peer. I routers cumincianu à usà appena u ricevenu. Nota chì a chjave assuciata cù u vechju SPI (256) hà da cuntinuà à esse usata per un pocu tempu finu à u tempu. Per cessà di utilizà a vechja chjave immediatamente, emette a dumanda di sicurezza ipsec-rekey command duie volte, in successione rapida. Questa sequenza di cumandamenti sguassate SPI 256 è 257 è stabilisce l'SPI à 258. U router poi usa a chjave assuciata di SPI 258. Nota, però, chì certi pacchetti seranu abbandunati per un pocu tempu finu à chì tutti i routers remoti amparanu. a nova chjave.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Cambia a dimensione di a finestra Anti-Replay

L'autentificazione IPsec furnisce una prutezzione anti-replay assignendu un numeru di sequenza unicu à ogni pacchettu in un flussu di dati. Questa numerazione di sequenza pruteghja contr'à un attaccante chì duplica i pacchetti di dati. Cù prutezzione anti-replay, u mittente assigna numeri di sequenza monotonicamente crescente, è a destinazione verifica questi numeri di sequenza per detectà i duplicati. Perchè i pacchetti spessu ùn ghjunghjenu micca in ordine, a destinazione mantene una finestra scorrevule di numeri di sequenza chì accettarà.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

I pacchetti cù numeri di sequenza chì cascanu à a manca di a gamma di finestra scorrevule sò cunsiderati vechji o duplicati, è a destinazione li abbanduneghja. A destinazione traccia u numeru di sequenza più altu chì hà ricevutu, è aghjusta a finestra scorrevule quandu riceve un pacchettu cù un valore più altu.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Per automaticamente, a finestra scorrevule hè stabilita à 512 pacchetti. Pò esse stabilitu à qualsiasi valore trà 64 è 4096 chì hè una putenza di 2 (vale à dì, 64, 128, 256, 512, 1024, 2048, o 4096). Per mudificà a dimensione di a finestra anti-replay, utilizate l'ordine di replay-window, specificendu a dimensione di a finestra:

Dispositivu (config) # security ipsec replay-window number

A cunfigurazione pare cusì:
numeru di finestra di replay ipsec di sicurità! !

Per aiutà cù QoS, i finestri di replay separati sò mantinuti per ognunu di i primi ottu canali di trafficu. A dimensione di a finestra di riproduzione cunfigurata hè divisa da ottu per ogni canale. Se QoS hè cunfiguratu nantu à un router, quellu router puderia sperimentà un numeru più grande di l'aspittatu di pacchetti per via di u mecanismu anti-replay IPsec, è parechji di i pacchetti chì sò abbandunati sò legittimi. Questu accade perchè QoS riordina i pacchetti, dendu un trattamentu preferenziale à i pacchetti di priorità più alta è ritardà i pacchetti di priorità più bassa. Per minimizzà o prevene sta situazione, pudete fà e seguenti:

  • Aumentà a dimensione di a finestra anti-replay.
  • Ingegneria u trafficu nantu à i primi ottu canali di trafficu per assicurà chì u trafficu in un canale ùn hè micca riordinatu.

Configurate i Tunnel IPsec IKE-Enabled
Per trasferisce in modu sicuru u trafficu da a reta di overlay à una rete di serviziu, pudete cunfigurà tunnelli IPsec chì eseguite u protocolu Internet Key Exchange (IKE). I tunnel IPsec attivati ​​da IKE furniscenu l'autentificazione è a criptografia per assicurà u trasportu di pacchetti sicuru. Creà un tunnel IPsec attivatu per IKE cunfigurà una interfaccia IPsec. L'interfaccia IPsec sò interfacce logiche, è li cunfigurate cum'è qualsiasi altra interfaccia fisica. Cunfigurate i paràmetri di u protocolu IKE in l'interfaccia IPsec, è pudete cunfigurà altre proprietà di l'interfaccia.

Nota Cisco ricumanda di utilizà a versione IKE 2. Da a versione Cisco SD-WAN 19.2.x in avanti, a chjave pre-spartita deve esse almenu 16 bytes in lunghezza. U stabilimentu di u tunnel IPsec falla se a dimensione di a chjave hè menu di 16 caratteri quandu u router hè aghjurnatu à a versione 19.2.

Nota
U software Cisco Catalyst SD-WAN soporta IKE Version 2 cum'è definitu in RFC 7296. Un usu per i tunnellati IPsec hè di permette à vEdge Cloud router VM instances running on Amazon AWS per cunnette à u Amazon virtual private cloud (VPC). Duvete cunfigurà a Versione IKE 1 in questi routers. I dispositi Cisco vEdge supportanu solu VPN basati in rotte in una cunfigurazione IPSec perchè sti dispositi ùn ponu micca definisce selettori di trafficu in u duminiu di criptografia.

Configurate un Tunnel IPsec
Per cunfigurà una interfaccia di tunnel IPsec per u trafficu di trasportu sicuru da una rete di serviziu, crea una interfaccia logica IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Pudete creà u tunnel IPsec in u trasportu VPN (VPN 0) è in ogni serviziu VPN (VPN 1 à 65530, eccettu per 512). L'interfaccia IPsec hà un nome in u furmatu ipsecnumber, induve u numeru pò esse da 1 à 255. Ogni interfaccia IPsec deve avè un indirizzu IPv4. Questu indirizzu deve esse un prefissu /30. Tuttu u trafficu in a VPN chì si trova in stu prefissu IPv4 hè diretta à una interfaccia fisica in VPN 0 per esse mandatu in modu sicuru nantu à un tunnel IPsec. l'interfaccia fisica (in u cumandimu tunnel-source) o u nome di l'interfaccia fisica (in u cumandamentu tunnel-source-interface). Assicuratevi chì l'interfaccia fisica hè cunfigurata in VPN 0. Per cunfigurà a destinazione di u tunnel IPsec, specificate l'indirizzu IP di u dispositivu remoto in u cumandamentu di destinazione di u tunnel. A cumminazzioni di un indirizzu fonte (o nome di l'interfaccia di fonte) è un indirizzu di destinazione definisce un unicu tunnel IPsec. Solu un tunnel IPsec pò esiste chì usa un indirizzu di fonte specificu (o nome di l'interfaccia) è un paru di indirizzu di destinazione.

Configurate una Route statica IPsec

Per dirige u trafficu da u serviziu VPN à un tunnel IPsec in u trasportu VPN (VPN 0), cunfigurà una strada statica IPsec-specifica in una VPN di serviziu (una VPN diversa da VPN 0 o VPN 512):

  • vEdge (config) # vpn vpn-id
  • vEdge (config-vpn) # ip ipsec-route prefissu / lunghezza vpn 0 interfaccia
  • ipsecnumber [ipsecnumber2]

L'ID VPN hè quellu di qualsiasi VPN di serviziu (VPN 1 à 65530, eccettu per 512). prefissu / lunghezza hè l'indirizzu IP o prefissu, in notazione decimale di quattru parti, è a lunghezza di prefissu di a strada statica specifica di IPsec. L'interfaccia hè l'interfaccia di u tunnel IPsec in VPN 0. Pudete cunfigurà una o duie interfacce di tunnel IPsec. Se cunfigurate dui, u primu hè u tunnel IPsec primariu, è u sicondu hè a copia di salvezza. Cù duie interfacce, tutti i pacchetti sò mandati solu à u tunnel primariu. Se quellu tunnel falla, tutti i pacchetti sò mandati à u tunnel secundariu. Se u tunelu primariu torna, tuttu u trafficu hè spustatu torna à u tunnel IPsec primariu.

Abilita a versione IKE 1
Quandu crea un tunnel IPsec in un router vEdge, a versione IKE 1 hè attivata per automaticamente in l'interfaccia di u tunnel. E seguenti proprietà sò ancu attivate per automaticamente per IKEv1:

  • Autenticazione è crittografia - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 chjave-hash per l'integrità
  • Numero di gruppu Diffie-Hellman - 16
  • Rekeying intervallu di tempu-4 ore
  • modu stabilimentu SA-Main

Per automaticamente, IKEv1 usa u modu principale IKE per stabilisce IKE SA. In questu modu, sei pacchetti di negoziazione sò scambiati per stabilisce a SA. Per scambià solu trè pacchetti di negoziazione, attivate u modu aggressivu:

Nota
U modu aggressivu IKE cù chjavi pre-spartiti deve esse evitata induve pussibule. Altrimenti, deve esse sceltu una chjave forte pre-spartita.

  • vEdge (config) # vpn vpn-id interfaccia ipsec number ike
  • vEdge (config-ike) # modu aggressivu

Per automaticamente, IKEv1 usa u gruppu Diffie-Hellman 16 in u scambiu di chjave IKE. Stu gruppu usa u gruppu 4096-bit più modulare esponenziale (MODP) durante u scambiu di chjave IKE. Pudete cambià u numeru di gruppu à 2 (per 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge (config) # vpn vpn-id interfaccia ipsec number ike
  • vEdge (config-ike) # numeru di gruppu

Per automaticamente, u scambiu di chjave IKE usa AES-256 criptu avanzatu standard di crittografia CBC cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 keyed-hash per l'integrità. Pudete cambià l'autentificazione:

  • vEdge (config) # vpn vpn-id interfaccia ipsec number ike
  • vEdge (config-ike) # suite di criptografia

A suite di autentificazione pò esse unu di i seguenti:

  • aes128-cbc-sha1 - AES-128 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 chjave-hash per l'integrità
  • aes128-cbc-sha2 - AES-128 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA256 chjave-hash per l'integrità
  • aes256-cbc-sha1 - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 keyed-hash per l'integrità; questu hè u predefinitu.
  • aes256-cbc-sha2 - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA256 chjave-hash per l'integrità

Per automaticamente, i chjavi IKE sò rinfrescati ogni 1 ore (3600 seconde). Pudete cambià l'intervallu di rekeying à un valore da 30 seconde à 14 ghjorni (1209600 seconde). Hè ricumandemu chì l'intervallu di rekeying sia almenu 1 ora.

  • vEdge (config) # vpn vpn-id interfaccia ipsec numeru cum'è
  • vEdge (config-ike) # rekey secondi

Per furzà a generazione di novi chjave per una sessione IKE, emette a dumanda ipsec ike-rekey command.

  • vEdge (config) # vpn vpn-id interfaceipsec number ike

Per IKE, pudete ancu cunfigurà l'autentificazione di chjave preshared (PSK):

  • vEdge (config) # vpn vpn-id interfaccia ipsec number ike
  • vEdge (config-ike) # authentication-type pre-shared-key password pre-shared-secret password hè a password da aduprà cù a chjave pre-shared. Pò esse un ASCII o una stringa hexadecimale da 1 à 127 caratteri.

Se u peer IKE remoto richiede un ID locale o remoto, pudete cunfigurà stu identificatore:

  • vEdge (config) # vpn vpn-id interfaccia ipsec number ike authentication-type
  • vEdge (config-authentication-type) # id local-id
  • vEdge (config-authentication-type) # ID remote-id

L'identificatore pò esse un indirizzu IP o qualsiasi stringa di testu da 1 à 63 caratteri. Per automaticamente, l'ID locale hè l'indirizzu IP fonte di u tunnel è l'ID remoto hè l'indirizzu IP di destinazione di u tunnel.

Abilita a versione IKE 2
Quandu cunfigurà un tunnel IPsec per utilizà a versione IKE 2, e seguenti proprietà sò ancu attivate per automaticamente per IKEv2:

  • Autenticazione è crittografia - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 chjave-hash per l'integrità
  • Numero di gruppu Diffie-Hellman - 16
  • Rekeying intervallu di tempu-4 ore

Per automaticamente, IKEv2 usa u gruppu Diffie-Hellman 16 in u scambiu di chjave IKE. Stu gruppu usa u gruppu 4096-bit più modulare esponenziale (MODP) durante u scambiu di chjave IKE. Pudete cambià u numeru di gruppu à 2 (per 1024-bit MODP), 14 (2048-bit MODP), o 15 (3072-bit MODP):

  • vEdge (config) # vpn vpn-id interfaccia ipsecnumber ike
  • vEdge (config-ike) # numeru di gruppu

Per automaticamente, u scambiu di chjave IKE usa AES-256 criptu avanzatu standard di crittografia CBC cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 keyed-hash per l'integrità. Pudete cambià l'autentificazione:

  • vEdge (config) # vpn vpn-id interfaccia ipsecnumber ike
  • vEdge (config-ike) # suite di criptografia

A suite di autentificazione pò esse unu di i seguenti:

  • aes128-cbc-sha1 - AES-128 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 chjave-hash per l'integrità
  • aes128-cbc-sha2 - AES-128 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA256 chjave-hash per l'integrità
  • aes256-cbc-sha1 - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA1 keyed-hash per l'integrità; questu hè u predefinitu.
  • aes256-cbc-sha2 - AES-256 standard di crittografia avanzata CBC di crittografia cù l'algoritmu di codice di autentificazione di missaghju HMAC-SHA256 chjave-hash per l'integrità

Per automaticamente, e chjave IKE sò rinfrescate ogni 4 ore (14,400 seconde). Pudete cambià l'intervallu di rekeying à un valore da 30 seconde à 14 ghjorni (1209600 seconde):

  • vEdge (config) # vpn vpn-id interfaccia ipsecnumber ike
  • vEdge (config-ike) # rekey secondi

Per furzà a generazione di novi chjave per una sessione IKE, emette a dumanda ipsec ike-rekey command. Per IKE, pudete ancu cunfigurà l'autentificazione di chjave preshared (PSK):

  • vEdge (config) # vpn vpn-id interfaccia ipsecnumber ike
  • vEdge (config-ike) # authentication-type pre-shared-key password pre-shared-secret password hè a password da aduprà cù a chjave pre-shared. Pò esse un ASCII o una stringa hexadecimal, o pò esse una chjave criptata AES. Se u peer IKE remoto richiede un ID locale o remoto, pudete cunfigurà stu identificatore:
  • vEdge (config) # vpn vpn-id interface ipsecnumber ike authentication-type
  • vEdge (config-authentication-type) # id local-id
  • vEdge (config-authentication-type) # ID remote-id

L'identificatore pò esse un indirizzu IP o qualsiasi stringa di testu da 1 à 64 caratteri. Per automaticamente, l'ID locale hè l'indirizzu IP fonte di u tunnel è l'ID remoto hè l'indirizzu IP di destinazione di u tunnel.

Configurate i Paràmetri di u Tunnel IPsec

Tabella 4: Storia di funzioni

Feature Nome L'infurmazione di liberazione Descrizzione
Crittograficu supplementu Cisco SD-WAN Versione 20.1.1 Questa funzione aghjunghje supportu per
Supportu algoritmicu per IPSec   HMAC_SHA256, HMAC_SHA384, è
Tunnels   HMAC_SHA512 algoritmi per
    sicurezza aumentata.

Per automaticamente, i seguenti parametri sò usati in u tunnel IPsec chì porta u trafficu IKE:

  • Autenticazione è criptografia - algoritmu AES-256 in GCM (modu Galois/counter)
  • Intervallu di rekeying-4 ore
  • Finestra di riproduzione - 32 pacchetti

Pudete cambià a criptografia in u tunnel IPsec à u cifru AES-256 in CBC (modu di catena di bloccu di cifru, cù HMAC utilizendu l'autenticazione di missaghju SHA-1 o SHA-2 keyed-hash o à null cù HMAC utilizendu SHA-1 o SHA-2). Autentificazione di missaghju SHA-XNUMX keyed-hash, per ùn criptà u tunnel IPsec utilizatu per u trafficu di scambiu di chjave IKE:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256-null-sha256-null | | aes256-null-sha384 | aes256-null-sha512)

Per automaticamente, e chjave IKE sò rinfrescate ogni 4 ore (14,400 seconde). Pudete cambià l'intervallu di rekeying à un valore da 30 seconde à 14 ghjorni (1209600 seconde):

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # rekey secondi

Per furzà a generazione di novi chjavi per un tunnel IPsec, emette a dumanda ipsec ipsec-rekey command. Per automaticamente, u sicretu in avanti perfettu (PFS) hè attivatu nantu à i tunnel IPsec, per assicurà chì e sessioni passate ùn sò micca affettate se e chjavi futuri sò cumprumessi. PFS forze un novu scambiu di chjave Diffie-Hellman, per difettu utilizendu u gruppu di moduli primu Diffie-Hellman 4096-bit. Pudete cambià l'impostazione PFS:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # perfetta-forward-secrecy pfs-setting

pfs-setting pò esse unu di i seguenti:

  • group-2 - Aduprate u gruppu di modulu primu Diffie-Hellman 1024-bit.
  • group-14 - Aduprate u gruppu di modulu primu Diffie-Hellman 2048-bit.
  • group-15 - Aduprate u gruppu di modulu primu Diffie-Hellman 3072-bit.
  • group-16 - Aduprate u gruppu di modulu primu Diffie-Hellman 4096-bit. Questu hè u predefinitu.
  • nimu - Disattivà PFS.

Per automaticamente, a finestra di riproduzione IPsec in u tunnel IPsec hè 512 bytes. Pudete stabilisce a dimensione di a finestra di replay à 64, 128, 256, 512, 1024, 2048, o 4096 pacchetti:

  • vEdge (config-interface-ipsecnumber) # ipsec
  • vEdge (config-ipsec) # numeru di finestra di riproduzione

Mudificà IKE Dead-Peer Detection

IKE usa un mecanismu di rilevazione di u peer mortu per determinà se a cunnessione à un peer IKE hè funziunale è accessibile. Per implementà stu mecanismu, IKE manda un pacchettu Hello à u so peer, è u peer manda un ricunniscenza in risposta. Per automaticamente, IKE manda pacchetti Hello ogni 10 seconde, è dopu à trè pacchetti micca ricunnisciuti, IKE dichjara chì u vicinu hè mortu è strappa u tunnel à u peer. Dopu, IKE manda periodicamente un pacchettu Hello à u peer, è ristabilisce u tunnel quandu u peer torna in linea. Pudete cambià l'intervallu di rilevazione di vivacità à un valore da 0 à 65535, è pudete cambià u numeru di tentativi à un valore da 0 à 255.

Nota

Per i VPN di trasportu, l'intervallu di rilevazione di vivacità hè cunvertitu in seconde cù a seguente formula: Intervallu per u numeru di tentativu di ritrasmissione N = intervalu * 1.8N-1For ex.ample, se l'intervalle est réglé à 10 et réessaie à 5, l'intervalle de détection augmente de la manière suivante :

  • Tentativu 1: 10 * 1.81-1 = 10 seconde
  • Pruvate 2: 10 * 1.82-1 = 18 seconde
  • Pruvate 3: 10 * 1.83-1 = 32.4 seconde
  • Pruvate 4: 10 * 1.84-1 = 58.32 seconde
  • Pruvate 5: 10 * 1.85-1 = 104.976 seconde

vEdge (config-interface-ipsecnumber) # numeru di tentativi di intervallu di rilevazione di pari mortu

Configurate altre proprietà di l'interfaccia

Per l'interfaccia di tunnel IPsec, pudete cunfigurà solu e seguenti proprietà di l'interfaccia supplementari:

  • vEdge (config-interface-ipsec) # mtu byte
  • vEdge (config-interface-ipsec) # tcp-mss-adjust bytes

Disattivate l'algoritmi di crittografia SSH debule in Cisco SD-WAN Manager

Tabella 5: Tabella di storia di funzioni

Feature Nome L'infurmazione di liberazione Feature Descrizzione
Disattivate l'algoritmi di crittografia SSH debule in Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Questa funzione permette di disattivà l'algoritmi SSH più debuli nantu à u Cisco SD-WAN Manager chì ùn pò micca cunfurmà cù certi standard di sicurità di dati.

Informazioni nantu à a disattivazione di l'algoritmi di crittografia SSH debule nantu à Cisco SD-WAN Manager
Cisco SD-WAN Manager furnisce un cliente SSH per a cumunicazione cù cumpunenti in a rete, cumpresi i cuntrolli è i dispositi di punta. U cliente SSH furnisce una cunnessione criptata per u trasferimentu di dati sicuru, basatu annantu à una varietà di algoritmi di criptografia. Parechje urganisazioni necessitanu una criptografia più forte di quella furnita da SHA-1, AES-128 è AES-192. Da Cisco vManage Release 20.9.1, pudete disattivà i seguenti algoritmi di criptografia più debuli per chì un cliente SSH ùn utilizeghja micca questi algoritmi:

  • SHA-1
  • AES-128
  • AES-192

Prima di disattivà questi algoritmi di criptografia, assicuratevi chì i dispositi Cisco vEdge, s'ellu ci hè, in a reta, utilizanu una versione di software dopu à Cisco SD-WAN Release 18.4.6.

Vantaggi di disattivà l'algoritmi di crittografia SSH debule nantu à Cisco SD-WAN Manager
A disattivazione di l'algoritmi di crittografia SSH più debuli migliurà a sicurità di a cumunicazione SSH, è assicura chì l'urganisazioni chì utilizanu Cisco Catalyst SD-WAN sò conformi à stretti rigulamenti di sicurezza.

Disattivate l'algoritmi di crittografia SSH debule in Cisco SD-WAN Manager Utilizendu CLI

  1. Da u menù Cisco SD-WAN Manager, sceglite Strumenti> SSH Terminal.
  2. Sceglite u dispositivu Cisco SD-WAN Manager nantu à quale vulete disattivà l'algoritmi SSH più debuli.
  3. Inserite u nome d'utilizatore è a password per accede à u dispusitivu.
  4. Entra in u modu di u servitore SSH.
    • vmanage (config) # sistema
    • vmanage (config-system) # ssh-server
  5. Fate una di e seguenti per disattivà un algoritmu di criptografia SSH:
    • Disattiva SHA-1:
  6. gestisce (config-ssh-server) # no kex-algo sha1
  7. gestisce (config-ssh-server) # commit
    U missaghju d'avvertimentu seguente hè visualizatu: I seguenti avvisi sò stati generati: 'sistema ssh-server kex-algo sha1': AVVERTENZA: Per piacè assicuratevi chì tutti i vostri bordi eseguinu a versione di codice > 18.4.6 chì negozia megliu cà SHA1 cù vManage. Altrimenti, quelli bordi ponu esse offline. Avanzate ? [iè, nò] iè
    • Assicuratevi chì qualsiasi dispositi Cisco vEdge in a reta sò in esecuzione Cisco SD-WAN Release 18.4.6 o più tardi è inserite sì.
    • Disattivate AES-128 è AES-192:
    • vmanage (config-ssh-server) # senza cifru aes-128-192
    • vmanage (config-ssh-server) # commit
      U missaghju d'avvertimentu seguente hè visualizatu:
      I seguenti avvisi sò stati generati:
      'system ssh-server cipher aes-128-192': ATTENZIONE: Per piacè assicuratevi chì tutti i vostri bordi eseguite a versione di codice> 18.4.6 chì negozia megliu cà AES-128-192 cù vManage. Altrimenti, quelli bordi ponu esse offline. Avanzate ? [iè, nò] iè
    • Assicuratevi chì qualsiasi dispositi Cisco vEdge in a reta sò in esecuzione Cisco SD-WAN Release 18.4.6 o più tardi è inserite sì.

Verificate chì l'algoritmi di crittografia SSH debule sò disattivati ​​in Cisco SD-WAN Manager Utilizendu a CLI

  1. Da u menù Cisco SD-WAN Manager, sceglite Strumenti> SSH Terminal.
  2. Selezziunate u dispusitivu Cisco SD-WAN Manager chì vulete verificà.
  3. Inserite u nome d'utilizatore è a password per accede à u dispusitivu.
  4. Eseguite u cumandimu seguente: show running-config system ssh-server
  5. Verificate chì l'output mostra unu o più di i cumandamenti chì disattivanu l'algoritmi di criptografia più debuli:
    • senza cifru aes-128-192
    • senza kex-algo sha1

Documenti / Risorse

CISCO SD-WAN Configurate i Paràmetri di Sicurezza [pdfGuida di l'utente
SD-WAN Configurate i Paràmetri di Sicurezza, SD-WAN, Configurate i Paràmetri di Sicurezza, i Paràmetri di Sicurezza

Referenze

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *