Indhold skjule
1 CISCO SD-WAN Konfigurer sikkerhedsparametre
2 Konfigurer sikkerhedsparametre
3 Konfigurer kontrolplansikkerhedsparametre
4 Konfigurer DTLS i Cisco SD-WAN Manager
5 Konfigurer dataplansikkerhedsparametre
6 Konfigurer tilladte godkendelsestyper
7 Skift genindtastningstimeren
8 Skift størrelsen på Anti-Replay-vinduet
9 Konfigurer en IPsec statisk rute
10 Konfigurer IPsec-tunnelparametre
11 Rediger IKE Dead-Peer Detection
12 Konfigurer andre grænsefladeegenskaber
13 Deaktiver svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
14 Dokumenter/ressourcer
14.1 Referencer

CISCO-LOGO

CISCO SD-WAN Konfigurer sikkerhedsparametre

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurer sikkerhedsparametre

Note

For at opnå forenkling og konsistens er Cisco SD-WAN-løsningen blevet omdøbt til Cisco Catalyst SD-WAN. Derudover er følgende komponentændringer gældende fra Cisco IOS XE SD-WAN Release 17.12.1a og Cisco Catalyst SD-WAN Release 20.12.1: Cisco vManage til Cisco Catalyst SD-WAN Manager, Cisco vAnalytics til Cisco Catalyst SD-WAN Analytics, Cisco vBond til Cisco Catalyst SD-WAN Validator og Cisco vSmart til Cisco Catalyst SD-WAN Controller. Se de seneste udgivelsesbemærkninger for en omfattende liste over alle komponentmærkeændringer. Mens vi går over til de nye navne, kan nogle uoverensstemmelser være til stede i dokumentationssættet på grund af en trinvis tilgang til brugergrænsefladeopdateringerne af softwareproduktet.

Dette afsnit beskriver, hvordan du ændrer sikkerhedsparametre for kontrolplanet og dataplanet i Cisco Catalyst SD-WAN-overlejringsnetværket.

  • Konfigurer kontrolplansikkerhedsparametre, til
  • Konfigurer dataplansikkerhedsparametre, til
  • Konfigurer IKE-aktiverede IPsec-tunneler, tændt
  • Deaktiver svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager, til

Konfigurer kontrolplansikkerhedsparametre

Som standard bruger kontrolplanet DTLS som den protokol, der giver privatlivets fred på alle dets tunneler. DTLS kører over UDP. Du kan ændre kontrolplans sikkerhedsprotokollen til TLS, som kører over TCP. Den primære grund til at bruge TLS er, at hvis du anser Cisco SD-WAN-controlleren for at være en server, beskytter firewalls TCP-servere bedre end UDP-servere. Du konfigurerer kontrolplanets tunnelprotokollen på en Cisco SD-WAN-controller: vSmart(config)# sikkerhedskontrolprotokol tls Med denne ændring går alle kontrolplanetunneller mellem Cisco SD-WAN-controlleren og routerne og mellem Cisco SD-WAN-controlleren og Cisco SD-WAN Manager bruger TLS. Styreplantunneler til Cisco Catalyst SD-WAN Validator bruger altid DTLS, fordi disse forbindelser skal håndteres af UDP. I et domæne med flere Cisco SD-WAN-controllere, når du konfigurerer TLS på en af ​​Cisco SD-WAN-controllerne, bruger alle kontrolplan-tunneler fra den controller til de andre controllere TLS. Sagt på en anden måde har TLS altid forrang over DTLS. Men fra de andre Cisco SD-WAN-controlleres perspektiv, hvis du ikke har konfigureret TLS på dem, bruger de kun TLS på kontrolplanets tunnel til den ene Cisco SD-WAN-controller, og de bruger DTLS-tunneler til alle de andre Cisco SD-WAN-controllere og til alle deres tilsluttede routere. For at få alle Cisco SD-WAN-controllere til at bruge TLS, skal du konfigurere det på dem alle. Som standard lytter Cisco SD-WAN-controlleren på port 23456 efter TLS-anmodninger. For at ændre dette: vSmart(config)# sikkerhedskontrol tls-portnummer Porten kan være et nummer fra 1025 til 65535. Brug kommandoen show control connections på Cisco SD-WAN-controlleren for at vise kontrolplanets sikkerhedsoplysninger. F.eksample: vSmart-2# viser kontrolforbindelser

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurer DTLS i Cisco SD-WAN Manager

Hvis du konfigurerer Cisco SD-WAN Manager til at bruge TLS som kontrolplans sikkerhedsprotokol, skal du aktivere portvideresendelse på din NAT. Hvis du bruger DTLS som kontrolplans sikkerhedsprotokol, behøver du ikke at gøre noget. Antallet af videresendte porte afhænger af antallet af vdaemon-processer, der kører på Cisco SD-WAN Manager. For at vise information om disse processer og om og antallet af porte, der videresendes, skal du bruge kommandoen show control summary viser, at fire dæmonprocesser kører:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

For at se lytteportene skal du bruge kommandoen show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Dette output viser, at den lyttende TCP-port er 23456. Hvis du kører Cisco SD-WAN Manager bag en NAT, skal du åbne følgende porte på NAT-enheden:

  • 23456 (base – instans 0 port)
  • 23456 + 100 (basis + 100)
  • 23456 + 200 (basis + 200)
  • 23456 + 300 (basis + 300)

Bemærk, at antallet af forekomster er det samme som antallet af kerner, du har tildelt til Cisco SD-WAN Manager, op til et maksimum på 8.

Konfigurer sikkerhedsparametre ved hjælp af sikkerhedsfunktionsskabelonen

Brug Sikkerhedsfunktionsskabelonen til alle Cisco vEdge-enheder. På kantroutere og på Cisco SD-WAN Validator skal du bruge denne skabelon til at konfigurere IPsec til dataplansikkerhed. På Cisco SD-WAN Manager og Cisco SD-WAN Controller skal du bruge sikkerhedsfunktionsskabelonen til at konfigurere DTLS eller TLS til kontrolplansikkerhed.

Konfigurer sikkerhedsparametre

  1. I menuen Cisco SD-WAN Manager skal du vælge Konfiguration > Skabeloner.
  2. Klik på Funktionsskabeloner, og klik derefter på Tilføj skabelon.
    Note I Cisco vManage Release 20.7.1 og tidligere udgivelser kaldes Feature Templates Feature.
  3. Vælg en enhed på listen Enheder i venstre rude. Skabelonerne, der gælder for den valgte enhed, vises i højre rude.
  4. Klik på Sikkerhed for at åbne skabelonen.
  5. Indtast et navn til skabelonen i feltet Skabelonnavn. Navnet kan være på op til 128 tegn og kan kun indeholde alfanumeriske tegn.
  6. Indtast en beskrivelse af skabelonen i feltet Skabelonbeskrivelse. Beskrivelsen kan være på op til 2048 tegn og kan kun indeholde alfanumeriske tegn.

Når du første gang åbner en funktionsskabelon, for hver parameter, der har en standardværdi, indstilles omfanget til Standard (angivet med et flueben), og standardindstillingen eller -værdien vises. For at ændre standarden eller indtaste en værdi skal du klikke på rullemenuen omfang til venstre for parameterfeltet og vælge en af ​​følgende:

Tabel 1:

Parameter Omfang Omfangsbeskrivelse
Enhedsspecifik (angivet med et værtsikon) Brug en enhedsspecifik værdi for parameteren. For enhedsspecifikke parametre kan du ikke indtaste en værdi i funktionsskabelonen. Du indtaster værdien, når du vedhæfter en Viptela-enhed til en enhedsskabelon.

Når du klikker på Enhedsspecifik, åbnes boksen Enter Key. Denne boks viser en nøgle, som er en unik streng, der identificerer parameteren i en CSV file som du skaber. Denne file er et Excel-regneark, der indeholder en kolonne for hver nøgle. Overskriftsrækken indeholder nøglenavnene (en nøgle pr. kolonne), og hver række efter det svarer til en enhed og definerer værdierne for nøglerne for den pågældende enhed. Du uploader CSV'en file når du vedhæfter en Viptela-enhed til en enhedsskabelon. For mere information, se Opret et skabelonvariableregneark.

For at ændre standardtasten skal du skrive en ny streng og flytte markøren ud af feltet Enter Key.

Exampfiler af enhedsspecifikke parametre er systemets IP-adresse, værtsnavn, GPS-placering og site-id.
Parameter Omfang Omfangsbeskrivelse
Global (angivet med et globusikon) Indtast en værdi for parameteren, og anvend denne værdi på alle enheder.

Examples af parametre, som du kan anvende globalt på en gruppe af enheder, er DNS-server, syslog-server og interface-MTU'er.

Konfigurer kontrolplansikkerhed

Note
Afsnittet Konfigurer kontrolplansikkerhed gælder kun for Cisco SD-WAN Manager og Cisco SD-WAN Controller. For at konfigurere kontrolplanforbindelsesprotokollen på en Cisco SD-WAN Manager-instans eller en Cisco SD-WAN-controller skal du vælge området Basic Configuration og konfigurer følgende parametre:

Tabel 2:

Parameter Navn Beskrivelse
Protokol Vælg den protokol, der skal bruges på kontrolplanforbindelser til en Cisco SD-WAN-controller:

• DTLS (Datagram Transport Layer Security). Dette er standard.

• TLS (Transport Layer Security)
Styr TLS-port Hvis du valgte TLS, skal du konfigurere portnummeret, der skal bruges:Rækkevidde: 1025 til 65535Misligholdelse: 23456

Klik på Gem

Konfigurer Data Plane Security
For at konfigurere dataplansikkerhed på en Cisco SD-WAN Validator eller en Cisco vEdge-router skal du vælge fanerne Basic Configuration og Authentication Type og konfigurere følgende parametre:

Tabel 3:

Parameter Navn Beskrivelse
Gentast tid Angiv, hvor ofte en Cisco vEdge-router ændrer den AES-nøgle, der bruges på dens sikre DTLS-forbindelse, til Cisco SD-WAN-controlleren. Hvis OMP graceful genstart er aktiveret, skal genindtastningstiden være mindst to gange værdien af ​​OMP graceful genstarttimeren.Rækkevidde: 10 til 1209600 sekunder (14 dage)Misligholdelse: 86400 sekunder (24 timer)
Genafspil vindue Angiv størrelsen på det glidende genafspilningsvindue.

Værdier: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkerMisligholdelse: 512 pakker
IPsec

parvis-tastning

 Dette er slået fra som standard. Klik On at tænde den.
Parameter Navn Beskrivelse
Godkendelsestype Vælg godkendelsestyperne fra Autentificering Liste, og klik på pilen, der peger til højre for at flytte godkendelsestyperne til Valgt liste kolonne.

Godkendelsestyper understøttet fra Cisco SD-WAN Release 20.6.1:

•  esp: Aktiverer Encapsulating Security Payload (ESP)-kryptering og integritetskontrol på ESP-headeren.

•  ip-udp-esp: Aktiverer ESP-kryptering. Ud over integritetskontrollerne på ESP-headeren og nyttelasten inkluderer kontrollerne også de ydre IP- og UDP-headers.

•  ip-udp-esp-no-id: Ignorerer ID-feltet i IP-headeren, så Cisco Catalyst SD-WAN kan fungere sammen med ikke-Cisco-enheder.

•  ingen: Slår integritetsafkrydsning fra på IPSec-pakker. Vi anbefaler ikke at bruge denne mulighed.

 

Godkendelsestyper understøttet i Cisco SD-WAN Release 20.5.1 og tidligere:

•  ah-nej-id: Aktiver en forbedret version af AH-SHA1 HMAC og ESP HMAC-SHA1, der ignorerer ID-feltet i pakkens ydre IP-header.

•  ah-sha1-hmac: Aktiver AH-SHA1 HMAC og ESP HMAC-SHA1.

•  ingen: Vælg ingen godkendelse.

•  sha1-hmac: Aktiver ESP HMAC-SHA1.

 

Note              For en edge-enhed, der kører på Cisco SD-WAN Release 20.5.1 eller tidligere, har du muligvis konfigureret godkendelsestyper ved hjælp af en Sikkerhed skabelon. Når du opgraderer enheden til Cisco SD-WAN Release 20.6.1 eller nyere, skal du opdatere de valgte godkendelsestyper i Sikkerhed skabelon til de godkendelsestyper, der understøttes af Cisco SD-WAN Release 20.6.1. Gør følgende for at opdatere godkendelsestyperne:

1.      Fra Cisco SD-WAN Manager-menuen skal du vælge Konfiguration >

Skabeloner.

2.      Klik Funktionsskabeloner.

3.      Find Sikkerhed skabelon for at opdatere og klik ... og klik Redigere.

4.      Klik Opdatering. Ændre ikke nogen konfiguration.

Cisco SD-WAN Manager opdaterer Sikkerhed skabelon for at vise de understøttede godkendelsestyper.

Klik på Gem.

Konfigurer dataplansikkerhedsparametre

I dataplanet er IPsec aktiveret som standard på alle routere, og som standard bruger IPsec-tunnelforbindelser en forbedret version af ESP-protokollen (Encapsulating Security Payload) til godkendelse på IPsec-tunneler. På routerne kan du ændre typen af ​​godkendelse, IPsec-genindtastningstimeren og størrelsen på IPsec anti-genafspilningsvinduet.

Konfigurer tilladte godkendelsestyper

Godkendelsestyper i Cisco SD-WAN version 20.6.1 og nyere
Fra Cisco SD-WAN Release 20.6.1 understøttes følgende integritetstyper:

  • esp: Denne indstilling aktiverer Encapsulating Security Payload (ESP)-kryptering og integritetskontrol på ESP-headeren.
  • ip-udp-esp: Denne mulighed aktiverer ESP-kryptering. Ud over integritetskontrollerne på ESP-headeren og nyttelasten inkluderer kontrollerne også de ydre IP- og UDP-headere.
  • ip-udp-esp-no-id: Denne mulighed ligner ip-udp-esp, dog ignoreres ID-feltet i den ydre IP-header. Konfigurer denne indstilling på listen over integritetstyper, så Cisco Catalyst SD-WAN-softwaren ignorerer ID-feltet i IP-headeren, så Cisco Catalyst SD-WAN kan fungere sammen med ikke-Cisco-enheder.
  • ingen: Denne indstilling slår integritetsafkrydsning fra på IPSec-pakker. Vi anbefaler ikke at bruge denne mulighed.

Som standard bruger IPsec-tunnelforbindelser en forbedret version af ESP-protokollen (Encapsulating Security Payload) til godkendelse. For at ændre de forhandlede integritetstyper eller for at deaktivere integritetstjek skal du bruge følgende kommando: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Godkendelsestyper før Cisco SD-WAN udgivelse 20.6.1
Som standard bruger IPsec-tunnelforbindelser en forbedret version af ESP-protokollen (Encapsulating Security Payload) til godkendelse. For at ændre de forhandlede godkendelsestyper eller for at deaktivere godkendelse skal du bruge følgende kommando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Som standard, IPsec tunnelforbindelser bruger AES-GCM-256, som giver både kryptering og autentificering. Konfigurer hver godkendelsestype med en separat sikkerheds-ipsec-godkendelsestype-kommando. Kommandoindstillingerne er knyttet til følgende godkendelsestyper, som er anført i rækkefølge fra stærkest til mindst stærke:

Note
Sha1 i konfigurationsmulighederne bruges af historiske årsager. Godkendelsesmulighederne angiver, hvor meget af pakkens integritetskontrol er udført. De specificerer ikke den algoritme, der kontrollerer integriteten. Bortset fra kryptering af multicast-trafik, bruger godkendelsesalgoritmerne, der understøttes af Cisco Catalyst SD WAN, ikke SHA1. Men i Cisco SD-WAN Release 20.1.x og frem, bruger både unicast og multicast ikke SHA1.

  • ah-sha1-hmac muliggør kryptering og indkapsling ved hjælp af ESP. Men ud over integritetstjekket på ESP-headeren og nyttelasten inkluderer kontrollen også de ydre IP- og UDP-headers. Derfor understøtter denne mulighed en integritetskontrol af pakken svarende til Authentication Header (AH)-protokollen. Al integritet og kryptering udføres ved hjælp af AES-256-GCM.
  • ah-no-id aktiverer en tilstand, der ligner ah-sha1-hmac, dog ignoreres ID-feltet i den ydre IP-header. Denne indstilling rummer nogle ikke-Cisco Catalyst SD-WAN-enheder, inklusive Apple AirPort Express NAT, der har en fejl, der får ID-feltet i IP-headeren, et felt, der ikke kan ændres, til at blive ændret. Konfigurer indstillingen ah-no-id på listen over godkendelsestyper, så Cisco Catalyst SD-WAN AH-softwaren ignorerer ID-feltet i IP-headeren, så Cisco Catalyst SD-WAN-softwaren kan fungere sammen med disse enheder.
  • sha1-hmac muliggør ESP-kryptering og integritetskontrol.
  • ingen kort til ingen godkendelse. Denne mulighed bør kun bruges, hvis den er påkrævet til midlertidig fejlretning. Du kan også vælge denne mulighed i situationer, hvor dataplangodkendelse og integritet ikke er et problem. Cisco anbefaler ikke at bruge denne mulighed til produktionsnetværk.

For oplysninger om, hvilke datapakkefelter der er påvirket af disse godkendelsestyper, se Dataplanintegritet. Cisco IOS XE Catalyst SD-WAN-enheder og Cisco vEdge-enheder annoncerer deres konfigurerede godkendelsestyper i deres TLOC-egenskaber. De to routere på hver side af en IPsec-tunnelforbindelse forhandler den godkendelse, der skal bruges på forbindelsen mellem dem, ved at bruge den stærkeste godkendelsestype, der er konfigureret på begge routere. F.eksample, hvis en router annoncerer ah-sha1-hmac og ah-no-id-typerne, og en anden router annoncerer ah-no-id-typen, forhandler de to routere om at bruge ah-no-id på IPsec-tunnelforbindelsen mellem dem. Hvis der ikke er konfigureret nogen almindelige godkendelsestyper på de to peers, etableres der ingen IPsec-tunnel mellem dem. Krypteringsalgoritmen på IPsec-tunnelforbindelser afhænger af typen af ​​trafik:

  • For unicast-trafik er krypteringsalgoritmen AES-256-GCM.
  • For multicast-trafik:
  • Cisco SD-WAN Release 20.1.x og nyere – krypteringsalgoritmen er AES-256-GCM
  • Tidligere udgivelser – krypteringsalgoritmen er AES-256-CBC med SHA1-HMAC.

Når IPsec-godkendelsestypen ændres, ændres AES-nøglen for datastien.

Skift genindtastningstimeren

Før Cisco IOS XE Catalyst SD-WAN-enheder og Cisco vEdge-enheder kan udveksle datatrafik, opsætter de en sikker godkendt kommunikationskanal mellem dem. Routerne bruger IPSec-tunneler mellem dem som kanalen og AES-256-kryptering til at udføre kryptering. Hver router genererer en ny AES-nøgle til sin datasti med jævne mellemrum. Som standard er en nøgle gyldig i 86400 sekunder (24 timer), og timerintervallet er 10 sekunder til 1209600 sekunder (14 dage). For at ændre gennøgletimerværdien: Device(config)# security ipsec rekey seconds Konfigurationen ser sådan ud:

  • sikkerhed ipsec rekey sekunder!

Hvis du vil generere nye IPsec-nøgler med det samme, kan du gøre det uden at ændre konfigurationen af ​​routeren. For at gøre dette skal du udstede kommandoen request security ipsecrekey på den kompromitterede router. F.eksample, viser følgende output, at den lokale SA har et Security Parameter Index (SPI) på 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

En unik nøgle er knyttet til hver SPI. Hvis denne nøgle er kompromitteret, skal du bruge kommandoen request security ipsec-rekey til at generere en ny nøgle med det samme. Denne kommando øger SPI. I vores eksample, ændres SPI til 257, og nøglen, der er knyttet til den, bruges nu:

  • Device# request security ipsecrekey
  • Enhed# vis ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Når den nye nøgle er genereret, sender routeren den straks til Cisco SD-WAN-controllere ved hjælp af DTLS eller TLS. Cisco SD-WAN-controllerne sender nøglen til peer-routerne. Routerne begynder at bruge det, så snart de modtager det. Bemærk, at nøglen, der er knyttet til den gamle SPI (256), vil fortsætte med at blive brugt i kort tid, indtil den timeout. Hvis du vil stoppe med at bruge den gamle nøgle med det samme, skal du udstede kommandoen request security ipsec-rekey to gange hurtigt efter hinanden. Denne sekvens af kommandoer fjerner både SPI 256 og 257 og indstiller SPI til 258. Routeren bruger derefter den tilknyttede nøgle til SPI 258. Bemærk dog, at nogle pakker vil blive droppet i en kort periode, indtil alle fjernroutere lærer den nye nøgle.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Skift størrelsen på Anti-Replay-vinduet

IPsec-godkendelse giver beskyttelse mod genafspilning ved at tildele et unikt sekvensnummer til hver pakke i en datastrøm. Denne sekvensnummerering beskytter mod, at en hacker duplikerer datapakker. Med anti-genafspilningsbeskyttelse tildeler afsenderen monotont stigende sekvensnumre, og destinationen kontrollerer disse sekvensnumre for at detektere dubletter. Fordi pakker ofte ikke ankommer i rækkefølge, opretholder destinationen et glidende vindue med sekvensnumre, som den vil acceptere.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakker med sekvensnumre, der falder til venstre for det glidende vinduesområde, betragtes som gamle eller dubletter, og destinationen dropper dem. Destinationen sporer det højeste sekvensnummer, den har modtaget, og justerer det glidende vindue, når den modtager en pakke med en højere værdi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Som standard er det glidende vindue indstillet til 512 pakker. Den kan indstilles til enhver værdi mellem 64 og 4096, der er en potens af 2 (det vil sige 64, 128, 256, 512, 1024, 2048 eller 4096). For at ændre størrelsen på anti-genafspilningsvinduet skal du bruge kommandoen genafspilningsvindue, som angiver vinduets størrelse:

Device(config)# security ipsec replay-window nummer

Konfigurationen ser sådan ud:
sikkerhed ipsec replay-vindue nummer! !

For at hjælpe med QoS opretholdes separate genafspilningsvinduer for hver af de første otte trafikkanaler. Den konfigurerede afspilningsvinduesstørrelse divideres med otte for hver kanal. Hvis QoS er konfigureret på en router, kan denne router opleve et større antal pakkefald end forventet som følge af IPsec-anti-genafspilningsmekanismen, og mange af de pakker, der droppes, er legitime. Dette sker, fordi QoS ombestiller pakker, hvilket giver pakker med højere prioritet præferencebehandling og forsinker pakker med lavere prioritet. For at minimere eller forhindre denne situation kan du gøre følgende:

  • Forøg størrelsen af ​​anti-genafspilningsvinduet.
  • Konstruer trafik til de første otte trafikkanaler for at sikre, at trafikken i en kanal ikke omorganiseres.

Konfigurer IKE-aktiverede IPsec-tunneler
For sikkert at overføre trafik fra overlejringsnetværket til et servicenetværk kan du konfigurere IPsec-tunneler, der kører IKE-protokollen (Internet Key Exchange). IKE-aktiverede IPsec-tunneler giver godkendelse og kryptering for at sikre sikker pakketransport. Du opretter en IKE-aktiveret IPsec-tunnel ved at konfigurere en IPsec-grænseflade. IPsec-grænseflader er logiske grænseflader, og du konfigurerer dem ligesom enhver anden fysisk grænseflade. Du konfigurerer IKE-protokolparametre på IPsec-grænsefladen, og du kan konfigurere andre grænsefladeegenskaber.

Note Cisco anbefaler at bruge IKE version 2. Fra Cisco SD-WAN 19.2.x-udgivelsen og fremefter skal den foruddelte nøgle være mindst 16 bytes lang. IPsec-tunneletableringen mislykkes, hvis nøglestørrelsen er mindre end 16 tegn, når routeren opgraderes til version 19.2.

Note
Cisco Catalyst SD-WAN-softwaren understøtter IKE Version 2 som defineret i RFC 7296. En anvendelse af IPsec-tunneler er at tillade vEdge Cloud-router VM-instanser, der kører på Amazon AWS, at oprette forbindelse til Amazon Virtual Private Cloud (VPC). Du skal konfigurere IKE Version 1 på disse routere. Cisco vEdge-enheder understøtter kun rutebaserede VPN'er i en IPSec-konfiguration, fordi disse enheder ikke kan definere trafikvælgere i krypteringsdomænet.

Konfigurer en IPsec-tunnel
For at konfigurere en IPsec-tunnelgrænseflade til sikker transporttrafik fra et servicenetværk opretter du en logisk IPsec-grænseflade:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Du kan oprette IPsec-tunnelen i transport-VPN (VPN 0) og i enhver tjeneste-VPN (VPN 1 til 65530, undtagen 512). IPsec-grænsefladen har et navn i formatet ipsecnumber, hvor nummer kan være fra 1 til 255. Hver IPsec-grænseflade skal have en IPv4-adresse. Denne adresse skal være et /30 præfiks. Al trafik i VPN'en, der er inden for dette IPv4-præfiks, dirigeres til en fysisk grænseflade i VPN 0 for at blive sendt sikkert over en IPsec-tunnel. For at konfigurere kilden til IPsec-tunnelen på den lokale enhed kan du angive enten IP-adressen på den fysiske grænseflade (i tunnel-source-kommandoen) eller navnet på den fysiske grænseflade (i tunnel-source-interface-kommandoen). Sørg for, at den fysiske grænseflade er konfigureret i VPN 0. For at konfigurere destinationen for IPsec-tunnelen skal du angive IP-adressen på fjernenheden i kommandoen tunnel-destination. Kombinationen af ​​en kildeadresse (eller kildegrænsefladenavn) og en destinationsadresse definerer en enkelt IPsec-tunnel. Der kan kun eksistere én IPsec-tunnel, der bruger en specifik kildeadresse (eller grænsefladenavn) og destinationsadressepar.

Konfigurer en IPsec statisk rute

For at dirigere trafik fra tjenesten VPN til en IPsec-tunnel i transport-VPN (VPN 0), konfigurerer du en IPsec-specifik statisk rute i en tjeneste-VPN (en anden VPN end VPN 0 eller VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-rutepræfiks/længde vpn 0-grænseflade
  • ipsecnumber [ipsecnumber2]

VPN-id'et er det for enhver tjeneste-VPN (VPN 1 til 65530, undtagen 512). præfiks/længde er IP-adressen eller præfikset i decimalnotation med fire punkter og præfikslængden af ​​den IPsec-specifikke statiske rute. Interfacet er IPsec-tunnelgrænsefladen i VPN 0. Du kan konfigurere en eller to IPsec-tunnelgrænseflader. Hvis du konfigurerer to, er den første den primære IPsec-tunnel, og den anden er backup. Med to grænseflader sendes alle pakker kun til den primære tunnel. Hvis den tunnel fejler, sendes alle pakker til den sekundære tunnel. Hvis den primære tunnel kommer op igen, flyttes al trafik tilbage til den primære IPsec-tunnel.

Aktiver IKE version 1
Når du opretter en IPsec-tunnel på en vEdge-router, er IKE Version 1 som standard aktiveret på tunnelgrænsefladen. Følgende egenskaber er også aktiveret som standard for IKEv1:

  • Godkendelse og kryptering - AES-256 avanceret krypteringsstandard CBC-kryptering med HMAC-SHA1-nøglehash-meddelelsesgodkendelseskodealgoritmen for integritet
  • Diffie-Hellman gruppenummer—16
  • Genindtastningstidsinterval - 4 timer
  • SA etableringstilstand – Hoved

Som standard bruger IKEv1 IKE hovedtilstand til at etablere IKE SA'er. I denne tilstand udveksles seks forhandlingspakker for at etablere SA. Aktiver aggressiv tilstand for kun at udveksle tre forhandlingspakker:

Note
IKE aggressiv tilstand med foruddelte nøgler bør undgås hvor det er muligt. Ellers bør en stærk foruddelt nøgle vælges.

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# tilstand aggressiv

Som standard bruger IKEv1 Diffie-Hellman gruppe 16 i IKE-nøgleudvekslingen. Denne gruppe bruger den 4096-bit mere modulære eksponentielle (MODP) gruppe under IKE-nøgleudveksling. Du kan ændre gruppenummeret til 2 (for 1024-bit MODP), 14 (2048-bit MODP) eller 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# gruppenummer

Som standard bruger IKE-nøgleudveksling AES-256 avanceret krypteringsstandard CBC-kryptering med HMAC-SHA1-nøglehash-beskedgodkendelseskodealgoritmen for integritet. Du kan ændre godkendelsen:

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# cipher-suite suite

Godkendelsespakken kan være en af ​​følgende:

  • aes128-cbc-sha1—AES-128 avanceret kryptering standard CBC-kryptering med HMAC-SHA1 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet
  • aes128-cbc-sha2—AES-128 avanceret kryptering standard CBC-kryptering med HMAC-SHA256 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet
  • aes256-cbc-sha1—AES-256 avanceret kryptering standard CBC-kryptering med HMAC-SHA1 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet; dette er standard.
  • aes256-cbc-sha2—AES-256 avanceret kryptering standard CBC-kryptering med HMAC-SHA256 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet

Som standard opdateres IKE-nøgler hver 1. time (3600 sekunder). Du kan ændre genindtastningsintervallet til en værdi fra 30 sekunder til 14 dage (1209600 sekunder). Det anbefales, at gentastningsintervallet er mindst 1 time.

  • vEdge(config)# vpn vpn-id interface ipsec nummer som
  • vEdge(config-ike)# gentast sekunder

For at fremtvinge generering af nye nøgler til en IKE-session skal du udstede kommandoen request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec nummer ike

For IKE kan du også konfigurere PSK-godkendelse (preshared key):

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password er adgangskoden til at bruge med den foruddelte nøgle. Det kan være en ASCII eller en hexadecimal streng fra 1 til 127 tegn lang.

Hvis den eksterne IKE-peer kræver et lokalt eller fjern-id, kan du konfigurere denne identifikator:

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifikationen kan være en IP-adresse eller en hvilken som helst tekststreng fra 1 til 63 tegn lang. Som standard er det lokale ID tunnelens kilde-IP-adresse, og fjern-id'et er tunnelens destinations-IP-adresse.

Aktiver IKE version 2
Når du konfigurerer en IPsec-tunnel til at bruge IKE Version 2, er følgende egenskaber også aktiveret som standard for IKEv2:

  • Godkendelse og kryptering - AES-256 avanceret krypteringsstandard CBC-kryptering med HMAC-SHA1-nøglehash-meddelelsesgodkendelseskodealgoritmen for integritet
  • Diffie-Hellman gruppenummer—16
  • Genindtastningstidsinterval - 4 timer

Som standard bruger IKEv2 Diffie-Hellman gruppe 16 i IKE-nøgleudvekslingen. Denne gruppe bruger den 4096-bit mere modulære eksponentielle (MODP) gruppe under IKE-nøgleudveksling. Du kan ændre gruppenummeret til 2 (for 1024-bit MODP), 14 (2048-bit MODP) eller 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# gruppenummer

Som standard bruger IKE-nøgleudveksling AES-256 avanceret krypteringsstandard CBC-kryptering med HMAC-SHA1-nøglehash-beskedgodkendelseskodealgoritmen for integritet. Du kan ændre godkendelsen:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Godkendelsespakken kan være en af ​​følgende:

  • aes128-cbc-sha1—AES-128 avanceret kryptering standard CBC-kryptering med HMAC-SHA1 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet
  • aes128-cbc-sha2—AES-128 avanceret kryptering standard CBC-kryptering med HMAC-SHA256 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet
  • aes256-cbc-sha1—AES-256 avanceret kryptering standard CBC-kryptering med HMAC-SHA1 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet; dette er standard.
  • aes256-cbc-sha2—AES-256 avanceret kryptering standard CBC-kryptering med HMAC-SHA256 keyed-hash meddelelsesgodkendelseskodealgoritme for integritet

Som standard opdateres IKE-nøgler hver 4. time (14,400 sekunder). Du kan ændre genindtastningsintervallet til en værdi fra 30 sekunder til 14 dage (1209600 sekunder):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# gentast sekunder

For at fremtvinge generering af nye nøgler til en IKE-session skal du udstede kommandoen request ipsec ike-rekey. For IKE kan du også konfigurere PSK-godkendelse (preshared key):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password er adgangskoden til at bruge med den foruddelte nøgle. Det kan være en ASCII eller en hexadecimal streng, eller det kan være en AES-krypteret nøgle. Hvis den eksterne IKE-peer kræver et lokalt eller fjern-id, kan du konfigurere denne identifikator:
  • vEdge(config)# vpn vpn-id interface ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifikationen kan være en IP-adresse eller en hvilken som helst tekststreng fra 1 til 64 tegn lang. Som standard er det lokale ID tunnelens kilde-IP-adresse, og fjern-id'et er tunnelens destinations-IP-adresse.

Konfigurer IPsec-tunnelparametre

Tabel 4: Funktionshistorik

Feature Navn Udgivelsesoplysninger Beskrivelse
Yderligere kryptografisk Cisco SD-WAN udgivelse 20.1.1 Denne funktion tilføjer understøttelse af
Algoritmisk support til IPSec   HMAC_SHA256, HMAC_SHA384 og
Tunneler   HMAC_SHA512 algoritmer til
    øget sikkerhed.

Som standard bruges følgende parametre på IPsec-tunnelen, der fører IKE-trafik:

  • Autentificering og kryptering - AES-256-algoritme i GCM (Galois/tællertilstand)
  • Gentastningsinterval - 4 timer
  • Genafspilningsvindue—32 pakker

Du kan ændre krypteringen på IPsec-tunnelen til AES-256-krypteringen i CBC (chifferblok-kæde-tilstand, med HMAC ved hjælp af enten SHA-1 eller SHA-2 keyed-hash-beskedgodkendelse eller til null med HMAC ved hjælp af enten SHA-1 eller SHA-2 keyed-hash meddelelsesgodkendelse, for ikke at kryptere IPsec-tunnelen, der bruges til IKE-nøgleudvekslingstrafik:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | aes256-null-sha256n | |. aes256-null-sha384 |.

Som standard opdateres IKE-nøgler hver 4. time (14,400 sekunder). Du kan ændre genindtastningsintervallet til en værdi fra 30 sekunder til 14 dage (1209600 sekunder):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# gentast sekunder

For at fremtvinge generering af nye nøgler til en IPsec-tunnel skal du udstede kommandoen request ipsec ipsec-rekey. Som standard er perfekt fremadrettet hemmeligholdelse (PFS) aktiveret på IPsec-tunneler for at sikre, at tidligere sessioner ikke påvirkes, hvis fremtidige nøgler kompromitteres. PFS fremtvinger en ny Diffie-Hellman nøgleudveksling, som standard ved hjælp af 4096-bit Diffie-Hellman prime modulgruppen. Du kan ændre PFS-indstillingen:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-indstilling kan være en af ​​følgende:

  • gruppe-2—Brug 1024-bit Diffie-Hellman prime modulus-gruppen.
  • gruppe-14—Brug 2048-bit Diffie-Hellman prime modulus-gruppen.
  • gruppe-15—Brug 3072-bit Diffie-Hellman prime modulus-gruppen.
  • gruppe-16—Brug 4096-bit Diffie-Hellman prime modulus-gruppen. Dette er standard.
  • ingen – Deaktiver PFS.

Som standard er IPsec-genafspilningsvinduet på IPsec-tunnelen 512 bytes. Du kan indstille afspilningsvinduets størrelse til 64, 128, 256, 512, 1024, 2048 eller 4096 pakker:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nummer på genafspilningsvinduet

Rediger IKE Dead-Peer Detection

IKE bruger en dead-peer-detektionsmekanisme til at bestemme, om forbindelsen til en IKE-peer er funktionel og tilgængelig. For at implementere denne mekanisme sender IKE en Hello-pakke til sin peer, og peeren sender en bekræftelse som svar. Som standard sender IKE Hello-pakker hvert 10. sekund, og efter tre ikke-bekræftede pakker erklærer IKE naboen for død og river tunnelen ned til peeren. Derefter sender IKE med jævne mellemrum en Hello-pakke til peeren og genetablerer tunnelen, når peeren kommer online igen. Du kan ændre intervallet for registrering af livlighed til en værdi fra 0 til 65535, og du kan ændre antallet af genforsøg til en værdi fra 0 til 255.

Note

For transport-VPN'er konverteres liveness-detektionsintervallet til sekunder ved at bruge følgende formel: Interval for gentransmissionsforsøg nummer N = interval * 1.8N-1For f.eks.ample, hvis intervallet er indstillet til 10 og forsøger igen til 5, øges detektionsintervallet som følger:

  • Forsøg 1: 10 * 1.81-1= 10 sekunder
  • Forsøg 2: 10 * 1.82-1= 18 sekunder
  • Forsøg 3: 10 * 1.83-1= 32.4 sekunder
  • Forsøg 4: 10 * 1.84-1= 58.32 sekunder
  • Forsøg 5: 10 * 1.85-1= 104.976 sekunder

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval genforsøg nummer

Konfigurer andre grænsefladeegenskaber

For IPsec-tunnelgrænseflader kan du kun konfigurere følgende yderligere grænsefladeegenskaber:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Deaktiver svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager

Tabel 5: Funktionshistoriktabel

Feature Navn Udgivelsesoplysninger Feature Beskrivelse
Deaktiver svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager Cisco vManage udgivelse 20.9.1 Denne funktion giver dig mulighed for at deaktivere svagere SSH-algoritmer på Cisco SD-WAN Manager, som muligvis ikke overholder visse datasikkerhedsstandarder.

Oplysninger om deaktivering af svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Cisco SD-WAN Manager leverer en SSH-klient til kommunikation med komponenter i netværket, herunder controllere og edge-enheder. SSH-klienten giver en krypteret forbindelse til sikker dataoverførsel, baseret på en række forskellige krypteringsalgoritmer. Mange organisationer kræver stærkere kryptering end den, der leveres af SHA-1, AES-128 og AES-192. Fra Cisco vManage Release 20.9.1 kan du deaktivere følgende svagere krypteringsalgoritmer, så en SSH-klient ikke bruger disse algoritmer:

  • SHA-1
  • AES-128
  • AES-192

Før du deaktiverer disse krypteringsalgoritmer, skal du sikre dig, at Cisco vEdge-enheder, hvis nogen, på netværket bruger en softwareudgivelse, der er senere end Cisco SD-WAN Release 18.4.6.

Fordele ved at deaktivere svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Deaktivering af svagere SSH-krypteringsalgoritmer forbedrer sikkerheden for SSH-kommunikation og sikrer, at organisationer, der bruger Cisco Catalyst SD-WAN, overholder strenge sikkerhedsbestemmelser.

Deaktiver svage SSH-krypteringsalgoritmer på Cisco SD-WAN Manager ved hjælp af CLI

  1. Fra Cisco SD-WAN Manager-menuen skal du vælge Værktøjer > SSH-terminal.
  2. Vælg den Cisco SD-WAN Manager-enhed, som du ønsker at deaktivere svagere SSH-algoritmer på.
  3. Indtast brugernavn og adgangskode for at logge på enheden.
  4. Gå ind i SSH-servertilstand.
    • vmanage(config)# system
    • vmanage(config-system)# ssh-server
  5. Gør et af følgende for at deaktivere en SSH-krypteringsalgoritme:
    • Deaktiver SHA-1:
  6. administrere(config-ssh-server)# ingen kex-algo sha1
  7. administrere(config-ssh-server)# commit
    Følgende advarselsmeddelelse vises: Følgende advarsler blev genereret: 'system ssh-server kex-algo sha1': ADVARSEL: Sørg for, at alle dine edges kører kodeversion > 18.4.6, som forhandler bedre end SHA1 med vManage. Ellers kan disse kanter blive offline. Fortsætte? [ja, nej] ja
    • Sørg for, at alle Cisco vEdge-enheder på netværket kører Cisco SD-WAN Release 18.4.6 eller nyere, og indtast ja.
    • Deaktiver AES-128 og AES-192:
    • vmanage(config-ssh-server)# ingen cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Følgende advarselsmeddelelse vises:
      Følgende advarsler blev genereret:
      'system ssh-server cipher aes-128-192': ADVARSEL: Sørg for, at alle dine edges kører kodeversion > 18.4.6, som forhandler bedre end AES-128-192 med vManage. Ellers kan disse kanter blive offline. Fortsætte? [ja, nej] ja
    • Sørg for, at alle Cisco vEdge-enheder på netværket kører Cisco SD-WAN Release 18.4.6 eller nyere, og indtast ja.

Bekræft, at svage SSH-krypteringsalgoritmer er deaktiveret på Cisco SD-WAN Manager ved hjælp af CLI

  1. Fra Cisco SD-WAN Manager-menuen skal du vælge Værktøjer > SSH-terminal.
  2. Vælg den Cisco SD-WAN Manager-enhed, du ønsker at bekræfte.
  3. Indtast brugernavn og adgangskode for at logge på enheden.
  4. Kør følgende kommando: show running-config system ssh-server
  5. Bekræft, at outputtet viser en eller flere af kommandoerne, der deaktiverer svagere krypteringsalgoritmer:
    • ingen chiffer aes-128-192
    • ingen kex-algo sha1

Dokumenter/ressourcer

CISCO SD-WAN Konfigurer sikkerhedsparametre [pdfBrugervejledning
SD-WAN Konfigurer sikkerhedsparametre, SD-WAN, Konfigurer sikkerhedsparametre, sikkerhedsparametre

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *