Obsah skrýt
1 CISCO SD-WAN Konfigurace parametrů zabezpečení
2 Nakonfigurujte parametry zabezpečení
3 Nakonfigurujte bezpečnostní parametry řídicí roviny
4 Nakonfigurujte DTLS v Cisco SD-WAN Manager
5 Konfigurace parametrů zabezpečení datové roviny
6 Nakonfigurujte povolené typy ověřování
7 Změňte časovač opětovného klíče
8 Změňte velikost okna Anti-Replay
9 Nakonfigurujte statickou cestu IPsec
10 Nakonfigurujte parametry tunelu IPsec
11 Upravit IKE Dead-Peer Detection
12 Nakonfigurujte další vlastnosti rozhraní
13 Zakažte slabé algoritmy šifrování SSH v Cisco SD-WAN Manager
14 Dokumenty / zdroje
14.1 Reference

CISCO-LOGO

CISCO SD-WAN Konfigurace parametrů zabezpečení

CISCO-SD-WAN-Konfigurace-Zabezpečení-Parametry-PRODUKT

Nakonfigurujte parametry zabezpečení

Poznámka

Pro dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.

Tato část popisuje, jak změnit parametry zabezpečení pro řídicí rovinu a datovou rovinu v překryvné síti Cisco Catalyst SD-WAN.

  • Zapněte konfiguraci parametrů zabezpečení řídicí roviny
  • Konfigurace parametrů zabezpečení datové roviny, zapnuto
  • Zapněte konfiguraci tunelů IPsec s povoleným IKE
  • Zakázat slabé šifrovací algoritmy SSH na Cisco SD-WAN Manager, zapnuto

Nakonfigurujte bezpečnostní parametry řídicí roviny

Ve výchozím nastavení řídicí rovina používá DTLS jako protokol, který poskytuje soukromí ve všech svých tunelech. DTLS běží přes UDP. Protokol zabezpečení řídicí roviny můžete změnit na TLS, který běží přes TCP. Primárním důvodem pro použití TLS je to, že pokud Cisco SD-WAN Controller považujete za server, firewally chrání TCP servery lépe než UDP servery. Nakonfigurujete protokol tunelu řídicí roviny na řadiči Cisco SD-WAN: vSmart(config)# security control protocol tls Touto změnou dojde k tunelování všech řídicích rovin mezi řadičem Cisco SD-WAN a směrovači a mezi řadičem Cisco SD-WAN. a Cisco SD-WAN Manager používají TLS. Tunely řídicí roviny do Cisco Catalyst SD-WAN Validator vždy používají DTLS, protože tato připojení musí být zpracována pomocí UDP. V doméně s více řadiči Cisco SD-WAN, když nakonfigurujete TLS na jednom z řadičů Cisco SD-WAN, všechny tunely řídicí roviny z tohoto řadiče do ostatních řadičů používají TLS. Jinak řečeno, TLS má vždy přednost před DTLS. Nicméně z pohledu ostatních Cisco SD-WAN řadičů, pokud jste na nich nenakonfigurovali TLS, používají TLS v tunelu řídicí roviny pouze k jednomu Cisco SD-WAN řadiči a používají DTLS tunely ke všem ostatním Řadičům Cisco SD-WAN a všem jejich připojeným routerům. Chcete-li, aby všechny řadiče Cisco SD-WAN používaly TLS, nakonfigurujte jej na všech. Ve výchozím nastavení naslouchá Cisco SD-WAN Controller na portu 23456 požadavkům TLS. Chcete-li to změnit: vSmart(config)# security control tls-port number Port může být číslo od 1025 do 65535. Chcete-li zobrazit informace o zabezpečení řídicí roviny, použijte příkaz show control connections na ovladači Cisco SD-WAN. Napřample: vSmart-2# zobrazí řídicí připojení

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Nakonfigurujte DTLS v Cisco SD-WAN Manager

Pokud nakonfigurujete Cisco SD-WAN Manager tak, aby používal TLS jako bezpečnostní protokol řídicí roviny, musíte na svém NAT povolit předávání portů. Pokud používáte DTLS jako bezpečnostní protokol řídicí roviny, nemusíte dělat nic. Počet předávaných portů závisí na počtu procesů vdaemon spuštěných na Cisco SD-WAN Manager. Chcete-li zobrazit informace o těchto procesech ao a počtu portů, které jsou předávány, použijte příkaz show control Summary, který ukazuje, že jsou spuštěny čtyři procesy démona:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Chcete-li zobrazit naslouchající porty, použijte příkaz show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Tento výstup ukazuje, že naslouchající TCP port je 23456. Pokud používáte Cisco SD-WAN Manager za NAT, měli byste na zařízení NAT otevřít následující porty:

  • 23456 (základní – port instance 0)
  • 23456 + 100 (základ + 100)
  • 23456 + 200 (základ + 200)
  • 23456 + 300 (základ + 300)

Všimněte si, že počet instancí je stejný jako počet jader, která jste přiřadili pro Cisco SD-WAN Manager, maximálně však 8.

Nakonfigurujte parametry zabezpečení pomocí šablony funkcí zabezpečení

Použijte šablonu funkce zabezpečení pro všechna zařízení Cisco vEdge. Na okrajových směrovačích a na Cisco SD-WAN Validator použijte tuto šablonu ke konfiguraci IPsec pro zabezpečení datové roviny. Na Cisco SD-WAN Manager a Cisco SD-WAN Controller použijte šablonu funkce zabezpečení ke konfiguraci DTLS nebo TLS pro zabezpečení řídicí roviny.

Nakonfigurujte parametry zabezpečení

  1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
  2. Klikněte na Šablony funkcí a poté na Přidat šablonu.
    Poznámka V Cisco vManage Release 20.7.1 a dřívějších verzích se Feature Templates nazývá Feature.
  3. Ze seznamu Zařízení v levém podokně vyberte zařízení. Šablony použitelné pro vybrané zařízení se zobrazí v pravém podokně.
  4. Klepnutím na Zabezpečení otevřete šablonu.
  5. Do pole Název šablony zadejte název šablony. Název může mít až 128 znaků a může obsahovat pouze alfanumerické znaky.
  6. Do pole Popis šablony zadejte popis šablony. Popis může mít až 2048 znaků a může obsahovat pouze alfanumerické znaky.

Když poprvé otevřete šablonu funkce, pro každý parametr, který má výchozí hodnotu, je rozsah nastaven na Výchozí (označeno zaškrtnutím) a zobrazí se výchozí nastavení nebo hodnota. Chcete-li změnit výchozí nastavení nebo zadat hodnotu, klikněte na rozevírací nabídku rozsahu nalevo od pole parametru a vyberte jednu z následujících možností:

Tabulka 1:

Parametr Rozsah Popis rozsahu
Specifické pro zařízení (označené ikonou hostitele) Pro parametr použijte hodnotu specifickou pro zařízení. U parametrů specifických pro zařízení nemůžete zadat hodnotu do šablony prvku. Hodnotu zadáte, když připojíte zařízení Viptela k šabloně zařízení.

Když kliknete na Device Specific, otevře se pole Enter Key. Toto pole zobrazuje klíč, což je jedinečný řetězec, který identifikuje parametr v CSV file které vytvoříte. Tento file je excelovská tabulka, která obsahuje jeden sloupec pro každý klíč. Řádek záhlaví obsahuje názvy klíčů (jeden klíč na sloupec) a každý následující řádek odpovídá zařízení a definuje hodnoty klíčů pro toto zařízení. Nahrajete CSV file když připojíte zařízení Viptela k šabloně zařízení. Další informace najdete v tématu Vytvoření tabulky proměnných šablony.

Chcete-li změnit výchozí klíč, zadejte nový řetězec a přesuňte kurzor z pole Enter Key.

ExampParametry specifické pro zařízení jsou IP adresa systému, název hostitele, poloha GPS a ID webu.
Parametr Rozsah Popis rozsahu
Globální (označeno ikonou zeměkoule) Zadejte hodnotu parametru a použijte tuto hodnotu na všechna zařízení.

Exampparametry, které můžete použít globálně na skupinu zařízení, jsou server DNS, server syslog a jednotky MTU rozhraní.

Nakonfigurujte zabezpečení řídicí roviny

Poznámka
Část Konfigurace zabezpečení řídicí roviny se vztahuje pouze na Cisco SD-WAN Manager a Cisco SD-WAN Controller. Chcete-li nakonfigurovat protokol připojení řídicí roviny na instanci Cisco SD-WAN Manager nebo Cisco SD-WAN Controller, vyberte oblast Základní konfigurace a nakonfigurujte následující parametry:

Tabulka 2:

Parametr Jméno Popis
Protokol Vyberte protokol, který chcete použít pro připojení řídicí roviny k řadiči Cisco SD-WAN:

• DTLS (datagzabezpečení transportní vrstvy ram). Toto je výchozí nastavení.

• TLS (Transport Layer Security)
Ovládání portu TLS Pokud jste vybrali TLS, nakonfigurujte číslo portu pro použití:Rozsah: 1025 až 65535Výchozí: 23456

Klikněte na Uložit

Nakonfigurujte zabezpečení datové roviny
Chcete-li nakonfigurovat zabezpečení datové roviny na Cisco SD-WAN Validator nebo směrovači Cisco vEdge, vyberte karty Basic Configuration a Authentication Type a nakonfigurujte následující parametry:

Tabulka 3:

Parametr Jméno Popis
Čas opětovného klíče Určete, jak často směrovač Cisco vEdge mění klíč AES používaný při zabezpečeném připojení DTLS k řadiči Cisco SD-WAN. Pokud je povolen postupný restart OMP, musí být doba opětovného klíče alespoň dvojnásobkem hodnoty časovače postupného restartu OMP.Rozsah: 10 až 1209600 sekund (14 dní)Výchozí: 86400 24 sekund (XNUMX hodin)
Přehrát okno Zadejte velikost posuvného okna přehrávání.

Hodnoty: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketůVýchozí: 512 balíků
IPsec

párové klíčování

 Toto je ve výchozím nastavení vypnuto. Klikněte On pro zapnutí.
Parametr Jméno Popis
Typ autentizace Vyberte typy ověřování z Autentizace Seznama kliknutím na šipku směřující doprava přesuňte typy ověřování na Vybraný seznam sloupec.

Typy autentizace podporované od Cisco SD-WAN Release 20.6.1:

•  esp: Umožňuje šifrování ESP (Encapsulating Security Payload) a kontrolu integrity hlavičky ESP.

•  ip-udp-esp: Umožňuje šifrování ESP. Kromě kontrol integrity hlavičky ESP a užitečného zatížení zahrnují kontroly také vnější hlavičky IP a UDP.

•  ip-udp-esp-no-id: Ignoruje pole ID v hlavičce IP, takže Cisco Catalyst SD-WAN může pracovat ve spojení se zařízeními jiných výrobců.

•  žádný: Vypne kontrolu integrity paketů IPSec. Tuto možnost nedoporučujeme používat.

 

Typy autentizace podporované v Cisco SD-WAN Release 20.5.1 a dřívějších:

•  ah-ne-id: Povolí vylepšenou verzi AH-SHA1 HMAC a ESP HMAC-SHA1, která ignoruje pole ID ve vnější hlavičce IP paketu.

•  ah-sha1-hmac: Povolit AH-SHA1 HMAC a ESP HMAC-SHA1.

•  žádný: Vyberte bez ověřování.

•  sha1-hmac: Povolit ESP HMAC-SHA1.

 

Poznámka              U okrajových zařízení běžících na Cisco SD-WAN Release 20.5.1 nebo dřívějších jste možná nakonfigurovali typy ověřování pomocí Zabezpečení šablona. Když upgradujete zařízení na Cisco SD-WAN Release 20.6.1 nebo novější, aktualizujte vybrané typy ověřování v Zabezpečení šablony na typy ověřování podporované z Cisco SD-WAN Release 20.6.1. Chcete-li aktualizovat typy ověřování, postupujte takto:

1.      V nabídce Cisco SD-WAN Manager vyberte Konfigurace >

Šablony.

2.      Klikněte Šablony funkcí.

3.      Najděte Zabezpečení šablonu pro aktualizaci a klikněte na … a klikněte Upravit.

4.      Klikněte Aktualizovat. Neupravujte žádnou konfiguraci.

Cisco SD-WAN Manager aktualizuje Zabezpečení šablonu pro zobrazení podporovaných typů ověřování.

Klikněte na Uložit.

Konfigurace parametrů zabezpečení datové roviny

V datové rovině je protokol IPsec ve výchozím nastavení povolen na všech směrovačích a připojení tunelu IPsec ve výchozím nastavení používají pro ověřování v tunelech IPsec rozšířenou verzi protokolu ESP (Encapsulating Security Payload). Na směrovačích můžete změnit typ ověřování, časovač opětovného klíče IPsec a velikost okna ochrany proti opakovanému přehrávání IPsec.

Nakonfigurujte povolené typy ověřování

Typy ověřování ve verzi Cisco SD-WAN 20.6.1 a novější
Od Cisco SD-WAN Release 20.6.1 jsou podporovány následující typy integrity:

  • esp: Tato možnost umožňuje šifrování ESP (Encapsulating Security Payload) a kontrolu integrity v hlavičce ESP.
  • ip-udp-esp: Tato možnost umožňuje šifrování ESP. Kromě kontrol integrity hlavičky ESP a užitečného zatížení zahrnují kontroly také vnější hlavičky IP a UDP.
  • ip-udp-esp-no-id: Tato volba je podobná jako ip-udp-esp, ale pole ID vnější hlavičky IP je ignorováno. Nakonfigurujte tuto možnost v seznamu typů integrity, aby software Cisco Catalyst SD-WAN ignoroval pole ID v hlavičce IP, aby Cisco Catalyst SD-WAN mohl pracovat ve spojení se zařízeními jiných výrobců.
  • none: Tato možnost vypne kontrolu integrity paketů IPSec. Tuto možnost nedoporučujeme používat.

Ve výchozím nastavení používají tunelová připojení IPsec pro ověřování vylepšenou verzi protokolu ESP (Encapsulating Security Payload). Chcete-li upravit vyjednané typy interity nebo zakázat kontrolu integrity, použijte následující příkaz: typ integrity { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Typy autentizace před vydáním Cisco SD-WAN 20.6.1
Ve výchozím nastavení používají tunelová připojení IPsec pro ověřování vylepšenou verzi protokolu ESP (Encapsulating Security Payload). Chcete-li upravit sjednané typy ověřování nebo zakázat ověřování, použijte následující příkaz: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Ve výchozím nastavení je IPsec tunelová připojení používají AES-GCM-256, který poskytuje šifrování i ověřování. Nakonfigurujte každý typ autentizace pomocí samostatného příkazu typu autentizace ipsec zabezpečení. Možnosti příkazu se mapují na následující typy ověřování, které jsou uvedeny v pořadí od nejsilnější po nejméně silnou:

Poznámka
Hodnota sha1 v možnostech konfigurace se používá z historických důvodů. Volby ověřování udávají, jak velká část kontroly integrity paketů se provádí. Nespecifikují algoritmus, který kontroluje integritu. Kromě šifrování multicastového provozu nepoužívají ověřovací algoritmy podporované Cisco Catalyst SD WAN SHA1. V Cisco SD-WAN Release 20.1.xa novějších však unicast ani multicast nepoužívají SHA1.

  • ah-sha1-hmac umožňuje šifrování a zapouzdření pomocí ESP. Kromě kontrol integrity hlavičky ESP a datové části však kontroly zahrnují také vnější hlavičky IP a UDP. Tato možnost tedy podporuje kontrolu integrity paketu podobnou protokolu Authentication Header (AH). Veškerá integrita a šifrování se provádí pomocí AES-256-GCM.
  • ah-no-id umožňuje režim, který je podobný režimu ah-sha1-hmac, avšak pole ID vnější hlavičky IP je ignorováno. Tato možnost je vhodná pro některá zařízení SD-WAN jiných výrobců než Cisco Catalyst, včetně Apple AirPort Express NAT, která mají chybu způsobující úpravu pole ID v hlavičce IP, což je neměnné pole. Nakonfigurujte možnost ah-no-id v seznamu typů ověřování tak, aby software Cisco Catalyst SD-WAN AH ignoroval pole ID v záhlaví IP, aby software Cisco Catalyst SD-WAN mohl pracovat ve spojení s těmito zařízeními.
  • sha1-hmac umožňuje šifrování ESP a kontrolu integrity.
  • none mapuje na žádnou autentizaci. Tato možnost by měla být použita pouze v případě, že je vyžadována pro dočasné ladění. Tuto možnost můžete zvolit také v situacích, kdy autentizace a integrita datové roviny nejsou problémem. Cisco nedoporučuje používat tuto možnost pro produkční sítě.

Informace o tom, která pole datových paketů jsou těmito typy ověřování ovlivněna, najdete v tématu Integrita datové roviny. Zařízení Cisco IOS XE Catalyst SD-WAN a zařízení Cisco vEdge inzerují své nakonfigurované typy ověřování ve svých vlastnostech TLOC. Dva směrovače na obou stranách tunelového připojení IPsec vyjednají ověření, které se má použít pro spojení mezi nimi, pomocí nejsilnějšího typu ověřování, který je nakonfigurován na obou směrovačích. NapřampPokud jeden směrovač inzeruje typy ah-sha1-hmac a ah-no-id a druhý směrovač inzeruje typ ah-no-id, oba směrovače se dohodnou na použití ah-no-id v tunelovém spojení IPsec mezi jim. Pokud nejsou na těchto dvou peerech nakonfigurovány žádné běžné typy ověřování, není mezi nimi vytvořen žádný tunel IPsec. Šifrovací algoritmus pro připojení tunelu IPsec závisí na typu provozu:

  • Pro unicastový provoz je šifrovací algoritmus AES-256-GCM.
  • Pro vícesměrový provoz:
  • Cisco SD-WAN Release 20.1.xa novější – šifrovací algoritmus je AES-256-GCM
  • Předchozí verze – šifrovací algoritmus je AES-256-CBC s SHA1-HMAC.

Když se změní typ ověřování IPsec, změní se klíč AES pro datovou cestu.

Změňte časovač opětovného klíče

Než si zařízení Cisco IOS XE Catalyst SD-WAN a zařízení Cisco vEdge mohou vyměňovat datový provoz, nastaví mezi nimi zabezpečený ověřený komunikační kanál. Směrovače používají mezi sebou tunely IPSec jako kanál a šifru AES-256 k provádění šifrování. Každý router pravidelně generuje nový klíč AES pro svou datovou cestu. Ve výchozím nastavení je klíč platný 86400 24 sekund (10 hodin) a rozsah časovače je 1209600 sekund až 14 XNUMX sekund (XNUMX dní). Chcete-li změnit hodnotu časovače rekey: Device(config)# security ipsec rekey seconds Konfigurace vypadá takto:

  • zabezpečení ipsec rekey sekund!

Pokud chcete nové klíče IPsec vygenerovat okamžitě, můžete tak učinit bez úpravy konfigurace routeru. Chcete-li to provést, zadejte na napadeném směrovači příkaz request security ipsecrekey. Napřample, následující výstup ukazuje, že místní SA má index bezpečnostních parametrů (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

S každým SPI je spojen jedinečný klíč. Pokud je tento klíč kompromitován, použijte příkaz request security ipsec-rekey k okamžitému vygenerování nového klíče. Tento příkaz zvýší SPI. V naší example, SPI se změní na 257 a nyní se používá klíč s ním spojený:

  • Device# požaduje zabezpečení ipsecrekey
  • Device# ukazuje ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Po vygenerování nového klíče jej router okamžitě odešle do Cisco SD-WAN Controllers pomocí DTLS nebo TLS. Řadiče Cisco SD-WAN odesílají klíč do rovnocenných směrovačů. Směrovače jej začnou používat, jakmile jej obdrží. Všimněte si, že klíč spojený se starým SPI (256) bude i nadále krátkou dobu používán, dokud nevyprší časový limit. Chcete-li starý klíč okamžitě přestat používat, zadejte dvakrát rychle po sobě příkaz request security ipsec-rekey. Tato sekvence příkazů odstraní SPI 256 i 257 a nastaví SPI na 258. Směrovač pak použije přidružený klíč SPI 258. Upozorňujeme však, že některé pakety budou na krátkou dobu zahazovány, dokud se všechny vzdálené směrovače nenaučí nový klíč.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Změňte velikost okna Anti-Replay

Ověření IPsec poskytuje ochranu proti opakovanému přehrávání tím, že každému paketu v datovém toku přiřadí jedinečné pořadové číslo. Toto sekvenční číslování chrání před duplikováním datových paketů útočníkem. S ochranou proti opakovanému přehrávání odesílatel přiděluje monotónně rostoucí pořadová čísla a cíl kontroluje tato pořadová čísla, aby detekoval duplikáty. Protože pakety často nedorazí v pořádku, cíl si zachovává posuvné okno sekvenčních čísel, které přijme.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakety se sekvenčními čísly, které spadají nalevo od rozsahu posuvného okna, jsou považovány za staré nebo duplicitní a cíl je zahodí. Cíl sleduje nejvyšší pořadové číslo, které přijal, a upraví posuvné okno, když přijme paket s vyšší hodnotou.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Ve výchozím nastavení je posuvné okno nastaveno na 512 paketů. Lze jej nastavit na libovolnou hodnotu mezi 64 a 4096, což je mocnina 2 (tj. 64, 128, 256, 512, 1024, 2048 nebo 4096). Chcete-li upravit velikost okna ochrany před přehráním, použijte příkaz replay-window a zadejte velikost okna:

Číslo bezpečnostního okna zařízení (config) ipsec

Konfigurace vypadá takto:
Security Ipsec Replay-window number ! !

Pro usnadnění QoS jsou pro každý z prvních osmi provozních kanálů udržována samostatná okna přehrávání. Nakonfigurovaná velikost okna přehrávání je pro každý kanál vydělena osmi. Pokud je QoS nakonfigurováno na směrovači, může tento směrovač zaznamenat větší než očekávaný počet zahození paketů v důsledku mechanismu ochrany proti opakovanému přehrávání IPsec a mnoho zahozených paketů je legitimních. K tomu dochází, protože QoS mění pořadí paketů, dává přednostně pakety s vyšší prioritou a zpožďuje pakety s nižší prioritou. Chcete-li tuto situaci minimalizovat nebo jí předejít, můžete provést následující:

  • Zvětšete velikost okna proti opětovnému přehrávání.
  • Zpracujte provoz na prvních osmi provozních kanálech, abyste zajistili, že provoz v rámci kanálu nebude přeuspořádán.

Nakonfigurujte tunely IPsec s povoleným IKE
Chcete-li bezpečně přenést provoz z překryvné sítě do sítě služeb, můžete nakonfigurovat tunely IPsec, které používají protokol IKE (Internet Key Exchange). Tunely IPsec s podporou IKE poskytují ověřování a šifrování pro zajištění bezpečného přenosu paketů. Tunel IPsec s podporou IKE vytvoříte konfigurací rozhraní IPsec. Rozhraní IPsec jsou logická rozhraní a konfigurujete je stejně jako jakékoli jiné fyzické rozhraní. Nakonfigurujete parametry protokolu IKE na rozhraní IPsec a můžete nakonfigurovat další vlastnosti rozhraní.

Poznámka Společnost Cisco doporučuje používat IKE verze 2. Počínaje verzí Cisco SD-WAN 19.2.x musí mít předsdílený klíč délku alespoň 16 bajtů. Vytvoření tunelu IPsec se nezdaří, pokud je velikost klíče menší než 16 znaků při upgradu směrovače na verzi 19.2.

Poznámka
Software Cisco Catalyst SD-WAN podporuje IKE verze 2, jak je definováno v RFC 7296. Jedním z použití tunelů IPsec je umožnit instancím virtuálních počítačů směrovačů vEdge Cloud běžících na Amazon AWS připojit se k virtuálnímu privátnímu cloudu Amazon (VPC). Na těchto směrovačích musíte nakonfigurovat IKE verze 1. Zařízení Cisco vEdge podporují pouze sítě VPN založené na směrování v konfiguraci IPSec, protože tato zařízení nemohou definovat selektory provozu v doméně šifrování.

Nakonfigurujte tunel IPsec
Chcete-li nakonfigurovat rozhraní tunelu IPsec pro zabezpečený přenosový provoz ze sítě služeb, vytvořte logické rozhraní IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Tunel IPsec můžete vytvořit v transportní VPN (VPN 0) a v libovolné servisní VPN (VPN 1 až 65530, kromě 512). Rozhraní IPsec má název ve formátu číslo ipsec, kde číslo může být od 1 do 255. Každé rozhraní IPsec musí mít adresu IPv4. Tato adresa musí mít předponu /30. Veškerý provoz ve VPN, který je v rámci této předpony IPv4, je směrován do fyzického rozhraní ve VPN 0, aby byl bezpečně odesílán přes tunel IPsec. Chcete-li nakonfigurovat zdroj tunelu IPsec na místním zařízení, můžete zadat buď IP adresu fyzické rozhraní (v příkazu tunnel-source) nebo název fyzického rozhraní (v příkazu tunnel-source-interface). Ujistěte se, že je fyzické rozhraní nakonfigurováno v VPN 0. Chcete-li nakonfigurovat cíl tunelu IPsec, zadejte adresu IP vzdáleného zařízení v příkazu tunnel-destination. Kombinace zdrojové adresy (nebo názvu zdrojového rozhraní) a cílové adresy definuje jeden tunel IPsec. Může existovat pouze jeden tunel IPsec, který používá konkrétní pár zdrojové adresy (nebo názvu rozhraní) a cílové adresy.

Nakonfigurujte statickou cestu IPsec

Chcete-li směrovat provoz ze servisní VPN do tunelu IPsec v transportní VPN (VPN 0), nakonfigurujte statickou trasu specifickou pro IPsec ve službě VPN (síť VPN jiná než VPN 0 nebo VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/délka rozhraní vpn 0
  • ipsecnumber [ipsecnumber2]

VPN ID je ID jakékoli služby VPN (VPN 1 až 65530, kromě 512). prefix/length je IP adresa nebo prefix v desítkové soustavě se čtyřmi tečkami a délka prefixu statické trasy specifické pro IPsec. Rozhraní je rozhraní tunelu IPsec ve VPN 0. Můžete nakonfigurovat jedno nebo dvě rozhraní tunelu IPsec. Pokud nakonfigurujete dva, první je primární tunel IPsec a druhý je záložní. Se dvěma rozhraními jsou všechny pakety odesílány pouze do primárního tunelu. Pokud tento tunel selže, všechny pakety jsou odeslány do sekundárního tunelu. Pokud se primární tunel vrátí zpět, veškerý provoz se přesune zpět do primárního tunelu IPsec.

Povolit IKE verze 1
Když vytvoříte tunel IPsec na směrovači vEdge, IKE verze 1 je standardně povolena na rozhraní tunelu. Následující vlastnosti jsou také standardně povoleny pro IKEv1:

  • Autentizace a šifrování – AES-256 pokročilé šifrování standardní CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmem autentizačního kódu zprávy pro integritu
  • Číslo skupiny Diffie-Hellman – 16
  • Časový interval překlíčování — 4 hodiny
  • Režim založení SA – hlavní

IKEv1 standardně používá hlavní režim IKE k vytvoření přidružení zabezpečení IKE. V tomto režimu je k vytvoření SA vyměněno šest vyjednávacích paketů. Chcete-li vyměnit pouze tři vyjednávací pakety, povolte agresivní režim:

Poznámka
Agresivnímu režimu IKE s předem sdílenými klíči byste se měli vyhnout, kdykoli je to možné. Jinak by měl být zvolen silný předsdílený klíč.

  • vEdge(config)# rozhraní vpn vpn-id číslo ipsec ike
  • Agresivní režim vEdge(config-ike)#

IKEv1 standardně používá Diffie-Hellman skupinu 16 ve výměně klíčů IKE. Tato skupina používá 4096bitovou více modulární exponenciální (MODP) skupinu během výměny klíčů IKE. Číslo skupiny můžete změnit na 2 (pro 1024bitové MODP), 14 (2048bitové MODP) nebo 15 (3072bitové MODP):

  • vEdge(config)# rozhraní vpn vpn-id číslo ipsec ike
  • vEdge(config-ike)# číslo skupiny

Ve výchozím nastavení používá výměna klíčů IKE pro integritu pokročilé šifrování standardního šifrování CBC AES-256 s algoritmem autentizačního kódu zprávy hash HMAC-SHA1. Autentizaci můžete změnit:

  • vEdge(config)# rozhraní vpn vpn-id číslo ipsec ike
  • vEdge(config-ike)# sada šifrovacích sad

Sada ověřování může být jedna z následujících:

  • aes128-cbc-sha1 – AES-128 pokročilé šifrování standard CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu
  • aes128-cbc-sha2 – AES-128 pokročilé šifrování standard CBC šifrování s HMAC-SHA256 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu
  • aes256-cbc-sha1 – AES-256 pokročilé šifrování standardní CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu; toto je výchozí nastavení.
  • aes256-cbc-sha2 – AES-256 pokročilé šifrování standard CBC šifrování s HMAC-SHA256 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu

Ve výchozím nastavení se klíče IKE obnovují každou 1 hodinu (3600 sekund). Interval opětovného klíče můžete změnit na hodnotu od 30 sekund do 14 dnů (1209600 sekund). Doporučuje se, aby interval opětovného klíče byl alespoň 1 hodina.

  • vEdge(config)# vpn vpn-id rozhraní ipsec číslo podobné
  • vEdge(config-ike)# rekey sekund

Chcete-li vynutit generování nových klíčů pro relaci IKE, zadejte příkaz request ipsec ike-rekey.

  • vEdge(config)# číslo vpn vpn-id interfaceipsec číslo ike

Pro IKE můžete také nakonfigurovat ověřování pomocí předsdíleného klíče (PSK):

  • vEdge(config)# rozhraní vpn vpn-id číslo ipsec ike
  • vEdge(config-ike)# typ autentizace pre-shared-key pre-shared-secret password password je heslo, které se má použít s předsdíleným klíčem. Může to být ASCII nebo hexadecimální řetězec o délce 1 až 127 znaků.

Pokud vzdálený partner IKE vyžaduje místní nebo vzdálené ID, můžete nakonfigurovat tento identifikátor:

  • vEdge(config)# vpn vpn-id rozhraní číslo ipsec ike typ autentizace
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id vzdáleného ID

Identifikátorem může být IP adresa nebo libovolný textový řetězec o délce 1 až 63 znaků. Ve výchozím nastavení je lokální ID zdrojovou IP adresou tunelu a vzdálené ID je cílovou IP adresou tunelu.

Povolit IKE verze 2
Když nakonfigurujete tunel IPsec pro použití IKE verze 2, následující vlastnosti jsou také standardně povoleny pro IKEv2:

  • Autentizace a šifrování – AES-256 pokročilé šifrování standardní CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmem autentizačního kódu zprávy pro integritu
  • Číslo skupiny Diffie-Hellman – 16
  • Časový interval překlíčování — 4 hodiny

IKEv2 standardně používá Diffie-Hellman skupinu 16 ve výměně klíčů IKE. Tato skupina používá 4096bitovou více modulární exponenciální (MODP) skupinu během výměny klíčů IKE. Číslo skupiny můžete změnit na 2 (pro 1024bitové MODP), 14 (2048bitové MODP) nebo 15 (3072bitové MODP):

  • vEdge(config)# rozhraní vpn vpn-id ipsecnumber ike
  • vEdge(config-ike)# číslo skupiny

Ve výchozím nastavení používá výměna klíčů IKE pro integritu pokročilé šifrování standardního šifrování CBC AES-256 s algoritmem autentizačního kódu zprávy hash HMAC-SHA1. Autentizaci můžete změnit:

  • vEdge(config)# rozhraní vpn vpn-id ipsecnumber ike
  • vEdge(config-ike)# sada šifrovacích sad

Sada ověřování může být jedna z následujících:

  • aes128-cbc-sha1 – AES-128 pokročilé šifrování standard CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu
  • aes128-cbc-sha2 – AES-128 pokročilé šifrování standard CBC šifrování s HMAC-SHA256 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu
  • aes256-cbc-sha1 – AES-256 pokročilé šifrování standardní CBC šifrování s HMAC-SHA1 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu; toto je výchozí nastavení.
  • aes256-cbc-sha2 – AES-256 pokročilé šifrování standard CBC šifrování s HMAC-SHA256 klíčovaný-hash algoritmus autentizačního kódu zprávy pro integritu

Ve výchozím nastavení se klíče IKE obnovují každé 4 hodiny (14,400 30 sekund). Interval opětovného klíče můžete změnit na hodnotu od 14 sekund do 1209600 dnů (XNUMX sekund):

  • vEdge(config)# rozhraní vpn vpn-id ipsecnumber ike
  • vEdge(config-ike)# rekey sekund

Chcete-li vynutit generování nových klíčů pro relaci IKE, zadejte příkaz request ipsec ike-rekey. Pro IKE můžete také nakonfigurovat ověřování pomocí předsdíleného klíče (PSK):

  • vEdge(config)# rozhraní vpn vpn-id ipsecnumber ike
  • vEdge(config-ike)# typ autentizace pre-shared-key pre-shared-secret password password je heslo, které se má použít s předsdíleným klíčem. Může to být ASCII nebo hexadecimální řetězec, nebo to může být klíč zašifrovaný AES. Pokud vzdálený partner IKE vyžaduje místní nebo vzdálené ID, můžete nakonfigurovat tento identifikátor:
  • vEdge(config)# rozhraní vpn vpn-id číslo ipsec ike typ autentizace
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id vzdáleného ID

Identifikátorem může být IP adresa nebo libovolný textový řetězec o délce 1 až 64 znaků. Ve výchozím nastavení je lokální ID zdrojovou IP adresou tunelu a vzdálené ID je cílovou IP adresou tunelu.

Nakonfigurujte parametry tunelu IPsec

Tabulka 4: Historie funkcí

Funkce Jméno Informace o vydání Popis
Dodatečné kryptografické Cisco SD-WAN verze 20.1.1 Tato funkce přidává podporu pro
Algoritmická podpora pro IPSec   HMAC_SHA256, HMAC_SHA384 a
Tunely   Algoritmy HMAC_SHA512 pro
    zvýšená bezpečnost.

Ve výchozím nastavení se v tunelu IPsec, který přenáší provoz IKE, používají následující parametry:

  • Autentizace a šifrování – algoritmus AES-256 v GCM (režim Galois/counter)
  • Interval překlíčování — 4 hodiny
  • Okno opakování – 32 paketů

Šifrování v tunelu IPsec můžete změnit na šifru AES-256 v CBC (režim řetězení šifrových bloků, s HMAC pomocí ověřování zpráv pomocí klíče SHA-1 nebo SHA-2 nebo na null s HMAC pomocí buď SHA-1 nebo Ověření pomocí hash zpráv s klíčem SHA-2, aby se nešifroval tunel IPsec používaný pro provoz výměny klíčů IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# šifrovací sada (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-aes-null-sha1 | |. aes256-null-sha256 |.

Ve výchozím nastavení se klíče IKE obnovují každé 4 hodiny (14,400 30 sekund). Interval opětovného klíče můžete změnit na hodnotu od 14 sekund do 1209600 dnů (XNUMX sekund):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey sekund

Chcete-li vynutit generování nových klíčů pro tunel IPsec, zadejte příkaz request ipsec ipsec-rekey. Ve výchozím nastavení je v tunelech IPsec povoleno dokonalé dopředné utajení (PFS), aby bylo zajištěno, že v případě ohrožení budoucích klíčů nebudou ovlivněny minulé relace. PFS vynutí novou výměnu klíčů Diffie-Hellman, ve výchozím nastavení pomocí 4096bitové skupiny primárních modulů Diffie-Hellman. Nastavení PFS můžete změnit:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nastavení pfs perfect-forward-secrecy

Nastavení pfs může být jedno z následujících:

  • skupina-2 – Použijte 1024bitovou skupinu primárního modulu Diffie-Hellman.
  • skupina-14 – Použijte 2048bitovou skupinu primárního modulu Diffie-Hellman.
  • skupina-15 – Použijte 3072bitovou skupinu primárního modulu Diffie-Hellman.
  • skupina-16 – Použijte 4096bitovou skupinu primárního modulu Diffie-Hellman. Toto je výchozí nastavení.
  • none – Zakázat PFS.

Ve výchozím nastavení je okno přehrávání IPsec v tunelu IPsec 512 bajtů. Velikost okna přehrávání můžete nastavit na 64, 128, 256, 512, 1024, 2048 nebo 4096 paketů:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# číslo replay-window

Upravit IKE Dead-Peer Detection

IKE používá mechanismus detekce mrtvých vrstev k určení, zda je připojení k rovnocenné straně IKE funkční a dosažitelné. Pro implementaci tohoto mechanismu odešle IKE paket Hello svému peeru a ten peer odešle jako odpověď potvrzení. IKE standardně posílá Hello pakety každých 10 sekund a po třech nepotvrzených paketech IKE prohlásí souseda za mrtvého a strhne tunel k peerovi. Poté IKE pravidelně odesílá paket Hello partnerovi a obnoví tunel, když se peer vrátí online. Interval detekce živosti můžete změnit na hodnotu od 0 do 65535 a počet opakování můžete změnit na hodnotu od 0 do 255.

Poznámka

U transportních VPN se interval detekce životnosti převádí na sekundy pomocí následujícího vzorce: Interval pro pokus o opakovaný přenos N = interval * 1.8N-1Např.ample, pokud je interval nastaven na 10 a zopakuje se na 5, interval detekce se prodlouží následovně:

  • Pokus 1: 10 * 1.81-1 = 10 sekund
  • Pokus 2: 10 * 1.82-1 = 18 sekund
  • Pokus 3: 10 * 1.83-1 = 32.4 sekund
  • Pokus 4: 10 * 1.84-1 = 58.32 sekund
  • Pokus 5: 10 * 1.85-1 = 104.976 sekund

vEdge(config-interface-ipsecnumber)# počet opakování intervalu detekce dead-peer-detection

Nakonfigurujte další vlastnosti rozhraní

Pro rozhraní tunelu IPsec můžete nakonfigurovat pouze následující další vlastnosti rozhraní:

  • vEdge(config-interface-ipsec)# mtu bajtů
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bajtů

Zakažte slabé algoritmy šifrování SSH v Cisco SD-WAN Manager

Tabulka 5: Tabulka historie funkcí

Funkce Jméno Informace o vydání Funkce Popis
Zakažte slabé algoritmy šifrování SSH v Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Tato funkce umožňuje deaktivovat slabší algoritmy SSH na Cisco SD-WAN Manager, které nemusí splňovat určité standardy zabezpečení dat.

Informace o deaktivaci slabých šifrovacích algoritmů SSH na Cisco SD-WAN Manager
Cisco SD-WAN Manager poskytuje klienta SSH pro komunikaci s komponentami v síti, včetně řadičů a okrajových zařízení. Klient SSH poskytuje šifrované připojení pro bezpečný přenos dat na základě různých šifrovacích algoritmů. Mnoho organizací vyžaduje silnější šifrování, než jaké poskytuje SHA-1, AES-128 a AES-192. Od Cisco vManage Release 20.9.1 můžete zakázat následující slabší šifrovací algoritmy, aby klient SSH tyto algoritmy nepoužíval:

  • SHA-1
  • AES-128
  • AES-192

Před deaktivací těchto šifrovacích algoritmů se ujistěte, že zařízení Cisco vEdge, pokud jsou v síti, používají verzi softwaru pozdější než Cisco SD-WAN Release 18.4.6.

Výhody deaktivace slabých šifrovacích algoritmů SSH na Cisco SD-WAN Manager
Vypnutí slabších šifrovacích algoritmů SSH zlepšuje zabezpečení komunikace SSH a zajišťuje, že organizace používající Cisco Catalyst SD-WAN splňují přísné bezpečnostní předpisy.

Zakažte slabé šifrovací algoritmy SSH na Cisco SD-WAN Manager pomocí CLI

  1. Z nabídky Cisco SD-WAN Manager vyberte Nástroje > SSH Terminál.
  2. Vyberte zařízení Cisco SD-WAN Manager, na kterém chcete deaktivovat slabší algoritmy SSH.
  3. Zadejte uživatelské jméno a heslo pro přihlášení k zařízení.
  4. Vstupte do režimu serveru SSH.
    • vmanage(config)# systém
    • vmanage(config-system)# ssh-server
  5. Chcete-li deaktivovat šifrovací algoritmus SSH, proveďte jednu z následujících akcí:
    • Zakázat SHA-1:
  6. manage(config-ssh-server)# no kex-algo sha1
  7. manage(config-ssh-server)# commit
    Zobrazí se následující varovná zpráva: Byla vygenerována následující varování: 'system ssh-server kex-algo sha1': VAROVÁNÍ: Ujistěte se, že všechny vaše hrany používají verzi kódu > 18.4.6, která s vManage vyjednává lépe než SHA1. Jinak se tyto okraje mohou stát offline. Pokračovat? [ano, ne] ano
    • Ujistěte se, že všechna zařízení Cisco vEdge v síti používají Cisco SD-WAN Release 18.4.6 nebo novější a zadejte ano.
    • Zakázat AES-128 a AES-192:
    • vmanage(config-ssh-server)# žádná šifra aes-128-192
    • vmanage(config-ssh-server)# commit
      Zobrazí se následující varovná zpráva:
      Byla vygenerována následující varování:
      'system ssh-server cipher aes-128-192': VAROVÁNÍ: Ujistěte se, že všechny vaše hrany používají verzi kódu > 18.4.6, která s vManage vyjednává lépe než AES-128-192. Jinak se tyto okraje mohou stát offline. Pokračovat? [ano, ne] ano
    • Ujistěte se, že všechna zařízení Cisco vEdge v síti používají Cisco SD-WAN Release 18.4.6 nebo novější a zadejte ano.

Ověřte, že slabé šifrovací algoritmy SSH jsou v Cisco SD-WAN Manager zakázány pomocí CLI

  1. Z nabídky Cisco SD-WAN Manager vyberte Nástroje > SSH Terminál.
  2. Vyberte zařízení Cisco SD-WAN Manager, které chcete ověřit.
  3. Zadejte uživatelské jméno a heslo pro přihlášení k zařízení.
  4. Spusťte následující příkaz: show running-config system ssh-server
  5. Ujistěte se, že výstup zobrazuje jeden nebo více příkazů, které deaktivují slabší šifrovací algoritmy:
    • žádná šifra aes-128-192
    • žádný kex-algo sha1

Dokumenty / zdroje

CISCO SD-WAN Konfigurace parametrů zabezpečení [pdfUživatelská příručka
SD-WAN Konfigurace parametrů zabezpečení, SD-WAN, Konfigurace parametrů zabezpečení, Parametry zabezpečení

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *