Ynhâld ferstopje
1 CISCO SD-WAN Konfigurearje Feiligens Parameters
2 Konfigurearje Feiligens Parameters
3 Konfigurearje Control Plane Security Parameters
4 Konfigurearje DTLS yn Cisco SD-WAN Manager
5 Konfigurearje Data Plane Security Parameters
6 Konfigurearje tastiene autentikaasjetypen
7 Feroarje de Rekeying Timer
8 Feroarje de grutte fan it Anti-Replay-finster
9 Konfigurearje in IPsec Static Route
10 Konfigurearje IPsec Tunnel Parameters
11 Feroarje IKE Dead-Peer Detection
12 Konfigurearje oare ynterface-eigenskippen
13 Skeakelje Weak SSH Encryption Algoritmen op Cisco SD-WAN Manager
14 Dokuminten / Resources
14.1 Referinsjes

CISCO-LOGO

CISCO SD-WAN Konfigurearje Feiligens Parameters

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurearje Feiligens Parameters

Noat

Om ferienfâldiging en konsistinsje te berikken, is de Cisco SD-WAN-oplossing omneamd as Cisco Catalyst SD-WAN. Dêrneist, út Cisco IOS XE SD-WAN Release 17.12.1a en Cisco Catalyst SD-WAN Release 20.12.1, de folgjende komponint feroarings binne fan tapassing: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics to Cisco Catalyst SD-WAN Analytics, Cisco vBond nei Cisco Catalyst SD-WAN Validator, en Cisco vSmart nei Cisco Catalyst SD-WAN Controller. Sjoch de lêste Release Notes foar in wiidweidige list fan alle komponint merknamme feroarings. Wylst wy oergean nei de nije nammen, kinne guon ynkonsistinsjes oanwêzich wêze yn 'e dokumintaasjeset fanwegen in faze oanpak fan de updates fan' e brûkersynterface fan it softwareprodukt.

Dizze paragraaf beskriuwt hoe te feroarjen feiligens parameters foar de kontrôle fleanmasine en de gegevens fleanmasine yn de Cisco Catalyst SD-WAN overlay netwurk.

  • Konfigurearje Control Plane Security Parameters, oan
  • Konfigurearje Data Plane Security Parameters, oan
  • Konfigurearje IKE-ynskeakele IPsec-tunnels, oan
  • Skeakelje Weak SSH Encryption Algoritmen op Cisco SD-WAN Manager, oan

Konfigurearje Control Plane Security Parameters

Standert brûkt it kontrôlefleantúch DTLS as it protokol dat privacy biedt op al syn tunnels. DTLS rint oer UDP. Jo kinne feroarje it kontrôle fleantúch feiligens protokol oan TLS, dat rint oer TCP. De primêre reden om TLS te brûken is dat, as jo de Cisco SD-WAN Controller beskôgje as in tsjinner, firewalls beskermje TCP-tsjinners better dan UDP-tsjinners. Jo konfigurearje de kontrôle fleanmasine tunnel protokol op in Cisco SD-WAN Controller: vSmart (config) # feiligens kontrôle protokol tls Mei dizze feroaring, alle kontrôle fleanmasine tunnels tusken de Cisco SD-WAN Controller en de routers en tusken de Cisco SD-WAN Controller en Cisco SD-WAN Manager brûke TLS. Control plane tunnels nei Cisco Catalyst SD-WAN Validator altyd brûke DTLS, omdat dizze ferbinings moatte wurde ôfhannele troch UDP. Yn in domein mei meardere Cisco SD-WAN Controllers, as jo ynstelle TLS op ien fan 'e Cisco SD-WAN Controllers, brûke alle kontrôle fleanmasine tunnels fan dy controller nei de oare controllers TLS. Sei in oare manier, TLS hat altyd foarrang boppe DTLS. Lykwols, út it perspektyf fan 'e oare Cisco SD-WAN Controllers, as jo hawwe net ynsteld TLS op harren, se brûke TLS op de kontrôle fleanmasine tunnel allinnich oan dy iene Cisco SD-WAN Controller, en se brûke DTLS tunnels oan alle oare Cisco SD-WAN Controllers en oan al harren ferbûn routers. Om alle Cisco SD-WAN Controllers TLS te brûken, konfigurearje it op allegear. Standert harket de Cisco SD-WAN Controller op haven 23456 foar TLS-oanfragen. Om dit te feroarjen: vSmart (config) # feiligens control tls-port number De haven kin in nûmer fan 1025 oant 65535. Foar in werjaan kontrôle fleanmasine feiligens ynformaasje, brûk de show kontrôle ferbinings kommando op de Cisco SD-WAN Controller. Bygelyksample: vSmart-2 # show kontrôle ferbinings

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurearje DTLS yn Cisco SD-WAN Manager

As jo ​​konfigurearje de Cisco SD-WAN Manager foar in gebrûk TLS as de kontrôle fleanmasine feiligens protokol, Jo moatte ynskeakelje haven trochstjoere op jo NAT. As jo ​​​​DTLS brûke as it befeiligingsprotokol foar kontrôleplane, hoege jo neat te dwaan. It oantal trochstjoerde havens hinget ôf fan it oantal vdaemon-prosessen dy't rinne op de Cisco SD-WAN Manager. Om ynformaasje te werjaan oer dizze prosessen en oer en it oantal poarten dy't trochstjoerd wurde, brûk it kommando sjen litte kontrôle gearfetting lit sjen dat fjouwer daemon-prosessen rinne:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Om de harkpoarten te sjen, brûk it kommando show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Dizze útfier lit sjen dat de harkjende TCP-poarte is 23456. As jo ​​rinne Cisco SD-WAN Manager efter in NAT, Jo moatte iepenje de folgjende havens op de NAT apparaat:

  • 23456 (basis - eksimplaar 0 poarte)
  • 23456 + 100 (basis + 100)
  • 23456 + 200 (basis + 200)
  • 23456 + 300 (basis + 300)

Tink derom dat it oantal eksimplaren itselde is as it oantal kearnen dat jo hawwe tawiisd foar de Cisco SD-WAN Manager, oant in maksimum fan 8.

Befeiligingsparameters konfigurearje mei it sjabloan foar befeiligingsfunksje

Brûk de sjabloan foar feiligensfunksje foar alle Cisco vEdge-apparaten. Oan 'e râne routers en op' e Cisco SD-WAN Validator, brûk dit sjabloan foar in konfigurearje IPsec foar gegevens plane feiligens. Pa Cisco SD-WAN Manager en Cisco SD-WAN Controller, brûk de feiligens funksje sjabloan foar in konfigurearje DTLS of TLS foar kontrôle fleanmasine feiligens.

Konfigurearje Feiligens Parameters

  1. Ut it Cisco SD-WAN Manager menu, kies Konfiguraasje> Sjabloanen.
  2. Klik op Feature Templates en klik dan op Add Template.
    Noat Yn Cisco vManage Release 20.7.1 en eardere releases hjit Feature Templates Feature.
  3. Kies in apparaat út 'e list Apparaten yn' e linker pane. De sjabloanen dy't fan tapassing binne op it selekteare apparaat ferskine yn it rjochterpaniel.
  4. Klikje Feiligens om it sjabloan te iepenjen.
  5. Fier yn it fjild Sjabloannamme in namme yn foar it sjabloan. De namme kin maksimaal 128 tekens wêze en kin allinich alfanumerike tekens befetsje.
  6. Fier yn it fjild Sjabloanbeskriuwing in beskriuwing fan it sjabloan yn. De beskriuwing kin maksimaal 2048 tekens wêze en kin allinich alfanumerike tekens befetsje.

As jo ​​earst in funksje sjabloan iepenje, foar elke parameter dy't in standertwearde hat, wurdt it berik ynsteld op Standert (oanjûn troch in karmerk), en de standertynstelling of wearde wurdt werjûn. Om de standert te feroarjen of in wearde yn te fieren, klikje jo op it dellûkmenu foar berik lofts fan it parameterfjild en kies ien fan 'e folgjende:

Tabel 1:

Parameter Scope Scope Beskriuwing
Apparaatspesifyk (oanjûn troch in host-ikoan) Brûk in apparaat-spesifike wearde foar de parameter. Foar apparaat-spesifike parameters kinne jo net ynfiere in wearde yn de funksje sjabloan. Jo ynfiere de wearde as jo heakje in Viptela apparaat oan in apparaat sjabloan.

As jo ​​op Apparaatspesifyk klikke, iepent it fakje Enter Key. Dit fak toant in kaai, dat is in unike tekenrige dy't identifisearret de parameter yn in CSV file dat jo meitsje. Dit file is in Excel-spreadsheet dat ien kolom foar elke kaai befettet. De koptekst rige befettet de kaai nammen (ien kaai per kolom), en eltse rige dêrnei komt oerien mei in apparaat en definiearret de wearden fan de kaaien foar dat apparaat. Jo uploade de CSV file as jo in Viptela-apparaat taheakje oan in apparaatsjabloan. Foar mear ynformaasje, sjoch Meitsje in sjabloanfariabelen Spreadsheet.

Om de standertkaai te feroarjen, typ in nije tekenrige en ferpleatse de rinnerke út it fakje Enter Key.

Examples fan apparaat-spesifike parameters binne systeem IP-adres, hostnamme, GPS lokaasje, en site ID.
Parameter Scope Scope Beskriuwing
Global (oanjûn mei in globe-ikoan) Fier in wearde yn foar de parameter, en tapasse dy wearde op alle apparaten.

ExampLes parameters dy't jo globaal tapasse kinne op in groep apparaten binne DNS-tsjinner, syslog-tsjinner, en ynterface MTU's.

Konfigurearje Control Plane Security

Noat
De seksje Configure Control Plane Security jildt allinich foar de Cisco SD-WAN Manager en Cisco SD-WAN Controller. Om it kontrôleplaneferbiningsprotokol te konfigurearjen op in Cisco SD-WAN Manager eksimplaar of in Cisco SD-WAN Controller, kies de Basic Configuration Area en konfigurearje de folgjende parameters:

Tabel 2:

Parameter Namme Beskriuwing
Protokol Kies it protokol te brûken op kontrôle fleanmasine ferbinings nei in Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Dit is de standert.

• TLS (Transport Layer Security)
Kontrolearje TLS Port As jo ​​TLS selekteare, konfigurearje dan it poartenûmer om te brûken:Berik: 1025 oan65535Standert: 23456

Klik op Bewarje

Konfigurearje Data Plane Security
Foar in konfigurearje gegevens fleanmasine feiligens op in Cisco SD-WAN Validator of in Cisco vEdge router, kies de Basic konfiguraasje en Autentikaasje Type ljeppers, en konfigurearje de folgjende parameters:

Tabel 3:

Parameter Namme Beskriuwing
Rekey Tiid Spesifisearje hoe faak in Cisco vEdge router feroaret de AES kaai brûkt op syn feilige DTLS ferbining mei de Cisco SD-WAN Controller. As OMP sierlike werstart ynskeakele is, moat de weryndielingstiid op syn minst twa kear de wearde wêze fan 'e OMP sierlike werstarttimer.Berik: 10 oant 1209600 sekonden (14 dagen)Standert: 86400 sekonden (24 oeren)
Replay Finster Spesifisearje de grutte fan it sliding replay finster.

Wearden: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkettenStandert: 512 pakjes
IPsec

pairwise-keying

 Dit is standert útskeakele. Klikje On om it oan te setten.
Parameter Namme Beskriuwing
Autentikaasje Type Selektearje de autentikaasje typen út de Autentikaasje List, en klikje op de pylk nei rjochts om de ferifikaasjetypen te ferpleatsen nei de Selected List pylder.

Ferifikaasjetypen stipe fan Cisco SD-WAN Release 20.6.1:

•  esp: Aktivearret Encapsulating Security Payload (ESP) fersifering en kontrôle fan yntegriteit op 'e ESP-koptekst.

•  ip-udp-esp: Aktivearret ESP-fersifering. Njonken de yntegriteitskontrôles op 'e ESP-header en payload, omfetsje de kontrôles ek de bûtenste IP- en UDP-headers.

•  ip-udp-esp-no-id: Negearje it ID-fjild yn 'e IP-koptekst, sadat Cisco Catalyst SD-WAN kin wurkje yn gearhing mei net-Cisco-apparaten.

•  gjin: Skeakelet kontrôle fan yntegriteit út op IPSec-pakketten. Wy riede dizze opsje net oan.

 

Ferifikaasjetypen stipe yn Cisco SD-WAN Release 20.5.1 en earder:

•  ah-no-id: Aktivearje in ferbettere ferzje fan AH-SHA1 HMAC en ESP HMAC-SHA1 dy't it ID-fjild yn 'e bûtenste IP-koptekst fan it pakket negearret.

•  ah-sha1-hmac: Aktivearje AH-SHA1 HMAC en ESP HMAC-SHA1.

•  gjin: Selektearje gjin autentikaasje.

•  sha1-hmac: ESP HMAC-SHA1 ynskeakelje.

 

Noat              Foar in râne apparaat dat rint op Cisco SD-WAN Release 20.5.1 of earder, kinne jo hawwe ynsteld autentikaasje typen mei help fan in Feiligens sjabloan. As jo ​​opwurdearje it apparaat nei Cisco SD-WAN Release 20.6.1 of letter, update de selektearre autentikaasje typen yn de Feiligens template oan de autentikaasje typen stipe út Cisco SD-WAN Release 20.6.1. Om de autentikaasjetypen te aktualisearjen, dwaan it folgjende:

1.      Ut it Cisco SD-WAN Manager menu, kies Konfiguraasje >

Sjabloanen.

2.      Klikje Feature Templates.

3.      Fyn de Feiligens sjabloan om te aktualisearjen en klik ... en klik Bewurkje.

4.      Klikje Update. Wizigje gjin konfiguraasje.

Cisco SD-WAN Manager updates de Feiligens sjabloan om de stipe autentikaasjetypen wer te jaan.

Klik op Bewarje.

Konfigurearje Data Plane Security Parameters

Yn it gegevensfleantúch is IPsec standert ynskeakele op alle routers, en standert brûke IPsec-tunnelferbiningen in ferbettere ferzje fan it protokol Encapsulating Security Payload (ESP) foar autentikaasje op IPsec-tunnels. Op de routers kinne jo it type autentikaasje feroarje, de IPsec-rekeying-timer, en de grutte fan it IPsec-anty-replay-finster.

Konfigurearje tastiene autentikaasjetypen

Autentikaasjetypen yn Cisco SD-WAN Release 20.6.1 en letter
Fan Cisco SD-WAN Release 20.6.1 wurde de folgjende yntegriteitstypen stipe:

  • esp: Dizze opsje aktivearret Encapsulating Security Payload (ESP) fersifering en yntegriteit kontrôle op de ESP header.
  • ip-udp-esp: Dizze opsje makket ESP-fersifering mooglik. Njonken de yntegriteitskontrôles op 'e ESP-koptekst en de lading, omfetsje de kontrôles ek de bûtenste IP- en UDP-koppen.
  • ip-udp-esp-no-id: Dizze opsje is gelyk oan ip-udp-esp, lykwols, it ID-fjild fan 'e bûtenste IP-koptekst wurdt negearre. Konfigurearje dizze opsje yn 'e list fan yntegriteitstypen om de Cisco Catalyst SD-WAN-software it ID-fjild yn' e IP-koptekst te negearjen, sadat de Cisco Catalyst SD-WAN kin wurkje yn gearhing mei net-Cisco-apparaten.
  • gjin: Dizze opsje skeakelet yntegriteit kontrôle út op IPSec pakketten. Wy riede dizze opsje net oan.

Standert brûke IPsec-tunnelferbiningen in ferbettere ferzje fan it protokol Encapsulating Security Payload (ESP) foar autentikaasje. Om de ûnderhannele ynteriteitstypen te feroarjen of yntegriteitskontrôle út te skeakeljen, brûk it folgjende kommando: integrity-type { gjin | ip-udp-esp | ip-udp-esp-no-id | esp }

Autentikaasjetypen foar Cisco SD-WAN Release 20.6.1
Standert brûke IPsec-tunnelferbiningen in ferbettere ferzje fan it protokol Encapsulating Security Payload (ESP) foar autentikaasje. Om de ûnderhannele autentikaasjetypen te feroarjen of autentikaasje út te skeakeljen, brûk it folgjende kommando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Standert, IPsec tunnelferbiningen brûke AES-GCM-256, dy't sawol fersifering as autentikaasje leveret. Konfigurearje elk autentikaasjetype mei in aparte befeiligings-ipsec-ferifikaasje-type kommando. De kommando-opsjes mapje nei de folgjende autentikaasjetypen, dy't yn folchoarder binne fan sterkste oant minste sterk:

Noat
De sha1 yn 'e konfiguraasjeopsjes wurdt brûkt om histoaryske redenen. De autentikaasje-opsjes jouwe oan hoefolle fan 'e kontrôle fan pakketyntegriteit wurdt dien. Se spesifisearje net it algoritme dat de yntegriteit kontrolearret. Utsein foar de fersifering fan multicast ferkear, de autentikaasje algoritmen stipe troch Cisco Catalyst SD WAN net brûke SHA1. Lykwols, yn Cisco SD-WAN Release 20.1.x en fierder, brûke sawol unicast en multicast gjin SHA1.

  • ah-sha1-hmac makket fersifering en ynkapseling mooglik mei ESP. Njonken de yntegriteitskontrôles op 'e ESP-header en payload omfetsje de kontrôles lykwols ek de bûtenste IP- en UDP-headers. Hjirtroch stipet dizze opsje in yntegriteitskontrôle fan it pakket fergelykber mei it protokol fan Authentication Header (AH). Alle yntegriteit en fersifering wurdt útfierd mei help fan AES-256-GCM.
  • ah-no-id makket in modus mooglik dy't gelyk is oan ah-sha1-hmac, lykwols, it ID-fjild fan 'e bûtenste IP-header wurdt negearre. Dizze opsje befettet guon net-Cisco Catalyst SD-WAN-apparaten, ynklusyf de Apple AirPort Express NAT, dy't in brek hawwe dy't feroarsaket dat it ID-fjild yn 'e IP-koptekst, in net-feroarlik fjild, feroaret. Konfigurearje de ah-no-id-opsje yn 'e list fan autentikaasjetypen om de Cisco Catalyst SD-WAN AH-software te negearjen fan it ID-fjild yn' e IP-koptekst, sadat de Cisco Catalyst SD-WAN-software kin wurkje yn gearhing mei dizze apparaten.
  • sha1-hmac makket ESP-fersifering en yntegriteitskontrôle mooglik.
  • gjin kaarten oan gjin autentikaasje. Dizze opsje moat allinich brûkt wurde as it nedich is foar tydlike debuggen. Jo kinne ek kieze foar dizze opsje yn situaasjes dêr't gegevens fleantúch autentikaasje en yntegriteit binne gjin soarch. Cisco riedt net oan om dizze opsje te brûken foar produksjenetwurken.

Foar ynformaasje oer hokker gegevenspakketfjilden wurde beynfloede troch dizze autentikaasjetypen, sjoch Data Plane Yntegriteit. Cisco IOS XE Catalyst SD-WAN-apparaten en Cisco vEdge-apparaten advertearje har konfigureare autentikaasjetypen yn har TLOC-eigenskippen. De twa routers oan wjerskanten fan in IPsec tunnel ferbining ûnderhannelje de autentikaasje te brûken op de ferbining tusken harren, mei help fan de sterkste autentikaasje type dat is konfigurearre op beide routers. Bygelyksample, as ien router de ah-sha1-hmac en ah-no-id-typen advertearret, en in twadde router it ah-no-id-type advertearret, ûnderhannelje de twa routers om ah-no-id te brûken op de IPsec-tunnelferbining tusken harren. As der gjin mienskiplike autentikaasjetypen binne ynsteld op 'e twa peers, wurdt gjin IPsec-tunnel tusken har fêststeld. It fersiferingsalgoritme op IPsec-tunnelferbiningen hinget ôf fan it type ferkear:

  • Foar unicast-ferkear is it fersiferingsalgoritme AES-256-GCM.
  • Foar multicast ferkear:
  • Cisco SD-WAN Release 20.1.x en letter - it fersiferingsalgoritme is AES-256-GCM
  • Foarige releases - it fersiferingsalgoritme is AES-256-CBC mei SHA1-HMAC.

As it IPsec-ferifikaasjetype feroare wurdt, wurdt de AES-kaai foar it gegevenspaad feroare.

Feroarje de Rekeying Timer

Foardat Cisco IOS XE Catalyst SD-WAN-apparaten en Cisco vEdge-apparaten gegevensferkear kinne útwikselje, sette se in feilich authentisearre kommunikaasjekanaal tusken har op. De routers brûke IPSec-tunnels tusken har as it kanaal, en it AES-256-sifer om fersifering út te fieren. Elke router genereart periodyk in nije AES-kaai foar syn gegevenspaad. Standert is in kaai jildich foar 86400 sekonden (24 oeren), en de timer berik is 10 sekonden troch 1209600 sekonden (14 dagen). Om de rekey timerwearde te feroarjen: Device(config)# security ipsec rekey sekonden De konfiguraasje sjocht der sa út:

  • feiligens ipsec rekey sekonden!

As jo ​​nije IPsec-kaaien direkt wolle generearje, kinne jo dat dwaan sûnder de konfiguraasje fan 'e router te feroarjen. Om dit te dwaan, jou it kommando befeiliging ipsecrekey oanfraach op 'e kompromittearre router. Bygelyksample, de folgjende útfier lit sjen dat de lokale SA in Security Parameter Index (SPI) hat fan 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

In unike kaai is ferbûn mei elke SPI. As dizze kaai kompromittearre is, brûk dan it kommando befeiliging ipsec-rekey oanfraach om direkt in nije kaai te generearjen. Dit kommando fergruttet de SPI. Yn ús eksample, feroaret de SPI nei 257 en de kaai dy't dêrmei ferbûn is wurdt no brûkt:

  • Apparaat# fersyk feiligens ipsecrekey
  • Apparaat# lit ipsec local-sa sjen

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Neidat de nije kaai wurdt oanmakke, stjoert de router it fuortendaliks nei de Cisco SD-WAN Controllers mei help fan DTLS of TLS. De Cisco SD-WAN Controllers stjoere de kaai nei de peer routers. De routers begjinne it te brûken sa gau as se it ûntfange. Tink derom dat de kaai ferbûn mei de âlde SPI (256) sil bliuwe brûkt wurde foar in koarte tiid oant it time-out. Om op te hâlden mei it brûken fan de âlde kaai fuortendaliks, jou it kommando befeiliging ipsec-rekey oanfraach twa kear, yn rappe opienfolging. Dizze folchoarder fan kommando's ferwideret sawol SPI 256 as 257 en stelt de SPI op 258. De router brûkt dan de assosjearre kaai fan SPI 258. Tink derom dat guon pakketten foar in koarte perioade falle wurde oant alle routers op ôfstân leare de nije kaai.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Feroarje de grutte fan it Anti-Replay-finster

IPsec-ferifikaasje leveret anty-werhellingsbeskerming troch in unyk folchoardernûmer ta te jaan oan elk pakket yn in gegevensstream. Dizze folchoardernûmering beskermet tsjin in oanfaller dy't gegevenspakketten duplikearret. Mei anti-replay beskerming, de stjoerder jout monotoanysk tanimmende folchoarder nûmers, en de bestimming kontrolearret dizze folchoarder nûmers te detect duplikaten. Om't pakketten faak net yn oarder komme, hâldt de bestimming in sliding finster fan folchoardernûmers dat it sil akseptearje.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakketten mei folchoarder nûmers dy't falle nei lofts fan de sliding finster berik wurde beskôge âld of duplikaten, en de bestimming sakket se. De bestimming tracks it heechste folchoarder getal it hat ûntfongen, en past it sliding finster as it ûntfangt in pakket mei in hegere wearde.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Standert is it sliding finster ynsteld op 512 pakketten. It kin ynsteld wurde op elke wearde tusken 64 en 4096 dat in krêft fan 2 is (dat is 64, 128, 256, 512, 1024, 2048, of 4096). Om de grutte fan it anty-replay-finster te feroarjen, brûk it kommando opnij-finster, en spesifisearje de grutte fan it finster:

Apparaat (config) # feiligens ipsec werhellingsfinster nûmer

De konfiguraasje sjocht der sa út:
feiligens ipsec replay-finster nûmer! !

Om te helpen mei QoS, wurde aparte werhellingsfinsters bewarre foar elk fan 'e earste acht ferkearskanalen. De konfigureare replayfinstergrutte wurdt dield troch acht foar elk kanaal. As QoS is konfigurearre op in router, kin dy router in grutter dan ferwachte oantal pakketfallen ûnderfine as gefolch fan it IPsec-anty-werhellingsmeganisme, en in protte fan 'e pakketten dy't falle binne legitime. Dit bart om't QoS pakketten opnij oarderet, pakketten mei hegere prioriteit foarkarbehandeling jaan en pakketten mei legere prioriteit fertrage. Om dizze situaasje te minimalisearjen of te foarkommen, kinne jo it folgjende dwaan:

  • Fergrutsje de grutte fan it anty-replay-finster.
  • Yngenieurferkear op 'e earste acht ferkearskanalen om te soargjen dat ferkear binnen in kanaal net opnij oardere wurdt.

Konfigurearje IKE-ynskeakele IPsec-tunnels
Foar it feilich oerdrage ferkear fan it overlay netwurk nei in tsjinst netwurk, kinne jo ynstelle IPsec tunnels dy't rinne it Internet Key Exchange (IKE) protokol. IKE-ynskeakele IPsec-tunnels jouwe autentikaasje en fersifering om feilich pakketferfier te garandearjen. Jo meitsje in IKE-ynskeakele IPsec-tunnel troch in IPsec-ynterface te konfigurearjen. IPsec-ynterfaces binne logyske ynterfaces, en jo konfigurearje se krekt as elke oare fysike ynterface. Jo konfigurearje IKE protokol parameters op de IPsec ynterface, en jo kinne konfigurearje oare ynterface eigenskippen.

Noat Cisco advisearret it brûken fan IKE Ferzje 2. Fanút Cisco SD-WAN 19.2.x release moat de pre-dielde kaai op syn minst 16 bytes lang wêze. De oprjochting fan de IPsec-tunnel mislearret as de kaaigrutte minder is as 16 tekens as de router wurdt opwurdearre nei ferzje 19.2.

Noat
De Cisco Catalyst SD-WAN-software stipet IKE Ferzje 2 lykas definiearre yn RFC 7296. Ien gebrûk foar IPsec-tunnels is om vEdge Cloud-router VM-eksimplaren dy't op Amazon AWS rinne, te meitsjen om te ferbinen mei de Amazon firtuele privee wolk (VPC). Jo moatte IKE Ferzje 1 konfigurearje op dizze routers. Cisco vEdge-apparaten stypje allinich rûte-basearre VPN's yn in IPSec-konfiguraasje, om't dizze apparaten ferkearselektors net kinne definiearje yn it fersiferingsdomein.

Konfigurearje in IPsec-tunnel
Om in IPsec-tunnelynterface te konfigurearjen foar feilich ferfierferkear fan in tsjinstnetwurk, meitsje jo in logyske IPsec-ynterface:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Jo kinne de IPsec-tunnel oanmeitsje yn 'e transport-VPN (VPN 0) en yn elke tsjinst VPN (VPN 1 oant 65530, útsein 512). De IPsec-ynterface hat in namme yn it formaat ipsecnumber, wêrby't nûmer kin wêze fan 1 oant 255. Elke IPsec-ynterface moat in IPv4-adres hawwe. Dit adres moat in foarheaksel /30 wêze. Alle ferkear yn 'e VPN dat binnen dit IPv4-foarheaksel is wurdt rjochte op in fysike ynterface yn VPN 0 om feilich te ferstjoeren oer in IPsec-tunnel. de fysike ynterface (yn it kommando tunnel-boarne) of de namme fan 'e fysike ynterface (yn it kommando tunnel-boarne-ynterface). Soargje derfoar dat de fysike ynterface is ynsteld yn VPN 0. Om de bestimming fan 'e IPsec-tunnel te konfigurearjen, spesifisearje it IP-adres fan it apparaat op ôfstân yn it kommando tunnel-bestimming. De kombinaasje fan in boarne adres (of boarne ynterface namme) en in bestimming adres definiearret in inkele IPsec tunnel. Allinich ien IPsec-tunnel kin bestean dy't in spesifyk boarneadres (as ynterface-namme) en bestimmingsadrespear brûkt.

Konfigurearje in IPsec Static Route

Om ferkear fan 'e tsjinst VPN te rjochtsjen nei in IPsec-tunnel yn 'e transport-VPN (VPN 0), konfigurearje jo in IPsec-spesifike statyske rûte yn in tsjinst VPN (in VPN oars as VPN 0 of VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge (config-vpn) # ip ipsec-rûte foarheaksel / lingte vpn 0 ynterface
  • ipsecnumber [ipsecnumber2]

De VPN ID is dat fan elke tsjinst VPN (VPN 1 oant 65530, útsein 512). prefix / lingte is it IP-adres of foarheaksel, yn desimaal fjouwer-diel-stippele notaasje, en foarheaksel lingte fan de IPsec-spesifike statyske rûte. De ynterface is de IPsec tunnel ynterface yn VPN 0. Jo kinne konfigurearje ien of twa IPsec tunnel ynterface. As jo ​​twa konfigurearje, is de earste de primêre IPsec-tunnel, en de twadde is de reservekopy. Mei twa ynterfaces wurde alle pakketten allinich nei de primêre tunnel stjoerd. As dy tunnel mislearret, wurde alle pakketten dan nei de sekundêre tunnel stjoerd. As de primêre tunnel werom komt, wurdt alle ferkear werom ferpleatst nei de primêre IPsec-tunnel.

IKE Ferzje 1 ynskeakelje
As jo ​​​​in IPsec-tunnel meitsje op in vEdge-router, is IKE Ferzje 1 standert ynskeakele op 'e tunnelynterface. De folgjende eigenskippen binne ek standert ynskeakele foar IKEv1:

  • Ferifikaasje en fersifering - AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • Diffie-Hellman groep nûmer-16
  • Rekeying tiid ynterval - 4 oeren
  • SA oprjochting modus-Main

Standert brûkt IKEv1 IKE-haadmodus om IKE SA's te fêstigjen. Yn dizze modus wurde seis ûnderhannelingspakketten útwiksele om de SA te fêstigjen. Om mar trije ûnderhannelingspakketten te wikseljen, skeakelje agressive modus yn:

Noat
IKE agressive modus mei pre-dielde kaaien moatte wurde mijd wêr mooglik. Oars moat in sterke pre-dielde kaai wurde keazen.

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike) # modus agressyf

Standert brûkt IKEv1 Diffie-Hellman-groep 16 yn 'e IKE-kaai-útwikseling. Dizze groep brûkt de 4096-bit mear modulêre eksponinsjele (MODP) groep by IKE-kaaiútwikseling. Jo kinne it groepnûmer feroarje nei 2 (foar 1024-bit MODP), 14 (2048-bit MODP), of 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# groepnûmer

Standert brûkt IKE-kaai-útwikseling AES-256 avansearre fersifering standert CBC-fersifering mei it HMAC-SHA1 keyed-hash berjocht-autentikaasjekoade-algoritme foar yntegriteit. Jo kinne de autentikaasje feroarje:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# cipher-suite suite

De autentikaasjesuite kin ien fan 'e folgjende wêze:

  • aes128-cbc-sha1—AES-128 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • aes128-cbc-sha2—AES-128 avansearre fersifering standert CBC fersifering mei de HMAC-SHA256 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • aes256-cbc-sha1—AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit; dit is de standert.
  • aes256-cbc-sha2—AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA256 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit

Standert wurde IKE-kaaien elke 1 oeren (3600 sekonden) ferfarske. Jo kinne it rekeying ynterval feroarje yn in wearde fan 30 sekonden oant 14 dagen (1209600 sekonden). It is oan te rieden dat it rekeying ynterval op syn minst 1 oere is.

  • vEdge (config) # vpn vpn-id ynterface ipsec nûmer lykas
  • vEdge(config-ike) # rekey sekonden

Om de generaasje fan nije kaaien foar in IKE-sesje te twingen, jou it fersyk ipsec ike-rekey kommando út.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Foar IKE kinne jo ek foarôfdielde kaai (PSK) ferifikaasje konfigurearje:

  • vEdge(config)# vpn vpn-id interface ipsec number ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret wachtwurd wachtwurd is it wachtwurd om te brûken mei de pre-dielde kaai. It kin in ASCII wêze as in heksadesimale tekenrige fan 1 oant 127 tekens lang.

As de IKE-peer op ôfstân in lokale of eksterne ID fereasket, kinne jo dizze identifier konfigurearje:

  • vEdge(config)# vpn vpn-id ynterface ipsec nûmer ike autentikaasje-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type) # remote-id id

De identifier kin in IP-adres wêze as elke tekststring fan 1 oant 63 tekens lang. Standert is de lokale ID it boarne IP-adres fan 'e tunnel en de remote ID is it bestimmings-IP-adres fan' e tunnel.

IKE Ferzje 2 ynskeakelje
As jo ​​​​in IPsec-tunnel ynstelle om IKE Ferzje 2 te brûken, binne de folgjende eigenskippen ek standert ynskeakele foar IKEv2:

  • Ferifikaasje en fersifering - AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • Diffie-Hellman groep nûmer-16
  • Rekeying tiid ynterval - 4 oeren

Standert brûkt IKEv2 Diffie-Hellman-groep 16 yn 'e IKE-kaai-útwikseling. Dizze groep brûkt de 4096-bit mear modulêre eksponinsjele (MODP) groep by IKE-kaaiútwikseling. Jo kinne it groepnûmer feroarje nei 2 (foar 1024-bit MODP), 14 (2048-bit MODP), of 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# groepnûmer

Standert brûkt IKE-kaai-útwikseling AES-256 avansearre fersifering standert CBC-fersifering mei it HMAC-SHA1 keyed-hash berjocht-autentikaasjekoade-algoritme foar yntegriteit. Jo kinne de autentikaasje feroarje:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

De autentikaasjesuite kin ien fan 'e folgjende wêze:

  • aes128-cbc-sha1—AES-128 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • aes128-cbc-sha2—AES-128 avansearre fersifering standert CBC fersifering mei de HMAC-SHA256 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit
  • aes256-cbc-sha1—AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA1 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit; dit is de standert.
  • aes256-cbc-sha2—AES-256 avansearre fersifering standert CBC fersifering mei de HMAC-SHA256 keyed-hash berjocht autentikaasje koade algoritme foar yntegriteit

Standert wurde IKE-kaaien elke 4 oeren (14,400 sekonden) ferfarske. Jo kinne it werynterval feroarje yn in wearde fan 30 sekonden oant 14 dagen (1209600 sekonden):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike) # rekey sekonden

Om de generaasje fan nije kaaien foar in IKE-sesje te twingen, jou it fersyk ipsec ike-rekey kommando út. Foar IKE kinne jo ek foarôfdielde kaai (PSK) ferifikaasje konfigurearje:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret wachtwurd wachtwurd is it wachtwurd om te brûken mei de pre-dielde kaai. It kin in ASCII of in heksadesimale tekenrige wêze, of it kin in AES-fersifere kaai wêze. As de IKE-peer op ôfstân in lokale of eksterne ID fereasket, kinne jo dizze identifier konfigurearje:
  • vEdge(config)# vpn vpn-id interface ipsecnumber ike autentikaasje-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type) # remote-id id

De identifier kin in IP-adres wêze as elke tekststring fan 1 oant 64 tekens lang. Standert is de lokale ID it boarne IP-adres fan 'e tunnel en de remote ID is it bestimmings-IP-adres fan' e tunnel.

Konfigurearje IPsec Tunnel Parameters

tabel 4: Feature Skiednis

Eigenskip Namme Release ynformaasje Beskriuwing
Oanfoljende Kryptografyske Cisco SD-WAN Release 20.1.1 Dizze funksje foeget stipe ta foar
Algoritmyske stipe foar IPSec   HMAC_SHA256, HMAC_SHA384, en
Tunnels   HMAC_SHA512 algoritmen foar
    ferbettere feiligens.

Standert wurde de folgjende parameters brûkt op 'e IPsec-tunnel dy't IKE-ferkear draacht:

  • Ferifikaasje en fersifering - AES-256-algoritme yn GCM (Galois / tellermodus)
  • Rekeying ynterval - 4 oeren
  • Weromspielfinster - 32 pakketten

Jo kinne de fersifering op 'e IPsec-tunnel feroarje nei it AES-256-sifer yn CBC (siferblokkettingmodus, mei HMAC mei SHA-1 of SHA-2 keyed-hash-berjochtferifikaasje of nul mei HMAC mei SHA-1 of SHA-2 of SHA-XNUMX keyed-hash-berjochtferifikaasje, om de IPsec-tunnel net te fersiferjen foar IKE-kaaiferkearferkear:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-sha-null-sha256 | | aes256-null-sha384 | aes256-null-sha512)

Standert wurde IKE-kaaien elke 4 oeren (14,400 sekonden) ferfarske. Jo kinne it werynterval feroarje yn in wearde fan 30 sekonden oant 14 dagen (1209600 sekonden):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey sekonden

Om de generaasje fan nije kaaien foar in IPsec-tunnel te twingen, jou it kommando ipsec ipsec-rekey oanfraach út. Standert is perfekt foarút geheimhâlding (PFS) ynskeakele op IPsec-tunnels, om te soargjen dat ferline sesjes net beynfloede wurde as takomstige kaaien kompromitteare. PFS twingt in nije Diffie-Hellman kaai útwikseling, standert mei help fan de 4096-bit Diffie-Hellman prime module groep. Jo kinne de PFS-ynstelling feroarje:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec) # perfect-forward-secrecy pfs-setting

pfs-ynstelling kin ien fan 'e folgjende wêze:

  • groep-2 - Brûk de 1024-bit Diffie-Hellman prime modulus groep.
  • groep-14 - Brûk de 2048-bit Diffie-Hellman prime modulus groep.
  • groep-15 - Brûk de 3072-bit Diffie-Hellman prime modulus groep.
  • groep-16 - Brûk de 4096-bit Diffie-Hellman prime modulus groep. Dit is de standert.
  • gjin - PFS útskeakelje.

Standert is it IPsec werhellingsfinster op 'e IPsec-tunnel 512 bytes. Jo kinne de replayfinstergrutte ynstelle op 64, 128, 256, 512, 1024, 2048, of 4096 pakketten:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# werhellingsfinsternûmer

Feroarje IKE Dead-Peer Detection

IKE brûkt in dead-peer-deteksjemeganisme om te bepalen oft de ferbining mei in IKE-peer funksjoneel en berikber is. Om dit meganisme út te fieren, stjoert IKE in Hello-pakket nei syn peer, en de peer stjoert in erkenning as antwurd. Standert stjoert IKE elke 10 sekonden Hello-pakketten, en nei trije net-erkende pakketten, ferklearret IKE de buorman dea en skuort de tunnel nei de peer del. Dêrnei stjoert IKE periodyk in Hello-pakket nei de peer, en stelt de tunnel opnij yn as de peer wer online komt. Jo kinne it ynterval foar libbensdeteksje feroarje nei in wearde fan 0 oant 65535, en jo kinne it oantal opnij besykjen feroarje nei in wearde fan 0 oant 255.

Noat

Foar ferfier VPN's wurdt it ynterval foar libbensdeteksje omsetten yn sekonden troch de folgjende formule te brûken: Ynterval foar werútstjoerpoging nûmer N = ynterval * 1.8N-1Foar ex.ample, as it ynterval is ynsteld op 10 en probearret nei 5, nimt it deteksje-ynterval as folget ta:

  • Poging 1: 10 * 1.81-1 = 10 sekonden
  • Besykje 2: 10 * 1.82-1 = 18 sekonden
  • Besykje 3: 10 * 1.83-1 = 32.4 sekonden
  • Besykje 4: 10 * 1.84-1 = 58.32 sekonden
  • Besykje 5: 10 * 1.85-1 = 104.976 sekonden

vEdge(config-interface-ipsecnumber) # dead-peer-detection-ynterval opnij besiket nûmer

Konfigurearje oare ynterface-eigenskippen

Foar IPsec-tunnel-ynterfaces kinne jo allinich de folgjende ekstra ynterface-eigenskippen ynstelle:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Skeakelje Weak SSH Encryption Algoritmen op Cisco SD-WAN Manager

tabel 5: Feature History Tabel

Eigenskip Namme Release ynformaasje Eigenskip Beskriuwing
Skeakelje Weak SSH Encryption Algoritmen op Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Dizze funksje kinne jo útskeakelje swakkere SSH algoritmen op Cisco SD-WAN Manager dy't miskien net foldogge oan bepaalde gegevens feiligens noarmen.

Ynformaasje oer it útskeakeljen fan swak SSH-fersiferingsalgoritmen op Cisco SD-WAN Manager
Cisco SD-WAN Manager jout in SSH kliïnt foar kommunikaasje mei komponinten yn it netwurk, ynklusyf controllers en râne apparaten. De SSH-kliïnt leveret in fersifere ferbining foar feilige gegevensferfier, basearre op in ferskaat oan fersiferingsalgoritmen. In protte organisaasjes fereaskje sterkere fersifering dan dy troch SHA-1, AES-128, en AES-192. Fan Cisco vManage Release 20.9.1 kinne jo de folgjende swakkere fersiferingsalgoritmen útskeakelje, sadat in SSH-kliïnt dizze algoritmen net brûkt:

  • SHA-1
  • AES-128
  • AES-192

Foar it útskeakeljen fan dizze fersifering algoritmen, soargje derfoar dat Cisco vEdge apparaten, as ien, yn it netwurk, brûke in software release letter as Cisco SD-WAN Release 18.4.6.

Foardielen fan it útskeakeljen fan swak SSH-fersiferingsalgoritmen op Cisco SD-WAN Manager
It útskeakeljen fan swakkere SSH-fersiferingsalgoritmen ferbettert de feiligens fan SSH-kommunikaasje, en soarget derfoar dat organisaasjes dy't Cisco Catalyst SD-WAN brûke, foldogge oan strange feiligensregels.

Skeakelje Weak SSH Encryption Algoritmen op Cisco SD-WAN Manager Using CLI

  1. Ut it Cisco SD-WAN Manager menu, kies Ark > SSH Terminal.
  2. Kies it Cisco SD-WAN Manager-apparaat wêrop jo swakkere SSH-algoritmen wolle útskeakelje.
  3. Fier de brûkersnamme en wachtwurd yn om oan te melden by it apparaat.
  4. Fier SSH tsjinner modus yn.
    • vmanage(config)# system
    • vmanage(config-system)# ssh-server
  5. Doch ien fan 'e folgjende om in SSH-fersiferingsalgoritme út te skeakeljen:
    • SHA-1 útskeakelje:
  6. beheare (config-ssh-server) # gjin kex-algo sha1
  7. beheare (config-ssh-server) # commit
    De folgjende warskôging berjocht wurdt werjûn: De folgjende warskôgings waarden oanmakke: 'systeem ssh-server kex-algo sha1': WARSKOGING: Soargje derfoar dat al jo rânen rinne koade ferzje> 18.4.6 dy't ûnderhannelet better as SHA1 mei vManage. Oars kinne dy rânen offline wurde. Trochgean? [ja, nee] ja
    • Soargje derfoar dat alle Cisco vEdge apparaten yn it netwurk rinne Cisco SD-WAN Release 18.4.6 of letter en enter yes.
    • AES-128 en AES-192 útskeakelje:
    • vmanage(config-ssh-server)# gjin sifer aes-128-192
    • vmanage(config-ssh-server)# commit
      It folgjende warskôgingsberjocht wurdt werjûn:
      De folgjende warskôgings waarden generearre:
      'system ssh-server cipher aes-128-192': WARSKOGING: Soargje derfoar dat al jo rânen koade ferzje> 18.4.6 útfiere dy't better ûnderhannelet as AES-128-192 mei vManage. Oars kinne dy rânen offline wurde. Trochgean? [ja, nee] ja
    • Soargje derfoar dat alle Cisco vEdge apparaten yn it netwurk rinne Cisco SD-WAN Release 18.4.6 of letter en enter yes.

Ferifiearje dat swakke SSH-fersiferingsalgoritmen binne útskeakele op Cisco SD-WAN Manager mei help fan de CLI

  1. Ut it Cisco SD-WAN Manager menu, kies Ark > SSH Terminal.
  2. Selektearje it Cisco SD-WAN Manager-apparaat dat jo wolle ferifiearje.
  3. Fier de brûkersnamme en wachtwurd yn om oan te melden by it apparaat.
  4. Run it folgjende kommando: show running-config systeem ssh-server
  5. Befêstigje dat de útfier ien of mear fan 'e kommando's toant dy't swakkere fersiferingsalgoritmen útskeakelje:
    • gjin sifer aes-128-192
    • gjin kex-algo sha1

Dokuminten / Resources

CISCO SD-WAN Konfigurearje Feiligens Parameters [pdf] Brûkersgids
SD-WAN Konfigurearje befeiligingsparameters, SD-WAN, befeiligingsparameters konfigurearje, befeiligingsparameters

Referinsjes

Lit in reaksje efter

Jo e-mailadres sil net publisearre wurde. Ferplichte fjilden binne markearre *