Contidos ocultar
1 CISCO SD-WAN Configurar parámetros de seguranza
2 Configurar parámetros de seguridade
3 Configurar os parámetros de seguridade do plano de control
4 Configure DTLS en Cisco SD-WAN Manager
5 Configurar os parámetros de seguridade do plano de datos
6 Configure os tipos de autenticación permitidos
7 Cambia o temporizador de cambio de teclas
8 Cambia o tamaño da xanela Anti-Replay
9 Configurar unha ruta estática IPsec
10 Configure os parámetros do túnel IPsec
11 Modificar a detección de pares mortos de IKE
12 Configurar outras propiedades da interface
13 Desactive os algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager
14 Documentos/Recursos
14.1 Referencias

CISCO-LOGO

CISCO SD-WAN Configurar parámetros de seguranza

CISCO-SD-WAN-Configurar-Parámetros-Seguridade-PRODUTO

Configurar parámetros de seguridade

Nota

Para lograr simplificación e coherencia, a solución Cisco SD-WAN foi rebautizada como Cisco Catalyst SD-WAN. Ademais, desde Cisco IOS XE SD-WAN versión 17.12.1a e Cisco Catalyst SD-WAN versión 20.12.1, son aplicables os seguintes cambios de compoñentes: Cisco vManage a Cisco Catalyst SD-WAN Manager, Cisco vAnalytics a Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator e Cisco vSmart to Cisco Catalyst SD-WAN Controller. Consulta as últimas notas de lanzamento para obter unha lista completa de todos os cambios de marca de compoñentes. Mentres facemos a transición aos novos nomes, algunhas inconsistencias poden estar presentes no conxunto de documentación debido a un enfoque gradual das actualizacións da interface de usuario do produto de software.

Esta sección describe como cambiar os parámetros de seguridade para o plano de control e o plano de datos na rede de superposición SD-WAN de Cisco Catalyst.

  • Configurar os parámetros de seguridade do plano de control, activado
  • Configurar os parámetros de seguranza do plano de datos, activado
  • Configurar túneles IPsec habilitados para IKE, activado
  • Desactivar algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager, activado

Configurar os parámetros de seguridade do plano de control

Por defecto, o plano de control usa DTLS como protocolo que proporciona privacidade en todos os seus túneles. DTLS execútase sobre UDP. Podes cambiar o protocolo de seguranza do plano de control a TLS, que se executa a través de TCP. O motivo principal para usar TLS é que, se consideras que o controlador Cisco SD-WAN é un servidor, os cortalumes protexen os servidores TCP mellor que os servidores UDP. Configura o protocolo de túnel do plano de control nun controlador Cisco SD-WAN: vSmart(config)# protocolo de control de seguridade tls Con este cambio, todos os túneles do plano de control entre o controlador Cisco SD-WAN e os enrutadores e entre o controlador Cisco SD-WAN e Cisco SD-WAN Manager usan TLS. Os túneles de avións de control para Cisco Catalyst SD-WAN Validator sempre usan DTLS, porque estas conexións deben ser xestionadas por UDP. Nun dominio con varios controladores Cisco SD-WAN, cando configura TLS nun dos controladores Cisco SD-WAN, todos os túneles do plano de control desde ese controlador ata os outros controladores usan TLS. Dito doutro xeito, TLS sempre prima sobre DTLS. Non obstante, desde a perspectiva dos outros controladores Cisco SD-WAN, se non configurou TLS neles, usan TLS no túnel do plano de control só para ese controlador Cisco SD-WAN e usan túneles DTLS para todos os demais. Controladores Cisco SD-WAN e a todos os seus enrutadores conectados. Para que todos os controladores Cisco SD-WAN usen TLS, configúrao en todos eles. De forma predeterminada, o controlador Cisco SD-WAN escoita no porto 23456 solicitudes TLS. Para cambiar isto: vSmart(config)# security control tls-port number O porto pode ser un número entre 1025 e 65535. Para mostrar a información de seguridade do avión de control, use o comando show control connections no controlador Cisco SD-WAN. Por example: vSmart-2# mostra conexións de control

CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-1

Configure DTLS en Cisco SD-WAN Manager

Se configura o Cisco SD-WAN Manager para usar TLS como protocolo de seguranza do plano de control, debe activar o reenvío de portos no seu NAT. Se está a usar DTLS como protocolo de seguridade do plano de control, non precisa facer nada. O número de portos reenviados depende do número de procesos vdaemon que se executan no Cisco SD-WAN Manager. Para mostrar información sobre estes procesos e sobre o número de portos que se están a reenviar, use o comando show control summary mostra que se están executando catro procesos daemon:CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-2

Para ver os portos de escoita, use o comando show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-3

Esta saída mostra que o porto TCP de escoita é 23456. Se está a executar Cisco SD-WAN Manager detrás dun NAT, debe abrir os seguintes portos no dispositivo NAT:

  • 23456 (base - porto de instancia 0)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Teña en conta que o número de instancias é o mesmo que o número de núcleos que asignou para o Cisco SD-WAN Manager, ata un máximo de 8.

Configure os parámetros de seguranza mediante o modelo de funcións de seguranza

Use o modelo da función de seguranza para todos os dispositivos Cisco vEdge. Nos enrutadores de borde e no validador de SD-WAN de Cisco, use este modelo para configurar IPsec para a seguridade do plano de datos. En Cisco SD-WAN Manager e Cisco SD-WAN Controller, use o modelo da función de seguranza para configurar DTLS ou TLS para a seguridade do plano de control.

Configurar parámetros de seguridade

  1. No menú Cisco SD-WAN Manager, escolla Configuración > Modelos.
  2. Faga clic en Modelos de funcións e, a continuación, en Engadir modelo.
    Nota En Cisco vManage Release 20.7.1 e versións anteriores, os modelos de características chámanse Feature.
  3. Na lista Dispositivos do panel esquerdo, escolla un dispositivo. Os modelos aplicables ao dispositivo seleccionado aparecen no panel dereito.
  4. Fai clic en Seguridade para abrir o modelo.
  5. No campo Nome do modelo, introduza un nome para o modelo. O nome pode ter ata 128 caracteres e só pode conter caracteres alfanuméricos.
  6. No campo Descrición do modelo, introduza unha descrición do modelo. A descrición pode ter ata 2048 caracteres e só pode conter caracteres alfanuméricos.

Cando abre por primeira vez un modelo de función, para cada parámetro que teña un valor predeterminado, o ámbito delimitarase como Predeterminado (indicado mediante unha marca de verificación) e móstrase a configuración ou o valor predeterminado. Para cambiar o valor predeterminado ou introducir un valor, faga clic no menú despregable de ámbito situado á esquerda do campo do parámetro e escolla unha das seguintes opcións:

Táboa 1:

Parámetro Ámbito Descrición do alcance
Dispositivo específico (indicado por unha icona de host) Use un valor específico do dispositivo para o parámetro. Para os parámetros específicos do dispositivo, non pode introducir un valor no modelo de función. Introduza o valor cando conecta un dispositivo Viptela a un modelo de dispositivo.

Cando fai clic en Específico do dispositivo, ábrese a caixa Introducir clave. Esta caixa mostra unha clave, que é unha cadea única que identifica o parámetro nun CSV file que ti creas. Isto file é unha folla de cálculo de Excel que contén unha columna por cada clave. A fila de cabeceira contén os nomes das claves (unha chave por columna) e cada fila posterior corresponde a un dispositivo e define os valores das claves para ese dispositivo. Cargas o CSV file cando conecta un dispositivo Viptela a un modelo de dispositivo. Para obter máis información, consulte Crear unha folla de cálculo de variables de modelo.

Para cambiar a tecla predeterminada, escriba unha nova cadea e move o cursor fóra da caixa Introducir clave.

ExampOs ficheiros de parámetros específicos do dispositivo son o enderezo IP do sistema, o nome de host, a localización GPS e o ID do sitio.
Parámetro Ámbito Descrición do alcance
Global (indicado por unha icona de globo terráqueo) Introduza un valor para o parámetro e aplíqueo a todos os dispositivos.

ExampOs ficheiros de parámetros que pode aplicar globalmente a un grupo de dispositivos son o servidor DNS, o servidor syslog e as MTU de interface.

Configurar a seguridade do avión de control

Nota
A sección Configurar a seguranza do plano de control aplícase só ao xestor SD-WAN de Cisco e ao controlador SD-WAN de Cisco. Para configurar o protocolo de conexión do plano de control nunha instancia do xestor SD-WAN de Cisco ou nun controlador SD-WAN de Cisco, escolla a área Configuración básica. e configure os seguintes parámetros:

Táboa 2:

Parámetro Nome Descrición
Protocolo Escolla o protocolo que se utilizará nas conexións do plano de control a un controlador Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Este é o predeterminado.

• TLS (Seguridade da capa de transporte)
Controlar o porto TLS Se seleccionou TLS, configure o número de porto para usar:Rango: 1025 ata 65535Por defecto: 23456

Fai clic en Gardar

Configurar a seguridade do avión de datos
Para configurar a seguridade do plano de datos nun Validator Cisco SD-WAN ou nun enrutador Cisco vEdge, escolla as pestanas Configuración básica e Tipo de autenticación e configure os seguintes parámetros:

Táboa 3:

Parámetro Nome Descrición
Rekey Time Especifique a frecuencia con que un enrutador Cisco vEdge cambia a clave AES utilizada na súa conexión DTLS segura ao controlador Cisco SD-WAN. Se o reinicio gracioso OMP está activado, o tempo de reinicio debe ser polo menos o dobre do valor do temporizador de reinicio gracioso OMP.Rango: 10 a 1209600 segundos (14 días)Por defecto: 86400 segundos (24 horas)
Ventá de reprodución Especifique o tamaño da xanela de reprodución deslizante.

Valores: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paquetesPor defecto: 512 paquetes
IPsec

clave por parellas

 Isto está desactivado por defecto. Fai clic On para acendelo.
Parámetro Nome Descrición
Tipo de autenticación Seleccione os tipos de autenticación de Autenticación Lista, e faga clic na frecha que apunta á dereita para mover os tipos de autenticación ao Lista seleccionada columna.

Tipos de autenticación compatibles con Cisco SD-WAN versión 20.6.1:

•  esp: Activa o cifrado de Encapsulating Security Payload (ESP) e a comprobación da integridade na cabeceira ESP.

•  ip-udp-esp: Activa o cifrado ESP. Ademais das comprobacións de integridade da cabeceira ESP e da carga útil, as comprobacións tamén inclúen as cabeceiras IP e UDP externas.

•  ip-udp-esp-no-id: Ignora o campo ID na cabeceira IP para que Cisco Catalyst SD-WAN poida funcionar en conxunto con dispositivos que non sexan de Cisco.

•  ningún: Desactiva a comprobación de integridade nos paquetes IPSec. Non recomendamos usar esta opción.

 

Tipos de autenticación compatibles con Cisco SD-WAN versión 20.5.1 e anteriores:

•  ah-non-id: habilite unha versión mellorada de AH-SHA1 HMAC e ESP HMAC-SHA1 que ignore o campo ID na cabeceira IP externa do paquete.

•  ah-sha1-hmac: Activa AH-SHA1 HMAC e ESP HMAC-SHA1.

•  ningún: non seleccione ningunha autenticación.

•  sha1-hmac: Activar ESP HMAC-SHA1.

 

Nota              Para un dispositivo de borde que se executa en Cisco SD-WAN versión 20.5.1 ou anterior, é posible que teña configurado tipos de autenticación mediante un Seguridade modelo. Cando actualice o dispositivo a Cisco SD-WAN versión 20.6.1 ou posterior, actualice os tipos de autenticación seleccionados no Seguridade modelo aos tipos de autenticación compatibles con Cisco SD-WAN versión 20.6.1. Para actualizar os tipos de autenticación, faga o seguinte:

1.      No menú Cisco SD-WAN Manager, escolla Configuración >

Modelos.

2.      Fai clic Modelos de características.

3.      Atopar o Seguridade modelo para actualizar e fai clic... e fai clic Editar.

4.      Fai clic Actualizar. Non modifique ningunha configuración.

Cisco SD-WAN Manager actualiza o Seguridade modelo para mostrar os tipos de autenticación admitidos.

Fai clic en Gardar.

Configurar os parámetros de seguridade do plano de datos

No plano de datos, IPsec está habilitado de forma predeterminada en todos os enrutadores e, por defecto, as conexións de túneles IPsec usan unha versión mellorada do protocolo Encapsulating Security Payload (ESP) para a autenticación nos túneles IPsec. Nos enrutadores, pode cambiar o tipo de autenticación, o temporizador de reclave IPsec e o tamaño da xanela anti-replay IPsec.

Configure os tipos de autenticación permitidos

Tipos de autenticación en Cisco SD-WAN versión 20.6.1 e posteriores
Desde a versión 20.6.1 de Cisco SD-WAN, admítense os seguintes tipos de integridade:

  • esp: esta opción permite o cifrado de Encapsulating Security Payload (ESP) e a comprobación da integridade na cabeceira ESP.
  • ip-udp-esp: esta opción activa o cifrado ESP. Ademais das comprobacións de integridade da cabeceira ESP e da carga útil, as comprobacións tamén inclúen as cabeceiras IP e UDP externas.
  • ip-udp-esp-no-id: esta opción é semellante a ip-udp-esp, non obstante, o campo de ID da cabeceira IP exterior é ignorado. Configure esta opción na lista de tipos de integridade para que o software Cisco Catalyst SD-WAN ignore o campo ID na cabeceira IP para que o Cisco Catalyst SD-WAN poida funcionar en conxunto con dispositivos que non sexan de Cisco.
  • none: esta opción desactiva a verificación de integridade nos paquetes IPSec. Non recomendamos usar esta opción.

De forma predeterminada, as conexións do túnel IPsec usan unha versión mellorada do protocolo Encapsulating Security Payload (ESP) para a autenticación. Para modificar os tipos de interidade negociados ou para desactivar a comprobación de integridade, use o seguinte comando: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | especialmente}

Tipos de autenticación antes de Cisco SD-WAN versión 20.6.1
De forma predeterminada, as conexións do túnel IPsec usan unha versión mellorada do protocolo Encapsulating Security Payload (ESP) para a autenticación. Para modificar os tipos de autenticación negociados ou para desactivar a autenticación, use o seguinte comando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Por defecto, IPsec as conexións de túneles usan AES-GCM-256, que proporciona tanto cifrado como autenticación. Configure cada tipo de autenticación cun comando de tipo de autenticación ipsec de seguridade separado. As opcións de comando mapean cos seguintes tipos de autenticación, que se enumeran en orde de máis forte a menos forte:

Nota
O sha1 nas opcións de configuración úsase por motivos históricos. As opcións de autenticación indican canto se realiza a comprobación da integridade do paquete. Non especifican o algoritmo que verifica a integridade. Excepto para o cifrado do tráfico multicast, os algoritmos de autenticación compatibles con Cisco Catalyst SD WAN non usan SHA1. Non obstante, en Cisco SD-WAN Release 20.1.x e posteriores, tanto unicast como multicast non usan SHA1.

  • ah-sha1-hmac permite o cifrado e o encapsulamento mediante ESP. Non obstante, ademais das comprobacións de integridade da cabeceira ESP e da carga útil, as comprobacións tamén inclúen as cabeceiras IP e UDP externas. Polo tanto, esta opción admite unha comprobación de integridade do paquete similar ao protocolo Authentication Header (AH). Toda a integridade e o cifrado realízanse mediante AES-256-GCM.
  • ah-no-id habilita un modo similar a ah-sha1-hmac, non obstante, o campo ID da cabeceira IP exterior é ignorado. Esta opción acomoda algúns dispositivos SD-WAN que non son de Cisco Catalyst, incluído o Apple AirPort Express NAT, que teñen un erro que fai que se modifique o campo ID na cabeceira IP, un campo non mutable. Configure a opción ah-no-id na lista de tipos de autenticación para que o software Cisco Catalyst SD-WAN AH ignore o campo ID na cabeceira IP para que o software Cisco Catalyst SD-WAN poida funcionar xunto con estes dispositivos.
  • sha1-hmac permite o cifrado ESP e a comprobación da integridade.
  • ningún se asigna a ningunha autenticación. Esta opción só debe usarse se é necesaria para a depuración temporal. Tamén pode escoller esta opción en situacións nas que a autenticación e integridade do plano de datos non son unha preocupación. Cisco non recomenda usar esta opción para redes de produción.

Para obter información sobre os campos de paquetes de datos afectados por estes tipos de autenticación, consulte Integridade do plano de datos. Os dispositivos Cisco IOS XE Catalyst SD-WAN e os dispositivos Cisco vEdge anuncian os seus tipos de autenticación configurados nas súas propiedades TLOC. Os dous enrutadores a cada lado dunha conexión de túnel IPsec negocian a autenticación para usar na conexión entre eles, utilizando o tipo de autenticación máis forte que está configurado en ambos os enrutadores. Por example, se un enrutador anuncia os tipos ah-sha1-hmac e ah-no-id, e un segundo enrutador anuncia o tipo ah-no-id, os dous enrutadores negocian usar ah-no-id na conexión do túnel IPsec entre eles. Se non se configuran tipos de autenticación comúns nos dous pares, non se establece ningún túnel IPsec entre eles. O algoritmo de cifrado nas conexións do túnel IPsec depende do tipo de tráfico:

  • Para o tráfico unicast, o algoritmo de cifrado é AES-256-GCM.
  • Para tráfico multicast:
  • Cisco SD-WAN versión 20.1.x e posterior: o algoritmo de cifrado é AES-256-GCM
  • Versións anteriores: o algoritmo de cifrado é AES-256-CBC con SHA1-HMAC.

Cando se cambia o tipo de autenticación IPsec, cámbiase a clave AES para a ruta de datos.

Cambia o temporizador de cambio de teclas

Antes de que os dispositivos Cisco IOS XE Catalyst SD-WAN e Cisco vEdge poidan intercambiar tráfico de datos, configuran unha canle de comunicacións autenticada segura entre eles. Os enrutadores usan túneles IPSec entre eles como canle e o cifrado AES-256 para realizar o cifrado. Cada enrutador xera periodicamente unha nova clave AES para a súa ruta de datos. Por defecto, unha clave é válida durante 86400 segundos (24 horas) e o intervalo do temporizador é de 10 segundos a 1209600 segundos (14 días). Para cambiar o valor do temporizador de reclave: Device(config)# security ipsec rekey seconds A configuración ten este aspecto:

  • seguridade ipsec rekey segundos!

Se queres xerar novas claves IPsec inmediatamente, podes facelo sen modificar a configuración do router. Para iso, emita o comando request security ipsecrekey no enrutador comprometido. Por example, a seguinte saída mostra que o SA local ten un índice de parámetros de seguridade (SPI) de 256:CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-4

Asóciase unha clave única a cada SPI. Se esta chave está comprometida, use o comando request security ipsec-rekey para xerar unha nova clave inmediatamente. Este comando incrementa o SPI. No noso example, o SPI cambia a 257 e agora úsase a chave asociada a el:

  • Número de dispositivo solicita seguridade ipsecrekey
  • Dispositivo # mostrar ipsec local-sa

CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-5

Despois de xerar a nova clave, o enrutador envíaa inmediatamente aos controladores Cisco SD-WAN mediante DTLS ou TLS. Os controladores Cisco SD-WAN envían a chave aos routers pares. Os enrutadores comezan a usalo en canto o reciben. Teña en conta que a chave asociada ao antigo SPI (256) seguirá utilizándose durante un tempo breve ata que se agote. Para deixar de usar a chave antiga inmediatamente, emita o comando request security ipsec-rekey dúas veces, en rápida sucesión. Esta secuencia de comandos elimina tanto SPI 256 como 257 e establece o SPI en 258. A continuación, o enrutador usa a clave asociada de SPI 258. Teña en conta, non obstante, que algúns paquetes eliminaranse durante un breve período de tempo ata que todos os enrutadores remotos aprendan. a nova chave.CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-6

Cambia o tamaño da xanela Anti-Replay

A autenticación IPsec proporciona protección contra a reprodución asignando un número de secuencia único a cada paquete nun fluxo de datos. Esta numeración secuencial protexe contra un atacante que duplique paquetes de datos. Coa protección anti-reprodución, o remitente asigna números de secuencia monótonamente crecentes e o destino comproba estes números de secuencia para detectar duplicados. Debido a que os paquetes moitas veces non chegan en orde, o destino mantén unha xanela deslizante de números de secuencia que aceptará.CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-7

Os paquetes con números de secuencia que se atopan á esquerda do intervalo de xanela deslizante considéranse antigos ou duplicados e o destino bótaos. O destino rastrexa o número de secuencia máis alto que recibiu e axusta a xanela deslizante cando recibe un paquete cun valor superior.CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-8

Por defecto, a xanela deslizante está configurada en 512 paquetes. Pódese establecer en calquera valor entre 64 e 4096 que sexa unha potencia de 2 (é dicir, 64, 128, 256, 512, 1024, 2048 ou 4096). Para modificar o tamaño da xanela antireprodución, use o comando replay-window, especificando o tamaño da xanela:

Número de xanela de reprodución de ipsec de seguranza do dispositivo (config) #

A configuración ten este aspecto:
número de fiestra de reprodución ipsec de seguridade! !

Para axudar coa QoS, mantéñense ventás de reprodución separadas para cada unha das oito primeiras canles de tráfico. O tamaño da xanela de reprodución configurada divídese por oito para cada canle. Se a QoS está configurada nun enrutador, ese enrutador pode experimentar un número de caídas de paquetes maior do esperado como resultado do mecanismo anti-replay IPsec, e moitos dos paquetes que se soltan son lexítimos. Isto ocorre porque a QoS reordena os paquetes, dándolles un tratamento preferencial aos paquetes de maior prioridade e atrasando os paquetes de menor prioridade. Para minimizar ou previr esta situación, podes facer o seguinte:

  • Aumenta o tamaño da xanela anti-reprodución.
  • Enxeñece o tráfico nas oito primeiras canles de tráfico para garantir que non se reordene o tráfico dentro dunha canle.

Configurar túneles IPsec habilitados para IKE
Para transferir de forma segura o tráfico da rede superposta a unha rede de servizo, pode configurar túneles IPsec que executen o protocolo Internet Key Exchange (IKE). Os túneles IPsec habilitados para IKE proporcionan autenticación e cifrado para garantir o transporte seguro de paquetes. Crea un túnel IPsec habilitado para IKE configurando unha interface IPsec. As interfaces IPsec son interfaces lóxicas e configúraas como calquera outra interface física. Configura os parámetros do protocolo IKE na interface IPsec e pode configurar outras propiedades da interface.

Nota Cisco recomenda usar a versión 2 de IKE. A partir da versión 19.2.x de Cisco SD-WAN, a clave precompartida debe ter polo menos 16 bytes de lonxitude. O establecemento do túnel IPsec falla se o tamaño da clave é inferior a 16 caracteres cando o enrutador se actualiza á versión 19.2.

Nota
O software Cisco Catalyst SD-WAN admite a versión 2 de IKE tal e como se define no RFC 7296. Un uso dos túneles IPsec é permitir que as instancias de VM do router vEdge Cloud que se executan en Amazon AWS se conecten á nube privada virtual (VPC) de Amazon. Debes configurar a versión 1 de IKE nestes enrutadores. Os dispositivos Cisco vEdge só admiten VPN baseadas en rutas nunha configuración IPSec porque estes dispositivos non poden definir selectores de tráfico no dominio de cifrado.

Configurar un túnel IPsec
Para configurar unha interface de túnel IPsec para o tráfico de transporte seguro desde unha rede de servizos, cree unha interface IPsec lóxica:CISCO-SD-WAN-Configurar-Parámetros-Seguridade-FIG-9

Podes crear o túnel IPsec na VPN de transporte (VPN 0) e en calquera VPN de servizo (VPN 1 a 65530, excepto a 512). A interface IPsec ten un nome no formato ipsecnumber, onde o número pode ser de 1 a 255. Cada interface IPsec debe ter un enderezo IPv4. Este enderezo debe ser un prefixo /30. Todo o tráfico da VPN que está dentro deste prefixo IPv4 diríxese a unha interface física en VPN 0 para enviarse de forma segura a través dun túnel IPsec. Para configurar a orixe do túnel IPsec no dispositivo local, pode especificar o enderezo IP de a interface física (no comando tunnel-source) ou o nome da interface física (no comando tunnel-source-interface). Asegúrese de que a interface física está configurada en VPN 0. Para configurar o destino do túnel IPsec, especifique o enderezo IP do dispositivo remoto no comando de destino do túnel. A combinación dun enderezo de orixe (ou nome da interface de orixe) e un enderezo de destino define un único túnel IPsec. Só pode existir un túnel IPsec que utilice un enderezo de orixe específico (ou nome de interface) e un par de enderezos de destino.

Configurar unha ruta estática IPsec

Para dirixir o tráfico desde a VPN do servizo a un túnel IPsec na VPN de transporte (VPN 0), configura unha ruta estática específica de IPsec nunha VPN de servizo (unha VPN distinta da VPN 0 ou VPN 512):

  • vEdge (config) # vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/longitude vpn 0 interface
  • número ips [ipsecnumber2]

O ID VPN é o de calquera VPN de servizo (VPN 1 a 65530, excepto 512). prefixo/longitude é o enderezo IP ou prefixo, en notación decimal de catro puntos, e a lonxitude do prefixo da ruta estática específica de IPsec. A interface é a interface do túnel IPsec en VPN 0. Podes configurar unha ou dúas interfaces do túnel IPsec. Se configura dous, o primeiro é o túnel IPsec principal e o segundo é a copia de seguridade. Con dúas interfaces, todos os paquetes envíanse só ao túnel principal. Se ese túnel falla, todos os paquetes envíanse ao túnel secundario. Se o túnel principal volve a subir, todo o tráfico volve ao túnel IPsec principal.

Activar a versión 1 de IKE
Cando crea un túnel IPsec nun enrutador vEdge, a versión 1 de IKE está habilitada de forma predeterminada na interface do túnel. As seguintes propiedades tamén están activadas por defecto para IKEv1:

  • Autenticación e cifrado: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade
  • Número do grupo Diffie-Hellman: 16
  • Intervalo de tempo de cambio de clave: 4 horas
  • Modo de establecemento SA—Principal

De forma predeterminada, IKEv1 usa o modo principal IKE para establecer IKE SA. Neste modo, intercambian seis paquetes de negociación para establecer a SA. Para intercambiar só tres paquetes de negociación, activa o modo agresivo:

Nota
O modo agresivo de IKE con chaves previamente compartidas debe evitarse sempre que sexa posible. En caso contrario, debe escollerse unha chave precompartida forte.

  • vEdge (config) # vpn vpn-id interface número ipsec ike
  • vEdge(config-ike)# modo agresivo

Por defecto, IKEv1 usa o grupo Diffie-Hellman 16 no intercambio de claves IKE. Este grupo usa o grupo exponencial máis modular (MODP) de 4096 bits durante o intercambio de claves IKE. Podes cambiar o número de grupo a 2 (para MODP de 1024 bits), 14 (MODP de 2048 bits) ou 15 (MODP de 3072 bits):

  • vEdge (config) # vpn vpn-id interface número ipsec ike
  • vEdge(config-ike)# número de grupo

De forma predeterminada, o intercambio de claves IKE usa o cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade. Podes cambiar a autenticación:

  • vEdge (config) # vpn vpn-id interface número ipsec ike
  • vEdge(config-ike)# suite de cifrado

O conxunto de autenticación pode ser un dos seguintes:

  • aes128-cbc-sha1: cifrado CBC estándar de cifrado avanzado AES-128 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade
  • aes128-cbc-sha2: cifrado CBC estándar de cifrado avanzado AES-128 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA256 para a integridade
  • aes256-cbc-sha1: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade; este é o predeterminado.
  • aes256-cbc-sha2: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA256 para a integridade

De forma predeterminada, as claves IKE actualízanse cada 1 hora (3600 segundos). Pode cambiar o intervalo de cambio de clave a un valor de 30 segundos a 14 días (1209600 segundos). Recoméndase que o intervalo de cambio de clave sexa de polo menos 1 hora.

  • vEdge (config) # vpn vpn-id interface número ipsec como
  • vEdge(config-ike)# segundos de retecla

Para forzar a xeración de novas claves para unha sesión IKE, emita o comando request ipsec ike-rekey.

  • vEdge (config) # vpn vpn-id interfaceipsec número ike

Para IKE, tamén pode configurar a autenticación de clave precompartida (PSK):

  • vEdge (config) # vpn vpn-id interface número ipsec ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password contrasinal é o contrasinal para usar coa chave precompartida. Pode ser unha cadea ASCII ou hexadecimal de 1 a 127 caracteres.

Se o par IKE remoto require un ID local ou remoto, pode configurar este identificador:

  • vEdge (config) # vpn vpn-id interface número ipsec ike tipo de autenticación
  • vEdge(config-authentication-type)# id local-id
  • vEdge(config-authentication-type)# ID de ID remoto

O identificador pode ser un enderezo IP ou calquera cadea de texto de 1 a 63 caracteres. Por defecto, o ID local é o enderezo IP de orixe do túnel e o ID remoto é o enderezo IP de destino do túnel.

Activar a versión 2 de IKE
Cando configura un túnel IPsec para usar a versión 2 de IKE, as seguintes propiedades tamén están habilitadas de forma predeterminada para IKEv2:

  • Autenticación e cifrado: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade
  • Número do grupo Diffie-Hellman: 16
  • Intervalo de tempo de cambio de clave: 4 horas

Por defecto, IKEv2 usa o grupo Diffie-Hellman 16 no intercambio de claves IKE. Este grupo usa o grupo exponencial máis modular (MODP) de 4096 bits durante o intercambio de claves IKE. Podes cambiar o número de grupo a 2 (para MODP de 1024 bits), 14 (MODP de 2048 bits) ou 15 (MODP de 3072 bits):

  • vEdge (config) # vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# número de grupo

De forma predeterminada, o intercambio de claves IKE usa o cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade. Podes cambiar a autenticación:

  • vEdge (config) # vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# suite de cifrado

O conxunto de autenticación pode ser un dos seguintes:

  • aes128-cbc-sha1: cifrado CBC estándar de cifrado avanzado AES-128 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade
  • aes128-cbc-sha2: cifrado CBC estándar de cifrado avanzado AES-128 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA256 para a integridade
  • aes256-cbc-sha1: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA1 para a integridade; este é o predeterminado.
  • aes256-cbc-sha2: cifrado CBC estándar de cifrado avanzado AES-256 co algoritmo de código de autenticación de mensaxes hash con clave HMAC-SHA256 para a integridade

De forma predeterminada, as claves IKE actualízanse cada 4 horas (14,400 segundos). Pode cambiar o intervalo de cambio de clave a un valor de 30 segundos a 14 días (1209600 segundos):

  • vEdge (config) # vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# segundos de retecla

Para forzar a xeración de novas claves para unha sesión IKE, emita o comando request ipsec ike-rekey. Para IKE, tamén pode configurar a autenticación de clave precompartida (PSK):

  • vEdge (config) # vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password contrasinal é o contrasinal para usar coa chave precompartida. Pode ser unha cadea ASCII ou hexadecimal, ou pode ser unha clave cifrada AES. Se o par IKE remoto require un ID local ou remoto, pode configurar este identificador:
  • vEdge (config) # vpn vpn-id interface ipsecnumber ike tipo de autenticación
  • vEdge(config-authentication-type)# id local-id
  • vEdge(config-authentication-type)# ID de ID remoto

O identificador pode ser un enderezo IP ou calquera cadea de texto de 1 a 64 caracteres. Por defecto, o ID local é o enderezo IP de orixe do túnel e o ID remoto é o enderezo IP de destino do túnel.

Configure os parámetros do túnel IPsec

Táboa 4: Historial de funcións

Característica Nome Información de lanzamento Descrición
Criptografía adicional Cisco SD-WAN versión 20.1.1 Esta función engade soporte para
Soporte algorítmico para IPSec   HMAC_SHA256, HMAC_SHA384 e
Túneles   Algoritmos HMAC_SHA512 para
    seguridade mellorada.

Por defecto, os seguintes parámetros úsanse no túnel IPsec que transporta tráfico IKE:

  • Autenticación e cifrado: algoritmo AES-256 en GCM (modo Galois/contador)
  • Intervalo de cambio de clave: 4 horas
  • Ventá de reprodución: 32 paquetes

Podes cambiar o cifrado do túnel IPsec ao cifrado AES-256 en CBC (modo de encadeamento de bloques de cifrado, con HMAC usando a autenticación de mensaxes hash con clave SHA-1 ou SHA-2 ou a nulo con HMAC usando SHA-1 ou SHA-2). Autenticación de mensaxes hash con clave SHA-XNUMX, para non cifrar o túnel IPsec usado para o tráfico de intercambio de claves IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-null-sha256-null | | aes256-null-sha256 | aes384-null-sha256)

De forma predeterminada, as claves IKE actualízanse cada 4 horas (14,400 segundos). Pode cambiar o intervalo de cambio de clave a un valor de 30 segundos a 14 días (1209600 segundos):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# segundos de retecla

Para forzar a xeración de novas claves para un túnel IPsec, emita o comando request ipsec ipsec-rekey. De forma predeterminada, o segredo directo perfecto (PFS) está habilitado nos túneles IPsec, para garantir que as sesións pasadas non se vexan afectadas se se comprometen as claves futuras. PFS forza un novo intercambio de chaves Diffie-Hellman, por defecto usando o grupo de módulos Diffie-Hellman principal de 4096 bits. Podes cambiar a configuración de PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge (config-ipsec) # configuración de pfs de perfecto-forward-secrecy

pfs-setting pode ser un dos seguintes:

  • grupo-2: use o grupo de módulos primos Diffie-Hellman de 1024 bits.
  • grupo-14: use o grupo de módulos primos Diffie-Hellman de 2048 bits.
  • grupo-15: use o grupo de módulos primos Diffie-Hellman de 3072 bits.
  • group-16: use o grupo de módulos primos Diffie-Hellman de 4096 bits. Este é o predeterminado.
  • none: desactivar PFS.

Por defecto, a xanela de reprodución IPsec no túnel IPsec é de 512 bytes. Podes establecer o tamaño da xanela de reprodución en 64, 128, 256, 512, 1024, 2048 ou 4096 paquetes:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# número de xanela de reprodución

Modificar a detección de pares mortos de IKE

IKE usa un mecanismo de detección de pares mortos para determinar se a conexión a un par de IKE é funcional e accesible. Para implementar este mecanismo, IKE envía un paquete Hello ao seu compañeiro, e este envía un acuse de recibo como resposta. De forma predeterminada, IKE envía paquetes Hello cada 10 segundos e, despois de tres paquetes sen recoñecer, IKE declara que o veciño está morto e derriba o túnel para o igual. Despois, IKE envía periodicamente un paquete Hello ao peer e restablece o túnel cando o peer volve estar en liña. Pode cambiar o intervalo de detección de vivacidade a un valor de 0 a 65535 e pode cambiar o número de reintentos a un valor de 0 a 255.

Nota

Para as VPN de transporte, o intervalo de detección de vivacidade convértese en segundos mediante a seguinte fórmula: Intervalo para o número de intento de retransmisión N = intervalo * 1.8N-1Por exemploample, se o intervalo se establece en 10 e reintentos en 5, o intervalo de detección aumenta do seguinte xeito:

  • Intento 1: 10 * 1.81-1= 10 segundos
  • Intento 2: 10 * 1.82-1= 18 segundos
  • Intento 3: 10 * 1.83-1= 32.4 segundos
  • Intento 4: 10 * 1.84-1= 58.32 segundos
  • Intento 5: 10 * 1.85-1= 104.976 segundos

vEdge(config-interface-ipsecnumber)# número de reintentos de intervalo de detección de pares mortos

Configurar outras propiedades da interface

Para interfaces de túnel IPsec, só pode configurar as seguintes propiedades adicionais da interface:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-axustar bytes

Desactive os algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager

Táboa 5: Táboa do historial de funcións

Característica Nome Información de lanzamento Característica Descrición
Desactive os algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager Cisco vManage versión 20.9.1 Esta función permítelle desactivar algoritmos SSH máis débiles en Cisco SD-WAN Manager que poden non cumprir determinados estándares de seguridade de datos.

Información sobre a desactivación de algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager
Cisco SD-WAN Manager ofrece un cliente SSH para a comunicación con compoñentes da rede, incluídos controladores e dispositivos de borde. O cliente SSH proporciona unha conexión cifrada para a transferencia de datos segura, baseada nunha variedade de algoritmos de cifrado. Moitas organizacións requiren un cifrado máis forte que o proporcionado por SHA-1, AES-128 e AES-192. Desde Cisco vManage Release 20.9.1, pode desactivar os seguintes algoritmos de cifrado máis débiles para que un cliente SSH non use estes algoritmos:

  • SHA-1
  • AES-128
  • AES-192

Antes de desactivar estes algoritmos de cifrado, asegúrese de que os dispositivos Cisco vEdge, se os hai, na rede, estean utilizando unha versión de software posterior á versión 18.4.6 de Cisco SD-WAN.

Beneficios de desactivar algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager
A desactivación dos algoritmos de cifrado SSH máis débiles mellora a seguridade da comunicación SSH e garante que as organizacións que utilizan Cisco Catalyst SD-WAN cumpran as estritas normas de seguridade.

Desactive os algoritmos de cifrado SSH débiles en Cisco SD-WAN Manager usando CLI

  1. No menú Cisco SD-WAN Manager, escolla Ferramentas > Terminal SSH.
  2. Escolla o dispositivo Cisco SD-WAN Manager no que desexa desactivar os algoritmos SSH máis débiles.
  3. Introduza o nome de usuario e o contrasinal para iniciar sesión no dispositivo.
  4. Ingrese ao modo de servidor SSH.
    • vmanage(config)# sistema
    • vmanage(config-system)# ssh-server
  5. Realice unha das seguintes accións para desactivar un algoritmo de cifrado SSH:
    • Desactivar SHA-1:
  6. xestionar (config-ssh-server) # sen kex-algo sha1
  7. xestionar (config-ssh-server) # commit
    Móstrase a seguinte mensaxe de aviso: Xeráronse os seguintes avisos: 'system ssh-server kex-algo sha1': AVISO: Asegúrese de que todos os seus bordos executen a versión de código > 18.4.6 que negocia mellor que SHA1 con vManage. En caso contrario, eses bordos poden quedar sen conexión. Proceder? [si, non] si
    • Asegúrese de que todos os dispositivos Cisco vEdge da rede estean executando Cisco SD-WAN versión 18.4.6 ou posterior e introduza si.
    • Desactivar AES-128 e AES-192:
    • vmanage(config-ssh-server)# sen cifrado aes-128-192
    • vmanage(config-ssh-server)# commit
      Móstrase a seguinte mensaxe de aviso:
      Xeráronse os seguintes avisos:
      'system ssh-server cipher aes-128-192': AVISO: Asegúrese de que todos os seus bordos executen a versión de código > 18.4.6 que negocia mellor que AES-128-192 con vManage. En caso contrario, eses bordos poden quedar sen conexión. Proceder? [si, non] si
    • Asegúrese de que todos os dispositivos Cisco vEdge da rede estean executando Cisco SD-WAN versión 18.4.6 ou posterior e introduza si.

Verifique que os algoritmos de cifrado SSH débiles estean desactivados en Cisco SD-WAN Manager usando a CLI

  1. No menú Cisco SD-WAN Manager, escolla Ferramentas > Terminal SSH.
  2. Seleccione o dispositivo Cisco SD-WAN Manager que desexa verificar.
  3. Introduza o nome de usuario e o contrasinal para iniciar sesión no dispositivo.
  4. Executa o seguinte comando: show running-config system ssh-server
  5. Confirma que a saída mostra un ou máis dos comandos que desactivan os algoritmos de cifrado máis débiles:
    • sen cifrar aes-128-192
    • non kex-algo sha1

Documentos/Recursos

CISCO SD-WAN Configurar parámetros de seguranza [pdfGuía do usuario
SD-WAN Configurar parámetros de seguranza, SD-WAN, Configurar parámetros de seguranza, Parámetros de seguranza

Referencias

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *