Sisällys piilottaa
1 CISCO SD-WAN Määritä suojausparametrit
2 Määritä suojausparametrit
3 Määritä ohjaustason suojausparametrit
4 Määritä DTLS Cisco SD-WAN Managerissa
5 Määritä tietotason suojausparametrit
6 Määritä sallitut todennustyypit
7 Vaihda uudelleennäppäilyajastin
8 Muuta toiston estävän ikkunan kokoa
9 Määritä staattinen IPsec-reitti
10 Määritä IPsec-tunneliparametrit
11 Muokkaa IKE Dead-Peer Detectionia
12 Määritä muut käyttöliittymän ominaisuudet
13 Poista käytöstä heikot SSH-salausalgoritmit Cisco SD-WAN Managerissa
14 Asiakirjat / Resurssit
14.1 Viitteet

CISCO-LOGO

CISCO SD-WAN Määritä suojausparametrit

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Määritä suojausparametrit

Huom

Yksinkertaisuuden ja johdonmukaisuuden saavuttamiseksi Cisco SD-WAN -ratkaisu on nimetty uudelleen nimellä Cisco Catalyst SD-WAN. Lisäksi Cisco IOS XE SD-WAN -julkaisusta 17.12.1a ja Cisco Catalyst SD-WAN -julkaisusta 20.12.1 sovelletaan seuraavia komponenttien muutoksia: Cisco vManage Cisco Catalyst SD-WAN Manageriin, Cisco vAnalytics Cisco Catalyst SD-WAN. Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator ja Cisco vSmart to Cisco Catalyst SD-WAN Controller. Katso viimeisimmät julkaisutiedot kattavasta luettelosta kaikista komponenttien tuotemerkkien muutoksista. Kun siirrymme uusiin nimiin, dokumentaatiossa saattaa esiintyä epäjohdonmukaisuuksia ohjelmistotuotteen käyttöliittymäpäivitysten vaiheittaisen lähestymistavan vuoksi.

Tässä osassa kuvataan, kuinka ohjaustason ja tietotason suojausparametreja muutetaan Cisco Catalyst SD-WAN -peittoverkossa.

  • Määritä ohjaustason suojausparametrit, päällä
  • Määritä tietotason suojausparametrit, päällä
  • Määritä IKE-yhteensopivat IPsec-tunnelit, käytössä
  • Poista käytöstä heikko SSH-salausalgoritmi Cisco SD-WAN Managerissa, päällä

Määritä ohjaustason suojausparametrit

Oletusarvoisesti ohjaustaso käyttää DTLS:ää protokollana, joka tarjoaa yksityisyyden kaikissa tunneleissaan. DTLS toimii UDP:n yli. Voit muuttaa ohjaustason suojausprotokollan TLS:ksi, joka toimii TCP:n yli. Ensisijainen syy TLS:n käyttöön on se, että jos pidät Ciscon SD-WAN Controlleria palvelimena, palomuurit suojaavat TCP-palvelimia paremmin kuin UDP-palvelimia. Määrität ohjaustason tunneliprotokollan Cisco SD-WAN Controllerissa: vSmart(config)# Security Control Protocol tls Tällä muutoksella kaikki ohjaustason tunnelit Cisco SD-WAN Controllerin ja reitittimien välillä sekä Cisco SD-WAN Controllerin välillä ja Cisco SD-WAN Manager käyttävät TLS:ää. Ohjaustason tunnelit Cisco Catalyst SD-WAN Validatoriin käyttävät aina DTLS:ää, koska nämä yhteydet on käsiteltävä UDP:n kautta. Toimialueella, jossa on useita Cisco SD-WAN -ohjaimia, kun määrität TLS:n johonkin Cisco SD-WAN -ohjaimesta, kaikki ohjaustason tunnelit kyseisestä ohjaimesta muihin ohjaimiin käyttävät TLS:ää. Toisin sanoen TLS on aina etusijalla DTLS:ään nähden. Kuitenkin muiden Cisco SD-WAN -ohjainten näkökulmasta, jos et ole määrittänyt TLS:ää niille, ne käyttävät TLS:ää ohjaustason tunnelissa vain kyseiseen Cisco SD-WAN -ohjaimeen ja ne käyttävät DTLS-tunneleita kaikkiin muihin. Cisco SD-WAN -ohjaimet ja kaikkiin niihin liitettyihin reitittimiin. Jos haluat, että kaikki Cisco SD-WAN -ohjaimet käyttävät TLS:ää, määritä se kaikille. Oletusarvon mukaan Cisco SD-WAN Controller kuuntelee TLS-pyyntöjä portista 23456. Tämän muuttaminen: vSmart(config)# Security Control tls-port number Portti voi olla numero 1025 - 65535. Voit näyttää ohjaustason suojaustiedot käyttämällä Cisco SD-WAN -ohjaimen show control connections -komentoa. esimample: vSmart-2# näyttää ohjausliitännät

CISCO-SD-WAN-Configure-Security-Parameters-KUVA-1

Määritä DTLS Cisco SD-WAN Managerissa

Jos määrität Cisco SD-WAN Managerin käyttämään TLS:ää ohjaustason suojausprotokollana, sinun on otettava portin edelleenlähetys käyttöön NATissa. Jos käytät DTLS:ää ohjaustason suojausprotokollana, sinun ei tarvitse tehdä mitään. Välitettyjen porttien määrä riippuu Cisco SD-WAN Managerissa käynnissä olevien vdaemon-prosessien määrästä. Jos haluat näyttää tietoja näistä prosesseista ja edelleen lähetettävistä porteista ja niiden lukumäärästä, käytä show control summary -komentoa, joka näyttää, että neljä demoniprosessia on käynnissä:CISCO-SD-WAN-Configure-Security-Parameters-KUVA-2

Nähdäksesi kuunteluportit, käytä show control local-properties -komentoa: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-KUVA-3

Tämä tulos näyttää, että kuunteleva TCP-portti on 23456. Jos käytät Cisco SD-WAN Manageria NAT:n takana, sinun tulee avata seuraavat portit NAT-laitteessa:

  • 23456 (kanta – esiintymän 0 portti)
  • 23456 + 100 (perusnumero + 100)
  • 23456 + 200 (perusnumero + 200)
  • 23456 + 300 (perusnumero + 300)

Huomaa, että esiintymien määrä on sama kuin Cisco SD-WAN Managerille määrittämiesi ytimien määrä, enintään 8.

Määritä suojausparametrit suojausominaisuusmallin avulla

Käytä suojaustoimintomallia kaikissa Cisco vEdge -laitteissa. Käytä tätä mallia reunareitittimissä ja Cisco SD-WAN Validatorissa IPsec:n määrittämiseen tietotason suojausta varten. Käytä Cisco SD-WAN Managerissa ja Cisco SD-WAN Controllerissa Security-ominaisuusmallia DTLS:n tai TLS:n määrittämiseen ohjaustason suojausta varten.

Määritä suojausparametrit

  1. Valitse Cisco SD-WAN Manager -valikosta Kokoonpano > Mallit.
  2. Napsauta Ominaisuusmallit ja napsauta sitten Lisää malli.
    Huom Cisco vManage Release 20.7.1:ssä ja aiemmissa julkaisuissa Feature Templates on nimeltään Feature.
  3. Valitse laite vasemman ruudun Laitteet-luettelosta. Valittuun laitteeseen sovellettavat mallit näkyvät oikeanpuoleisessa ruudussa.
  4. Napsauta Suojaus avataksesi mallin.
  5. Kirjoita Mallin nimi -kenttään mallin nimi. Nimessä voi olla enintään 128 merkkiä ja se voi sisältää vain aakkosnumeerisia merkkejä.
  6. Kirjoita Mallin kuvaus -kenttään mallin kuvaus. Kuvaus voi olla enintään 2048 merkkiä pitkä, ja se voi sisältää vain aakkosnumeerisia merkkejä.

Kun avaat ominaisuusmallin ensimmäisen kerran, kunkin parametrin, jolla on oletusarvo, soveltamisalaksi asetetaan Oletus (merkitty valintamerkillä), ja oletusasetus tai -arvo näytetään. Jos haluat muuttaa oletusarvoa tai syöttää arvon, napsauta parametrikentän vasemmalla puolella olevaa alasvetovalikkoa ja valitse jokin seuraavista:

Taulukko 1:

Parametri Laajuus Laajuus Kuvaus
Laitekohtainen (ilmaistaan ​​isäntäkuvakkeella) Käytä parametrille laitekohtaista arvoa. Laitekohtaisille parametreille ei voi syöttää arvoa ominaisuusmalliin. Annat arvon, kun liität Viptela-laitteen laitemalliin.

Kun napsautat Laitekohtainen, Enter Key -ruutu avautuu. Tässä ruudussa näkyy avain, joka on ainutlaatuinen merkkijono, joka tunnistaa parametrin CSV-tiedostossa file jonka luot. Tämä file on Excel-laskentataulukko, joka sisältää yhden sarakkeen kullekin avaimelle. Otsikkorivi sisältää avainten nimet (yksi avain per sarake), ja jokainen sen jälkeinen rivi vastaa laitetta ja määrittelee kyseisen laitteen avainten arvot. Lataat CSV-tiedoston file kun liität Viptela-laitteen laitemalliin. Lisätietoja on kohdassa Luo mallimuuttujien laskentataulukko.

Jos haluat vaihtaa oletusavaimen, kirjoita uusi merkkijono ja siirrä kohdistin pois Enter Key -ruudusta.

ExampLaitekohtaisia ​​parametreja ovat järjestelmän IP-osoite, isäntänimi, GPS-sijainti ja sivuston tunnus.
Parametri Laajuus Laajuus Kuvaus
Maailmanlaajuinen (ilmaistu maapallokuvakkeella) Anna parametrille arvo ja käytä sitä kaikissa laitteissa.

ExampParametreja, joita voit käyttää maailmanlaajuisesti laiteryhmään, ovat DNS-palvelin, syslog-palvelin ja käyttöliittymän MTU:t.

Määritä ohjaustason suojaus

Huom
Configure Control Plane Security -osio koskee vain Cisco SD-WAN Manageria ja Cisco SD-WAN Controlleria. Jos haluat määrittää ohjaustason yhteysprotokollan Cisco SD-WAN Manager -esiintymässä tai Cisco SD-WAN Controllerissa, valitse Basic Configuration -alue. ja määritä seuraavat parametrit:

Taulukko 2:

Parametri Nimi Kuvaus
pöytäkirja Valitse protokolla, jota käytetään ohjaustason yhteyksissä Cisco SD-WAN -ohjaimeen:

• DTLS (Datagram Transport Layer Security). Tämä on oletusarvo.

• TLS (Transport Layer Security)
Ohjaa TLS-porttia Jos valitsit TLS:n, määritä käytettävä portin numero:Alue: 1025-65535Oletus: 23456

Napsauta Tallenna

Määritä Data Plane Security
Jos haluat määrittää tietotason suojauksen Cisco SD-WAN Validatorissa tai Cisco vEdge -reitittimessä, valitse Peruskokoonpano- ja Todennustyyppi-välilehdet ja määritä seuraavat parametrit:

Taulukko 3:

Parametri Nimi Kuvaus
Rekey Time Määritä, kuinka usein Cisco vEdge -reititin vaihtaa suojatussa DTLS-yhteydessään käytetyn AES-avaimen Cisco SD-WAN -ohjaimeen. Jos OMP graceful -uudelleenkäynnistys on käytössä, uudelleenavailuajan on oltava vähintään kaksi kertaa OMP:n siro uudelleenkäynnistysajastimen arvo.Alue: 10 - 1209600 sekuntia (14 päivää)Oletus: 86400 sekuntia (24 tuntia)
Toistoikkuna Määritä liukuvan toistoikkunan koko.

Arvot: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakettiaOletus: 512 pakettia
IPsec

pariavaimella

 Tämä on oletuksena pois päältä. Klikkaus On kytkeäksesi sen päälle.
Parametri Nimi Kuvaus
Todennustyyppi Valitse todennustyypit kohdasta Todennus Listaja siirrä todennustyypit kohteeseen napsauttamalla oikealle osoittavaa nuolta Valittu lista sarakkeessa.

Cisco SD-WAN Release 20.6.1:n tuetut todennustyypit:

•  esp: Ottaa käyttöön Encapsulating Security Payload (ESP) -salauksen ja eheyden tarkistuksen ESP-otsikossa.

•  ip-udp-esp: Ottaa käyttöön ESP-salauksen. ESP-otsikon ja hyötykuorman eheystarkastusten lisäksi tarkistukset sisältävät myös ulkoiset IP- ja UDP-otsikot.

•  ip-udp-esp-no-id: Ohita IP-otsikon ID-kentän, jotta Cisco Catalyst SD-WAN voi toimia muiden kuin Ciscon laitteiden kanssa.

•  ei yhtään: Kytkee IPSec-pakettien eheyden tarkistuksen pois päältä. Emme suosittele tämän vaihtoehdon käyttöä.

 

Cisco SD-WAN Release 20.5.1 -versiossa ja sitä aikaisemmissa tuetut todennustyypit:

•  ah-ei-id: Ota käyttöön AH-SHA1 HMAC:n ja ESP HMAC-SHA1:n parannettu versio, joka jättää huomioimatta paketin ulkoisen IP-otsikon ID-kentän.

•  ah-sha1-hmac: Ota käyttöön AH-SHA1 HMAC ja ESP HMAC-SHA1.

•  ei yhtään: Valitse ei todennusta.

•  sha1-hmac: Ota ESP HMAC-SHA1 käyttöön.

 

Huom              Olet ehkä määrittänyt todennustyypit Cisco SD-WAN Release 20.5.1 -versiota tai aiempaa versiota käyttävälle reunalaitteelle Turvallisuus sapluuna. Kun päivität laitteen Cisco SD-WAN -versioon 20.6.1 tai uudempaan, päivitä valitut todennustyypit Turvallisuus malli Cisco SD-WAN Release 20.6.1:n tukemiin todennustyyppeihin. Voit päivittää todennustyypit seuraavasti:

1.      Valitse Cisco SD-WAN Manager -valikosta Kokoonpano >

Mallit.

2.      Napsauta Ominaisuusmallit.

3.      Etsi Turvallisuus päivitettävä malli ja napsauta … ja napsauta Muokata.

4.      Napsauta Päivittää. Älä muuta mitään kokoonpanoa.

Cisco SD-WAN Manager päivittää Turvallisuus malli näyttää tuetut todennustyypit.

Napsauta Tallenna.

Määritä tietotason suojausparametrit

Tietotasolla IPsec on oletusarvoisesti käytössä kaikissa reitittimissä, ja oletuksena IPsec-tunneliyhteydet käyttävät parannettua versiota Encapsulating Security Payload (ESP) -protokollasta IPsec-tunneleiden todentamiseen. Reitittimillä voit muuttaa todennuksen tyyppiä, IPsec-uudelleenavauksen ajastinta ja IPsec-toiston estävän ikkunan kokoa.

Määritä sallitut todennustyypit

Todennustyypit Cisco SD-WAN -versiossa 20.6.1 ja uudemmissa
Cisco SD-WAN Release 20.6.1 -versiosta tuetaan seuraavia eheystyyppejä:

  • esp: Tämä vaihtoehto mahdollistaa Encapsulating Security Payload (ESP) -salauksen ja eheyden tarkistuksen ESP-otsikossa.
  • ip-udp-esp: Tämä vaihtoehto mahdollistaa ESP-salauksen. ESP-otsikon ja hyötykuorman eheystarkastusten lisäksi tarkistukset sisältävät myös ulkoiset IP- ja UDP-otsikot.
  • ip-udp-esp-no-id: Tämä vaihtoehto on samanlainen kuin ip-udp-esp, mutta ulkoisen IP-otsikon ID-kenttä jätetään huomiotta. Määritä tämä asetus eheystyyppien luettelossa, jotta Cisco Catalyst SD-WAN -ohjelmisto jättää huomioimatta IP-otsikon ID-kentän, jotta Cisco Catalyst SD-WAN voi toimia muiden kuin Ciscon laitteiden kanssa.
  • none: Tämä vaihtoehto poistaa IPSec-pakettien eheyden tarkistuksen käytöstä. Emme suosittele tämän vaihtoehdon käyttöä.

Oletusarvoisesti IPsec-tunneliyhteydet käyttävät todentamiseen Encapsulating Security Payload (ESP) -protokollan parannettua versiota. Voit muokata neuvoteltuja yhtenäisyystyyppejä tai poistaa eheyden tarkistuksen käytöstä käyttämällä seuraavaa komentoa: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Todennustyypit ennen Ciscon SD-WAN-julkaisua 20.6.1
Oletusarvoisesti IPsec-tunneliyhteydet käyttävät todentamiseen Encapsulating Security Payload (ESP) -protokollan parannettua versiota. Voit muokata neuvoteltuja todennustyyppejä tai poistaa todennuksen käytöstä käyttämällä seuraavaa komentoa: Device(config)# security ipsec-todennustyyppi (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Oletusarvoisesti IPsec tunneliyhteydet käyttävät AES-GCM-256:ta, joka tarjoaa sekä salauksen että todennuksen. Määritä jokainen todennustyyppi erillisellä suojaus-ipsec-todennustyyppikomennolla. Komentovaihtoehdot liittyvät seuraaviin todennustyyppeihin, jotka on lueteltu järjestyksessä vahvimmasta heikoimpaan:

Huom
Asetusvaihtoehdoissa olevaa sha1:tä käytetään historiallisista syistä. Todennusvaihtoehdot osoittavat, kuinka suuri osa pakettien eheyden tarkistuksesta on tehty. Ne eivät määrittele eheyden tarkistavaa algoritmia. Monilähetysliikenteen salausta lukuun ottamatta Cisco Catalyst SD WAN:n tukemat todennusalgoritmit eivät käytä SHA1:tä. Cisco SD-WAN Release 20.1.x -versiossa ja sitä uudemmissa versioissa unicast ja multicast eivät kuitenkaan käytä SHA1:tä.

  • ah-sha1-hmac mahdollistaa salauksen ja kapseloinnin ESP:n avulla. Kuitenkin ESP-otsikon ja hyötykuorman eheystarkastusten lisäksi tarkistukset sisältävät myös ulkoiset IP- ja UDP-otsikot. Näin ollen tämä vaihtoehto tukee paketin eheyden tarkistusta, joka on samanlainen kuin AH (Authentication Header) -protokolla. Kaikki eheys ja salaus suoritetaan käyttämällä AES-256-GCM:ää.
  • ah-no-id ottaa käyttöön tilan, joka on samanlainen kuin ah-sha1-hmac, mutta ulkoisen IP-otsikon ID-kenttä jätetään huomiotta. Tämä vaihtoehto sopii joihinkin muihin kuin Cisco Catalyst SD-WAN -laitteisiin, mukaan lukien Apple AirPort Express NAT, joissa on virhe, joka aiheuttaa IP-otsikon ID-kentän, ei-muuttuvan kentän, muuttamisen. Määritä todennustyyppien luettelon ah-no-id-vaihtoehto niin, että Cisco Catalyst SD-WAN AH -ohjelmisto jättää huomioimatta IP-otsikon ID-kentän, jotta Cisco Catalyst SD-WAN -ohjelmisto voi toimia yhdessä näiden laitteiden kanssa.
  • sha1-hmac mahdollistaa ESP-salauksen ja eheyden tarkistuksen.
  • mikään ei yhdistä todennusta. Tätä vaihtoehtoa tulisi käyttää vain, jos sitä tarvitaan väliaikaiseen virheenkorjaukseen. Voit valita tämän vaihtoehdon myös tilanteissa, joissa tietotason todennus ja eheys eivät ole huolenaiheita. Cisco ei suosittele tämän vaihtoehdon käyttöä tuotantoverkoissa.

Lisätietoja siitä, mihin tietopakettikenttiin nämä todennustyypit vaikuttavat, on kohdassa Datatason eheys. Cisco IOS XE Catalyst SD-WAN -laitteet ja Cisco vEdge -laitteet ilmoittavat määritettyjä todennustyyppejä TLOC-ominaisuuksissaan. Kaksi IPsec-tunneliyhteyden kummallakin puolella olevaa reititintä neuvottelevat todennuksen, jota käytetään niiden välisessä yhteydessä, käyttämällä vahvinta todennustyyppiä, joka on määritetty molemmille reitittimille. esimampjos yksi reititin mainostaa ah-sha1-hmac- ja ah-no-id-tyyppejä ja toinen reititin mainostaa ah-no-id-tyyppiä, kaksi reititintä neuvottelevat käyttämään ah-no-id-tyyppiä IPsec-tunneliyhteydessä niitä. Jos kahdelle vertaisohjelmalle ei ole määritetty yhteisiä todennustyyppejä, niiden välille ei luoda IPsec-tunnelia. IPsec-tunneliyhteyksien salausalgoritmi riippuu liikenteen tyypistä:

  • Unicast-liikenteen salausalgoritmi on AES-256-GCM.
  • Multicast-liikenteelle:
  • Cisco SD-WAN Release 20.1.x ja uudemmat – salausalgoritmi on AES-256-GCM
  • Aiemmat julkaisut – salausalgoritmi on AES-256-CBC ja SHA1-HMAC.

Kun IPsec-todennustyyppiä muutetaan, tietopolun AES-avain muuttuu.

Vaihda uudelleennäppäilyajastin

Ennen kuin Cisco IOS XE Catalyst SD-WAN -laitteet ja Cisco vEdge -laitteet voivat vaihtaa dataliikennettä, ne perustavat suojatun todennettuun viestintäkanavaan keskenään. Reitittimet käyttävät kanavana IPSec-tunneleita ja salauksen suorittamiseen AES-256-salausta. Jokainen reititin luo ajoittain uuden AES-avaimen datapolulleen. Oletusarvon mukaan avain on voimassa 86400 24 sekuntia (10 tuntia), ja ajastinalue on 1209600 sekuntia - 14 XNUMX sekuntia (XNUMX päivää). Rekey-ajastimen arvon muuttaminen: Device(config)# security ipsec rekey sekuntia Kokoonpano näyttää tältä:

  • turvallisuus ipsec rekey sekuntia!

Jos haluat luoda uusia IPsec-avaimia välittömästi, voit tehdä sen muuttamatta reitittimen asetuksia. Voit tehdä tämän antamalla suojauspyynnön ipsecrekey-komento vaarantuneelle reitittimelle. esimample, seuraava tulos osoittaa, että paikallisen SA:n suojausparametriindeksi (SPI) on 256:CISCO-SD-WAN-Configure-Security-Parameters-KUVA-4

Jokaiseen SPI:hen liittyy yksilöllinen avain. Jos tämä avain on vaarantunut, luo uusi avain välittömästi käyttämällä request security ipsec-rekey -komentoa. Tämä komento lisää SPI:tä. Meidän example, SPI muuttuu 257:ksi ja siihen liittyvää avainta käytetään nyt:

  • Laite#:n suojauspyyntö ipsecrekey
  • Laite# näytä ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-KUVA-5

Kun uusi avain on luotu, reititin lähettää sen välittömästi Ciscon SD-WAN-ohjaimille DTLS:n tai TLS:n avulla. Cisco SD-WAN -ohjaimet lähettävät avaimen vertaisreitittimille. Reitittimet alkavat käyttää sitä heti saatuaan sen. Huomaa, että vanhaan SPI:hen (256) liittyvän avaimen käyttöä jatketaan lyhyen aikaa, kunnes se aikakatkaisee. Jos haluat lopettaa vanhan avaimen käytön välittömästi, anna suojauspyyntö ipsec-rekey -komento kahdesti nopeasti peräkkäin. Tämä komentosarja poistaa sekä SPI 256:n että 257:n ja asettaa SPI:n arvoon 258. Reititin käyttää sitten siihen liittyvää SPI 258:n avainta. Huomaa kuitenkin, että jotkin paketit hylätään lyhyeksi ajaksi, kunnes kaikki etäreitittimet oppivat uusi avain.CISCO-SD-WAN-Configure-Security-Parameters-KUVA-6

Muuta toiston estävän ikkunan kokoa

IPsec-todennus tarjoaa toiston estävän suojan määrittämällä yksilöllisen järjestysnumeron jokaiselle datavirran paketille. Tämä järjestysnumerointi suojaa hyökkääjältä, joka kopioi datapaketteja. Toistosuojauksella lähettäjä määrittää monotonisesti kasvavia järjestysnumeroita, ja kohde tarkistaa nämä järjestysnumerot kaksoiskappaleiden havaitsemiseksi. Koska paketit eivät usein tule perille järjestyksessä, kohde ylläpitää liukuvaa järjestysnumeroiden ikkunaa, jonka se hyväksyy.CISCO-SD-WAN-Configure-Security-Parameters-KUVA-7

Paketit, joiden järjestysnumerot jäävät liukuvan ikkunaalueen vasemmalle puolelle, katsotaan vanhoiksi tai kaksoiskappaleiksi, ja kohde hylkää ne. Kohde seuraa suurinta vastaanottamaansa järjestysnumeroa ja säätää liukuvaa ikkunaa, kun se vastaanottaa suuremman arvon paketin.CISCO-SD-WAN-Configure-Security-Parameters-KUVA-8

Liukuvaksi ikkunaksi on oletusarvoisesti asetettu 512 pakettia. Se voidaan asettaa mihin tahansa arvoon välillä 64–4096, joka on 2:n potenssi (eli 64, 128, 256, 512, 1024, 2048 tai 4096). Voit muuttaa toiston estävän ikkunan kokoa käyttämällä replay-window-komentoa, joka määrittää ikkunan koon:

Device(config)# suojaus ipsec-toistoikkunan numero

Kokoonpano näyttää tältä:
turvallisuus ipsec-toistoikkunan numero ! !

QoS:n helpottamiseksi kullekin kahdeksalle ensimmäiselle liikennekanavalle ylläpidetään erilliset toistoikkunat. Määritetty toistoikkunan koko jaetaan kahdeksalla kullekin kanavalle. Jos QoS on määritetty reitittimessä, reitittimessä saattaa tapahtua odotettua suurempi määrä pakettien pudotuksia IPsec-toiston estomekanismin seurauksena, ja monet hylätyistä paketeista ovat laillisia. Tämä johtuu siitä, että QoS järjestää paketit uudelleen, mikä antaa korkeamman prioriteetin paketeille etusijalle ja viivästyttää alemman prioriteetin paketteja. Voit minimoida tai estää tämän tilanteen seuraavasti:

  • Suurenna toiston estävän ikkunan kokoa.
  • Suunnittele liikenne kahdeksalle ensimmäiselle liikennekanavalle varmistaaksesi, että kanavan sisäistä liikennettä ei järjestetä uudelleen.

Määritä IKE-yhteensopivat IPsec-tunnelit
Siirtääksesi suojatusti liikennettä peittoverkosta palveluverkkoon, voit määrittää IPsec-tunneleita, jotka käyttävät Internet Key Exchange (IKE) -protokollaa. IKE-yhteensopivat IPsec-tunnelit tarjoavat todennuksen ja salauksen turvallisen pakettien siirron varmistamiseksi. Voit luoda IKE-yhteensopivan IPsec-tunnelin määrittämällä IPsec-liittymän. IPsec-liitännät ovat loogisia liitäntöjä, ja voit määrittää ne kuten minkä tahansa muun fyysisen liitännän. Voit määrittää IKE-protokollan parametrit IPsec-liitännässä ja muita liitännän ominaisuuksia.

Huom Cisco suosittelee IKE-version 2 käyttöä. Cisco SD-WAN 19.2.x -julkaisusta eteenpäin esijaetun avaimen on oltava vähintään 16 tavua pitkä. IPsec-tunnelin muodostaminen epäonnistuu, jos avaimen koko on alle 16 merkkiä, kun reititin päivitetään versioon 19.2.

Huom
Cisco Catalyst SD-WAN -ohjelmisto tukee RFC 2:ssa määriteltyä IKE-versiota 7296. Yksi IPsec-tunneleiden käyttötarkoitus on antaa Amazon AWS:ssä käynnissä olevien vEdge Cloud -reitittimen VM-instanssien muodostaa yhteys Amazonin virtuaaliseen yksityispilveen (VPC). Sinun on määritettävä IKE-versio 1 näissä reitittimissä. Cisco vEdge -laitteet tukevat vain reittipohjaisia ​​VPN-verkkoja IPSec-kokoonpanossa, koska nämä laitteet eivät voi määrittää liikenteen valitsimia salausalueella.

Määritä IPsec-tunneli
Jos haluat määrittää IPsec-tunnelirajapinnan suojattua liikennettä palveluverkosta varten, luo looginen IPsec-liitäntä:CISCO-SD-WAN-Configure-Security-Parameters-KUVA-9

Voit luoda IPsec-tunnelin siirto-VPN:ään (VPN 0) ja mihin tahansa palvelun VPN:ään (VPN 1 - 65530, paitsi 512). IPsec-liitännällä on nimi muodossa ipsecnumber, jossa numero voi olla 1 - 255. Jokaisella IPsec-liitännällä on oltava IPv4-osoite. Tämän osoitteen on oltava /30-etuliite. Kaikki VPN:n liikenne, joka on tässä IPv4-etuliitteessä, ohjataan VPN 0:n fyysiseen rajapintaan, joka lähetetään turvallisesti IPsec-tunnelin kautta. Voit määrittää IPsec-tunnelin lähteen paikallisessa laitteessa määrittämällä joko IP-osoitteen fyysinen rajapinta (tunnel-source-komennossa) tai fyysisen liitännän nimi (tunnel-source-interface-komennossa). Varmista, että fyysinen liitäntä on määritetty VPN 0:ssa. Määritä IPsec-tunnelin kohde määrittämällä etälaitteen IP-osoite tunnel-destination-komennossa. Lähdeosoitteen (tai lähderajapinnan nimen) ja kohdeosoitteen yhdistelmä määrittää yhden IPsec-tunnelin. Voi olla vain yksi IPsec-tunneli, joka käyttää tiettyä lähdeosoitetta (tai liitännän nimeä) ja kohdeosoiteparia.

Määritä staattinen IPsec-reitti

Jos haluat ohjata liikennettä palvelun VPN:stä IPsec-tunneliin siirto-VPN:ssä (VPN 0), määrität IPsec-kohtaisen staattisen reitin palvelun VPN:ään (muu VPN kuin VPN 0 tai VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route etuliite/pituus vpn 0 liitäntä
  • ipsecnumber [ipsecnumber2]

VPN-tunnus on minkä tahansa palvelun VPN (VPN 1 - 65530, paitsi 512). etuliite/pituus on IPsec-kohtaisen staattisen reitin IP-osoite tai etuliite desimaalimuotoisina neliosaisilla pisteillä ja etuliitteen pituus. Liitäntä on VPN 0:n IPsec-tunnelirajapinta. Voit määrittää yhden tai kaksi IPsec-tunnelirajapintaa. Jos määrität kaksi, ensimmäinen on ensisijainen IPsec-tunneli ja toinen on varmuuskopio. Kahdella rajapinnalla kaikki paketit lähetetään vain ensisijaiseen tunneliin. Jos tunneli epäonnistuu, kaikki paketit lähetetään sitten toissijaiseen tunneliin. Jos ensisijainen tunneli nousee takaisin, kaikki liikenne siirretään takaisin ensisijaiseen IPsec-tunneliin.

Ota IKE-versio 1 käyttöön
Kun luot IPsec-tunnelin vEdge-reitittimeen, IKE-versio 1 on oletusarvoisesti käytössä tunnelin käyttöliittymässä. Myös seuraavat ominaisuudet ovat oletusarvoisesti käytössä IKEv1:ssä:

  • Todennus ja salaus – edistynyt AES-256-salauksen standardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • Diffie-Hellman ryhmänumero - 16
  • Uudelleennäppäilyn aikaväli - 4 tuntia
  • SA:n perustamistila – Main

Oletuksena IKEv1 käyttää IKE-päätilaa IKE SA:iden luomiseen. Tässä tilassa vaihdetaan kuusi neuvottelupakettia SA:n muodostamiseksi. Jos haluat vaihtaa vain kolme neuvottelupakettia, ota aggressiivinen tila käyttöön:

Huom
Aggressiivista IKE-tilaa esijaetuilla avaimilla tulee välttää aina kun mahdollista. Muussa tapauksessa tulee valita vahva esijaettu avain.

  • vEdge(config)# vpn vpn-id -liittymän ipsec-numero ike
  • vEdge(config-ike)#-tila aggressiivinen

Oletuksena IKEv1 käyttää Diffie-Hellman-ryhmää 16 IKE-avainten vaihdossa. Tämä ryhmä käyttää 4096-bittistä enemmän modulaarista eksponentiaalista (MODP) ryhmää IKE-avainten vaihdon aikana. Voit muuttaa ryhmän numeroksi 2 (1024-bittinen MODP), 14 (2048-bittinen MODP) tai 15 (3072-bittinen MODP):

  • vEdge(config)# vpn vpn-id -liittymän ipsec-numero ike
  • vEdge(config-ike)# ryhmänumero

Oletusarvoisesti IKE-avaimenvaihto käyttää edistyneen AES-256-salauksen standardia CBC-salausta HMAC-SHA1-avaimellisen hajautussanoman todennuskoodialgoritmin kanssa eheyden varmistamiseksi. Voit muuttaa todennusta:

  • vEdge(config)# vpn vpn-id -liittymän ipsec-numero ike
  • vEdge(config-ike)# cipher-suite

Todennuspaketti voi olla jokin seuraavista:

  • aes128-cbc-sha1 — AES-128 kehittynyt salausstandardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • aes128-cbc-sha2 — AES-128 kehittynyt salausstandardi CBC-salaus HMAC-SHA256-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • aes256-cbc-sha1 — AES-256 edistynyt salausstandardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden varmistamiseksi; tämä on oletusarvo.
  • aes256-cbc-sha2 — AES-256 kehittynyt salausstandardi CBC-salaus HMAC-SHA256-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi

Oletuksena IKE-avaimet päivitetään tunnin (1 sekunnin) välein. Voit muuttaa uudelleenavailuvälin arvoksi 3600 sekuntia 30 päivään (14 sekuntia). On suositeltavaa, että näppäilyväli on vähintään 1209600 tunti.

  • vEdge(config)# vpn vpn-id käyttöliittymän ipsec-numero, kuten
  • vEdge(config-ike)# rekey sekuntia

Jos haluat pakottaa uusien avainten luomisen IKE-istuntoon, anna pyyntö ipsec ike-rekey -komento.

  • vEdge(config)# vpn vpn-id interfaceipsec-numero ike

IKE:lle voit myös määrittää esijaetun avaimen (PSK) todennuksen:

  • vEdge(config)# vpn vpn-id -liittymän ipsec-numero ike
  • vEdge(config-ike)# autentikointityypin pre-shared-key pre-shared-secret salasana salasana on salasana, jota käytetään esijaetun avaimen kanssa. Se voi olla ASCII- tai heksadesimaalimerkkijono, jonka pituus on 1–127 merkkiä.

Jos etä-IKE-kumppani vaatii paikallisen tai etätunnuksen, voit määrittää tämän tunnisteen:

  • vEdge(config)# vpn vpn-id-liitäntä ipsec-numero ike-todennustyyppi
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Tunniste voi olla IP-osoite tai mikä tahansa tekstijono, jonka pituus on 1–63 merkkiä. Oletusarvoisesti paikallinen ID on tunnelin lähde-IP-osoite ja etätunnus on tunnelin kohde-IP-osoite.

Ota IKE-versio 2 käyttöön
Kun määrität IPsec-tunnelin käyttämään IKE-versiota 2, myös seuraavat ominaisuudet ovat oletusarvoisesti käytössä IKEv2:lle:

  • Todennus ja salaus – edistynyt AES-256-salauksen standardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • Diffie-Hellman ryhmänumero - 16
  • Uudelleennäppäilyn aikaväli - 4 tuntia

Oletuksena IKEv2 käyttää Diffie-Hellman-ryhmää 16 IKE-avainten vaihdossa. Tämä ryhmä käyttää 4096-bittistä enemmän modulaarista eksponentiaalista (MODP) ryhmää IKE-avainten vaihdon aikana. Voit muuttaa ryhmän numeroksi 2 (1024-bittinen MODP), 14 (2048-bittinen MODP) tai 15 (3072-bittinen MODP):

  • vEdge(config)# vpn vpn-id -liittymän ipsecnumber ike
  • vEdge(config-ike)# ryhmänumero

Oletusarvoisesti IKE-avaimenvaihto käyttää edistyneen AES-256-salauksen standardia CBC-salausta HMAC-SHA1-avaimellisen hajautussanoman todennuskoodialgoritmin kanssa eheyden varmistamiseksi. Voit muuttaa todennusta:

  • vEdge(config)# vpn vpn-id -liittymän ipsecnumber ike
  • vEdge(config-ike)# cipher-suite

Todennuspaketti voi olla jokin seuraavista:

  • aes128-cbc-sha1 — AES-128 kehittynyt salausstandardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • aes128-cbc-sha2 — AES-128 kehittynyt salausstandardi CBC-salaus HMAC-SHA256-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi
  • aes256-cbc-sha1 — AES-256 edistynyt salausstandardi CBC-salaus HMAC-SHA1-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden varmistamiseksi; tämä on oletusarvo.
  • aes256-cbc-sha2 — AES-256 kehittynyt salausstandardi CBC-salaus HMAC-SHA256-avaimella tiivistetyn viestin todennuskoodialgoritmilla eheyden takaamiseksi

Oletuksena IKE-avaimet päivitetään 4 tunnin (14,400 30 sekunnin) välein. Voit muuttaa uudelleenavailuvälin arvoksi 14 sekunnista 1209600 päivään (XNUMX sekuntia):

  • vEdge(config)# vpn vpn-id -liittymän ipsecnumber ike
  • vEdge(config-ike)# rekey sekuntia

Jos haluat pakottaa uusien avainten luomisen IKE-istuntoon, anna pyyntö ipsec ike-rekey -komento. IKE:lle voit myös määrittää esijaetun avaimen (PSK) todennuksen:

  • vEdge(config)# vpn vpn-id -liittymän ipsecnumber ike
  • vEdge(config-ike)# autentikointityypin pre-shared-key pre-shared-secret salasana salasana on salasana, jota käytetään esijaetun avaimen kanssa. Se voi olla ASCII- tai heksadesimaalimerkkijono tai se voi olla AES-salattu avain. Jos etä-IKE-kumppani vaatii paikallisen tai etätunnuksen, voit määrittää tämän tunnisteen:
  • vEdge(config)# vpn vpn-id käyttöliittymä ipsecnumber ike todennustyyppi
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Tunniste voi olla IP-osoite tai mikä tahansa tekstijono, jonka pituus on 1–64 merkkiä. Oletusarvoisesti paikallinen ID on tunnelin lähde-IP-osoite ja etätunnus on tunnelin kohde-IP-osoite.

Määritä IPsec-tunneliparametrit

Taulukko 4: Ominaisuushistoria

Ominaisuus Nimi Julkaisutiedot Kuvaus
Ylimääräinen kryptografia Cisco SD-WAN -julkaisu 20.1.1 Tämä ominaisuus lisää tukea
Algoritminen tuki IPSecille   HMAC_SHA256, HMAC_SHA384 ja
Tunnelit   HMAC_SHA512-algoritmit kohteelle
    parannettu turvallisuus.

Oletuksena seuraavia parametreja käytetään IKE-liikennettä kuljettavassa IPsec-tunnelissa:

  • Todennus ja salaus – AES-256-algoritmi GCM:ssä (Galois/laskuritila)
  • Uudelleenvalintaväli - 4 tuntia
  • Toistoikkuna - 32 pakettia

Voit muuttaa IPsec-tunnelin salauksen AES-256-salaukseksi CBC:ssä (salauslohkoketjutustila, HMAC:lla joko SHA-1- tai SHA-2-avaimella varustettujen hajautusviestien todennusta käyttäen tai nollaksi HMAC:lla käyttämällä joko SHA-1:tä tai SHA-2-avaimella varustettu hajautussanoman todennus, jotta IKE-avainten vaihtoliikenteeseen käytettävää IPsec-tunnelia ei salata:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-1null-256ha256 | aes256-null-sha384 | aes256-null-sha512)

Oletuksena IKE-avaimet päivitetään 4 tunnin (14,400 30 sekunnin) välein. Voit muuttaa uudelleenavailuvälin arvoksi 14 sekunnista 1209600 päivään (XNUMX sekuntia):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# uudelleennäppäin sekuntia

Jos haluat pakottaa uusien avainten luomisen IPsec-tunneliin, anna pyyntö ipsec ipsec-rekey -komento. Oletusarvoisesti täydellinen välityssalaisuus (PFS) on käytössä IPsec-tunneleissa, jotta voidaan varmistaa, että tulevien avainten vaarantuminen ei vaikuta menneisiin istuntoihin. PFS pakottaa uuden Diffie-Hellman-avainten vaihdon oletusarvoisesti 4096-bittistä Diffie-Hellman-alkumoduuliryhmää käyttäen. Voit muuttaa PFS-asetusta:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-asetus voi olla jokin seuraavista:

  • ryhmä-2 — Käytä 1024-bittistä Diffie-Hellmanin alkumoduuliryhmää.
  • ryhmä-14 — Käytä 2048-bittistä Diffie-Hellmanin alkumoduuliryhmää.
  • ryhmä-15 — Käytä 3072-bittistä Diffie-Hellmanin alkumoduuliryhmää.
  • ryhmä-16 — Käytä 4096-bittistä Diffie-Hellmanin alkumoduuliryhmää. Tämä on oletusarvo.
  • ei mitään—Poista PFS käytöstä.

Oletusarvon mukaan IPsec-tunnelin IPsec-toistoikkuna on 512 tavua. Voit asettaa toistoikkunan kooksi 64, 128, 256, 512, 1024, 2048 tai 4096 pakettia:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# toistoikkunan numero

Muokkaa IKE Dead-Peer Detectionia

IKE käyttää kuolleiden vertaisten tunnistusmekanismia määrittääkseen, onko yhteys IKE-kumppaniin toimiva ja tavoitettavissa. Tämän mekanismin toteuttamiseksi IKE lähettää Hello-paketin vertaiselleen, ja vertaiskumppani lähettää vastauksena kuittauksen. Oletusarvoisesti IKE lähettää Hello-paketteja 10 sekunnin välein, ja kolmen kuittaamattoman paketin jälkeen IKE julistaa naapurin kuolleeksi ja repii tunnelin alas vertaiselle. Tämän jälkeen IKE lähettää säännöllisesti Hello-paketin vertaisyritykselle ja muodostaa tunnelin uudelleen, kun vertaisverkko palaa verkkoon. Voit muuttaa elävyyden tunnistusvälin arvoksi 0 - 65535 ja voit muuttaa uudelleenyritysten lukumäärän arvoksi 0 - 255.

Huom

Kuljetus-VPN-verkoissa elävyyden havaitsemisväli muunnetaan sekunteiksi seuraavalla kaavalla: Uudelleenlähetysyrityksen numeron väli N = intervalli * 1.8N-1Esimerkiksiample, jos aikaväliksi on asetettu 10 ja yritetään uudelleen arvoon 5, tunnistusväli kasvaa seuraavasti:

  • Yritys 1: 10 * 1.81-1 = 10 sekuntia
  • Yrittää 2: 10 * 1.82-1 = 18 sekuntia
  • Yrittää 3: 10 * 1.83-1 = 32.4 sekuntia
  • Yrittää 4: 10 * 1.84-1 = 58.32 sekuntia
  • Yrittää 5: 10 * 1.85-1 = 104.976 sekuntia

vEdge(config-interface-ipsecnumber)# kuolleiden vertaistunnistusvälin uudelleenyritysten numero

Määritä muut käyttöliittymän ominaisuudet

IPsec-tunneliliitännöissä voit määrittää vain seuraavat liitännän lisäominaisuudet:

  • vEdge(config-interface-ipsec)# mtu tavua
  • vEdge(config-interface-ipsec)# tcp-mss-adjust tavua

Poista käytöstä heikot SSH-salausalgoritmit Cisco SD-WAN Managerissa

Taulukko 5: Ominaisuushistoriataulukko

Ominaisuus Nimi Julkaisutiedot Ominaisuus Kuvaus
Poista käytöstä heikot SSH-salausalgoritmit Cisco SD-WAN Managerissa Cisco vManage -julkaisu 20.9.1 Tämän ominaisuuden avulla voit poistaa käytöstä heikommat SSH-algoritmit Cisco SD-WAN Managerissa, jotka eivät ehkä ole tiettyjen tietoturvastandardien mukaisia.

Tietoja heikkojen SSH-salausalgoritmien poistamisesta käytöstä Cisco SD-WAN Managerissa
Cisco SD-WAN Manager tarjoaa SSH-asiakkaan tiedonsiirtoon verkon komponenttien, kuten ohjaimien ja reunalaitteiden kanssa. SSH-asiakas tarjoaa salatun yhteyden turvallista tiedonsiirtoa varten, joka perustuu useisiin salausalgoritmeihin. Monet organisaatiot vaativat vahvempaa salausta kuin SHA-1, AES-128 ja AES-192 tarjoavat. Cisco vManage Release 20.9.1:stä voit poistaa käytöstä seuraavat heikommat salausalgoritmit, jotta SSH-asiakas ei käytä näitä algoritmeja:

  • SHA-1
  • AES-128
  • AES-192

Ennen kuin poistat nämä salausalgoritmit käytöstä, varmista, että verkon Cisco vEdge -laitteet, jos sellaisia ​​on, käyttävät ohjelmistoversiota, joka on uudempi kuin Cisco SD-WAN Release 18.4.6.

Edut heikkojen SSH-salausalgoritmien poistamisesta käytöstä Cisco SD-WAN Managerissa
Heikompien SSH-salausalgoritmien poistaminen käytöstä parantaa SSH-viestinnän turvallisuutta ja varmistaa, että Cisco Catalyst SD-WAN:ia käyttävät organisaatiot noudattavat tiukkoja turvallisuusmääräyksiä.

Poista käytöstä heikot SSH-salausalgoritmit Cisco SD-WAN Managerissa CLI:n avulla

  1. Valitse Cisco SD-WAN Manager -valikosta Työkalut > SSH-pääte.
  2. Valitse Cisco SD-WAN Manager -laite, jossa haluat poistaa heikommat SSH-algoritmit käytöstä.
  3. Syötä käyttäjätunnus ja salasana kirjautuaksesi laitteeseen.
  4. Siirry SSH-palvelintilaan.
    • vmanage(config)#-järjestelmä
    • vmanage(config-system)# ssh-server
  5. Tee jokin seuraavista poistaaksesi SSH-salausalgoritmin käytöstä:
    • Poista SHA-1 käytöstä:
  6. manager(config-ssh-server)# ei kex-algo sha1
  7. manager(config-ssh-server)# commit
    Näyttöön tulee seuraava varoitussanoma: Seuraavat varoitukset luotiin: 'system ssh-server kex-algo sha1': VAROITUS: Varmista, että kaikki reunat käyttävät koodiversiota > 18.4.6, joka neuvottelee paremmin kuin SHA1 vManagella. Muuten nämä reunat voivat tulla offline-tilaan. Edetä? [kyllä, ei] kyllä
    • Varmista, että kaikissa verkon Cisco vEdge -laitteissa on Cisco SD-WAN Release 18.4.6 tai uudempi, ja kirjoita yes.
    • Poista AES-128 ja AES-192 käytöstä:
    • vmanage(config-ssh-server)# ei salausta aes-128-192
    • vmanage(config-ssh-server)# commit
      Seuraava varoitusviesti tulee näkyviin:
      Seuraavat varoitukset luotiin:
      "System ssh-server cipher aes-128-192": VAROITUS: Varmista, että kaikki reunat käyttävät koodiversiota > 18.4.6, joka toimii paremmin kuin AES-128-192 vManagen kanssa. Muuten nämä reunat voivat tulla offline-tilaan. Edetä? [kyllä, ei] kyllä
    • Varmista, että kaikissa verkon Cisco vEdge -laitteissa on Cisco SD-WAN Release 18.4.6 tai uudempi, ja kirjoita yes.

Varmista, että heikot SSH-salausalgoritmit on poistettu käytöstä Cisco SD-WAN Managerissa CLI:n avulla

  1. Valitse Cisco SD-WAN Manager -valikosta Työkalut > SSH-pääte.
  2. Valitse Cisco SD-WAN Manager -laite, jonka haluat vahvistaa.
  3. Syötä käyttäjätunnus ja salasana kirjautuaksesi laitteeseen.
  4. Suorita seuraava komento: show running-config system ssh-server
  5. Varmista, että tulos näyttää yhden tai useamman komennon, joka poistaa käytöstä heikommat salausalgoritmit:
    • ei salausta aes-128-192
    • ei kex-algo sha1

Asiakirjat / Resurssit

CISCO SD-WAN Määritä suojausparametrit [pdfKäyttöopas
SD-WAN Määritä suojausparametrit, SD-WAN, määritä suojausparametrit, suojausparametrit

Viitteet

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *