Περιεχόμενα κρύβω
1 CISCO SD-WAN Διαμόρφωση παραμέτρων ασφαλείας
2 Διαμόρφωση παραμέτρων ασφαλείας
3 Διαμόρφωση παραμέτρων ασφαλείας επιπέδου ελέγχου
4 Διαμόρφωση DTLS στο Cisco SD-WAN Manager
5 Διαμόρφωση παραμέτρων ασφαλείας επιπέδου δεδομένων
6 Διαμόρφωση επιτρεπόμενων τύπων ελέγχου ταυτότητας
7 Αλλάξτε το χρονόμετρο επαναφοράς κλειδιών
8 Αλλάξτε το μέγεθος του παραθύρου κατά της επανάληψης
9 Διαμορφώστε μια στατική διαδρομή IPsec
10 Διαμόρφωση παραμέτρων IPsec Tunnel
11 Τροποποίηση του IKE Dead-Peer Detection
12 Διαμόρφωση άλλων ιδιοτήτων διεπαφής
13 Απενεργοποιήστε τους αλγόριθμους κρυπτογράφησης αδύναμου SSH στο Cisco SD-WAN Manager
14 Έγγραφα / Πόροι
14.1 Αναφορές

CISCO-LOGO

CISCO SD-WAN Διαμόρφωση παραμέτρων ασφαλείας

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Διαμόρφωση παραμέτρων ασφαλείας

Σημείωμα

Για να επιτευχθεί απλοποίηση και συνέπεια, η λύση Cisco SD-WAN έχει μετονομαστεί σε Cisco Catalyst SD-WAN. Επιπλέον, από το Cisco IOS XE SD-WAN Release 17.12.1a και το Cisco Catalyst SD-WAN Release 20.12.1, ισχύουν οι ακόλουθες αλλαγές στοιχείων: Cisco vManage σε Cisco Catalyst SD-WAN Manager, Cisco vAnalytics σε Cisco Catalyst Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator και Cisco vSmart to Cisco Catalyst SD-WAN Controller. Δείτε τις πιο πρόσφατες Σημειώσεις Έκδοσης για μια ολοκληρωμένη λίστα με όλες τις αλλαγές επωνυμίας εξαρτημάτων. Κατά τη μετάβαση στα νέα ονόματα, ενδέχεται να υπάρχουν ορισμένες ασυνέπειες στο σύνολο τεκμηρίωσης λόγω μιας σταδιακής προσέγγισης στις ενημερώσεις της διεπαφής χρήστη του προϊόντος λογισμικού.

Αυτή η ενότητα περιγράφει τον τρόπο αλλαγής των παραμέτρων ασφαλείας για το επίπεδο ελέγχου και το επίπεδο δεδομένων στο δίκτυο επικάλυψης Cisco Catalyst SD-WAN.

  • Διαμόρφωση παραμέτρων ασφαλείας επιπέδου ελέγχου, ενεργοποιημένη
  • Διαμόρφωση παραμέτρων ασφαλείας επιπέδου δεδομένων, ενεργοποιημένη
  • Διαμόρφωση σηράγγων IPsec με δυνατότητα IKE, ενεργοποιημένη
  • Απενεργοποιήστε τους αλγόριθμους κρυπτογράφησης αδύναμου SSH στο Cisco SD-WAN Manager, ενεργοποιημένο

Διαμόρφωση παραμέτρων ασφαλείας επιπέδου ελέγχου

Από προεπιλογή, το επίπεδο ελέγχου χρησιμοποιεί το DTLS ως το πρωτόκολλο που παρέχει απόρρητο σε όλες τις σήραγγές του. Το DTLS εκτελείται μέσω UDP. Μπορείτε να αλλάξετε το πρωτόκολλο ασφαλείας του επιπέδου ελέγχου σε TLS, το οποίο εκτελείται μέσω TCP. Ο κύριος λόγος για να χρησιμοποιήσετε το TLS είναι ότι, εάν θεωρείτε ότι ο ελεγκτής Cisco SD-WAN είναι διακομιστής, τα τείχη προστασίας προστατεύουν τους διακομιστές TCP καλύτερα από τους διακομιστές UDP. Μπορείτε να διαμορφώσετε το πρωτόκολλο της σήραγγας επιπέδου ελέγχου σε έναν ελεγκτή Cisco SD-WAN: vSmart(config)# πρωτόκολλο ελέγχου ασφαλείας tls Με αυτήν την αλλαγή, όλες οι σήραγγες επιπέδου ελέγχου μεταξύ του ελεγκτή Cisco SD-WAN και των δρομολογητών και μεταξύ του ελεγκτή Cisco SD-WAN και το Cisco SD-WAN Manager χρησιμοποιούν TLS. Οι σήραγγες επιπέδου ελέγχου στο Cisco Catalyst SD-WAN Validator χρησιμοποιούν πάντα DTLS, επειδή αυτές οι συνδέσεις πρέπει να γίνονται από UDP. Σε έναν τομέα με πολλούς ελεγκτές Cisco SD-WAN, όταν διαμορφώνετε το TLS σε έναν από τους ελεγκτές Cisco SD-WAN, όλες οι σήραγγες επιπέδου ελέγχου από αυτόν τον ελεγκτή έως τους άλλους ελεγκτές χρησιμοποιούν TLS. Με άλλα λόγια, το TLS έχει πάντα προτεραιότητα έναντι του DTLS. Ωστόσο, από την οπτική γωνία των άλλων ελεγκτών Cisco SD-WAN, εάν δεν έχετε ρυθμίσει το TLS σε αυτούς, χρησιμοποιούν TLS στη σήραγγα επιπέδου ελέγχου μόνο σε αυτόν τον ελεγκτή Cisco SD-WAN και χρησιμοποιούν σήραγγες DTLS σε όλους τους άλλους Ελεγκτές Cisco SD-WAN και σε όλους τους συνδεδεμένους δρομολογητές τους. Για να χρησιμοποιούν όλα τα Cisco SD-WAN Controllers TLS, διαμορφώστε το σε όλους. Από προεπιλογή, ο ελεγκτής Cisco SD-WAN ακούει στη θύρα 23456 για αιτήματα TLS. Για να το αλλάξετε αυτό: vSmart(config)# έλεγχος ασφαλείας αριθμός tls-port Η θύρα μπορεί να είναι ένας αριθμός από το 1025 έως το 65535. Για να εμφανίσετε πληροφορίες ασφάλειας επιπέδου ελέγχου, χρησιμοποιήστε την εντολή εμφάνιση συνδέσεων ελέγχου ελέγχου στον ελεγκτή Cisco SD-WAN. Για π.χample: vSmart-2# εμφάνιση συνδέσεων ελέγχου

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Διαμόρφωση DTLS στο Cisco SD-WAN Manager

Εάν διαμορφώσετε το Cisco SD-WAN Manager ώστε να χρησιμοποιεί το TLS ως πρωτόκολλο ασφαλείας επιπέδου ελέγχου, πρέπει να ενεργοποιήσετε την προώθηση θύρας στο NAT σας. Εάν χρησιμοποιείτε το DTLS ως πρωτόκολλο ασφαλείας επιπέδου ελέγχου, δεν χρειάζεται να κάνετε τίποτα. Ο αριθμός των θυρών που προωθούνται εξαρτάται από τον αριθμό των διεργασιών vdaemon που εκτελούνται στο Cisco SD-WAN Manager. Για να εμφανίσετε πληροφορίες σχετικά με αυτές τις διεργασίες και σχετικά με και τον αριθμό των θυρών που προωθούνται, χρησιμοποιήστε την εντολή σύνοψης ελέγχου εμφάνισης που δείχνει ότι εκτελούνται τέσσερις διεργασίες δαίμονα:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Για να δείτε τις θύρες ακρόασης, χρησιμοποιήστε την εντολή show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Αυτή η έξοδος δείχνει ότι η θύρα TCP ακρόασης είναι 23456. Εάν εκτελείτε το Cisco SD-WAN Manager πίσω από ένα NAT, θα πρέπει να ανοίξετε τις ακόλουθες θύρες στη συσκευή NAT:

  • 23456 (base – instance 0 port)
  • 23456 + 100 (βάση + 100)
  • 23456 + 200 (βάση + 200)
  • 23456 + 300 (βάση + 300)

Λάβετε υπόψη ότι ο αριθμός των παρουσιών είναι ίδιος με τον αριθμό των πυρήνων που έχετε εκχωρήσει για το Cisco SD-WAN Manager, έως και 8.

Διαμόρφωση παραμέτρων ασφαλείας χρησιμοποιώντας το πρότυπο λειτουργιών ασφαλείας

Χρησιμοποιήστε το πρότυπο χαρακτηριστικών ασφαλείας για όλες τις συσκευές Cisco vEdge. Στους δρομολογητές άκρης και στο Cisco SD-WAN Validator, χρησιμοποιήστε αυτό το πρότυπο για να διαμορφώσετε το IPsec για ασφάλεια επιπέδου δεδομένων. Στο Cisco SD-WAN Manager και στον ελεγκτή Cisco SD-WAN, χρησιμοποιήστε το πρότυπο λειτουργίας Security για να διαμορφώσετε DTLS ή TLS για ασφάλεια επιπέδου ελέγχου.

Διαμόρφωση παραμέτρων ασφαλείας

  1. Από το μενού Cisco SD-WAN Manager, επιλέξτε Διαμόρφωση > Πρότυπα.
  2. Κάντε κλικ στην επιλογή Πρότυπα δυνατοτήτων και, στη συνέχεια, κάντε κλικ στην επιλογή Προσθήκη προτύπου.
    Σημείωμα Στην έκδοση Cisco vManage 20.7.1 και σε προηγούμενες εκδόσεις, τα Πρότυπα Δυνατοτήτων ονομάζονται Δυνατότητα.
  3. Από τη λίστα Συσκευές στο αριστερό παράθυρο, επιλέξτε μια συσκευή. Τα πρότυπα που ισχύουν για την επιλεγμένη συσκευή εμφανίζονται στο δεξιό παράθυρο.
  4. Κάντε κλικ στην Ασφάλεια για να ανοίξετε το πρότυπο.
  5. Στο πεδίο Όνομα προτύπου, πληκτρολογήστε ένα όνομα για το πρότυπο. Το όνομα μπορεί να έχει έως 128 χαρακτήρες και μπορεί να περιέχει μόνο αλφαριθμητικούς χαρακτήρες.
  6. Στο πεδίο Περιγραφή προτύπου, εισαγάγετε μια περιγραφή του προτύπου. Η περιγραφή μπορεί να έχει έως 2048 χαρακτήρες και μπορεί να περιέχει μόνο αλφαριθμητικούς χαρακτήρες.

Όταν ανοίγετε για πρώτη φορά ένα πρότυπο λειτουργίας, για κάθε παράμετρο που έχει μια προεπιλεγμένη τιμή, το εύρος ορίζεται σε Προεπιλογή (υποδεικνύεται με ένα σημάδι επιλογής) και εμφανίζεται η προεπιλεγμένη ρύθμιση ή τιμή. Για να αλλάξετε την προεπιλογή ή για να εισαγάγετε μια τιμή, κάντε κλικ στο αναπτυσσόμενο μενού εμβέλειας στα αριστερά του πεδίου παραμέτρων και επιλέξτε ένα από τα ακόλουθα:

Πίνακας 1:

Παράμετρος Εκταση Περιγραφή πεδίου
Ειδική συσκευή (υποδεικνύεται από ένα εικονίδιο κεντρικού υπολογιστή) Χρησιμοποιήστε μια τιμή συγκεκριμένης συσκευής για την παράμετρο. Για παραμέτρους συγκεκριμένης συσκευής, δεν μπορείτε να εισαγάγετε μια τιμή στο πρότυπο χαρακτηριστικών. Εισαγάγετε την τιμή όταν συνδέετε μια συσκευή Viptela σε ένα πρότυπο συσκευής.

Όταν κάνετε κλικ στο Device Specific, ανοίγει το πλαίσιο Enter Key. Αυτό το πλαίσιο εμφανίζει ένα κλειδί, το οποίο είναι μια μοναδική συμβολοσειρά που προσδιορίζει την παράμετρο σε ένα CSV file που δημιουργείτε. Αυτό file είναι ένα υπολογιστικό φύλλο του Excel που περιέχει μία στήλη για κάθε κλειδί. Η σειρά κεφαλίδας περιέχει τα ονόματα κλειδιών (ένα κλειδί ανά στήλη) και κάθε σειρά μετά από αυτό αντιστοιχεί σε μια συσκευή και ορίζει τις τιμές των κλειδιών για αυτήν τη συσκευή. Ανεβάζετε το CSV file όταν συνδέετε μια συσκευή Viptela σε ένα πρότυπο συσκευής. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δημιουργία υπολογιστικού φύλλου μεταβλητών προτύπου.

Για να αλλάξετε το προεπιλεγμένο κλειδί, πληκτρολογήστε μια νέα συμβολοσειρά και μετακινήστε τον κέρσορα έξω από το πλαίσιο Enter Key.

ExampΟι συγκεκριμένες παραμέτρους για τη συσκευή είναι η διεύθυνση IP του συστήματος, το όνομα κεντρικού υπολογιστή, η τοποθεσία GPS και το αναγνωριστικό τοποθεσίας.
Παράμετρος Εκταση Περιγραφή πεδίου
Καθολική (υποδεικνύεται από ένα εικονίδιο υδρόγειου) Εισαγάγετε μια τιμή για την παράμετρο και εφαρμόστε αυτήν την τιμή σε όλες τις συσκευές.

ExampΟι παραμέτρους που μπορείτε να εφαρμόσετε καθολικά σε μια ομάδα συσκευών είναι ο διακομιστής DNS, ο διακομιστής καταγραφής συστήματος και οι MTU διασύνδεσης.

Διαμόρφωση ασφάλειας επιπέδου ελέγχου

Σημείωμα
Η ενότητα Configure Control Plane Security ισχύει μόνο για το Cisco SD-WAN Manager και τον Cisco SD-WAN Controller. Για να διαμορφώσετε το πρωτόκολλο σύνδεσης επιπέδου ελέγχου σε μια παρουσία Cisco SD-WAN Manager ή έναν ελεγκτή Cisco SD-WAN, επιλέξτε την περιοχή Basic Configuration και ρυθμίστε τις παρακάτω παραμέτρους:

Πίνακας 2:

Παράμετρος Ονομα Περιγραφή
Πρωτόκολλο Επιλέξτε το πρωτόκολλο που θα χρησιμοποιήσετε στις συνδέσεις επιπέδου ελέγχου σε έναν ελεγκτή Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Αυτή είναι η προεπιλογή.

• TLS (Transport Layer Security)
Έλεγχος θύρας TLS Εάν επιλέξατε TLS, διαμορφώστε τον αριθμό θύρας για χρήση:Σειρά: 1025 έως 65535Αθέτηση: 23456

Κάντε κλικ στην Αποθήκευση

Διαμόρφωση ασφάλειας επιπέδου δεδομένων
Για να διαμορφώσετε την ασφάλεια επιπέδου δεδομένων σε ένα Cisco SD-WAN Validator ή έναν δρομολογητή Cisco vEdge, επιλέξτε τις καρτέλες Basic Configuration and Authentication Type και διαμορφώστε τις ακόλουθες παραμέτρους:

Πίνακας 3:

Παράμετρος Ονομα Περιγραφή
Ώρα επανάληψης κλειδιών Καθορίστε πόσο συχνά ένας δρομολογητής Cisco vEdge αλλάζει το κλειδί AES που χρησιμοποιείται στην ασφαλή σύνδεσή του DTLS στον ελεγκτή Cisco SD-WAN. Εάν είναι ενεργοποιημένη η χαριτωμένη επανεκκίνηση OMP, ο χρόνος επαναφοράς κλειδιών πρέπει να είναι τουλάχιστον διπλάσιος από την τιμή του χαριτωμένου χρονοδιακόπτη επανεκκίνησης OMP.Σειρά: 10 έως 1209600 δευτερόλεπτα (14 ημέρες)Αθέτηση: 86400 δευτερόλεπτα (24 ώρες)
Παράθυρο επανάληψης Καθορίστε το μέγεθος του συρόμενου παραθύρου επανάληψης.

Τιμές: 64, 128, 256, 512, 1024, 2048, 4096, 8192 πακέταΑθέτηση: 512 πακέτα
IPsec

ζευγάρωμα

 Αυτό είναι απενεργοποιημένο από προεπιλογή. Κλικ On για να το ενεργοποιήσετε.
Παράμετρος Ονομα Περιγραφή
Τύπος ελέγχου ταυτότητας Επιλέξτε τους τύπους ελέγχου ταυτότητας από το Πιστοποίηση Λίστακαι κάντε κλικ στο βέλος που δείχνει δεξιά για να μετακινήσετε τους τύπους ελέγχου ταυτότητας στο Επιλεγμένη λίστα στήλη.

Τύποι ελέγχου ταυτότητας που υποστηρίζονται από την έκδοση 20.6.1 της Cisco SD-WAN:

•  esp: Ενεργοποιεί την κρυπτογράφηση ενθυλάκωσης ωφέλιμου φορτίου ασφαλείας (ESP) και τον έλεγχο ακεραιότητας στην κεφαλίδα ESP.

•  ip-udp-esp: Ενεργοποιεί την κρυπτογράφηση ESP. Εκτός από τους ελέγχους ακεραιότητας στην κεφαλίδα ESP και το ωφέλιμο φορτίο, οι έλεγχοι περιλαμβάνουν επίσης τις κεφαλίδες εξωτερικής IP και UDP.

•  ip-udp-esp-no-id: Αγνοεί το πεδίο ID στην κεφαλίδα IP, έτσι ώστε το Cisco Catalyst SD-WAN να μπορεί να λειτουργεί σε συνδυασμό με συσκευές που δεν ανήκουν στη Cisco.

•  κανένας: Απενεργοποιεί τον έλεγχο ακεραιότητας σε πακέτα IPSec. Δεν συνιστούμε να χρησιμοποιήσετε αυτήν την επιλογή.

 

Τύποι ελέγχου ταυτότητας που υποστηρίζονται στην έκδοση Cisco SD-WAN 20.5.1 και προγενέστερη έκδοση:

•  ah-no-id: Ενεργοποιήστε μια βελτιωμένη έκδοση των AH-SHA1 HMAC και ESP HMAC-SHA1 που αγνοεί το πεδίο ID στην εξωτερική κεφαλίδα IP του πακέτου.

•  αχ-σα1-χμακ: Ενεργοποίηση AH-SHA1 HMAC και ESP HMAC-SHA1.

•  κανένας: Επιλέξτε χωρίς έλεγχο ταυτότητας.

•  sha1-hmac: Ενεργοποίηση ESP HMAC-SHA1.

 

Σημείωμα              Για μια συσκευή edge που εκτελείται σε Cisco SD-WAN Release 20.5.1 ή παλαιότερη έκδοση, ενδέχεται να έχετε διαμορφώσει τύπους ελέγχου ταυτότητας χρησιμοποιώντας ένα Ασφάλεια περίγραμμα. Όταν αναβαθμίζετε τη συσκευή σε Cisco SD-WAN Release 20.6.1 ή νεότερη έκδοση, ενημερώστε τους επιλεγμένους τύπους ελέγχου ταυτότητας στο Ασφάλεια πρότυπο για τους τύπους ελέγχου ταυτότητας που υποστηρίζονται από την έκδοση 20.6.1 της Cisco SD-WAN. Για να ενημερώσετε τους τύπους ελέγχου ταυτότητας, κάντε τα εξής:

1.      Από το μενού Cisco SD-WAN Manager, επιλέξτε Διαμόρφωση >

Πρότυπα.

2.      Κλικ Πρότυπα δυνατοτήτων.

3.      Βρείτε το Ασφάλεια πρότυπο για ενημέρωση και κάντε κλικ… και κάντε κλικ Εκδίδω.

4.      Κλικ Εκσυγχρονίζω. Μην τροποποιήσετε καμία διαμόρφωση.

Το Cisco SD-WAN Manager ενημερώνει το Ασφάλεια πρότυπο για την εμφάνιση των υποστηριζόμενων τύπων ελέγχου ταυτότητας.

Κάντε κλικ στην Αποθήκευση.

Διαμόρφωση παραμέτρων ασφαλείας επιπέδου δεδομένων

Στο επίπεδο δεδομένων, το IPsec είναι ενεργοποιημένο από προεπιλογή σε όλους τους δρομολογητές και από προεπιλογή οι συνδέσεις σήραγγας IPsec χρησιμοποιούν μια βελτιωμένη έκδοση του πρωτοκόλλου Encapsulating Security Payload (ESP) για έλεγχο ταυτότητας σε σήραγγες IPsec. Στους δρομολογητές, μπορείτε να αλλάξετε τον τύπο ελέγχου ταυτότητας, το χρονόμετρο επανάληψης κλειδιών IPsec και το μέγεθος του παραθύρου κατά της επανάληψης IPsec.

Διαμόρφωση επιτρεπόμενων τύπων ελέγχου ταυτότητας

Τύποι ελέγχου ταυτότητας στην έκδοση Cisco SD-WAN 20.6.1 και μεταγενέστερη έκδοση
Από την έκδοση Cisco SD-WAN 20.6.1, υποστηρίζονται οι ακόλουθοι τύποι ακεραιότητας:

  • esp: Αυτή η επιλογή ενεργοποιεί την κρυπτογράφηση και τον έλεγχο ακεραιότητας του ESP (Encapsulating Security Payload) στην κεφαλίδα ESP.
  • ip-udp-esp: Αυτή η επιλογή ενεργοποιεί την κρυπτογράφηση ESP. Εκτός από τους ελέγχους ακεραιότητας στην κεφαλίδα ESP και στο ωφέλιμο φορτίο, οι έλεγχοι περιλαμβάνουν επίσης τις εξωτερικές κεφαλίδες IP και UDP.
  • ip-udp-esp-no-id: Αυτή η επιλογή είναι παρόμοια με την ip-udp-esp, ωστόσο, το πεδίο ID της εξωτερικής κεφαλίδας IP αγνοείται. Διαμορφώστε αυτήν την επιλογή στη λίστα των τύπων ακεραιότητας, ώστε το λογισμικό Cisco Catalyst SD-WAN να αγνοεί το πεδίο ID στην κεφαλίδα IP, έτσι ώστε το Cisco Catalyst SD-WAN να μπορεί να λειτουργεί σε συνδυασμό με συσκευές που δεν ανήκουν στη Cisco.
  • κανένα: Αυτή η επιλογή απενεργοποιεί τον έλεγχο ακεραιότητας σε πακέτα IPSec. Δεν συνιστούμε να χρησιμοποιήσετε αυτήν την επιλογή.

Από προεπιλογή, οι συνδέσεις σήραγγας IPsec χρησιμοποιούν μια βελτιωμένη έκδοση του πρωτοκόλλου Encapsulating Security Payload (ESP) για έλεγχο ταυτότητας. Για να τροποποιήσετε τους τύπους διαπραγμάτευσης διαπραγμάτευσης ή για να απενεργοποιήσετε τον έλεγχο ακεραιότητας, χρησιμοποιήστε την ακόλουθη εντολή: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Τύποι ελέγχου ταυτότητας πριν από την κυκλοφορία του Cisco SD-WAN 20.6.1
Από προεπιλογή, οι συνδέσεις σήραγγας IPsec χρησιμοποιούν μια βελτιωμένη έκδοση του πρωτοκόλλου Encapsulating Security Payload (ESP) για έλεγχο ταυτότητας. Για να τροποποιήσετε τους τύπους ελέγχου ταυτότητας με διαπραγμάτευση ή για να απενεργοποιήσετε τον έλεγχο ταυτότητας, χρησιμοποιήστε την ακόλουθη εντολή: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Από προεπιλογή, IPsec Οι συνδέσεις σήραγγας χρησιμοποιούν το AES-GCM-256, το οποίο παρέχει κρυπτογράφηση και έλεγχο ταυτότητας. Διαμορφώστε κάθε τύπο ελέγχου ταυτότητας με μια ξεχωριστή εντολή ipsec authentication-type ασφαλείας. Οι επιλογές εντολών αντιστοιχίζονται στους ακόλουθους τύπους ελέγχου ταυτότητας, οι οποίοι παρατίθενται με σειρά από το πιο ισχυρό στο λιγότερο ισχυρό:

Σημείωμα
Το sha1 στις επιλογές διαμόρφωσης χρησιμοποιείται για ιστορικούς λόγους. Οι επιλογές ελέγχου ταυτότητας υποδεικνύουν πόσο από τον έλεγχο ακεραιότητας του πακέτου έχει γίνει. Δεν καθορίζουν τον αλγόριθμο που ελέγχει την ακεραιότητα. Εκτός από την κρυπτογράφηση της κυκλοφορίας πολλαπλής διανομής, οι αλγόριθμοι ελέγχου ταυτότητας που υποστηρίζονται από το Cisco Catalyst SD WAN δεν χρησιμοποιούν SHA1. Ωστόσο, στην έκδοση Cisco SD-WAN 20.1.x και μεταγενέστερες εκδόσεις, τόσο το unicast όσο και το multicast δεν χρησιμοποιούν SHA1.

  • Το ah-sha1-hmac επιτρέπει την κρυπτογράφηση και την ενθυλάκωση χρησιμοποιώντας ESP. Ωστόσο, εκτός από τους ελέγχους ακεραιότητας στην κεφαλίδα και το ωφέλιμο φορτίο ESP, οι έλεγχοι περιλαμβάνουν επίσης τις εξωτερικές κεφαλίδες IP και UDP. Ως εκ τούτου, αυτή η επιλογή υποστηρίζει έναν έλεγχο ακεραιότητας του πακέτου παρόμοιο με το πρωτόκολλο Authentication Header (AH). Όλη η ακεραιότητα και η κρυπτογράφηση εκτελούνται χρησιμοποιώντας το AES-256-GCM.
  • Το ah-no-id ενεργοποιεί μια λειτουργία παρόμοια με την ah-sha1-hmac, ωστόσο, το πεδίο ID της εξωτερικής κεφαλίδας IP αγνοείται. Αυτή η επιλογή φιλοξενεί ορισμένες συσκευές SD-WAN που δεν ανήκουν στη Cisco Catalyst, συμπεριλαμβανομένου του Apple AirPort Express NAT, που έχουν ένα σφάλμα που προκαλεί την τροποποίηση του πεδίου ID στην κεφαλίδα IP, ένα μη μεταβλητό πεδίο. Διαμορφώστε την επιλογή ah-no-id στη λίστα των τύπων ελέγχου ταυτότητας, ώστε το λογισμικό Cisco Catalyst SD-WAN AH να αγνοεί το πεδίο ID στην κεφαλίδα IP, έτσι ώστε το λογισμικό Cisco Catalyst SD-WAN να μπορεί να λειτουργεί σε συνδυασμό με αυτές τις συσκευές.
  • Το sha1-hmac επιτρέπει την κρυπτογράφηση ESP και τον έλεγχο ακεραιότητας.
  • κανένα δεν χαρτογραφείται χωρίς έλεγχο ταυτότητας. Αυτή η επιλογή θα πρέπει να χρησιμοποιείται μόνο εάν απαιτείται για προσωρινό εντοπισμό σφαλμάτων. Μπορείτε επίσης να επιλέξετε αυτήν την επιλογή σε περιπτώσεις όπου ο έλεγχος ταυτότητας και η ακεραιότητα του επιπέδου δεδομένων δεν προκαλούν ανησυχία. Η Cisco δεν συνιστά τη χρήση αυτής της επιλογής για δίκτυα παραγωγής.

Για πληροφορίες σχετικά με τα πεδία πακέτων δεδομένων που επηρεάζονται από αυτούς τους τύπους ελέγχου ταυτότητας, ανατρέξτε στην ενότητα Ακεραιότητα επιπέδου δεδομένων. Οι συσκευές Cisco IOS XE Catalyst SD-WAN και οι συσκευές Cisco vEdge διαφημίζουν τους διαμορφωμένους τύπους ελέγχου ταυτότητας στις ιδιότητες TLOC τους. Οι δύο δρομολογητές εκατέρωθεν μιας σύνδεσης σήραγγας IPsec διαπραγματεύονται τον έλεγχο ταυτότητας για χρήση στη μεταξύ τους σύνδεση, χρησιμοποιώντας τον ισχυρότερο τύπο ελέγχου ταυτότητας που έχει ρυθμιστεί και στους δύο δρομολογητές. Για π.χampΈτσι, εάν ένας δρομολογητής διαφημίζει τους τύπους ah-sha1-hmac και ah-no-id και ένας δεύτερος δρομολογητής διαφημίζει τον τύπο ah-no-id, οι δύο δρομολογητές διαπραγματεύονται να χρησιμοποιήσουν το ah-no-id στη σύνδεση σήραγγας IPsec μεταξύ τους. Εάν δεν έχουν ρυθμιστεί κοινοί τύποι ελέγχου ταυτότητας στα δύο ομότιμα, δεν δημιουργείται σήραγγα IPsec μεταξύ τους. Ο αλγόριθμος κρυπτογράφησης στις συνδέσεις σήραγγας IPsec εξαρτάται από τον τύπο της κίνησης:

  • Για την κυκλοφορία unicast, ο αλγόριθμος κρυπτογράφησης είναι AES-256-GCM.
  • Για κίνηση πολλαπλών εκπομπών:
  • Cisco SD-WAN Έκδοση 20.1.x και νεότερη έκδοση – ο αλγόριθμος κρυπτογράφησης είναι AES-256-GCM
  • Προηγούμενες εκδόσεις – ο αλγόριθμος κρυπτογράφησης είναι AES-256-CBC με SHA1-HMAC.

Όταν αλλάξει ο τύπος ελέγχου ταυτότητας IPsec, αλλάζει το κλειδί AES για τη διαδρομή δεδομένων.

Αλλάξτε το χρονόμετρο επαναφοράς κλειδιών

Προτού οι συσκευές Cisco IOS XE Catalyst SD-WAN και οι συσκευές Cisco vEdge μπορούν να ανταλλάξουν κίνηση δεδομένων, δημιουργούν ένα ασφαλές κανάλι επικοινωνίας με έλεγχο ταυτότητας μεταξύ τους. Οι δρομολογητές χρησιμοποιούν σήραγγες IPSec μεταξύ τους ως κανάλι και τον κρυπτογράφηση AES-256 για την εκτέλεση κρυπτογράφησης. Κάθε δρομολογητής δημιουργεί περιοδικά ένα νέο κλειδί AES για τη διαδρομή δεδομένων του. Από προεπιλογή, ένα κλειδί ισχύει για 86400 δευτερόλεπτα (24 ώρες) και το εύρος του χρονοδιακόπτη είναι από 10 δευτερόλεπτα έως 1209600 δευτερόλεπτα (14 ημέρες). Για να αλλάξετε την τιμή του χρονοδιακόπτη εκ νέου κλειδιού: Device(config)# security ipsec rekey seconds Η διαμόρφωση έχει ως εξής:

  • ασφάλεια ipsec rekey δευτερόλεπτα !

Εάν θέλετε να δημιουργήσετε νέα κλειδιά IPsec αμέσως, μπορείτε να το κάνετε χωρίς να τροποποιήσετε τη διαμόρφωση του δρομολογητή. Για να το κάνετε αυτό, εκδώστε την εντολή ipsecrekey ασφαλείας αιτήματος στον παραβιασμένο δρομολογητή. Για π.χample, η ακόλουθη έξοδος δείχνει ότι η τοπική SA έχει δείκτη παραμέτρων ασφαλείας (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ένα μοναδικό κλειδί συσχετίζεται με κάθε SPI. Εάν αυτό το κλειδί έχει παραβιαστεί, χρησιμοποιήστε την εντολή ipsec-rekey ασφαλείας αιτήματος για να δημιουργήσετε ένα νέο κλειδί αμέσως. Αυτή η εντολή αυξάνει το SPI. Στην πρώην μαςample, το SPI αλλάζει σε 257 και το κλειδί που σχετίζεται με αυτό χρησιμοποιείται τώρα:

  • Συσκευή# αίτημα ασφαλείας ipsecrekey
  • Η συσκευή # εμφανίζει το ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Αφού δημιουργηθεί το νέο κλειδί, ο δρομολογητής το στέλνει αμέσως στους ελεγκτές Cisco SD-WAN χρησιμοποιώντας DTLS ή TLS. Οι ελεγκτές Cisco SD-WAN στέλνουν το κλειδί στους ομότιμους δρομολογητές. Οι δρομολογητές αρχίζουν να το χρησιμοποιούν μόλις το λάβουν. Λάβετε υπόψη ότι το κλειδί που σχετίζεται με το παλιό SPI (256) θα συνεχίσει να χρησιμοποιείται για μικρό χρονικό διάστημα έως ότου λήξει. Για να σταματήσετε να χρησιμοποιείτε το παλιό κλειδί αμέσως, εκδώστε την εντολή ipsec-rekey ασφαλείας αιτήματος δύο φορές, διαδοχικά. Αυτή η ακολουθία εντολών καταργεί τόσο το SPI 256 όσο και το 257 και ορίζει το SPI στο 258. Στη συνέχεια, ο δρομολογητής χρησιμοποιεί το συσχετισμένο κλειδί του SPI 258. Σημειώστε, ωστόσο, ότι ορισμένα πακέτα θα απορριφθούν για σύντομο χρονικό διάστημα μέχρι να μάθουν όλοι οι απομακρυσμένοι δρομολογητές το νέο κλειδί.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Αλλάξτε το μέγεθος του παραθύρου κατά της επανάληψης

Ο έλεγχος ταυτότητας IPsec παρέχει προστασία κατά της επανάληψης εκχωρώντας έναν μοναδικό αριθμό σειράς σε κάθε πακέτο σε μια ροή δεδομένων. Αυτή η αρίθμηση ακολουθίας προστατεύει από έναν εισβολέα που αντιγράφει πακέτα δεδομένων. Με προστασία κατά της επανάληψης, ο αποστολέας εκχωρεί μονότονα αυξανόμενους αριθμούς ακολουθίας και ο προορισμός ελέγχει αυτούς τους αριθμούς σειράς για να εντοπίσει διπλότυπα. Επειδή τα πακέτα συχνά δεν φτάνουν με τη σειρά, ο προορισμός διατηρεί ένα συρόμενο παράθυρο με αριθμούς ακολουθίας που θα δέχεται.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Τα πακέτα με αριθμούς ακολουθίας που εμπίπτουν στα αριστερά του εύρους του συρόμενου παραθύρου θεωρούνται παλιά ή διπλότυπα και ο προορισμός τα απορρίπτει. Ο προορισμός παρακολουθεί τον υψηλότερο αριθμό ακολουθίας που έχει λάβει και προσαρμόζει το συρόμενο παράθυρο όταν λαμβάνει ένα πακέτο με υψηλότερη τιμή.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Από προεπιλογή, το συρόμενο παράθυρο έχει οριστεί σε 512 πακέτα. Μπορεί να οριστεί σε οποιαδήποτε τιμή μεταξύ 64 και 4096 που είναι δύναμη 2 (δηλαδή 64, 128, 256, 512, 1024, 2048 ή 4096). Για να τροποποιήσετε το μέγεθος του παραθύρου κατά της επανάληψης, χρησιμοποιήστε την εντολή replay-window, προσδιορίζοντας το μέγεθος του παραθύρου:

Device(config)# security αριθμός παραθύρου επανάληψης ipsec

Η διαμόρφωση μοιάζει με αυτό:
ασφάλεια ipsec replay-window number ! !

Για βοήθεια με το QoS, διατηρούνται ξεχωριστά παράθυρα επανάληψης για καθένα από τα πρώτα οκτώ κανάλια κυκλοφορίας. Το διαμορφωμένο μέγεθος του παραθύρου επανάληψης διαιρείται με οκτώ για κάθε κανάλι. Εάν το QoS έχει ρυθμιστεί σε έναν δρομολογητή, αυτός ο δρομολογητής ενδέχεται να αντιμετωπίσει μεγαλύτερο από τον αναμενόμενο αριθμό πτώσεων πακέτων ως αποτέλεσμα του μηχανισμού κατά της επανάληψης IPsec και πολλά από τα πακέτα που απορρίπτονται είναι νόμιμα. Αυτό συμβαίνει επειδή το QoS αναδιατάσσει πακέτα, δίνοντας στα πακέτα υψηλότερης προτεραιότητας προνομιακή μεταχείριση και καθυστερώντας τα πακέτα χαμηλότερης προτεραιότητας. Για να ελαχιστοποιήσετε ή να αποτρέψετε αυτήν την κατάσταση, μπορείτε να κάνετε τα εξής:

  • Αυξήστε το μέγεθος του παραθύρου κατά της επανάληψης.
  • Μηχανικός της κυκλοφορίας στα πρώτα οκτώ κανάλια κυκλοφορίας για να διασφαλίσει ότι η κυκλοφορία εντός ενός καναλιού δεν θα αναδιαταχθεί.

Διαμόρφωση σηράγγων IPsec με δυνατότητα IKE
Για να μεταφέρετε με ασφάλεια την κυκλοφορία από το δίκτυο επικάλυψης σε ένα δίκτυο υπηρεσιών, μπορείτε να διαμορφώσετε τις σήραγγες IPsec που εκτελούν το πρωτόκολλο Internet Key Exchange (IKE). Οι σήραγγες IPsec με δυνατότητα IKE παρέχουν έλεγχο ταυτότητας και κρυπτογράφηση για τη διασφάλιση ασφαλούς μεταφοράς πακέτων. Δημιουργείτε μια σήραγγα IPsec με δυνατότητα IKE διαμορφώνοντας μια διεπαφή IPsec. Οι διεπαφές IPsec είναι λογικές διεπαφές και τις διαμορφώνετε ακριβώς όπως κάθε άλλη φυσική διεπαφή. Μπορείτε να διαμορφώσετε τις παραμέτρους του πρωτοκόλλου IKE στη διεπαφή IPsec και μπορείτε να διαμορφώσετε άλλες ιδιότητες διεπαφής.

Σημείωμα Η Cisco συνιστά τη χρήση IKE Έκδοσης 2. Από την κυκλοφορία του Cisco SD-WAN 19.2.x και μετά, το προ-κοινόχρηστο κλειδί πρέπει να έχει μήκος τουλάχιστον 16 byte. Η εγκατάσταση της σήραγγας IPsec αποτυγχάνει εάν το μέγεθος του κλειδιού είναι μικρότερο από 16 χαρακτήρες όταν ο δρομολογητής αναβαθμιστεί στην έκδοση 19.2.

Σημείωμα
Το λογισμικό Cisco Catalyst SD-WAN υποστηρίζει την έκδοση IKE 2, όπως ορίζεται στο RFC 7296. Μία χρήση για τις σήραγγες IPsec είναι να επιτρέπουν σε παρουσίες VM δρομολογητή vEdge Cloud που εκτελούνται στο Amazon AWS να συνδέονται στο εικονικό ιδιωτικό σύννεφο της Amazon (VPC). Πρέπει να ρυθμίσετε τις παραμέτρους του IKE Έκδοση 1 σε αυτούς τους δρομολογητές. Οι συσκευές Cisco vEdge υποστηρίζουν μόνο VPN που βασίζονται σε διαδρομή σε μια διαμόρφωση IPSec, επειδή αυτές οι συσκευές δεν μπορούν να ορίσουν επιλογείς κυκλοφορίας στον τομέα κρυπτογράφησης.

Διαμόρφωση ενός IPsec Tunnel
Για να διαμορφώσετε μια διεπαφή σήραγγας IPsec για ασφαλή κίνηση μεταφοράς από ένα δίκτυο υπηρεσιών, δημιουργείτε μια λογική διεπαφή IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Μπορείτε να δημιουργήσετε τη σήραγγα IPsec στο VPN μεταφοράς (VPN 0) και σε οποιαδήποτε υπηρεσία VPN (VPN 1 έως 65530, εκτός από το 512). Η διεπαφή IPsec έχει ένα όνομα στη μορφή ipsecnumber, όπου ο αριθμός μπορεί να είναι από 1 έως 255. Κάθε διεπαφή IPsec πρέπει να έχει μια διεύθυνση IPv4. Αυτή η διεύθυνση πρέπει να είναι πρόθεμα /30. Όλη η κίνηση στο VPN που βρίσκεται εντός αυτού του προθέματος IPv4 κατευθύνεται σε μια φυσική διεπαφή στο VPN 0 για να σταλεί με ασφάλεια μέσω μιας σήραγγας IPsec. Για να διαμορφώσετε την πηγή της σήραγγας IPsec στην τοπική συσκευή, μπορείτε να καθορίσετε είτε τη διεύθυνση IP του τη φυσική διεπαφή (στην εντολή tunnel-source) ή το όνομα της φυσικής διεπαφής (στην εντολή tunnel-source-interface). Βεβαιωθείτε ότι η φυσική διεπαφή έχει ρυθμιστεί σε VPN 0. Για να διαμορφώσετε τον προορισμό της σήραγγας IPsec, καθορίστε τη διεύθυνση IP της απομακρυσμένης συσκευής στην εντολή tunnel-destination. Ο συνδυασμός μιας διεύθυνσης προέλευσης (ή ονόματος διεπαφής προέλευσης) και μιας διεύθυνσης προορισμού ορίζει μια ενιαία σήραγγα IPsec. Μπορεί να υπάρχει μόνο μία σήραγγα IPsec που χρησιμοποιεί μια συγκεκριμένη διεύθυνση πηγής (ή όνομα διεπαφής) και ζεύγος διευθύνσεων προορισμού.

Διαμορφώστε μια στατική διαδρομή IPsec

Για να κατευθύνετε την κυκλοφορία από το VPN υπηρεσίας σε μια σήραγγα IPsec στο VPN μεταφοράς (VPN 0), διαμορφώνετε μια στατική διαδρομή συγκεκριμένης IPsec σε ένα VPN υπηρεσίας (ένα VPN διαφορετικό από το VPN 0 ή το VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interface
  • ipsecnumber [ipsecnumber2]

Το αναγνωριστικό VPN είναι αυτό οποιασδήποτε υπηρεσίας VPN (VPN 1 έως 65530, εκτός από το 512). Το πρόθεμα/μήκος είναι η διεύθυνση IP ή το πρόθεμα, με δεκαδικό συμβολισμό τεσσάρων τμημάτων, και το μήκος του προθέματος της στατικής διαδρομής για το IPsec. Η διεπαφή είναι η διεπαφή IPsec tunnel στο VPN 0. Μπορείτε να διαμορφώσετε μία ή δύο διεπαφές σήραγγας IPsec. Εάν διαμορφώσετε δύο, η πρώτη είναι η κύρια σήραγγα IPsec και η δεύτερη είναι το αντίγραφο ασφαλείας. Με δύο διεπαφές, όλα τα πακέτα αποστέλλονται μόνο στην κύρια σήραγγα. Εάν αυτό το τούνελ αποτύχει, όλα τα πακέτα αποστέλλονται στη δευτερεύουσα σήραγγα. Εάν η κύρια σήραγγα επανέλθει, όλη η κίνηση μετακινείται πίσω στην κύρια σήραγγα IPsec.

Ενεργοποιήστε την έκδοση IKE 1
Όταν δημιουργείτε μια σήραγγα IPsec σε έναν δρομολογητή vEdge, η έκδοση IKE 1 είναι ενεργοποιημένη από προεπιλογή στη διεπαφή της σήραγγας. Οι ακόλουθες ιδιότητες είναι επίσης ενεργοποιημένες από προεπιλογή για το IKEv1:

  • Έλεγχος ταυτότητας και κρυπτογράφηση—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων κλειδιού κατακερματισμού HMAC-SHA1 για ακεραιότητα
  • Αριθμός ομάδας Diffie-Hellman—16
  • Χρονικό διάστημα επαναφοράς κλειδιών—4 ώρες
  • Τρόπος ίδρυσης SA—Κύρια

Από προεπιλογή, το IKEv1 χρησιμοποιεί την κύρια λειτουργία IKE για τη δημιουργία IKE SA. Σε αυτή τη λειτουργία, ανταλλάσσονται έξι πακέτα διαπραγμάτευσης για τη δημιουργία της SA. Για να ανταλλάξετε μόνο τρία πακέτα διαπραγμάτευσης, ενεργοποιήστε την επιθετική λειτουργία:

Σημείωμα
Η επιθετική λειτουργία IKE με προ-κοινόχρηστα κλειδιά θα πρέπει να αποφεύγεται όπου είναι δυνατόν. Διαφορετικά, θα πρέπει να επιλεγεί ένα ισχυρό προ-κοινόχρηστο κλειδί.

  • vEdge(config)# vpn διασύνδεση vpn-id ipsec αριθμός ike
  • vEdge(config-ike)# λειτουργία επιθετική

Από προεπιλογή, το IKEv1 χρησιμοποιεί την ομάδα Diffie-Hellman 16 στην ανταλλαγή κλειδιών IKE. Αυτή η ομάδα χρησιμοποιεί την ομάδα 4096-bit πιο αρθρωτή εκθετική (MODP) κατά την ανταλλαγή κλειδιών IKE. Μπορείτε να αλλάξετε τον αριθμό της ομάδας σε 2 (για MODP 1024 bit), 14 (MODP 2048 bit) ή 15 (MODP 3072 bit):

  • vEdge(config)# vpn διασύνδεση vpn-id ipsec αριθμός ike
  • vEdge(config-ike)# αριθμός ομάδας

Από προεπιλογή, η ανταλλαγή κλειδιών IKE χρησιμοποιεί προηγμένη τυπική κρυπτογράφηση CBC κρυπτογράφησης AES-256 με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα. Μπορείτε να αλλάξετε τον έλεγχο ταυτότητας:

  • vEdge(config)# vpn διασύνδεση vpn-id ipsec αριθμός ike
  • vEdge(config-ike)# cipher-suite suite

Η σουίτα ελέγχου ταυτότητας μπορεί να είναι ένα από τα ακόλουθα:

  • aes128-cbc-sha1—AES-128 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα
  • aes128-cbc-sha2—AES-128 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA256 για ακεραιότητα
  • aes256-cbc-sha1—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα. αυτή είναι η προεπιλογή.
  • aes256-cbc-sha2—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA256 για ακεραιότητα

Από προεπιλογή, τα κλειδιά IKE ανανεώνονται κάθε 1 ώρα (3600 δευτερόλεπτα). Μπορείτε να αλλάξετε το διάστημα επαναφοράς κλειδιών σε τιμή από 30 δευτερόλεπτα έως 14 ημέρες (1209600 δευτερόλεπτα). Συνιστάται το διάστημα επαναφοράς κλειδιών να είναι τουλάχιστον 1 ώρα.

  • vEdge(config)# vpn vpn-id διεπαφής αριθμός ipsec όπως
  • vEdge(config-ike)# δευτερόλεπτα επανάληψης κλειδιού

Για να αναγκάσετε τη δημιουργία νέων κλειδιών για μια περίοδο λειτουργίας IKE, εκδώστε την εντολή αίτησης ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec αριθμός ike

Για το IKE, μπορείτε επίσης να διαμορφώσετε τον έλεγχο ταυτότητας προκοινωμένου κλειδιού (PSK):

  • vEdge(config)# vpn διασύνδεση vpn-id ipsec αριθμός ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret κωδικός πρόσβασης είναι ο κωδικός πρόσβασης που χρησιμοποιείται με το προ-κοινόχρηστο κλειδί. Μπορεί να είναι ASCII ή δεκαεξαδική συμβολοσειρά από 1 έως 127 χαρακτήρες.

Εάν το απομακρυσμένο ομότιμο IKE απαιτεί τοπικό ή απομακρυσμένο αναγνωριστικό, μπορείτε να διαμορφώσετε αυτό το αναγνωριστικό:

  • vEdge(config)# vpn διασύνδεση vpn-id αριθμός ipsec ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id

Το αναγνωριστικό μπορεί να είναι μια διεύθυνση IP ή οποιαδήποτε συμβολοσειρά κειμένου από 1 έως 63 χαρακτήρες. Από προεπιλογή, το τοπικό αναγνωριστικό είναι η διεύθυνση IP προέλευσης της σήραγγας και το απομακρυσμένο αναγνωριστικό είναι η διεύθυνση IP προορισμού της σήραγγας.

Ενεργοποιήστε την έκδοση IKE 2
Όταν διαμορφώνετε μια σήραγγα IPsec ώστε να χρησιμοποιεί την έκδοση IKE 2, οι ακόλουθες ιδιότητες είναι επίσης ενεργοποιημένες από προεπιλογή για το IKEv2:

  • Έλεγχος ταυτότητας και κρυπτογράφηση—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων κλειδιού κατακερματισμού HMAC-SHA1 για ακεραιότητα
  • Αριθμός ομάδας Diffie-Hellman—16
  • Χρονικό διάστημα επαναφοράς κλειδιών—4 ώρες

Από προεπιλογή, το IKEv2 χρησιμοποιεί την ομάδα Diffie-Hellman 16 στην ανταλλαγή κλειδιών IKE. Αυτή η ομάδα χρησιμοποιεί την ομάδα 4096-bit πιο αρθρωτή εκθετική (MODP) κατά την ανταλλαγή κλειδιών IKE. Μπορείτε να αλλάξετε τον αριθμό της ομάδας σε 2 (για MODP 1024 bit), 14 (MODP 2048 bit) ή 15 (MODP 3072 bit):

  • vEdge(config)# vpn vpn-id διεπαφή ipsecnumber ike
  • vEdge(config-ike)# αριθμός ομάδας

Από προεπιλογή, η ανταλλαγή κλειδιών IKE χρησιμοποιεί προηγμένη τυπική κρυπτογράφηση CBC κρυπτογράφησης AES-256 με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα. Μπορείτε να αλλάξετε τον έλεγχο ταυτότητας:

  • vEdge(config)# vpn vpn-id διεπαφή ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Η σουίτα ελέγχου ταυτότητας μπορεί να είναι ένα από τα ακόλουθα:

  • aes128-cbc-sha1—AES-128 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα
  • aes128-cbc-sha2—AES-128 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA256 για ακεραιότητα
  • aes256-cbc-sha1—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA1 για ακεραιότητα. αυτή είναι η προεπιλογή.
  • aes256-cbc-sha2—AES-256 προηγμένη κρυπτογράφηση τυπική κρυπτογράφηση CBC με τον αλγόριθμο κωδικού ελέγχου ταυτότητας μηνυμάτων keyed-hash HMAC-SHA256 για ακεραιότητα

Από προεπιλογή, τα κλειδιά IKE ανανεώνονται κάθε 4 ώρες (14,400 δευτερόλεπτα). Μπορείτε να αλλάξετε το διάστημα επαναφοράς κλειδιών σε τιμή από 30 δευτερόλεπτα έως 14 ημέρες (1209600 δευτερόλεπτα):

  • vEdge(config)# vpn vpn-id διεπαφή ipsecnumber ike
  • vEdge(config-ike)# δευτερόλεπτα επανάληψης κλειδιού

Για να αναγκάσετε τη δημιουργία νέων κλειδιών για μια περίοδο λειτουργίας IKE, εκδώστε την εντολή αίτησης ipsec ike-rekey. Για το IKE, μπορείτε επίσης να διαμορφώσετε τον έλεγχο ταυτότητας προκοινωμένου κλειδιού (PSK):

  • vEdge(config)# vpn vpn-id διεπαφή ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret κωδικός πρόσβασης είναι ο κωδικός πρόσβασης που χρησιμοποιείται με το προ-κοινόχρηστο κλειδί. Μπορεί να είναι μια συμβολοσειρά ASCII ή δεκαεξαδική, ή μπορεί να είναι ένα κλειδί κρυπτογραφημένο με AES. Εάν το απομακρυσμένο ομότιμο IKE απαιτεί τοπικό ή απομακρυσμένο αναγνωριστικό, μπορείτε να διαμορφώσετε αυτό το αναγνωριστικό:
  • vEdge(config)# vpn vpn-id διεπαφή ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id

Το αναγνωριστικό μπορεί να είναι μια διεύθυνση IP ή οποιαδήποτε συμβολοσειρά κειμένου από 1 έως 64 χαρακτήρες. Από προεπιλογή, το τοπικό αναγνωριστικό είναι η διεύθυνση IP προέλευσης της σήραγγας και το απομακρυσμένο αναγνωριστικό είναι η διεύθυνση IP προορισμού της σήραγγας.

Διαμόρφωση παραμέτρων IPsec Tunnel

Πίνακας 4: Ιστορικό λειτουργιών

Χαρακτηριστικό Ονομα Πληροφορίες Έκδοσης Περιγραφή
Πρόσθετο Κρυπτογραφικό Cisco SD-WAN Έκδοση 20.1.1 Αυτή η δυνατότητα προσθέτει υποστήριξη για
Αλγοριθμική Υποστήριξη για IPSec   HMAC_SHA256, HMAC_SHA384 και
Σήραγγες   HMAC_SHA512 αλγόριθμοι για
    ενισχυμένη ασφάλεια.

Από προεπιλογή, οι ακόλουθες παράμετροι χρησιμοποιούνται στη σήραγγα IPsec που μεταφέρει κίνηση IKE:

  • Έλεγχος ταυτότητας και κρυπτογράφηση — Αλγόριθμος AES-256 σε GCM (λειτουργία Galois/μετρητή)
  • Διάστημα επαναφοράς κλειδιών—4 ώρες
  • Παράθυρο επανάληψης—32 πακέτα

Μπορείτε να αλλάξετε την κρυπτογράφηση στη σήραγγα IPsec σε κρυπτογράφηση AES-256 στο CBC (λειτουργία αλυσίδας μπλοκ κρυπτογράφησης, με HMAC που χρησιμοποιεί έλεγχο ταυτότητας μηνύματος keyed-hash SHA-1 ή SHA-2 ή μηδενισμό με HMAC χρησιμοποιώντας είτε SHA-1 είτε SHA-2 keyed-hash έλεγχος ταυτότητας μηνύματος, για να μην κρυπτογραφηθεί η σήραγγα IPsec που χρησιμοποιείται για την κίνηση ανταλλαγής κλειδιών IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-null-384sha256 | |. aes512-null-shaXNUMX |.

Από προεπιλογή, τα κλειδιά IKE ανανεώνονται κάθε 4 ώρες (14,400 δευτερόλεπτα). Μπορείτε να αλλάξετε το διάστημα επαναφοράς κλειδιών σε τιμή από 30 δευτερόλεπτα έως 14 ημέρες (1209600 δευτερόλεπτα):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey seconds

Για να αναγκάσετε τη δημιουργία νέων κλειδιών για μια σήραγγα IPsec, εκδώστε την εντολή ipsec ipsec-rekey αίτησης. Από προεπιλογή, η απόλυτη μυστικότητα προώθησης (PFS) είναι ενεργοποιημένη σε σήραγγες IPsec, για να διασφαλιστεί ότι οι προηγούμενες περίοδοι σύνδεσης δεν επηρεάζονται σε περίπτωση παραβίασης μελλοντικών κλειδιών. Το PFS αναγκάζει μια νέα ανταλλαγή κλειδιών Diffie-Hellman, από προεπιλογή χρησιμοποιώντας την ομάδα λειτουργικών μονάδων 4096-bit Diffie-Hellman. Μπορείτε να αλλάξετε τη ρύθμιση PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ρύθμιση pfs perfect-forward-secrecy

Η ρύθμιση pfs μπορεί να είναι ένα από τα ακόλουθα:

  • group-2—Χρησιμοποιήστε την ομάδα 1024-bit Diffie-Hellman prime modulus.
  • group-14—Χρησιμοποιήστε την ομάδα 2048-bit Diffie-Hellman prime modulus.
  • group-15—Χρησιμοποιήστε την ομάδα 3072-bit Diffie-Hellman prime modulus.
  • group-16—Χρησιμοποιήστε την ομάδα 4096-bit Diffie-Hellman prime modulus. Αυτή είναι η προεπιλογή.
  • κανένα—Απενεργοποίηση PFS.

Από προεπιλογή, το παράθυρο επανάληψης IPsec στη σήραγγα IPsec είναι 512 byte. Μπορείτε να ορίσετε το μέγεθος του παραθύρου επανάληψης σε 64, 128, 256, 512, 1024, 2048 ή 4096 πακέτα:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# αριθμός παραθύρου επανάληψης

Τροποποίηση του IKE Dead-Peer Detection

Το IKE χρησιμοποιεί έναν μηχανισμό ανίχνευσης νεκρών ομότιμων για να προσδιορίσει εάν η σύνδεση με ένα ομότιμο IKE είναι λειτουργική και προσβάσιμη. Για την εφαρμογή αυτού του μηχανισμού, το IKE στέλνει ένα πακέτο Hello στον ομότιμο του και ο ομότιμος στέλνει μια επιβεβαίωση ως απάντηση. Από προεπιλογή, το IKE στέλνει πακέτα Hello κάθε 10 δευτερόλεπτα και μετά από τρία μη επιβεβαιωμένα πακέτα, το IKE δηλώνει νεκρό τον γείτονα και γκρεμίζει τη σήραγγα στον ομότιμο. Στη συνέχεια, η IKE στέλνει περιοδικά ένα πακέτο Hello στον ομότιμο και αποκαθιστά τη σήραγγα όταν ο ομότιμος επιστρέψει στο διαδίκτυο. Μπορείτε να αλλάξετε το διάστημα ανίχνευσης ζωντανότητας σε τιμή από 0 έως 65535 και μπορείτε να αλλάξετε τον αριθμό των επαναλήψεων σε τιμή από 0 έως 255.

Σημείωμα

Για VPN μεταφοράς, το διάστημα ανίχνευσης ζωντανότητας μετατρέπεται σε δευτερόλεπτα χρησιμοποιώντας τον ακόλουθο τύπο: Διάστημα για αριθμό προσπάθειας αναμετάδοσης N = διάστημα * 1.8N-1Για π.χ.ample, εάν το διάστημα οριστεί στο 10 και προσπαθήσει ξανά στο 5, το διάστημα ανίχνευσης αυξάνεται ως εξής:

  • Προσπάθεια 1: 10 * 1.81-1= 10 δευτερόλεπτα
  • Απόπειρα 2: 10 * 1.82-1= 18 δευτερόλεπτα
  • Απόπειρα 3: 10 * 1.83-1= 32.4 δευτερόλεπτα
  • Απόπειρα 4: 10 * 1.84-1= 58.32 δευτερόλεπτα
  • Απόπειρα 5: 10 * 1.85-1= 104.976 δευτερόλεπτα

vEdge(config-interface-ipsecnumber)# αριθμός επαναλήψεων διαστήματος dead-peer-detection

Διαμόρφωση άλλων ιδιοτήτων διεπαφής

Για διεπαφές σήραγγας IPsec, μπορείτε να διαμορφώσετε μόνο τις ακόλουθες πρόσθετες ιδιότητες διεπαφής:

  • vEdge(config-interface-ipsec)# mtu byte
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Απενεργοποιήστε τους αλγόριθμους κρυπτογράφησης αδύναμου SSH στο Cisco SD-WAN Manager

Πίνακας 5: Πίνακας ιστορικού λειτουργιών

Χαρακτηριστικό Ονομα Πληροφορίες Έκδοσης Χαρακτηριστικό Περιγραφή
Απενεργοποιήστε τους αλγόριθμους κρυπτογράφησης αδύναμου SSH στο Cisco SD-WAN Manager Έκδοση Cisco vManage 20.9.1 Αυτή η δυνατότητα σάς επιτρέπει να απενεργοποιήσετε ασθενέστερους αλγόριθμους SSH στο Cisco SD-WAN Manager που ενδέχεται να μην συμμορφώνονται με ορισμένα πρότυπα ασφάλειας δεδομένων.

Πληροφορίες σχετικά με την απενεργοποίηση αδύναμων αλγορίθμων κρυπτογράφησης SSH στο Cisco SD-WAN Manager
Το Cisco SD-WAN Manager παρέχει ένα πρόγραμμα-πελάτη SSH για επικοινωνία με στοιχεία στο δίκτυο, συμπεριλαμβανομένων ελεγκτών και συσκευών άκρων. Ο πελάτης SSH παρέχει μια κρυπτογραφημένη σύνδεση για ασφαλή μεταφορά δεδομένων, βασισμένη σε μια ποικιλία αλγορίθμων κρυπτογράφησης. Πολλοί οργανισμοί απαιτούν ισχυρότερη κρυπτογράφηση από αυτή που παρέχεται από τα SHA-1, AES-128 και AES-192. Από το Cisco vManage Release 20.9.1, μπορείτε να απενεργοποιήσετε τους ακόλουθους πιο αδύναμους αλγόριθμους κρυπτογράφησης, έτσι ώστε ένας πελάτης SSH να μην χρησιμοποιεί αυτούς τους αλγόριθμους:

  • SHA-1
  • AES-128
  • AES-192

Πριν απενεργοποιήσετε αυτούς τους αλγόριθμους κρυπτογράφησης, βεβαιωθείτε ότι οι συσκευές Cisco vEdge, εάν υπάρχουν, στο δίκτυο, χρησιμοποιούν μια έκδοση λογισμικού αργότερα από την έκδοση 18.4.6 του Cisco SD-WAN.

Οφέλη από την απενεργοποίηση αδύναμων αλγορίθμων κρυπτογράφησης SSH στο Cisco SD-WAN Manager
Η απενεργοποίηση ασθενέστερων αλγορίθμων κρυπτογράφησης SSH βελτιώνει την ασφάλεια της επικοινωνίας SSH και διασφαλίζει ότι οι οργανισμοί που χρησιμοποιούν Cisco Catalyst SD-WAN συμμορφώνονται με αυστηρούς κανονισμούς ασφαλείας.

Απενεργοποίηση αλγορίθμων κρυπτογράφησης αδύναμου SSH στο Cisco SD-WAN Manager με χρήση CLI

  1. Από το μενού Cisco SD-WAN Manager, επιλέξτε Εργαλεία > Τερματικό SSH.
  2. Επιλέξτε τη συσκευή Cisco SD-WAN Manager στην οποία θέλετε να απενεργοποιήσετε τους ασθενέστερους αλγόριθμους SSH.
  3. Εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης για να συνδεθείτε στη συσκευή.
  4. Μπείτε σε λειτουργία διακομιστή SSH.
    • σύστημα vmanage(config)#
    • vmanage(config-system)# ssh-server
  5. Κάντε ένα από τα παρακάτω για να απενεργοποιήσετε έναν αλγόριθμο κρυπτογράφησης SSH:
    • Απενεργοποίηση SHA-1:
  6. διαχείριση (config-ssh-server)# όχι kex-algo sha1
  7. management(config-ssh-server)# commit
    Εμφανίζεται το ακόλουθο προειδοποιητικό μήνυμα: Δημιουργήθηκαν οι ακόλουθες προειδοποιήσεις: 'system ssh-server kex-algo sha1': ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Βεβαιωθείτε ότι όλα τα άκρα σας εκτελούν τον κωδικό έκδοσης > 18.4.6 που διαπραγματεύεται καλύτερα από το SHA1 με το vManage. Διαφορετικά αυτές οι άκρες μπορεί να γίνουν εκτός σύνδεσης. Προχωρώ; [ναι, όχι] ναι
    • Βεβαιωθείτε ότι όλες οι συσκευές Cisco vEdge στο δίκτυο εκτελούν Cisco SD-WAN Έκδοση 18.4.6 ή νεότερη έκδοση και πληκτρολογήστε ναι.
    • Απενεργοποιήστε τα AES-128 και AES-192:
    • vmanage(config-ssh-server)# χωρίς κρυπτογράφηση aes-128-192
    • vmanage(config-ssh-server)# commit
      Εμφανίζεται το ακόλουθο προειδοποιητικό μήνυμα:
      Δημιουργήθηκαν οι ακόλουθες προειδοποιήσεις:
      'system ssh-server cipher aes-128-192': ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Βεβαιωθείτε ότι όλα τα άκρα σας εκτελούν την έκδοση κώδικα > 18.4.6 που διαπραγματεύεται καλύτερα από το AES-128-192 με το vManage. Διαφορετικά αυτές οι άκρες μπορεί να γίνουν εκτός σύνδεσης. Προχωρώ; [ναι, όχι] ναι
    • Βεβαιωθείτε ότι όλες οι συσκευές Cisco vEdge στο δίκτυο εκτελούν Cisco SD-WAN Έκδοση 18.4.6 ή νεότερη έκδοση και πληκτρολογήστε ναι.

Βεβαιωθείτε ότι οι αδύναμοι αλγόριθμοι κρυπτογράφησης SSH είναι απενεργοποιημένοι στο Cisco SD-WAN Manager χρησιμοποιώντας το CLI

  1. Από το μενού Cisco SD-WAN Manager, επιλέξτε Εργαλεία > Τερματικό SSH.
  2. Επιλέξτε τη συσκευή Cisco SD-WAN Manager που θέλετε να επαληθεύσετε.
  3. Εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης για να συνδεθείτε στη συσκευή.
  4. Εκτελέστε την ακόλουθη εντολή: show running-config system ssh-server
  5. Επιβεβαιώστε ότι η έξοδος εμφανίζει μία ή περισσότερες από τις εντολές που απενεργοποιούν ασθενέστερους αλγόριθμους κρυπτογράφησης:
    • χωρίς κρυπτογράφηση aes-128-192
    • όχι kex-algo sha1

Έγγραφα / Πόροι

CISCO SD-WAN Διαμόρφωση παραμέτρων ασφαλείας [pdf] Οδηγός χρήστη
SD-WAN Διαμόρφωση παραμέτρων ασφαλείας, SD-WAN, Διαμόρφωση παραμέτρων ασφαλείας, παραμέτρους ασφαλείας

Αναφορές

Αφήστε ένα σχόλιο

Η διεύθυνση email σας δεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία επισημαίνονται *