CISCO SD-WAN پارامترهای امنیتی را پیکربندی کنید

پیکربندی پارامترهای امنیتی

توجه داشته باشید

برای دستیابی به ساده‌سازی و سازگاری، راه‌حل Cisco SD-WAN به Cisco Catalyst SD-WAN تغییر نام داده است. علاوه بر این، از Cisco IOS XE SD-WAN Release 17.12.1a و Cisco Catalyst SD-WAN Release 20.12.1، تغییرات مؤلفه زیر قابل اعمال است: Cisco vManage به Cisco Catalyst SD-WAN Manager، Cisco vAnalytics به Cisco Catalyst SD-WAN Analytics، Cisco vBond to Cisco Catalyst SD-WAN Validator و Cisco vSmart to Cisco Catalyst SD-WAN Controller. برای فهرستی جامع از همه تغییرات نام تجاری مؤلفه، به آخرین یادداشت های انتشار مراجعه کنید. در حالی که ما به نام‌های جدید منتقل می‌شویم، ممکن است برخی ناسازگاری‌ها در مجموعه مستندات وجود داشته باشد، زیرا یک رویکرد مرحله‌ای به به‌روزرسانی رابط کاربری محصول نرم‌افزاری است.

این بخش نحوه تغییر پارامترهای امنیتی برای صفحه کنترل و صفحه داده در شبکه همپوشانی Cisco Catalyst SD-WAN را توضیح می دهد.

• پیکربندی پارامترهای امنیتی صفحه کنترل، روشن
• پیکربندی پارامترهای امنیتی صفحه داده، روشن
• پیکربندی IKE-Enabled IPsec Tunnels، روشن
• غیرفعال کردن ضعیف الگوریتم های رمزگذاری SSH در Cisco SD-WAN Manager، روشن

پیکربندی پارامترهای امنیتی صفحه کنترل

به طور پیش فرض، صفحه کنترل از DTLS به عنوان پروتکلی استفاده می کند که حریم خصوصی را در تمام تونل های خود فراهم می کند. DTLS روی UDP اجرا می شود. شما می توانید پروتکل امنیتی صفحه کنترل را به TLS تغییر دهید که از طریق TCP اجرا می شود. دلیل اصلی استفاده از TLS این است که اگر کنترلر SD-WAN Cisco را یک سرور در نظر بگیرید، فایروال ها از سرورهای TCP بهتر از سرورهای UDP محافظت می کنند. شما پروتکل تونل صفحه کنترل را روی یک کنترلر سیسکو SD-WAN پیکربندی می کنید: vSmart(config)# پروتکل کنترل امنیتی tls با این تغییر، تمام تونل های صفحه کنترل بین کنترلر SD-WAN سیسکو و روترها و بین کنترلر SD-WAN Cisco و Cisco SD-WAN Manager از TLS استفاده می کنند. تونل های صفحه کنترل به Cisco Catalyst SD-WAN Validator همیشه از DTLS استفاده می کنند، زیرا این اتصالات باید توسط UDP مدیریت شوند. در دامنه‌ای با چندین کنترلر SD-WAN Cisco، وقتی TLS را روی یکی از کنترل‌کننده‌های Cisco SD-WAN پیکربندی می‌کنید، همه تونل‌های صفحه کنترل از آن کنترل‌کننده به کنترل‌کننده‌های دیگر از TLS استفاده می‌کنند. به عبارت دیگر، TLS همیشه بر DTLS اولویت دارد. با این حال، از دیدگاه سایر کنترل‌کننده‌های Cisco SD-WAN، اگر TLS را روی آن‌ها پیکربندی نکرده‌اید، آن‌ها از TLS در تونل صفحه کنترل فقط برای آن یک سیسکو SD-WAN کنترلر استفاده می‌کنند و از تونل‌های DTLS برای همه دیگر استفاده می‌کنند. کنترلرهای Cisco SD-WAN و همه روترهای متصل به آنها. برای اینکه همه کنترلرهای Cisco SD-WAN از TLS استفاده کنند، آن را روی همه آنها پیکربندی کنید. به طور پیش فرض، Cisco SD-WAN Controller به درگاه 23456 برای درخواست های TLS گوش می دهد. برای تغییر این مورد: vSmart(config)# کنترل امنیتی tls-port شماره پورت می تواند عددی از 1025 تا 65535 باشد. برای نمایش اطلاعات امنیتی صفحه کنترل، از فرمان show control connections در کنترلر SD-WAN Cisco استفاده کنید. برای مثالample: vSmart-2# اتصالات کنترل را نشان می دهد

DTLS را در Cisco SD-WAN Manager پیکربندی کنید

اگر Cisco SD-WAN Manager را برای استفاده از TLS به عنوان پروتکل امنیتی صفحه کنترل پیکربندی کرده اید، باید انتقال پورت را در NAT خود فعال کنید. اگر از DTLS به عنوان پروتکل امنیتی صفحه کنترل استفاده می کنید، نیازی به انجام کاری ندارید. تعداد پورت های ارسال شده بستگی به تعداد پردازش های vdaemon دارد که در Cisco SD-WAN Manager اجرا می شوند. برای نمایش اطلاعات مربوط به این فرآیندها و درباره و تعداد پورت هایی که در حال ارسال هستند، از دستور show control summary استفاده کنید که نشان می دهد چهار پردازش شبح در حال اجرا هستند:

برای مشاهده پورت های گوش دادن، از دستور show control local-properties استفاده کنید: vManage# show control local-properties

این خروجی نشان می دهد که پورت TCP گوش 23456 است. اگر Cisco SD-WAN Manager را پشت NAT اجرا می کنید، باید پورت های زیر را در دستگاه NAT باز کنید:

• 23456 (پایه – پورت نمونه 0)
• 23456 + 100 (پایه + 100)
• 23456 + 200 (پایه + 200)
• 23456 + 300 (پایه + 300)

توجه داشته باشید که تعداد نمونه‌ها با تعداد هسته‌هایی که برای Cisco SD-WAN Manager اختصاص داده‌اید، حداکثر تا 8 عدد است.

پیکربندی پارامترهای امنیتی با استفاده از الگوی ویژگی امنیتی

از الگوی ویژگی امنیتی برای همه دستگاه های Cisco vEdge استفاده کنید. در روترهای لبه و در Cisco SD-WAN Validator، از این الگو برای پیکربندی IPsec برای امنیت صفحه داده استفاده کنید. در Cisco SD-WAN Manager و Cisco SD-WAN Controller، از الگوی ویژگی Security برای پیکربندی DTLS یا TLS برای امنیت صفحه کنترل استفاده کنید.

پیکربندی پارامترهای امنیتی

1. از منوی Cisco SD-WAN Manager، Configuration > Templates را انتخاب کنید.
2. روی Feature Templates و سپس Add Template کلیک کنید.
   توجه داشته باشید در Cisco vManage Release 20.7.1 و نسخه های قبلی، Feature Templates Feature نامیده می شود.
3. از لیست Devices در سمت چپ، یک دستگاه را انتخاب کنید. الگوهای قابل استفاده برای دستگاه انتخاب شده در قسمت سمت راست ظاهر می شوند.
4. برای باز کردن قالب روی امنیت کلیک کنید.
5. در قسمت Template Name یک نام برای الگو وارد کنید. نام می تواند حداکثر 128 کاراکتر باشد و فقط شامل نویسه های الفبایی باشد.
6. در قسمت توضیحات الگو، توضیحاتی در مورد الگو وارد کنید. توضیحات می تواند حداکثر 2048 کاراکتر باشد و فقط شامل نویسه های الفبایی باشد.

هنگامی که برای اولین بار یک الگوی ویژگی را باز می کنید، برای هر پارامتری که دارای یک مقدار پیش فرض است، دامنه روی Default تنظیم می شود (با علامت چک نشان داده می شود) و تنظیمات یا مقدار پیش فرض نشان داده می شود. برای تغییر پیش‌فرض یا وارد کردن مقدار، روی منوی کشویی scope در سمت چپ قسمت پارامتر کلیک کنید و یکی از موارد زیر را انتخاب کنید:

جدول 1:

پارامتر دامنه

شرح محدوده

دستگاه خاص (با نماد میزبان نشان داده شده است)

از یک مقدار خاص دستگاه برای پارامتر استفاده کنید. برای پارامترهای خاص دستگاه، نمی‌توانید مقداری را در قالب ویژگی وارد کنید. هنگامی که یک دستگاه Viptela را به یک الگوی دستگاه متصل می کنید، مقدار را وارد می کنید. وقتی روی Device Specific کلیک می کنید، کادر Enter Key باز می شود. این کادر یک کلید را نمایش می دهد که یک رشته منحصر به فرد است که پارامتر را در یک CSV شناسایی می کند file که شما ایجاد می کنید. این file یک صفحه گسترده اکسل است که برای هر کلید یک ستون دارد. ردیف سرصفحه شامل نام کلیدها (یک کلید در هر ستون) است و هر سطر بعد از آن مربوط به یک دستگاه است و مقادیر کلیدها را برای آن دستگاه تعریف می کند. شما CSV را آپلود می کنید file هنگامی که یک دستگاه Viptela را به یک الگوی دستگاه متصل می کنید. برای اطلاعات بیشتر، به ایجاد صفحه گسترده متغیرهای الگو مراجعه کنید. برای تغییر کلید پیش فرض، یک رشته جدید تایپ کنید و مکان نما را از کادر Enter Key خارج کنید. Exampبرخی از پارامترهای خاص دستگاه عبارتند از آدرس IP سیستم، نام میزبان، مکان GPS و شناسه سایت.

پارامتر دامنه	شرح محدوده
جهانی (با نماد کره زمین نشان داده شده است)	مقداری برای پارامتر وارد کنید و آن مقدار را برای همه دستگاه ها اعمال کنید. Exampپارامترهایی که ممکن است به صورت سراسری برای گروهی از دستگاه ها اعمال کنید عبارتند از سرور DNS، سرور syslog و MTU رابط.

امنیت صفحه کنترل را پیکربندی کنید

توجه داشته باشید
بخش Configure Control Plane Security فقط برای Cisco SD-WAN Manager و Cisco SD-WAN Controller اعمال می شود. برای پیکربندی پروتکل اتصال صفحه کنترل در یک نمونه Cisco SD-WAN Manager یا یک کنترلر Cisco SD-WAN، ناحیه پیکربندی پایه را انتخاب کنید. و پارامترهای زیر را پیکربندی کنید:

جدول 2:

پارامتر نام	توضیحات
پروتکل	پروتکلی را برای استفاده در اتصالات صفحه کنترل به یک کنترلر SD-WAN Cisco انتخاب کنید: • DTLS (Datagram Transport Layer Security). این پیش فرض است. • TLS (امنیت لایه حمل و نقل)
پورت TLS را کنترل کنید	اگر TLS را انتخاب کرده اید، شماره پورت را برای استفاده پیکربندی کنید:محدوده: 1025 تا 65535پیش فرض: 23456

روی ذخیره کلیک کنید

پیکربندی امنیت صفحه داده
برای پیکربندی امنیت سطح داده در Cisco SD-WAN Validator یا روتر Cisco vEdge، زبانه های Basic Configuration و Authentication Type را انتخاب کنید و پارامترهای زیر را پیکربندی کنید:

جدول 3:

پارامتر نام	توضیحات
زمان کلید مجدد	مشخص کنید که هر چند وقت یک‌بار روتر Cisco vEdge کلید AES مورد استفاده در اتصال امن DTLS خود را به کنترلر Cisco SD-WAN تغییر می‌دهد. اگر راه اندازی مجدد برازنده OMP فعال باشد، زمان کلیدگذاری مجدد باید حداقل دو برابر مقدار تایمر راه اندازی مجدد برازنده OMP باشد.محدوده: 10 تا 1209600 ثانیه (14 روز)پیش فرض: 86400 ثانیه (24 ساعت)
بازپخش پنجره	اندازه پنجره بازپخش کشویی را مشخص کنید. ارزش ها: بسته های 64، 128، 256، 512، 1024، 2048، 4096، 8192پیش فرض: 512 بسته
IPsec دو کلید زدن	این به طور پیش فرض خاموش است. کلیک On برای روشن کردن آن

پارامتر نام

توضیحات

نوع احراز هویت

انواع احراز هویت را از میان انتخاب کنید احراز هویت فهرست کنیدو روی فلش سمت راست کلیک کنید تا انواع احراز هویت را به لیست انتخاب شده ستون انواع احراز هویت پشتیبانی شده از Cisco SD-WAN Release 20.6.1: •  مخصوصا: Encapsulating Security Payload (ESP) رمزگذاری و بررسی یکپارچگی هدر ESP را فعال می کند. •  ip-udp-esp: رمزگذاری ESP را فعال می کند. علاوه بر بررسی یکپارچگی هدر ESP و محموله، چک ها شامل هدرهای IP بیرونی و UDP نیز می شوند. •  ip-udp-esp-no-id: فیلد ID در هدر IP را نادیده می گیرد تا Cisco Catalyst SD-WAN بتواند در ارتباط با دستگاه های غیر سیسکو کار کند. •  هیچ کدام: بررسی یکپارچگی بسته های IPSec را خاموش می کند. ما استفاده از این گزینه را توصیه نمی کنیم.   انواع احراز هویت پشتیبانی شده در Cisco SD-WAN Release 20.5.1 و نسخه های قبلی: •  ah-no-id: یک نسخه پیشرفته از AH-SHA1 HMAC و ESP HMAC-SHA1 را فعال کنید که فیلد ID در سربرگ IP بیرونی بسته را نادیده می گیرد. •  ah-sha1-hmac: AH-SHA1 HMAC و ESP HMAC-SHA1 را فعال کنید. •  هیچ کدام: بدون احراز هویت را انتخاب کنید. •  sha1-hmac: ESP HMAC-SHA1 را فعال کنید.   توجه داشته باشید              برای دستگاه لبه‌ای که روی Cisco SD-WAN Release 20.5.1 یا نسخه‌های قبلی اجرا می‌شود، ممکن است انواع احراز هویت را با استفاده از یک پیکربندی کرده باشید. امنیت قالب. هنگامی که دستگاه را به Cisco SD-WAN Release 20.6.1 یا جدیدتر ارتقا می دهید، انواع احراز هویت انتخاب شده را در امنیت الگوی انواع احراز هویت پشتیبانی شده از Cisco SD-WAN Release 20.6.1. برای به روز رسانی انواع احراز هویت، موارد زیر را انجام دهید: 1.      از منوی Cisco SD-WAN Manager، را انتخاب کنید پیکربندی > قالب ها. 2.      کلیک کنید قالب های ویژگی. 3.      را پیدا کنید امنیت قالب برای به روز رسانی و کلیک کنید ... و کلیک کنید ویرایش کنید. 4.      کلیک کنید به روز رسانی. هیچ تنظیماتی را تغییر ندهید. Cisco SD-WAN Manager را به روز می کند امنیت قالبی برای نمایش انواع احراز هویت پشتیبانی شده.

روی ذخیره کلیک کنید.

پارامترهای امنیتی صفحه داده را پیکربندی کنید

در صفحه داده، IPsec به طور پیش‌فرض در همه مسیریاب‌ها فعال است و به‌طور پیش‌فرض اتصالات تونل IPsec از نسخه پیشرفته پروتکل Encapsulating Security Payload (ESP) برای احراز هویت در تونل‌های IPsec استفاده می‌کند. در روترها، می توانید نوع احراز هویت، تایمر کلید مجدد IPsec و اندازه پنجره ضد تکرار IPsec را تغییر دهید.

پیکربندی انواع تأیید اعتبار مجاز

انواع احراز هویت در Cisco SD-WAN نسخه 20.6.1 و جدیدتر
از Cisco SD-WAN Release 20.6.1، انواع یکپارچگی زیر پشتیبانی می شود:

• esp: این گزینه رمزگذاری Encapsulating Security Payload (ESP) و بررسی یکپارچگی هدر ESP را فعال می کند.
• ip-udp-esp: این گزینه رمزگذاری ESP را فعال می کند. علاوه بر بررسی‌های یکپارچگی هدر ESP و بار، چک‌ها شامل هدرهای IP بیرونی و UDP نیز می‌شوند.
• ip-udp-esp-no-id: این گزینه شبیه به ip-udp-esp است، اما فیلد ID هدر IP خارجی نادیده گرفته می شود. این گزینه را در لیست انواع یکپارچگی پیکربندی کنید تا نرم افزار Cisco Catalyst SD-WAN فیلد ID در هدر IP را نادیده بگیرد تا Cisco Catalyst SD-WAN بتواند در ارتباط با دستگاه های غیر سیسکو کار کند.
• none: این گزینه بررسی یکپارچگی بسته های IPSec را خاموش می کند. ما استفاده از این گزینه را توصیه نمی کنیم.

به طور پیش فرض، اتصالات تونل IPsec از نسخه پیشرفته پروتکل Encapsulating Security Payload (ESP) برای احراز هویت استفاده می کند. برای تغییر انواع بینابینی مذاکره شده یا غیرفعال کردن بررسی یکپارچگی، از دستور زیر استفاده کنید: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

انواع احراز هویت قبل از انتشار Cisco SD-WAN 20.6.1
به طور پیش فرض، اتصالات تونل IPsec از نسخه پیشرفته پروتکل Encapsulating Security Payload (ESP) برای احراز هویت استفاده می کند. برای تغییر انواع احراز هویت مذاکره شده یا غیرفعال کردن احراز هویت، از دستور زیر استفاده کنید: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | هیچ) به طور پیش فرض، IPsec اتصالات تونل از AES-GCM-256 استفاده می کند که هم رمزگذاری و هم احراز هویت را فراهم می کند. هر نوع احراز هویت را با یک فرمان امنیتی ipsec authentication-type پیکربندی کنید. گزینه‌های فرمان به انواع احراز هویت زیر منطبق می‌شوند که به ترتیب از قوی‌ترین به کم‌قوی‌ترین فهرست شده‌اند:

توجه داشته باشید
sha1 در گزینه های پیکربندی به دلایل تاریخی استفاده می شود. گزینه های احراز هویت نشان می دهد که چقدر از بررسی یکپارچگی بسته انجام شده است. آنها الگوریتمی را که یکپارچگی را بررسی می کند، مشخص نمی کنند. به جز رمزگذاری ترافیک چندپخشی، الگوریتم های احراز هویت پشتیبانی شده توسط Cisco Catalyst SD WAN از SHA1 استفاده نمی کنند. با این حال در Cisco SD-WAN Release 20.1.x و به بعد، هم unicast و هم multicast از SHA1 استفاده نمی کنند.

• ah-sha1-hmac رمزگذاری و کپسوله‌سازی را با استفاده از ESP فعال می‌کند. با این حال، علاوه بر بررسی یکپارچگی هدر ESP و بار، چک ها شامل هدرهای IP بیرونی و UDP نیز می شوند. از این رو، این گزینه از بررسی یکپارچگی بسته مشابه با پروتکل Authentication Header (AH) پشتیبانی می کند. تمام یکپارچگی و رمزگذاری با استفاده از AES-256-GCM انجام می شود.
• ah-no-id حالتی را فعال می کند که شبیه ah-sha1-hmac است، با این حال، فیلد ID هدر IP خارجی نادیده گرفته می شود. این گزینه برخی از دستگاه‌های غیر Cisco Catalyst SD-WAN از جمله Apple AirPort Express NAT را در خود جای می‌دهد که دارای اشکالی هستند که باعث می‌شود فیلد ID در هدر IP، یک فیلد غیرقابل تغییر، اصلاح شود. گزینه ah-no-id را در لیست انواع احراز هویت پیکربندی کنید تا نرم افزار Cisco Catalyst SD-WAN AH فیلد ID در هدر IP را نادیده بگیرد تا نرم افزار Cisco Catalyst SD-WAN بتواند با این دستگاه ها کار کند.
• sha1-hmac رمزگذاری ESP و بررسی یکپارچگی را فعال می کند.
• هیچکدام به هیچ احراز هویتی نقشه نمی‌دهند. این گزینه فقط در صورتی باید استفاده شود که برای اشکال زدایی موقت مورد نیاز باشد. همچنین می توانید این گزینه را در شرایطی انتخاب کنید که احراز هویت و یکپارچگی صفحه داده ها نگران کننده نیست. سیسکو استفاده از این گزینه را برای شبکه های تولیدی توصیه نمی کند.

برای اطلاعات در مورد اینکه کدام فیلدهای بسته داده تحت تأثیر این نوع احراز هویت قرار می گیرند، به یکپارچگی صفحه داده مراجعه کنید. دستگاه‌های Cisco IOS XE Catalyst SD-WAN و دستگاه‌های Cisco vEdge انواع احراز هویت پیکربندی‌شده خود را در ویژگی‌های TLOC خود تبلیغ می‌کنند. دو روتر در دو طرف یک اتصال تونل IPsec با استفاده از قوی‌ترین نوع احراز هویت که در هر دو روتر پیکربندی شده است، احراز هویت را برای استفاده در اتصال بین خود مورد مذاکره قرار می‌دهند. برای مثالampاگر یک روتر انواع ah-sha1-hmac و ah-no-id را تبلیغ کند و روتر دوم نوع ah-no-id را تبلیغ کند، دو روتر برای استفاده از ah-no-id در اتصال تونل IPsec بین آنها اگر هیچ نوع احراز هویت مشترکی روی دو همتا پیکربندی نشده باشد، هیچ تونل IPsec بین آنها ایجاد نمی شود. الگوریتم رمزگذاری در اتصالات تونل IPsec به نوع ترافیک بستگی دارد:

• برای ترافیک unicast، الگوریتم رمزگذاری AES-256-GCM است.
• برای ترافیک چندپخشی:
• Cisco SD-WAN Release 20.1.x و جدیدتر – الگوریتم رمزگذاری AES-256-GCM است.
• نسخه های قبلی – الگوریتم رمزگذاری AES-256-CBC با SHA1-HMAC است.

هنگامی که نوع احراز هویت IPsec تغییر می کند، کلید AES برای مسیر داده تغییر می کند.

تایمر Rekeying را تغییر دهید

قبل از اینکه دستگاه‌های Cisco IOS XE Catalyst SD-WAN و دستگاه‌های Cisco vEdge بتوانند ترافیک داده‌ها را مبادله کنند، یک کانال ارتباطی احراز هویت امن بین خود راه‌اندازی می‌کنند. روترها از تونل های IPSec بین خود به عنوان کانال و رمز AES-256 برای انجام رمزگذاری استفاده می کنند. هر روتر به صورت دوره ای یک کلید AES جدید برای مسیر داده خود تولید می کند. به طور پیش فرض، یک کلید برای 86400 ثانیه (24 ساعت) معتبر است و محدوده تایمر 10 ثانیه تا 1209600 ثانیه (14 روز) است. برای تغییر مقدار تایمر کلید مجدد: Device(config)# security ipsec rekey seconds پیکربندی به این صورت است:

• امنیتی ipsec کلید مجدد ثانیه !

اگر می‌خواهید بلافاصله کلیدهای IPsec جدید تولید کنید، می‌توانید بدون تغییر پیکربندی روتر این کار را انجام دهید. برای انجام این کار، دستور ipsecrekey امنیتی درخواست را در روتر در معرض خطر صادر کنید. برای مثالample، خروجی زیر نشان می دهد که SA محلی دارای شاخص پارامتر امنیتی (SPI) 256 است:

یک کلید منحصر به فرد با هر SPI مرتبط است. اگر این کلید به خطر افتاده است، از دستور درخواست امنیتی ipsec-rekey برای ایجاد یک کلید جدید بلافاصله استفاده کنید. این دستور SPI را افزایش می دهد. در سابق ماample، SPI به 257 تغییر می کند و کلید مرتبط با آن اکنون استفاده می شود:

• Device# درخواست امنیتی ipsecrekey
• دستگاه# ipsec local-sa را نشان می دهد

پس از تولید کلید جدید، روتر بلافاصله آن را با استفاده از DTLS یا TLS به کنترلرهای Cisco SD-WAN ارسال می کند. کنترلرهای Cisco SD-WAN کلید را به روترهای همتا ارسال می کنند. روترها به محض دریافت آن شروع به استفاده از آن می کنند. توجه داشته باشید که کلید مرتبط با SPI قدیمی (256) برای مدت کوتاهی استفاده می شود تا زمانی که زمان آن تمام شود. برای توقف فوری استفاده از کلید قدیمی، فرمان امنیتی درخواست ipsec-rekey را دو بار پشت سر هم صادر کنید. این ترتیب دستورات SPI 256 و 257 را حذف می کند و SPI را روی 258 تنظیم می کند. سپس روتر از کلید مرتبط SPI 258 استفاده می کند. البته توجه داشته باشید که برخی از بسته ها برای مدت کوتاهی حذف می شوند تا زمانی که همه روترهای راه دور یاد بگیرند. کلید جدید

اندازه پنجره Anti-Replay را تغییر دهید

احراز هویت IPsec با اختصاص یک شماره توالی منحصر به فرد به هر بسته در یک جریان داده، محافظت ضد پخش مجدد را فراهم می کند. این شماره گذاری دنباله ای در برابر مهاجمی که بسته های داده را کپی می کند محافظت می کند. با محافظت در برابر پخش مجدد، فرستنده اعداد دنباله ای را به طور یکنواخت افزایش می دهد و مقصد این اعداد دنباله را برای تشخیص موارد تکراری بررسی می کند. از آنجایی که بسته ها اغلب به ترتیب به دست نمی آیند، مقصد یک پنجره کشویی از اعداد دنباله ای دارد که می پذیرد.

بسته هایی با شماره های دنباله ای که در سمت چپ محدوده پنجره کشویی قرار می گیرند قدیمی یا تکراری در نظر گرفته می شوند و مقصد آنها را حذف می کند. مقصد بالاترین شماره دنباله ای را که دریافت کرده است ردیابی می کند و زمانی که بسته ای با مقدار بالاتر دریافت می کند، پنجره کشویی را تنظیم می کند.

به طور پیش فرض، پنجره کشویی روی 512 بسته تنظیم شده است. می توان آن را روی هر مقداری بین 64 و 4096 که توان 2 است (یعنی 64، 128، 256، 512، 1024، 2048 یا 4096) تنظیم کرد. برای تغییر اندازه پنجره ضد تکرار، از دستور replay-window استفاده کنید و اندازه پنجره را مشخص کنید:

Device(config)# امنیتی شماره پنجره بازپخش ipsec

پیکربندی به شکل زیر است:
شماره امنیتی ipsec replay-window ! !

برای کمک به QoS، پنجره‌های پخش جداگانه برای هر یک از هشت کانال ترافیک اول نگهداری می‌شوند. اندازه پنجره بازپخش پیکربندی شده برای هر کانال بر هشت تقسیم می شود. اگر QoS روی یک روتر پیکربندی شده باشد، آن روتر ممکن است در نتیجه مکانیسم ضد بازپخش IPsec، تعداد بسته‌ها را بیشتر از حد انتظار کاهش دهد و بسیاری از بسته‌هایی که حذف می‌شوند، بسته‌های قانونی هستند. این امر به این دلیل رخ می دهد که QoS بسته ها را مجدداً مرتب می کند، به بسته های با اولویت بالاتر رفتار ترجیحی می دهد و بسته های با اولویت پایین را به تأخیر می اندازد. برای به حداقل رساندن یا جلوگیری از این وضعیت، می توانید موارد زیر را انجام دهید:

• اندازه پنجره ضد پخش را افزایش دهید.
• ترافیک را به هشت کانال اول ترافیک مهندسی کنید تا اطمینان حاصل کنید که ترافیک درون یک کانال دوباره ترتیب داده نمی شود.

پیکربندی IKE-Enabled IPsec Tunnels
برای انتقال ایمن ترافیک از شبکه همپوشانی به شبکه خدماتی، می‌توانید تونل‌های IPsec را که پروتکل تبادل کلید اینترنت (IKE) را اجرا می‌کنند، پیکربندی کنید. تونل‌های IPsec دارای IKE، احراز هویت و رمزگذاری را برای اطمینان از حمل و نقل امن بسته‌ها فراهم می‌کنند. شما با پیکربندی یک رابط IPsec یک تونل IPsec با قابلیت IKE ایجاد می کنید. رابط های IPsec رابط های منطقی هستند و شما آنها را مانند هر رابط فیزیکی دیگری پیکربندی می کنید. شما پارامترهای پروتکل IKE را روی رابط IPsec پیکربندی می‌کنید و می‌توانید سایر ویژگی‌های رابط را پیکربندی کنید.

توجه داشته باشید سیسکو استفاده از IKE نسخه 2 را توصیه می کند. از زمان انتشار Cisco SD-WAN 19.2.x به بعد، طول کلید از پیش مشترک باید حداقل 16 بایت باشد. ایجاد تونل IPsec در صورتی که اندازه کلید کمتر از 16 کاراکتر باشد، هنگامی که روتر به نسخه 19.2 ارتقا داده می شود، خراب می شود.

توجه داشته باشید
نرم افزار Cisco Catalyst SD-WAN از IKE نسخه 2 همانطور که در RFC 7296 تعریف شده است پشتیبانی می کند. یکی از کاربردهای تونل های IPsec این است که به نمونه های VM روتر vEdge Cloud در حال اجرا در Amazon AWS برای اتصال به ابر خصوصی مجازی آمازون (VPC) اجازه می دهد. شما باید IKE نسخه 1 را روی این روترها پیکربندی کنید. دستگاه‌های Cisco vEdge فقط VPN‌های مبتنی بر مسیر را در پیکربندی IPSec پشتیبانی می‌کنند زیرا این دستگاه‌ها نمی‌توانند انتخابگرهای ترافیک را در حوزه رمزگذاری تعریف کنند.

یک تونل IPsec را پیکربندی کنید
برای پیکربندی یک رابط تونل IPsec برای ترافیک حمل و نقل ایمن از یک شبکه خدماتی، یک رابط IPsec منطقی ایجاد می کنید:

می توانید تونل IPsec را در VPN حمل و نقل (VPN 0) و در هر سرویس VPN (VPN 1 تا 65530، به جز 512) ایجاد کنید. رابط IPsec دارای نامی با فرمت ipsecnumber است که تعداد آن می تواند از 1 تا 255 باشد. هر رابط IPsec باید یک آدرس IPv4 داشته باشد. این آدرس باید یک پیشوند /30 باشد. تمام ترافیک VPN که در این پیشوند IPv4 است به یک رابط فیزیکی در VPN 0 هدایت می شود تا به طور ایمن از طریق یک تونل IPsec ارسال شود. برای پیکربندی منبع تونل IPsec در دستگاه محلی، می توانید آدرس IP را مشخص کنید. رابط فیزیکی (در دستور tunnel-source) یا نام رابط فیزیکی (در دستور tunnel-source-interface). اطمینان حاصل کنید که رابط فیزیکی در VPN 0 پیکربندی شده است. برای پیکربندی مقصد تونل IPsec، آدرس IP دستگاه راه دور را در دستور tunnel-destination مشخص کنید. ترکیبی از یک آدرس مبدأ (یا نام رابط منبع) و یک آدرس مقصد، یک تونل IPsec واحد را تعریف می کند. فقط یک تونل IPsec می تواند وجود داشته باشد که از یک آدرس منبع خاص (یا نام رابط) و جفت آدرس مقصد استفاده کند.

یک مسیر ثابت IPsec را پیکربندی کنید

برای هدایت ترافیک از سرویس VPN به یک تونل IPsec در VPN حمل و نقل (VPN 0)، یک مسیر ثابت IPsec خاص در یک سرویس VPN (یک VPN غیر از VPN 0 یا VPN 512) را پیکربندی می کنید:

• vEdge(config)# vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interface
• شماره ipsecnumber [ipsecnumber2]

شناسه VPN مربوط به هر سرویس VPN است (VPN 1 تا 65530، به جز 512). پیشوند/طول آدرس IP یا پیشوند، در نماد چهار قسمتی اعشاری، و طول پیشوند مسیر ثابت IPsec خاص است. این رابط رابط تونل IPsec در VPN 0 است. می توانید یک یا دو رابط تونل IPsec را پیکربندی کنید. اگر دو را پیکربندی کنید، اولی تونل IPsec اولیه و دومی پشتیبان است. با دو رابط، تمام بسته ها فقط به تونل اولیه ارسال می شوند. اگر آن تونل خراب شود، تمام بسته ها به تونل ثانویه ارسال می شوند. اگر تونل اولیه به بالا برگردد، تمام ترافیک به تونل اولیه IPsec منتقل می شود.

IKE نسخه 1 را فعال کنید
هنگامی که یک تونل IPsec در روتر vEdge ایجاد می کنید، نسخه 1 IKE به طور پیش فرض در رابط تونل فعال می شود. ویژگی های زیر نیز به طور پیش فرض برای IKEv1 فعال هستند:

• احراز هویت و رمزگذاری - AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی
• شماره گروه Diffie-Hellman-16
• فاصله زمانی کلید زدن مجدد - 4 ساعت
• حالت تاسیس SA - اصلی

به طور پیش فرض، IKEv1 از حالت اصلی IKE برای ایجاد IKE SA استفاده می کند. در این حالت، شش بسته مذاکره برای ایجاد SA رد و بدل می شود. برای تبادل تنها سه بسته مذاکره، حالت تهاجمی را فعال کنید:

توجه داشته باشید
تا حد امکان باید از حالت تهاجمی IKE با کلیدهای از پیش به اشتراک گذاشته شده اجتناب شود. در غیر این صورت باید یک کلید از پیش مشترک قوی انتخاب شود.

• vEdge(config)# رابط vpn vpn-id شماره ipsec ike
• حالت vEdge(config-ike)# تهاجمی است

به طور پیش فرض، IKEv1 از گروه Diffie-Hellman 16 در تبادل کلید IKE استفاده می کند. این گروه از گروه نمایی مدولار 4096 بیتی (MODP) در هنگام تبادل کلید IKE استفاده می کند. می توانید شماره گروه را به 2 (برای MODP 1024 بیتی)، 14 (MODP 2048 بیتی)، یا 15 (MODP 3072 بیتی) تغییر دهید:

• vEdge(config)# رابط vpn vpn-id شماره ipsec ike
• vEdge(config-ike)# شماره گروه

به طور پیش‌فرض، تبادل کلید IKE از رمزگذاری استاندارد CBC با رمزگذاری پیشرفته AES-256 با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی استفاده می‌کند. می توانید احراز هویت را تغییر دهید:

• vEdge(config)# رابط vpn vpn-id شماره ipsec ike
• vEdge(config-ike)# مجموعه رمزی

مجموعه احراز هویت می تواند یکی از موارد زیر باشد:

• aes128-cbc-sha1—AES-128 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی
• aes128-cbc-sha2—AES-128 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA256 برای یکپارچگی
• aes256-cbc-sha1—AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی. این پیش فرض است.
• aes256-cbc-sha2—AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA256 برای یکپارچگی

به طور پیش فرض، کلیدهای IKE هر 1 ساعت (3600 ثانیه) به روز می شوند. می توانید فاصله کلیدگذاری مجدد را به مقداری از 30 ثانیه تا 14 روز (1209600 ثانیه) تغییر دهید. توصیه می شود فاصله کلیدگذاری مجدد حداقل 1 ساعت باشد.

• vEdge(config)# vpn vpn-id رابط شماره ipsec مانند
• vEdge(config-ike)# کلید مجدد ثانیه

برای اجبار تولید کلیدهای جدید برای یک جلسه IKE، دستور ipsec ike-rekey درخواست را صادر کنید.

• vEdge(config)# vpn vpn-id interfaceipsec شماره ike

برای IKE، شما همچنین می توانید احراز هویت کلید از پیش مشترک (PSK) را پیکربندی کنید:

• vEdge(config)# رابط vpn vpn-id شماره ipsec ike
• vEdge(config-ike)# نوع احراز هویت رمز عبور رمز عبور از پیش اشتراک‌گذاری شده، رمز عبور رمز عبور پیش‌اشتراک‌گذاری‌شده-مخفی، گذرواژه‌ای است که با کلید از پیش اشتراک‌گذاری شده استفاده می‌شود. این می تواند یک ASCII یا یک رشته هگزادسیمال از 1 تا 127 کاراکتر باشد.

اگر همتای IKE راه دور به شناسه محلی یا راه دور نیاز دارد، می توانید این شناسه را پیکربندی کنید:

• vEdge(config)# رابط vpn vpn-id شماره ipsec ike authentication-type
• vEdge(config-authentication-type)# شناسه local-id
• vEdge(config-authentication-type)# remote-id id

شناسه می تواند یک آدرس IP یا هر رشته متنی از 1 تا 63 کاراکتر باشد. به طور پیش فرض، شناسه محلی آدرس IP منبع تونل و شناسه راه دور آدرس IP مقصد تونل است.

IKE نسخه 2 را فعال کنید
هنگامی که یک تونل IPsec را برای استفاده از IKE نسخه 2 پیکربندی می کنید، ویژگی های زیر نیز به طور پیش فرض برای IKEv2 فعال می شوند:

• احراز هویت و رمزگذاری - AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی
• شماره گروه Diffie-Hellman-16
• فاصله زمانی کلید زدن مجدد - 4 ساعت

به طور پیش فرض، IKEv2 از گروه Diffie-Hellman 16 در تبادل کلید IKE استفاده می کند. این گروه از گروه نمایی مدولار 4096 بیتی (MODP) در هنگام تبادل کلید IKE استفاده می کند. می توانید شماره گروه را به 2 (برای MODP 1024 بیتی)، 14 (MODP 2048 بیتی)، یا 15 (MODP 3072 بیتی) تغییر دهید:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# شماره گروه

به طور پیش‌فرض، تبادل کلید IKE از رمزگذاری استاندارد CBC با رمزگذاری پیشرفته AES-256 با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی استفاده می‌کند. می توانید احراز هویت را تغییر دهید:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# مجموعه رمزی

مجموعه احراز هویت می تواند یکی از موارد زیر باشد:

• aes128-cbc-sha1—AES-128 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی
• aes128-cbc-sha2—AES-128 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA256 برای یکپارچگی
• aes256-cbc-sha1—AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA1 برای یکپارچگی. این پیش فرض است.
• aes256-cbc-sha2—AES-256 رمزگذاری پیشرفته استاندارد رمزگذاری CBC با الگوریتم کد احراز هویت پیام هش کلید HMAC-SHA256 برای یکپارچگی

به طور پیش فرض، کلیدهای IKE هر 4 ساعت (14,400 ثانیه) به روز می شوند. می توانید فاصله کلیدگذاری مجدد را به مقداری از 30 ثانیه تا 14 روز (1209600 ثانیه) تغییر دهید:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# کلید مجدد ثانیه

برای اجبار تولید کلیدهای جدید برای یک جلسه IKE، دستور ipsec ike-rekey درخواست را صادر کنید. برای IKE، شما همچنین می توانید احراز هویت کلید از پیش مشترک (PSK) را پیکربندی کنید:

• vEdge(config)# vpn vpn-id interface ipsecnumber ike
• vEdge(config-ike)# نوع احراز هویت رمز عبور رمز عبور از پیش اشتراک‌گذاری شده، رمز عبور رمز عبور پیش‌اشتراک‌گذاری‌شده-مخفی، گذرواژه‌ای است که با کلید از پیش اشتراک‌گذاری شده استفاده می‌شود. این می تواند یک ASCII یا یک رشته هگزادسیمال باشد یا می تواند یک کلید رمزگذاری شده با AES باشد. اگر همتای IKE راه دور به شناسه محلی یا راه دور نیاز دارد، می توانید این شناسه را پیکربندی کنید:
• vEdge(config)# vpn vpn-id interface ipsecnumber ike authentication-type
• vEdge(config-authentication-type)# شناسه local-id
• vEdge(config-authentication-type)# remote-id id

شناسه می تواند یک آدرس IP یا هر رشته متنی از 1 تا 64 کاراکتر باشد. به طور پیش فرض، شناسه محلی آدرس IP منبع تونل و شناسه راه دور آدرس IP مقصد تونل است.

پارامترهای تونل IPsec را پیکربندی کنید

جدول 4: تاریخچه ویژگی

ویژگی نام	اطلاعات انتشار	توضیحات
رمزنگاری اضافی	Cisco SD-WAN نسخه 20.1.1	این ویژگی پشتیبانی از
پشتیبانی الگوریتمی برای IPSec		HMAC_SHA256، HMAC_SHA384، و
تونل ها		الگوریتم های HMAC_SHA512 برای
		امنیت افزایش یافته

به طور پیش فرض، پارامترهای زیر در تونل IPsec که ترافیک IKE را حمل می کند استفاده می شود:

• احراز هویت و رمزگذاری - الگوریتم AES-256 در GCM (حالت Galois/counter)
• فاصله کلید زدن مجدد - 4 ساعت
• پنجره بازپخش - 32 بسته

می‌توانید رمزگذاری روی تونل IPsec را به رمز AES-256 در CBC تغییر دهید (حالت زنجیره‌ای بلوک رمز، با HMAC با استفاده از احراز هویت پیام هش کلید SHA-1 یا SHA-2 یا با استفاده از SHA-1 یا با HMAC پوچ شود. احراز هویت پیام هش کلید SHA-2، برای رمزگذاری نکردن تونل IPsec مورد استفاده برای ترافیک تبادل کلید IKE:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-cbc-sha256 | aes256-cbc-sha384 | | aes256-null-sha512 | aesXNUMX-null-shaXNUMX)

به طور پیش فرض، کلیدهای IKE هر 4 ساعت (14,400 ثانیه) به روز می شوند. می توانید فاصله کلیدگذاری مجدد را به مقداری از 30 ثانیه تا 14 روز (1209600 ثانیه) تغییر دهید:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# کلید مجدد ثانیه

برای اجبار تولید کلیدهای جدید برای یک تونل IPsec، دستور ipsec ipsec-rekey را درخواست کنید. به‌طور پیش‌فرض، محرمانه کامل رو به جلو (PFS) در تونل‌های IPsec فعال است تا اطمینان حاصل شود که در صورت به خطر افتادن کلیدهای آینده، جلسات گذشته تحت تأثیر قرار نمی‌گیرند. PFS یک تبادل کلید جدید Diffie-Hellman را به طور پیش فرض با استفاده از گروه ماژول اولیه 4096 بیتی Diffie-Hellman مجبور می کند. می توانید تنظیمات PFS را تغییر دهید:

• vEdge(config-interface-ipsecnumber)# ipsec
• vEdge(config-ipsec)# تنظیم pfs-secrecy-perfect-forward-secrecy

pfs-setting می تواند یکی از موارد زیر باشد:

• group-2 - از گروه مدول اول 1024 بیتی Diffie-Hellman استفاده کنید.
• group-14 - از گروه مدول اول 2048 بیتی Diffie-Hellman استفاده کنید.
• group-15 - از گروه مدول اول 3072 بیتی Diffie-Hellman استفاده کنید.
• group-16-از گروه مدول اول 4096 بیتی Diffie-Hellman استفاده کنید. این پیش فرض است.
• هیچ - PFS را غیرفعال کنید.

به طور پیش فرض، پنجره بازپخش IPsec در تونل IPsec 512 بایت است. می توانید اندازه پنجره بازپخش را روی بسته های 64، 128، 256، 512، 1024، 2048 یا 4096 تنظیم کنید:

• vEdge(config-interface-ipsecnumber)# ipsec
• شماره vEdge(config-ipsec)# replay-window

IKE Dead-Peer Detection را تغییر دهید

IKE از مکانیزم تشخیص همتا مرده برای تعیین اینکه آیا اتصال به یک همتای IKE کاربردی و قابل دسترسی است یا خیر استفاده می کند. برای پیاده سازی این مکانیسم، IKE یک بسته Hello را برای همتای خود ارسال می کند و همتا در پاسخ یک تایید ارسال می کند. به طور پیش فرض، IKE هر 10 ثانیه بسته های Hello را ارسال می کند و پس از سه بسته ناشناس، IKE همسایه را مرده اعلام می کند و تونل را برای همتا خراب می کند. پس از آن، IKE به صورت دوره‌ای یک بسته Hello را برای همتا ارسال می‌کند و زمانی که همتا آنلاین شد، تونل را مجدداً ایجاد می‌کند. می توانید بازه تشخیص زنده بودن را به مقداری از 0 تا 65535 تغییر دهید و می توانید تعداد تلاش های مجدد را به مقداری از 0 تا 255 تغییر دهید.

توجه داشته باشید

برای VPN های حمل و نقل، بازه تشخیص زنده بودن با استفاده از فرمول زیر به ثانیه تبدیل می شود: فاصله زمانی برای ارسال مجدد شماره تلاش N = فاصله * 1.8N-1برای سابقample، اگر بازه روی 10 تنظیم شود و دوباره روی 5 تلاش کند، فاصله تشخیص به صورت زیر افزایش می یابد:

• تلاش 1: 10 * 1.81-1 = 10 ثانیه
• تلاش 2: 10 * 1.82-1 = 18 ثانیه
• تلاش 3: 10 * 1.83-1 = 32.4 ثانیه
• تلاش 4: 10 * 1.84-1 = 58.32 ثانیه
• تلاش 5: 10 * 1.85-1 = 104.976 ثانیه

vEdge(config-interface-ipsecnumber)# بازه تشخیص dead-peer-detection عدد تکرار

سایر ویژگی های رابط را پیکربندی کنید

برای رابط های تونل IPsec، فقط می توانید ویژگی های رابط اضافی زیر را پیکربندی کنید:

• vEdge(config-interface-ipsec)# بایت mtu
• vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

الگوریتم های رمزگذاری ضعیف SSH را در Cisco SD-WAN Manager غیرفعال کنید

جدول 5: جدول تاریخچه ویژگی ها

ویژگی نام	اطلاعات انتشار	ویژگی توضیحات
الگوریتم های رمزگذاری ضعیف SSH را در Cisco SD-WAN Manager غیرفعال کنید	Cisco vManage نسخه 20.9.1	این ویژگی به شما امکان می‌دهد الگوریتم‌های ضعیف‌تر SSH را در Cisco SD-WAN Manager غیرفعال کنید که ممکن است با استانداردهای امنیتی داده خاصی مطابقت نداشته باشند.

اطلاعاتی درباره غیرفعال کردن الگوریتم‌های رمزگذاری ضعیف SSH در Cisco SD-WAN Manager
Cisco SD-WAN Manager یک کلاینت SSH برای ارتباط با اجزای موجود در شبکه از جمله کنترلرها و دستگاه های لبه فراهم می کند. کلاینت SSH بر اساس انواع الگوریتم های رمزگذاری، یک اتصال رمزگذاری شده برای انتقال امن داده ها فراهم می کند. بسیاری از سازمان ها به رمزگذاری قوی تری نسبت به رمزگذاری ارائه شده توسط SHA-1، AES-128 و AES-192 نیاز دارند. از Cisco vManage Release 20.9.1، می‌توانید الگوریتم‌های رمزگذاری ضعیف‌تر زیر را غیرفعال کنید تا یک کلاینت SSH از این الگوریتم‌ها استفاده نکند:

• SHA-1
• AES-128
• AES-192

قبل از غیرفعال کردن این الگوریتم‌های رمزگذاری، اطمینان حاصل کنید که دستگاه‌های Cisco vEdge، در صورت وجود، در شبکه، از نسخه نرم‌افزاری دیرتر از Cisco SD-WAN Release 18.4.6 استفاده می‌کنند.

مزایای غیرفعال کردن الگوریتم های رمزگذاری ضعیف SSH در Cisco SD-WAN Manager
غیرفعال کردن الگوریتم‌های رمزگذاری ضعیف‌تر SSH، امنیت ارتباطات SSH را بهبود می‌بخشد و تضمین می‌کند که سازمان‌هایی که از Cisco Catalyst SD-WAN استفاده می‌کنند با مقررات امنیتی سخت‌گیرانه مطابقت دارند.

غیرفعال کردن الگوریتم های رمزگذاری ضعیف SSH در Cisco SD-WAN Manager با استفاده از CLI

1. از منوی Cisco SD-WAN Manager، Tools > SSH Terminal را انتخاب کنید.
2. دستگاه Cisco SD-WAN Manager را انتخاب کنید که در آن می‌خواهید الگوریتم‌های ضعیف‌تر SSH را غیرفعال کنید.
3. نام کاربری و رمز عبور را برای ورود به دستگاه وارد کنید.
4. وارد حالت سرور SSH شوید.
   • vmanage(config)# سیستم
   • vmanage(config-system)# ssh-server
5. برای غیرفعال کردن الگوریتم رمزگذاری SSH یکی از موارد زیر را انجام دهید:
   • غیرفعال کردن SHA-1:
6. مدیریت (config-ssh-server)# no kex-algo sha1
7. مدیریت (config-ssh-server)# commit
   پیام هشدار زیر نمایش داده می شود: اخطارهای زیر ایجاد شد: 'system ssh-server kex-algo sha1': هشدار: لطفاً مطمئن شوید که تمام لبه های شما نسخه کد > 18.4.6 را اجرا می کند که بهتر از SHA1 با vManage مذاکره می کند. در غیر این صورت ممکن است آن لبه ها آفلاین شوند. ادامه دهید؟ [بله، نه] بله
   • اطمینان حاصل کنید که هر دستگاه Cisco vEdge در شبکه دارای Cisco SD-WAN Release 18.4.6 یا جدیدتر است و بله را وارد کنید.
   • AES-128 و AES-192 را غیرفعال کنید:
   • vmanage(config-ssh-server)# بدون رمز aes-128-192
   • vmanage(config-ssh-server)# commit
     پیام هشدار زیر نمایش داده می شود:
     هشدارهای زیر ایجاد شد:
     'سیستم ssh-server cipher aes-128-192': هشدار: لطفاً مطمئن شوید که تمام لبه های شما نسخه کد > 18.4.6 را اجرا می کند که بهتر از AES-128-192 با vManage مذاکره می کند. در غیر این صورت ممکن است آن لبه ها آفلاین شوند. ادامه دهید؟ [بله، نه] بله
   • اطمینان حاصل کنید که هر دستگاه Cisco vEdge در شبکه دارای Cisco SD-WAN Release 18.4.6 یا جدیدتر است و بله را وارد کنید.

بررسی کنید که الگوریتم‌های رمزگذاری ضعیف SSH در Cisco SD-WAN Manager با استفاده از CLI غیرفعال هستند

1. از منوی Cisco SD-WAN Manager، Tools > SSH Terminal را انتخاب کنید.
2. دستگاه Cisco SD-WAN Manager را که می‌خواهید تأیید کنید، انتخاب کنید.
3. نام کاربری و رمز عبور را برای ورود به دستگاه وارد کنید.
4. دستور زیر را اجرا کنید: show running-config system ssh-server
5. تأیید کنید که خروجی یک یا چند دستور را نشان می دهد که الگوریتم های رمزگذاری ضعیف تر را غیرفعال می کند:
   • بدون رمز aes-128-192
   • بدون kex-algo sha1

اسناد / منابع

CISCO SD-WAN پارامترهای امنیتی را پیکربندی کنید [pdfراهنمای کاربر SD-WAN پیکربندی پارامترهای امنیتی، SD-WAN، پیکربندی پارامترهای امنیتی، پارامترهای امنیتی

مراجع

• راهنمای کاربر