Inhalt verstecken
1 CISCO SD-WAN Sicherheitsparameter konfigurieren
2 Konfigurieren Sie Sicherheitsparameter
3 Konfigurieren Sie die Sicherheitsparameter der Steuerungsebene
4 Konfigurieren Sie DTLS im Cisco SD-WAN Manager
5 Konfigurieren Sie die Sicherheitsparameter der Datenebene
6 Konfigurieren Sie zulässige Authentifizierungstypen
7 Ändern Sie den Rekeying-Timer
8 Ändern Sie die Größe des Anti-Replay-Fensters
9 Konfigurieren Sie eine statische IPsec-Route
10 Konfigurieren Sie die IPsec-Tunnelparameter
11 Ändern Sie die IKE-Dead-Peer-Erkennung
12 Konfigurieren Sie andere Schnittstelleneigenschaften
13 Deaktivieren Sie schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager
14 Dokumente / Ressourcen
14.1 Verweise

CISCO-LOGO

CISCO SD-WAN Sicherheitsparameter konfigurieren

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurieren Sie Sicherheitsparameter

Notiz

Um Vereinfachung und Konsistenz zu erreichen, wurde die Cisco SD-WAN-Lösung in Cisco Catalyst SD-WAN umbenannt. Darüber hinaus gelten ab Cisco IOS Analytics, Cisco vBond zu Cisco Catalyst SD-WAN Validator und Cisco vSmart zu Cisco Catalyst SD-WAN Controller. Eine umfassende Liste aller Markennamenänderungen der Komponenten finden Sie in den neuesten Versionshinweisen. Während wir auf die neuen Namen umsteigen, kann es zu Inkonsistenzen in der Dokumentation kommen, da die Aktualisierungen der Benutzeroberfläche des Softwareprodukts schrittweise erfolgen.

In diesem Abschnitt wird beschrieben, wie Sie Sicherheitsparameter für die Steuerungsebene und die Datenebene im Cisco Catalyst SD-WAN-Overlay-Netzwerk ändern.

  • Konfigurieren Sie die Sicherheitsparameter der Steuerungsebene
  • Konfigurieren Sie die Sicherheitsparameter der Datenebene
  • Konfigurieren Sie IKE-fähige IPsec-Tunnel
  • Deaktivieren Sie schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager

Konfigurieren Sie die Sicherheitsparameter der Steuerungsebene

Standardmäßig verwendet die Steuerungsebene DTLS als Protokoll, das für Datenschutz in allen Tunneln sorgt. DTLS läuft über UDP. Sie können das Sicherheitsprotokoll der Steuerungsebene in TLS ändern, das über TCP ausgeführt wird. Der Hauptgrund für die Verwendung von TLS besteht darin, dass Firewalls TCP-Server besser schützen als UDP-Server, wenn Sie den Cisco SD-WAN Controller als Server betrachten. Sie konfigurieren das Control-Plane-Tunnelprotokoll auf einem Cisco SD-WAN Controller: vSmart(config)# security control Protocol tls Mit dieser Änderung werden alle Control-Plane-Tunnel zwischen dem Cisco SD-WAN Controller und den Routern sowie zwischen dem Cisco SD-WAN Controller durchgeführt und Cisco SD-WAN Manager verwenden TLS. Control-Plane-Tunnel zum Cisco Catalyst SD-WAN Validator verwenden immer DTLS, da diese Verbindungen über UDP abgewickelt werden müssen. Wenn Sie in einer Domäne mit mehreren Cisco SD-WAN Controllern TLS auf einem der Cisco SD-WAN Controller konfigurieren, verwenden alle Control-Plane-Tunnel von diesem Controller zu den anderen Controllern TLS. Anders ausgedrückt: TLS hat immer Vorrang vor DTLS. Wenn Sie jedoch aus Sicht der anderen Cisco SD-WAN-Controller kein TLS auf ihnen konfiguriert haben, verwenden sie TLS auf dem Control-Plane-Tunnel nur zu diesem einen Cisco SD-WAN-Controller und verwenden DTLS-Tunnel zu allen anderen Cisco SD-WAN Controller und alle damit verbundenen Router. Damit alle Cisco SD-WAN Controller TLS verwenden, konfigurieren Sie es auf allen. Standardmäßig überwacht der Cisco SD-WAN Controller Port 23456 auf TLS-Anfragen. Um dies zu ändern: vSmart(config)# security control tls-port number Der Port kann eine Zahl von 1025 bis 65535 sein. Um Sicherheitsinformationen der Steuerungsebene anzuzeigen, verwenden Sie den Befehl show control communications auf dem Cisco SD-WAN Controller. Zum Beispielample: vSmart-2# Steuerverbindungen anzeigen

CISCO-SD-WAN-Configure-Security-Parameters-BILD-1

Konfigurieren Sie DTLS im Cisco SD-WAN Manager

Wenn Sie den Cisco SD-WAN Manager für die Verwendung von TLS als Sicherheitsprotokoll der Steuerungsebene konfigurieren, müssen Sie die Portweiterleitung auf Ihrem NAT aktivieren. Wenn Sie DTLS als Sicherheitsprotokoll der Steuerungsebene verwenden, müssen Sie nichts tun. Die Anzahl der weitergeleiteten Ports hängt von der Anzahl der Vdaemon-Prozesse ab, die auf dem Cisco SD-WAN Manager ausgeführt werden. Um Informationen zu diesen Prozessen sowie zu der Anzahl der weitergeleiteten Ports anzuzeigen, verwenden Sie den Befehl „show control summary“, um anzuzeigen, dass vier Daemon-Prozesse ausgeführt werden:CISCO-SD-WAN-Configure-Security-Parameters-BILD-2

Um die Überwachungsports anzuzeigen, verwenden Sie den Befehl show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-BILD-3

Diese Ausgabe zeigt, dass der überwachende TCP-Port 23456 ist. Wenn Sie Cisco SD-WAN Manager hinter einem NAT ausführen, sollten Sie die folgenden Ports auf dem NAT-Gerät öffnen:

  • 23456 (Basis – Instanz 0-Port)
  • 23456 + 100 (Basis + 100)
  • 23456 + 200 (Basis + 200)
  • 23456 + 300 (Basis + 300)

Beachten Sie, dass die Anzahl der Instanzen mit der Anzahl der Kerne übereinstimmt, die Sie für den Cisco SD-WAN Manager zugewiesen haben, bis zu einem Maximum von 8.

Konfigurieren Sie Sicherheitsparameter mithilfe der Sicherheitsfunktionsvorlage

Verwenden Sie die Sicherheitsfunktionsvorlage für alle Cisco vEdge-Geräte. Verwenden Sie auf den Edge-Routern und auf dem Cisco SD-WAN Validator diese Vorlage, um IPsec für die Datenebenensicherheit zu konfigurieren. Verwenden Sie auf Cisco SD-WAN Manager und Cisco SD-WAN Controller die Sicherheitsfunktionsvorlage, um DTLS oder TLS für die Sicherheit der Steuerungsebene zu konfigurieren.

Konfigurieren Sie Sicherheitsparameter

  1. Wählen Sie im Cisco SD-WAN Manager-Menü Konfiguration > Vorlagen.
  2. Klicken Sie auf Feature-Vorlagen und dann auf Vorlage hinzufügen.
    Notiz In Cisco vManage Version 20.7.1 und früheren Versionen werden Feature-Vorlagen als Feature bezeichnet.
  3. Wählen Sie aus der Geräteliste im linken Bereich ein Gerät aus. Die für das ausgewählte Gerät geltenden Vorlagen werden im rechten Bereich angezeigt.
  4. Klicken Sie auf Sicherheit, um die Vorlage zu öffnen.
  5. Geben Sie im Feld „Vorlagenname“ einen Namen für die Vorlage ein. Der Name kann bis zu 128 Zeichen lang sein und darf nur alphanumerische Zeichen enthalten.
  6. Geben Sie im Feld „Vorlagenbeschreibung“ eine Beschreibung der Vorlage ein. Die Beschreibung kann bis zu 2048 Zeichen lang sein und darf nur alphanumerische Zeichen enthalten.

Wenn Sie eine Feature-Vorlage zum ersten Mal öffnen, wird für jeden Parameter, der einen Standardwert hat, der Bereich auf „Standard“ gesetzt (gekennzeichnet durch ein Häkchen) und die Standardeinstellung bzw. der Standardwert wird angezeigt. Um den Standardwert zu ändern oder einen Wert einzugeben, klicken Sie auf das Dropdown-Menü „Bereich“ links neben dem Parameterfeld und wählen Sie eine der folgenden Optionen:

Tabelle 1:

Parameter Umfang Umfangsbeschreibung
Gerätespezifisch (angezeigt durch ein Host-Symbol) Verwenden Sie einen gerätespezifischen Wert für den Parameter. Für gerätespezifische Parameter können Sie in der Feature-Vorlage keinen Wert eingeben. Sie geben den Wert ein, wenn Sie ein Viptela-Gerät an eine Gerätevorlage anhängen.

Wenn Sie auf „Gerätespezifisch“ klicken, wird das Feld „Schlüssel eingeben“ geöffnet. In diesem Feld wird ein Schlüssel angezeigt, bei dem es sich um eine eindeutige Zeichenfolge handelt, die den Parameter in einer CSV-Datei identifiziert file das du erschaffst. Das file ist eine Excel-Tabelle, die für jeden Schlüssel eine Spalte enthält. Die Kopfzeile enthält die Schlüsselnamen (ein Schlüssel pro Spalte), und jede Zeile danach entspricht einem Gerät und definiert die Werte der Schlüssel für dieses Gerät. Sie laden die CSV hoch file wenn Sie ein Viptela-Gerät an eine Gerätevorlage anhängen. Weitere Informationen finden Sie unter Erstellen einer Tabellenkalkulation mit Vorlagenvariablen.

Um die Standardtaste zu ändern, geben Sie eine neue Zeichenfolge ein und bewegen Sie den Cursor aus dem Feld „Eingabetaste“.

ExampZu den gerätespezifischen Parametern gehören die System-IP-Adresse, der Hostname, der GPS-Standort und die Standort-ID.
Parameter Umfang Umfangsbeschreibung
Global (gekennzeichnet durch ein Globussymbol) Geben Sie einen Wert für den Parameter ein und wenden Sie diesen Wert auf alle Geräte an.

ExampParameterdateien, die Sie global auf eine Gruppe von Geräten anwenden können, sind DNS-Server, Syslog-Server und Schnittstellen-MTUs.

Konfigurieren Sie die Sicherheit der Steuerungsebene

Notiz
Der Abschnitt „Sicherheit der Steuerungsebene konfigurieren“ gilt nur für den Cisco SD-WAN Manager und den Cisco SD-WAN Controller. Um das Verbindungsprotokoll der Steuerungsebene auf einer Cisco SD-WAN Manager-Instanz oder einem Cisco SD-WAN Controller zu konfigurieren, wählen Sie den Bereich „Grundkonfiguration“. und konfigurieren Sie die folgenden Parameter:

Tabelle 2:

Parameter Name Beschreibung
Protokoll Wählen Sie das Protokoll aus, das für Verbindungen der Steuerungsebene mit einem Cisco SD-WAN Controller verwendet werden soll:

• DTLS (DatagRAM Transport Layer Security). Dies ist die Standardeinstellung.

• TLS (Transport Layer Security)
Steuern Sie den TLS-Port Wenn Sie TLS ausgewählt haben, konfigurieren Sie die zu verwendende Portnummer:Reichweite: 1025 bis 65535Standard: 23456

Klicken Sie auf Speichern

Konfigurieren Sie die Sicherheit der Datenebene
Um die Sicherheit der Datenebene auf einem Cisco SD-WAN Validator oder einem Cisco vEdge-Router zu konfigurieren, wählen Sie die Registerkarten „Grundkonfiguration“ und „Authentifizierungstyp“ und konfigurieren Sie die folgenden Parameter:

Tabelle 3:

Parameter Name Beschreibung
Rekey-Zeit Geben Sie an, wie oft ein Cisco vEdge-Router den AES-Schlüssel ändert, der für seine sichere DTLS-Verbindung zum Cisco SD-WAN Controller verwendet wird. Wenn der ordnungsgemäße Neustart von OMP aktiviert ist, muss die Rekeying-Zeit mindestens doppelt so hoch sein wie der Wert des OMP-Timers für den ordnungsgemäßen Neustart.Reichweite: 10 bis 1209600 Sekunden (14 Tage)Standard: 86400 Sekunden (24 Stunden)
Wiedergabefenster Geben Sie die Größe des verschiebbaren Wiedergabefensters an.

Werte: 64, 128, 256, 512, 1024, 2048, 4096, 8192 PaketeStandard: 512 Pakete
IPsec

Paarweise Verschlüsselung

 Dies ist standardmäßig deaktiviert. Klicken On um es einzuschalten.
Parameter Name Beschreibung
Authentifizierungstyp Wählen Sie die Authentifizierungstypen aus Authentifizierung Liste, und klicken Sie auf den nach rechts zeigenden Pfeil, um die Authentifizierungstypen nach zu verschieben Ausgewählte Liste Spalte.

Ab Cisco SD-WAN Version 20.6.1 unterstützte Authentifizierungstypen:

•  besonders: Aktiviert die Encapsulated Security Payload (ESP)-Verschlüsselung und Integritätsprüfung für den ESP-Header.

•  ip-udp-esp: Aktiviert die ESP-Verschlüsselung. Neben den Integritätsprüfungen des ESP-Headers und der Payload umfassen die Prüfungen auch die äußeren IP- und UDP-Header.

•  ip-udp-esp-no-id: Ignoriert das ID-Feld im IP-Header, damit Cisco Catalyst SD-WAN in Verbindung mit Nicht-Cisco-Geräten arbeiten kann.

•  keiner: Schaltet die Integritätsprüfung für IPSec-Pakete aus. Wir empfehlen, diese Option nicht zu verwenden.

 

In Cisco SD-WAN Version 20.5.1 und früher unterstützte Authentifizierungstypen:

•  Ah-nein-ich: Aktivieren Sie eine erweiterte Version von AH-SHA1 HMAC und ESP HMAC-SHA1, die das ID-Feld im äußeren IP-Header des Pakets ignoriert.

•  ah-sha1-hmac: Aktivieren Sie AH-SHA1 HMAC und ESP HMAC-SHA1.

•  keiner: Keine Authentifizierung auswählen.

•  sha1-hmac: ESP HMAC-SHA1 aktivieren.

 

Notiz              Für ein Edge-Gerät, das unter Cisco SD-WAN Version 20.5.1 oder früher ausgeführt wird, haben Sie möglicherweise Authentifizierungstypen mit a konfiguriert Sicherheit Vorlage. Wenn Sie das Gerät auf Cisco SD-WAN Version 20.6.1 oder höher aktualisieren, aktualisieren Sie die ausgewählten Authentifizierungstypen im Sicherheit Vorlage für die von Cisco SD-WAN Release 20.6.1 unterstützten Authentifizierungstypen. Gehen Sie wie folgt vor, um die Authentifizierungstypen zu aktualisieren:

1.      Wählen Sie im Cisco SD-WAN Manager-Menü die Option Konfiguration >

Vorlagen.

2.      Klicken Funktionsvorlagen.

3.      Finden Sie die Sicherheit Vorlage zum Aktualisieren und klicken Sie auf … und klicken Sie Bearbeiten.

4.      Klicken Aktualisieren. Ändern Sie keine Konfiguration.

Cisco SD-WAN Manager aktualisiert die Sicherheit Vorlage zur Anzeige der unterstützten Authentifizierungstypen.

Klicken Sie auf Speichern.

Konfigurieren Sie die Sicherheitsparameter der Datenebene

Auf der Datenebene ist IPsec standardmäßig auf allen Routern aktiviert, und standardmäßig verwenden IPsec-Tunnelverbindungen eine erweiterte Version des ESP-Protokolls (Encapsulated Security Payload) für die Authentifizierung in IPsec-Tunneln. Auf den Routern können Sie die Art der Authentifizierung, den IPsec-Rekeying-Timer und die Größe des IPsec-Anti-Replay-Fensters ändern.

Konfigurieren Sie zulässige Authentifizierungstypen

Authentifizierungstypen in Cisco SD-WAN Version 20.6.1 und höher
Ab Cisco SD-WAN Release 20.6.1 werden die folgenden Integritätstypen unterstützt:

  • esp: Diese Option aktiviert die Encapsulated Security Payload (ESP)-Verschlüsselung und Integritätsprüfung für den ESP-Header.
  • ip-udp-esp: Diese Option aktiviert die ESP-Verschlüsselung. Neben den Integritätsprüfungen des ESP-Headers und der Payload umfassen die Prüfungen auch die äußeren IP- und UDP-Header.
  • ip-udp-esp-no-id: Diese Option ähnelt ip-udp-esp, jedoch wird das ID-Feld des äußeren IP-Headers ignoriert. Konfigurieren Sie diese Option in der Liste der Integritätstypen, damit die Cisco Catalyst SD-WAN-Software das ID-Feld im IP-Header ignoriert, sodass Cisco Catalyst SD-WAN in Verbindung mit Nicht-Cisco-Geräten arbeiten kann.
  • keine: Diese Option deaktiviert die Integritätsprüfung für IPSec-Pakete. Wir empfehlen, diese Option nicht zu verwenden.

Standardmäßig verwenden IPsec-Tunnelverbindungen eine erweiterte Version des Encapsulated Security Payload (ESP)-Protokolls zur Authentifizierung. Um die ausgehandelten Interitätstypen zu ändern oder die Integritätsprüfung zu deaktivieren, verwenden Sie den folgenden Befehl: Integrity-Type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Authentifizierungstypen vor Cisco SD-WAN Release 20.6.1
Standardmäßig verwenden IPsec-Tunnelverbindungen eine erweiterte Version des Encapsulated Security Payload (ESP)-Protokolls zur Authentifizierung. Um die ausgehandelten Authentifizierungstypen zu ändern oder die Authentifizierung zu deaktivieren, verwenden Sie den folgenden Befehl: Device(config)# security ipsec Authentication-Type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Standardmäßig IPsec Tunnelverbindungen verwenden AES-GCM-256, das sowohl Verschlüsselung als auch Authentifizierung bietet. Konfigurieren Sie jeden Authentifizierungstyp mit einem separaten Sicherheitsbefehl für den IPSec-Authentifizierungstyp. Die Befehlsoptionen sind den folgenden Authentifizierungstypen zugeordnet, die in der Reihenfolge vom stärksten zum am wenigsten starken aufgelistet sind:

Notiz
Der sha1 in den Konfigurationsoptionen wird aus historischen Gründen verwendet. Die Authentifizierungsoptionen geben an, wie viel der Paketintegritätsprüfung durchgeführt wird. Sie spezifizieren nicht den Algorithmus, der die Integrität prüft. Mit Ausnahme der Verschlüsselung des Multicast-Verkehrs verwenden die von Cisco Catalyst SD WAN unterstützten Authentifizierungsalgorithmen kein SHA1. In Cisco SD-WAN Version 20.1.x und höher verwenden jedoch weder Unicast noch Multicast SHA1.

  • ah-sha1-hmac ermöglicht Verschlüsselung und Kapselung mithilfe von ESP. Zusätzlich zu den Integritätsprüfungen des ESP-Headers und der Nutzlast umfassen die Prüfungen jedoch auch die äußeren IP- und UDP-Header. Daher unterstützt diese Option eine Integritätsprüfung des Pakets ähnlich dem Authentication Header (AH)-Protokoll. Die gesamte Integrität und Verschlüsselung erfolgt mit AES-256-GCM.
  • ah-no-id aktiviert einen Modus, der ah-sha1-hmac ähnelt, jedoch wird das ID-Feld des äußeren IP-Headers ignoriert. Diese Option unterstützt einige Nicht-Cisco Catalyst SD-WAN-Geräte, einschließlich Apple AirPort Express NAT, die einen Fehler aufweisen, der dazu führt, dass das ID-Feld im IP-Header, ein nicht veränderbares Feld, geändert wird. Konfigurieren Sie die Option ah-no-id in der Liste der Authentifizierungstypen, damit die Cisco Catalyst SD-WAN AH-Software das ID-Feld im IP-Header ignoriert, damit die Cisco Catalyst SD-WAN-Software in Verbindung mit diesen Geräten arbeiten kann.
  • sha1-hmac ermöglicht ESP-Verschlüsselung und Integritätsprüfung.
  • „none“ entspricht „keine Authentifizierung“. Diese Option sollte nur verwendet werden, wenn sie zum vorübergehenden Debuggen erforderlich ist. Sie können diese Option auch in Situationen wählen, in denen die Authentifizierung und Integrität der Datenebene kein Problem darstellt. Cisco empfiehlt, diese Option nicht für Produktionsnetzwerke zu verwenden.

Informationen darüber, welche Datenpaketfelder von diesen Authentifizierungstypen betroffen sind, finden Sie unter Data Plane Integrity. Cisco IOS XE Catalyst SD-WAN-Geräte und Cisco vEdge-Geräte geben ihre konfigurierten Authentifizierungstypen in ihren TLOC-Eigenschaften bekannt. Die beiden Router auf beiden Seiten einer IPsec-Tunnelverbindung handeln die Authentifizierung aus, die für die Verbindung zwischen ihnen verwendet werden soll, und verwenden dabei den stärksten Authentifizierungstyp, der auf beiden Routern konfiguriert ist. Zum Beispielample: Wenn ein Router die Typen ah-sha1-hmac und ah-no-id ankündigt und ein zweiter Router den Typ ah-no-id ankündigt, verhandeln die beiden Router über die Verwendung von ah-no-id auf der IPsec-Tunnelverbindung zwischen ihnen ihnen. Wenn auf den beiden Peers keine gemeinsamen Authentifizierungstypen konfiguriert sind, wird zwischen ihnen kein IPsec-Tunnel aufgebaut. Der Verschlüsselungsalgorithmus für IPsec-Tunnelverbindungen hängt von der Art des Datenverkehrs ab:

  • Für Unicast-Verkehr ist der Verschlüsselungsalgorithmus AES-256-GCM.
  • Für Multicast-Verkehr:
  • Cisco SD-WAN Version 20.1.x und höher – der Verschlüsselungsalgorithmus ist AES-256-GCM
  • Frühere Versionen – der Verschlüsselungsalgorithmus ist AES-256-CBC mit SHA1-HMAC.

Wenn der IPsec-Authentifizierungstyp geändert wird, wird der AES-Schlüssel für den Datenpfad geändert.

Ändern Sie den Rekeying-Timer

Bevor Cisco IOS XE Catalyst SD-WAN-Geräte und Cisco vEdge-Geräte Datenverkehr austauschen können, richten sie einen sicheren authentifizierten Kommunikationskanal zwischen ihnen ein. Die Router nutzen IPSec-Tunnel zwischen ihnen als Kanal und die AES-256-Verschlüsselung zur Durchführung der Verschlüsselung. Jeder Router generiert regelmäßig einen neuen AES-Schlüssel für seinen Datenpfad. Standardmäßig ist ein Schlüssel 86400 Sekunden (24 Stunden) gültig und der Timerbereich reicht von 10 Sekunden bis 1209600 Sekunden (14 Tage). So ändern Sie den Rekey-Timerwert: Device(config)# security ipsec rekey seconds Die Konfiguration sieht folgendermaßen aus:

  • Sicherheit IPSec Rekey Sekunden!

Wenn Sie sofort neue IPsec-Schlüssel generieren möchten, können Sie dies tun, ohne die Konfiguration des Routers zu ändern. Geben Sie dazu den Befehl „request security ipsecrekey“ auf dem kompromittierten Router aus. Zum Beispielample, die folgende Ausgabe zeigt, dass die lokale SA einen Security Parameter Index (SPI) von 256 hat:CISCO-SD-WAN-Configure-Security-Parameters-BILD-4

Jedem SPI ist ein eindeutiger Schlüssel zugeordnet. Wenn dieser Schlüssel kompromittiert ist, verwenden Sie den Befehl „request security ipsec-rekey“, um sofort einen neuen Schlüssel zu generieren. Dieser Befehl erhöht den SPI. In unserem Example, der SPI ändert sich auf 257 und der damit verbundene Schlüssel wird nun verwendet:

  • Gerätenummer ipsecrekey für Sicherheitsanforderung
  • Gerätenummer zeigt ipsec local-sa an

CISCO-SD-WAN-Configure-Security-Parameters-BILD-5

Nachdem der neue Schlüssel generiert wurde, sendet der Router ihn sofort über DTLS oder TLS an die Cisco SD-WAN Controller. Die Cisco SD-WAN Controller senden den Schlüssel an die Peer-Router. Die Router beginnen mit der Nutzung, sobald sie es erhalten. Beachten Sie, dass der mit dem alten SPI (256) verknüpfte Schlüssel für kurze Zeit weiter verwendet wird, bis das Zeitlimit abläuft. Um die Verwendung des alten Schlüssels sofort zu beenden, geben Sie den Befehl „request security ipsec-rekey“ zweimal schnell hintereinander aus. Diese Befehlsfolge entfernt sowohl SPI 256 als auch 257 und setzt den SPI auf 258. Der Router verwendet dann den zugehörigen Schlüssel von SPI 258. Beachten Sie jedoch, dass einige Pakete für kurze Zeit verworfen werden, bis alle Remote-Router lernen der neue Schlüssel.CISCO-SD-WAN-Configure-Security-Parameters-BILD-6

Ändern Sie die Größe des Anti-Replay-Fensters

Die IPsec-Authentifizierung bietet Anti-Replay-Schutz, indem jedem Paket in einem Datenstrom eine eindeutige Sequenznummer zugewiesen wird. Diese fortlaufende Nummerierung schützt davor, dass ein Angreifer Datenpakete dupliziert. Beim Anti-Replay-Schutz vergibt der Absender monoton ansteigende Sequenznummern und das Ziel überprüft diese Sequenznummern, um Duplikate zu erkennen. Da Pakete oft nicht in der richtigen Reihenfolge ankommen, unterhält das Ziel ein gleitendes Fenster mit Sequenznummern, die es akzeptiert.CISCO-SD-WAN-Configure-Security-Parameters-BILD-7

Pakete mit Sequenznummern, die links vom Schiebefensterbereich liegen, gelten als alt oder doppelt und werden vom Ziel verworfen. Das Ziel verfolgt die höchste empfangene Sequenznummer und passt das Schiebefenster an, wenn es ein Paket mit einem höheren Wert empfängt.CISCO-SD-WAN-Configure-Security-Parameters-BILD-8

Standardmäßig ist das Schiebefenster auf 512 Pakete eingestellt. Er kann auf einen beliebigen Wert zwischen 64 und 4096 eingestellt werden, der eine Zweierpotenz darstellt (d. h. 2, 64, 128, 256, 512, 1024 oder 2048). Um die Größe des Anti-Replay-Fensters zu ändern, verwenden Sie den Befehl replay-window und geben Sie die Größe des Fensters an:

Device(config)# security ipsec replay-window number

Die Konfiguration sieht so aus:
Nummer des Sicherheits-IPSEC-Wiedergabefensters! !

Zur Unterstützung der QoS werden für jeden der ersten acht Verkehrskanäle separate Wiedergabefenster verwaltet. Die konfigurierte Größe des Wiedergabefensters wird für jeden Kanal durch acht geteilt. Wenn QoS auf einem Router konfiguriert ist, kommt es bei diesem Router aufgrund des IPsec-Anti-Replay-Mechanismus möglicherweise zu einer größeren Anzahl von Paketverlusten als erwartet, und viele der verworfenen Pakete sind legitim. Dies liegt daran, dass QoS Pakete neu anordnet, wodurch Pakete mit höherer Priorität bevorzugt behandelt und Pakete mit niedrigerer Priorität verzögert werden. Um diese Situation zu minimieren oder zu verhindern, können Sie Folgendes tun:

  • Erhöhen Sie die Größe des Anti-Replay-Fensters.
  • Leiten Sie den Datenverkehr auf die ersten acht Verkehrskanäle um, um sicherzustellen, dass der Datenverkehr innerhalb eines Kanals nicht neu angeordnet wird.

Konfigurieren Sie IKE-fähige IPsec-Tunnel
Um Datenverkehr vom Overlay-Netzwerk sicher an ein Dienstnetzwerk zu übertragen, können Sie IPsec-Tunnel konfigurieren, die das Internet Key Exchange (IKE)-Protokoll ausführen. IKE-fähige IPsec-Tunnel bieten Authentifizierung und Verschlüsselung, um einen sicheren Pakettransport zu gewährleisten. Sie erstellen einen IKE-fähigen IPsec-Tunnel, indem Sie eine IPsec-Schnittstelle konfigurieren. IPsec-Schnittstellen sind logische Schnittstellen und können wie jede andere physische Schnittstelle konfiguriert werden. Sie konfigurieren IKE-Protokollparameter auf der IPsec-Schnittstelle und können andere Schnittstelleneigenschaften konfigurieren.

Notiz Cisco empfiehlt die Verwendung von IKE Version 2. Ab der Cisco SD-WAN-Version 19.2.x muss der Pre-Shared Key mindestens 16 Byte lang sein. Der IPsec-Tunnelaufbau schlägt fehl, wenn die Schlüsselgröße beim Upgrade des Routers auf Version 16 weniger als 19.2 Zeichen beträgt.

Notiz
Die Cisco Catalyst SD-WAN-Software unterstützt IKE Version 2 gemäß RFC 7296. Eine Verwendung für IPsec-Tunnel besteht darin, vEdge Cloud-Router-VM-Instanzen, die auf Amazon AWS laufen, die Verbindung mit der Amazon Virtual Private Cloud (VPC) zu ermöglichen. Auf diesen Routern müssen Sie IKE Version 1 konfigurieren. Cisco vEdge-Geräte unterstützen nur routenbasierte VPNs in einer IPSec-Konfiguration, da diese Geräte keine Verkehrsselektoren in der Verschlüsselungsdomäne definieren können.

Konfigurieren Sie einen IPsec-Tunnel
Um eine IPsec-Tunnelschnittstelle für sicheren Transportverkehr von einem Dienstnetzwerk zu konfigurieren, erstellen Sie eine logische IPsec-Schnittstelle:CISCO-SD-WAN-Configure-Security-Parameters-BILD-9

Sie können den IPsec-Tunnel im Transport-VPN (VPN 0) und in jedem Dienst-VPN (VPN 1 bis 65530, außer 512) erstellen. Die IPsec-Schnittstelle hat einen Namen im Format „ipsecnumber“, wobei die Zahl zwischen 1 und 255 liegen kann. Jede IPsec-Schnittstelle muss über eine IPv4-Adresse verfügen. Diese Adresse muss ein /30-Präfix sein. Der gesamte Datenverkehr im VPN, der sich innerhalb dieses IPv4-Präfixes befindet, wird an eine physische Schnittstelle in VPN 0 weitergeleitet, um sicher über einen IPsec-Tunnel gesendet zu werden. Um die Quelle des IPsec-Tunnels auf dem lokalen Gerät zu konfigurieren, können Sie entweder die IP-Adresse von angeben die physische Schnittstelle (im Befehl tunnel-source) oder der Name der physischen Schnittstelle (im Befehl tunnel-source-interface). Stellen Sie sicher, dass die physische Schnittstelle in VPN 0 konfiguriert ist. Um das Ziel des IPsec-Tunnels zu konfigurieren, geben Sie die IP-Adresse des Remote-Geräts im Befehl tunnel-destination an. Die Kombination aus einer Quelladresse (oder einem Quellschnittstellennamen) und einer Zieladresse definiert einen einzelnen IPsec-Tunnel. Es kann nur ein IPsec-Tunnel vorhanden sein, der ein bestimmtes Paar aus Quelladresse (oder Schnittstellenname) und Zieladresse verwendet.

Konfigurieren Sie eine statische IPsec-Route

Um den Datenverkehr vom Dienst-VPN zu einem IPsec-Tunnel im Transport-VPN (VPN 0) zu leiten, konfigurieren Sie eine IPsec-spezifische statische Route in einem Dienst-VPN (einem anderen VPN als VPN 0 oder VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route präfix/länge vpn 0 interface
  • ipsecnumber [ipsecnumber2]

Die VPN-ID ist die eines beliebigen Dienst-VPN (VPN 1 bis 65530, außer 512). Präfix/Länge ist die IP-Adresse oder das Präfix in dezimaler Vierpunktschreibweise und die Präfixlänge der IPsec-spezifischen statischen Route. Die Schnittstelle ist die IPsec-Tunnelschnittstelle in VPN 0. Sie können eine oder zwei IPsec-Tunnelschnittstellen konfigurieren. Wenn Sie zwei konfigurieren, ist der erste der primäre IPsec-Tunnel und der zweite das Backup. Bei zwei Schnittstellen werden alle Pakete nur an den Primärtunnel gesendet. Wenn dieser Tunnel ausfällt, werden alle Pakete an den sekundären Tunnel gesendet. Wenn der primäre Tunnel wieder verfügbar ist, wird der gesamte Datenverkehr zurück zum primären IPsec-Tunnel verschoben.

Aktivieren Sie IKE Version 1
Wenn Sie einen IPsec-Tunnel auf einem vEdge-Router erstellen, ist IKE Version 1 standardmäßig auf der Tunnelschnittstelle aktiviert. Die folgenden Eigenschaften sind außerdem standardmäßig für IKEv1 aktiviert:

  • Authentifizierung und Verschlüsselung – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • Diffie-Hellman-Gruppennummer: 16
  • Zeitintervall für die Neueingabe: 4 Stunden
  • SA-Einrichtungsmodus – Haupt

Standardmäßig verwendet IKEv1 den IKE-Hauptmodus, um IKE-SAs einzurichten. In diesem Modus werden sechs Verhandlungspakete ausgetauscht, um die SA aufzubauen. Um nur drei Verhandlungspakete auszutauschen, aktivieren Sie den aggressiven Modus:

Notiz
Der aggressive IKE-Modus mit vorinstallierten Schlüsseln sollte nach Möglichkeit vermieden werden. Andernfalls sollte ein starker Pre-Shared Key gewählt werden.

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# Modus aggressiv

Standardmäßig verwendet IKEv1 die Diffie-Hellman-Gruppe 16 beim IKE-Schlüsselaustausch. Diese Gruppe verwendet während des IKE-Schlüsselaustauschs die 4096-Bit-MODP-Gruppe (More Modular Exponential). Sie können die Gruppennummer auf 2 (für 1024-Bit-MODP), 14 (2048-Bit-MODP) oder 15 (3072-Bit-MODP) ändern:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# Gruppennummer

Standardmäßig verwendet der IKE-Schlüsselaustausch die CBC-Verschlüsselung nach dem erweiterten Verschlüsselungsstandard AES-256 mit dem HMAC-SHA1-Algorithmus für den Nachrichtenauthentifizierungscode mit verschlüsseltem Hash, um die Integrität zu gewährleisten. Sie können die Authentifizierung ändern:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# Cipher-Suite-Suite

Die Authentifizierungssuite kann eine der folgenden sein:

  • aes128-cbc-sha1 – AES-128 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • aes128-cbc-sha2 – AES-128 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA256 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • aes256-cbc-sha1 – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität; Dies ist die Standardeinstellung.
  • aes256-cbc-sha2 – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA256 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität

Standardmäßig werden IKE-Schlüssel alle 1 Stunde (3600 Sekunden) aktualisiert. Sie können das Rekeying-Intervall auf einen Wert zwischen 30 Sekunden und 14 Tagen (1209600 Sekunden) ändern. Es wird empfohlen, dass das Rekeying-Intervall mindestens 1 Stunde beträgt.

  • vEdge(config)# vpn vpn-id interface ipsec number like
  • vEdge(config-ike)# Sekunden erneut eingeben

Um die Generierung neuer Schlüssel für eine IKE-Sitzung zu erzwingen, geben Sie den Befehl request ipsec ike-rekey aus.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Für IKE können Sie auch die Preshared Key (PSK)-Authentifizierung konfigurieren:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# Authentifizierungstyp Pre-Shared-Key Pre-Shared-Secret-Passwort Passwort ist das Passwort, das mit dem Pre-Shared Key verwendet werden soll. Es kann eine ASCII- oder eine hexadezimale Zeichenfolge mit einer Länge von 1 bis 127 Zeichen sein.

Wenn der Remote-IKE-Peer eine lokale oder Remote-ID erfordert, können Sie diese Kennung konfigurieren:

  • vEdge(config)# VPN VPN-ID-Schnittstelle IPSec-Nummer wie Authentifizierungstyp
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Der Bezeichner kann eine IP-Adresse oder eine beliebige Textzeichenfolge mit einer Länge von 1 bis 63 Zeichen sein. Standardmäßig ist die lokale ID die Quell-IP-Adresse des Tunnels und die Remote-ID die Ziel-IP-Adresse des Tunnels.

Aktivieren Sie IKE Version 2
Wenn Sie einen IPsec-Tunnel für die Verwendung von IKE Version 2 konfigurieren, sind die folgenden Eigenschaften auch standardmäßig für IKEv2 aktiviert:

  • Authentifizierung und Verschlüsselung – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • Diffie-Hellman-Gruppennummer: 16
  • Zeitintervall für die Neueingabe: 4 Stunden

Standardmäßig verwendet IKEv2 die Diffie-Hellman-Gruppe 16 beim IKE-Schlüsselaustausch. Diese Gruppe verwendet während des IKE-Schlüsselaustauschs die 4096-Bit-MODP-Gruppe (More Modular Exponential). Sie können die Gruppennummer auf 2 (für 1024-Bit-MODP), 14 (2048-Bit-MODP) oder 15 (3072-Bit-MODP) ändern:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# Gruppennummer

Standardmäßig verwendet der IKE-Schlüsselaustausch die CBC-Verschlüsselung nach dem erweiterten Verschlüsselungsstandard AES-256 mit dem HMAC-SHA1-Algorithmus für den Nachrichtenauthentifizierungscode mit verschlüsseltem Hash, um die Integrität zu gewährleisten. Sie können die Authentifizierung ändern:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# Cipher-Suite-Suite

Die Authentifizierungssuite kann eine der folgenden sein:

  • aes128-cbc-sha1 – AES-128 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • aes128-cbc-sha2 – AES-128 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA256 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität
  • aes256-cbc-sha1 – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA1 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität; Dies ist die Standardeinstellung.
  • aes256-cbc-sha2 – AES-256 Advanced Encryption Standard CBC-Verschlüsselung mit dem HMAC-SHA256 Keyed-Hash-Nachrichtenauthentifizierungscode-Algorithmus für Integrität

Standardmäßig werden IKE-Schlüssel alle 4 Stunden (14,400 Sekunden) aktualisiert. Sie können das Rekeying-Intervall auf einen Wert zwischen 30 Sekunden und 14 Tagen (1209600 Sekunden) ändern:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# Sekunden erneut eingeben

Um die Generierung neuer Schlüssel für eine IKE-Sitzung zu erzwingen, geben Sie den Befehl request ipsec ike-rekey aus. Für IKE können Sie auch die Preshared Key (PSK)-Authentifizierung konfigurieren:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# Authentifizierungstyp Pre-Shared-Key Pre-Shared-Secret-Passwort Passwort ist das Passwort, das mit dem Pre-Shared Key verwendet werden soll. Es kann sich um eine ASCII- oder eine hexadezimale Zeichenfolge oder um einen AES-verschlüsselten Schlüssel handeln. Wenn der Remote-IKE-Peer eine lokale oder Remote-ID erfordert, können Sie diese Kennung konfigurieren:
  • vEdge(config)# VPN VPN-ID-Schnittstelle IPSec-Nummer wie Authentifizierungstyp
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Der Bezeichner kann eine IP-Adresse oder eine beliebige Textzeichenfolge mit einer Länge von 1 bis 64 Zeichen sein. Standardmäßig ist die lokale ID die Quell-IP-Adresse des Tunnels und die Remote-ID die Ziel-IP-Adresse des Tunnels.

Konfigurieren Sie die IPsec-Tunnelparameter

Tabelle 4: Funktionsverlauf

Besonderheit Name Release-Informationen Beschreibung
Zusätzliche Kryptographie Cisco SD-WAN Version 20.1.1 Diese Funktion fügt Unterstützung für hinzu
Algorithmische Unterstützung für IPSec   HMAC_SHA256, HMAC_SHA384 und
Tunnel   HMAC_SHA512-Algorithmen für
    verbesserte Sicherheit.

Standardmäßig werden die folgenden Parameter im IPsec-Tunnel verwendet, der den IKE-Verkehr überträgt:

  • Authentifizierung und Verschlüsselung – AES-256-Algorithmus in GCM (Galois/Counter-Modus)
  • Rekeying-Intervall: 4 Stunden
  • Wiedergabefenster – 32 Pakete

Sie können die Verschlüsselung im IPsec-Tunnel auf die AES-256-Verschlüsselung im CBC (Verschlüsselungsblock-Kettenmodus) ändern, wobei HMAC entweder SHA-1 oder SHA-2 Keyed-Hash-Nachrichtenauthentifizierung verwendet oder mit HMAC entweder SHA-1 oder auf Null SHA-2-Keyed-Hash-Nachrichtenauthentifizierung, um den für den IKE-Schlüsselaustauschverkehr verwendeten IPsec-Tunnel nicht zu verschlüsseln:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 |. aes256-null-sha384 |. aes256-null-sha512)

Standardmäßig werden IKE-Schlüssel alle 4 Stunden (14,400 Sekunden) aktualisiert. Sie können das Rekeying-Intervall auf einen Wert zwischen 30 Sekunden und 14 Tagen (1209600 Sekunden) ändern:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# Sekunden erneut eingeben

Um die Generierung neuer Schlüssel für einen IPsec-Tunnel zu erzwingen, geben Sie den Befehl request ipsec ipsec-rekey aus. Standardmäßig ist Perfect Forward Secrecy (PFS) für IPsec-Tunnel aktiviert, um sicherzustellen, dass vergangene Sitzungen nicht beeinträchtigt werden, wenn zukünftige Schlüssel kompromittiert werden. PFS erzwingt einen neuen Diffie-Hellman-Schlüsselaustausch, standardmäßig unter Verwendung der 4096-Bit-Diffie-Hellman-Prime-Modulgruppe. Sie können die PFS-Einstellung ändern:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-setting kann einer der folgenden sein:

  • Gruppe-2 – Verwenden Sie die 1024-Bit-Diffie-Hellman-Primzahlmodulgruppe.
  • Gruppe-14 – Verwenden Sie die 2048-Bit-Diffie-Hellman-Primzahlmodulgruppe.
  • Gruppe-15 – Verwenden Sie die 3072-Bit-Diffie-Hellman-Primzahlmodulgruppe.
  • Gruppe-16 – Verwenden Sie die 4096-Bit-Diffie-Hellman-Primzahlmodulgruppe. Dies ist die Standardeinstellung.
  • none – PFS deaktivieren.

Standardmäßig beträgt das IPsec-Wiedergabefenster im IPsec-Tunnel 512 Byte. Sie können die Größe des Wiedergabefensters auf 64, 128, 256, 512, 1024, 2048 oder 4096 Pakete festlegen:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# Nummer des Wiedergabefensters

Ändern Sie die IKE-Dead-Peer-Erkennung

IKE nutzt einen Dead-Peer-Erkennungsmechanismus, um festzustellen, ob die Verbindung zu einem IKE-Peer funktionsfähig und erreichbar ist. Um diesen Mechanismus zu implementieren, sendet IKE ein Hello-Paket an seinen Peer und der Peer sendet als Antwort eine Bestätigung. Standardmäßig sendet IKE alle 10 Sekunden Hello-Pakete, und nach drei unbestätigten Paketen erklärt IKE den Nachbarn für tot und bricht den Tunnel zum Peer ab. Danach sendet IKE regelmäßig ein Hello-Paket an den Peer und baut den Tunnel wieder auf, wenn der Peer wieder online ist. Sie können das Aktivitätserkennungsintervall auf einen Wert von 0 bis 65535 und die Anzahl der Wiederholungsversuche auf einen Wert von 0 bis 255 ändern.

Notiz

Für Transport-VPNs wird das Liveness-Erkennungsintervall mithilfe der folgenden Formel in Sekunden umgerechnet: Intervall für die Anzahl der Neuübertragungsversuche N = Intervall * 1.8N-1Zum Beispielample: Wenn das Intervall auf 10 eingestellt ist und die Wiederholungsversuche auf 5 erfolgen, erhöht sich das Erkennungsintervall wie folgt:

  • Versuch 1: 10 * 1.81-1= 10 Sekunden
  • Versuchen 2: 10 * 1.82-1= 18 Sekunden
  • Versuchen 3: 10 * 1.83-1= 32.4 Sekunden
  • Versuchen 4: 10 * 1.84-1= 58.32 Sekunden
  • Versuchen 5: 10 * 1.85-1= 104.976 Sekunden

vEdge(config-interface-ipsecnumber)# Anzahl der Wiederholungsversuche im Dead-Peer-Detection-Intervall

Konfigurieren Sie andere Schnittstelleneigenschaften

Für IPsec-Tunnelschnittstellen können Sie nur die folgenden zusätzlichen Schnittstelleneigenschaften konfigurieren:

  • vEdge(config-interface-ipsec)# MTU-Bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Deaktivieren Sie schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager

Tabelle 5: Funktionsverlaufstabelle

Besonderheit Name Release-Informationen Besonderheit Beschreibung
Deaktivieren Sie schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager Cisco vManage Version 20.9.1 Mit dieser Funktion können Sie schwächere SSH-Algorithmen im Cisco SD-WAN Manager deaktivieren, die möglicherweise bestimmte Datensicherheitsstandards nicht einhalten.

Informationen zum Deaktivieren schwacher SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager
Cisco SD-WAN Manager bietet einen SSH-Client für die Kommunikation mit Komponenten im Netzwerk, einschließlich Controllern und Edge-Geräten. Der SSH-Client stellt eine verschlüsselte Verbindung für eine sichere Datenübertragung bereit, die auf verschiedenen Verschlüsselungsalgorithmen basiert. Viele Organisationen benötigen eine stärkere Verschlüsselung als die von SHA-1, AES-128 und AES-192 bereitgestellte. Ab Cisco vManage Release 20.9.1 können Sie die folgenden schwächeren Verschlüsselungsalgorithmen deaktivieren, sodass ein SSH-Client diese Algorithmen nicht verwendet:

  • SHA-1
  • AES-128
  • AES-192

Bevor Sie diese Verschlüsselungsalgorithmen deaktivieren, stellen Sie sicher, dass Cisco vEdge-Geräte (falls vorhanden) im Netzwerk eine Softwareversion verwenden, die höher als Cisco SD-WAN Release 18.4.6 ist.

Vorteile der Deaktivierung schwacher SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager
Durch die Deaktivierung schwächerer SSH-Verschlüsselungsalgorithmen wird die Sicherheit der SSH-Kommunikation verbessert und sichergestellt, dass Unternehmen, die Cisco Catalyst SD-WAN verwenden, strenge Sicherheitsvorschriften einhalten.

Deaktivieren Sie schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager mithilfe der CLI

  1. Wählen Sie im Cisco SD-WAN Manager-Menü „Extras“ > „SSH-Terminal“.
  2. Wählen Sie das Cisco SD-WAN Manager-Gerät aus, auf dem Sie schwächere SSH-Algorithmen deaktivieren möchten.
  3. Geben Sie den Benutzernamen und das Passwort ein, um sich am Gerät anzumelden.
  4. Wechseln Sie in den SSH-Servermodus.
    • vmanage(config)# System
    • vmanage(config-system)# ssh-server
  5. Führen Sie einen der folgenden Schritte aus, um einen SSH-Verschlüsselungsalgorithmus zu deaktivieren:
    • SHA-1 deaktivieren:
  6. manage(config-ssh-server)# no kex-algo sha1
  7. manage(config-ssh-server)# commit
    Die folgende Warnmeldung wird angezeigt: Die folgenden Warnungen wurden generiert: „system ssh-server kex-algo sha1“: WARNUNG: Bitte stellen Sie sicher, dass alle Ihre Edges eine Codeversion > 18.4.6 ausführen, die mit vManage besser als SHA1 verhandelt. Andernfalls könnten diese Kanten offline werden. Fortfahren? [ja, nein] ja
    • Stellen Sie sicher, dass auf allen Cisco vEdge-Geräten im Netzwerk Cisco SD-WAN Version 18.4.6 oder höher ausgeführt wird, und geben Sie „Ja“ ein.
    • Deaktivieren Sie AES-128 und AES-192:
    • vmanage(config-ssh-server)# kein Chiffre aes-128-192
    • vmanage(config-ssh-server)# commit
      Die folgende Warnmeldung wird angezeigt:
      Die folgenden Warnungen wurden generiert:
      „system ssh-server cipher aes-128-192“: WARNUNG: Bitte stellen Sie sicher, dass alle Ihre Edges eine Codeversion > 18.4.6 ausführen, die mit vManage besser als AES-128-192 verhandelt. Andernfalls könnten diese Kanten offline werden. Fortfahren? [ja, nein] ja
    • Stellen Sie sicher, dass auf allen Cisco vEdge-Geräten im Netzwerk Cisco SD-WAN Version 18.4.6 oder höher ausgeführt wird, und geben Sie „Ja“ ein.

Stellen Sie mithilfe der CLI sicher, dass schwache SSH-Verschlüsselungsalgorithmen im Cisco SD-WAN Manager deaktiviert sind

  1. Wählen Sie im Cisco SD-WAN Manager-Menü „Extras“ > „SSH-Terminal“.
  2. Wählen Sie das Cisco SD-WAN Manager-Gerät aus, das Sie überprüfen möchten.
  3. Geben Sie den Benutzernamen und das Passwort ein, um sich am Gerät anzumelden.
  4. Führen Sie den folgenden Befehl aus: show running-config system ssh-server
  5. Bestätigen Sie, dass die Ausgabe einen oder mehrere der Befehle enthält, die schwächere Verschlüsselungsalgorithmen deaktivieren:
    • keine Chiffre aes-128-192
    • kein kex-algo sha1

Dokumente / Ressourcen

CISCO SD-WAN Sicherheitsparameter konfigurieren [pdf] Benutzerhandbuch
SD-WAN Sicherheitsparameter konfigurieren, SD-WAN, Sicherheitsparameter konfigurieren, Sicherheitsparameter

Verweise

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *