Sadržaj sakriti
1 CISCO SD-WAN Konfigurirajte sigurnosne parametre
2 Konfigurirajte sigurnosne parametre
3 Konfigurirajte sigurnosne parametre kontrolne ravnine
4 Konfigurirajte DTLS u Cisco SD-WAN Manageru
5 Konfigurirajte sigurnosne parametre podatkovne ravnine
6 Konfigurirajte dopuštene vrste provjere autentičnosti
7 Promijenite Rekeying Timer
8 Promijenite veličinu prozora protiv ponavljanja
9 Konfigurirajte IPsec statičku rutu
10 Konfigurirajte parametre IPsec tunela
11 Izmijenite IKE Dead-Peer Detection
12 Konfigurirajte druga svojstva sučelja
13 Onemogućite slabe algoritme šifriranja SSH na Cisco SD-WAN Manageru
14 Dokumenti / Resursi
14.1 Reference

CISCO-LOGO

CISCO SD-WAN Konfigurirajte sigurnosne parametre

CISCO-SD-WAN-Configure-Security-Parameters-PROIZVOD

Konfigurirajte sigurnosne parametre

Bilješka

Kako bi se postiglo pojednostavljenje i dosljednost, Cisco SD-WAN rješenje je rebrandirano u Cisco Catalyst SD-WAN. Osim toga, od Cisco IOS XE SD-WAN izdanja 17.12.1a i Cisco Catalyst SD-WAN izdanja 20.12.1, primjenjive su sljedeće promjene komponenti: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator i Cisco vSmart to Cisco Catalyst SD-WAN Controller. Pogledajte najnovije napomene o izdanju za sveobuhvatan popis svih promjena naziva robne marke komponenti. Dok prelazimo na nova imena, neke nedosljednosti mogu biti prisutne u skupu dokumentacije zbog postupnog pristupa ažuriranju korisničkog sučelja softverskog proizvoda.

Ovaj odjeljak opisuje kako promijeniti sigurnosne parametre za kontrolnu ravninu i podatkovnu ravninu u mreži preklapanja Cisco Catalyst SD-WAN.

  • Konfigurirajte sigurnosne parametre kontrolne ravnine, uključeno
  • Konfigurirajte sigurnosne parametre podatkovne ravnine, uključeno
  • Konfigurirajte IPsec tunele omogućene za IKE, uključeno
  • Onemogućite slabe algoritme šifriranja SSH na Cisco SD-WAN upravitelju, uključeno

Konfigurirajte sigurnosne parametre kontrolne ravnine

Prema zadanim postavkama, kontrolna razina koristi DTLS kao protokol koji pruža privatnost na svim svojim tunelima. DTLS radi preko UDP-a. Sigurnosni protokol kontrolne razine možete promijeniti u TLS, koji radi preko TCP-a. Primarni razlog za korištenje TLS-a je taj što, ako Cisco SD-WAN kontroler smatrate poslužiteljem, vatrozidi štite TCP poslužitelje bolje od UDP poslužitelja. Konfigurirate protokol tunela kontrolne ravnine na Cisco SD-WAN kontroleru: vSmart(config)# sigurnosni kontrolni protokol tls Uz ovu promjenu, svi tuneli kontrolne ravnine između Cisco SD-WAN kontrolera i usmjerivača i između Cisco SD-WAN kontrolera i Cisco SD-WAN Manager koriste TLS. Tuneli kontrolne ravnine do Cisco Catalyst SD-WAN Validatora uvijek koriste DTLS jer tim vezama mora upravljati UDP. U domeni s više Cisco SD-WAN kontrolera, kada konfigurirate TLS na jednom od Cisco SD-WAN kontrolera, svi tuneli kontrolne ravnine od tog kontrolera do drugih kontrolera koriste TLS. Drugim riječima, TLS uvijek ima prednost nad DTLS-om. Međutim, iz perspektive ostalih Cisco SD-WAN kontrolera, ako na njima niste konfigurirali TLS, oni koriste TLS na tunelu kontrolne ravnine samo za taj jedan Cisco SD-WAN kontroler, a koriste DTLS tunele za sve ostale Cisco SD-WAN kontrolere i na sve njihove povezane usmjerivače. Kako bi svi Cisco SD-WAN kontroleri koristili TLS, konfigurirajte ga na svima njima. Prema zadanim postavkama, Cisco SD-WAN kontroler osluškuje port 23456 za TLS zahtjeve. Da biste ovo promijenili: vSmart(config)# broj sigurnosne kontrole tls-porta Port može biti broj od 1025 do 65535. Za prikaz sigurnosnih informacija kontrolne razine, koristite naredbu show control connections na Cisco SD-WAN kontroleru. Na primjerample: vSmart-2# pokaži kontrolne veze

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurirajte DTLS u Cisco SD-WAN Manageru

Ako konfigurirate Cisco SD-WAN Manager za korištenje TLS-a kao sigurnosnog protokola kontrolne razine, morate omogućiti prosljeđivanje porta na svom NAT-u. Ako koristite DTLS kao sigurnosni protokol kontrolne ravnine, ne morate ništa učiniti. Broj proslijeđenih portova ovisi o broju vdaemon procesa koji se izvode na Cisco SD-WAN Manageru. Za prikaz informacija o ovim procesima te o broju portova koji se prosljeđuju, upotrijebite naredbu show control summary pokazuje da su pokrenuta četiri demonska procesa:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Da biste vidjeli priključke za slušanje, koristite naredbu show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ovaj izlaz pokazuje da je TCP port koji sluša 23456. Ako koristite Cisco SD-WAN Manager iza NAT-a, trebali biste otvoriti sljedeće portove na NAT uređaju:

  • 23456 (baza – port instance 0)
  • 23456 + 100 (baza + 100)
  • 23456 + 200 (baza + 200)
  • 23456 + 300 (baza + 300)

Imajte na umu da je broj instanci isti kao i broj jezgri koje ste dodijelili za Cisco SD-WAN Manager, do najviše 8.

Konfigurirajte sigurnosne parametre pomoću predloška sigurnosne značajke

Koristite predložak sigurnosne značajke za sve Cisco vEdge uređaje. Na rubnim usmjerivačima i Cisco SD-WAN Validatoru koristite ovaj predložak za konfiguraciju IPsec-a za sigurnost podatkovne razine. Na Cisco SD-WAN upravitelju i Cisco SD-WAN kontroleru koristite predložak sigurnosne značajke za konfiguraciju DTLS-a ili TLS-a za sigurnost kontrolne razine.

Konfigurirajte sigurnosne parametre

  1. Na izborniku Cisco SD-WAN upravitelja odaberite Konfiguracija > Predlošci.
  2. Pritisnite Predlošci značajki, a zatim kliknite Dodaj predložak.
    Bilješka U Cisco vManage izdanju 20.7.1 i ranijim izdanjima, predlošci značajki nazivaju se značajkama.
  3. Na popisu Uređaji u lijevom oknu odaberite uređaj. Predlošci primjenjivi na odabrani uređaj pojavljuju se u desnom oknu.
  4. Pritisnite Sigurnost da otvorite predložak.
  5. U polje Naziv predloška unesite naziv predloška. Naziv može imati do 128 znakova i može sadržavati samo alfanumeričke znakove.
  6. U polje Opis predloška unesite opis predloška. Opis može imati do 2048 znakova i može sadržavati samo alfanumeričke znakove.

Kada prvi put otvorite predložak značajke, za svaki parametar koji ima zadanu vrijednost, opseg je postavljen na Zadano (označeno kvačicom), a prikazana je zadana postavka ili vrijednost. Da biste promijenili zadanu vrijednost ili unijeli vrijednost, kliknite padajući izbornik opsega lijevo od polja parametra i odaberite nešto od sljedećeg:

Tablica 1:

Parametar Opseg Opis opsega
Specifično za uređaj (označeno ikonom hosta) Koristite vrijednost specifičnu za uređaj za parametar. Za parametre specifične za uređaj ne možete unijeti vrijednost u predložak značajke. Vrijednost upisujete kada priložite Viptela uređaj na predložak uređaja.

Kada kliknete Specifično za uređaj, otvara se okvir Unesite ključ. Ovaj okvir prikazuje ključ, koji je jedinstveni niz koji identificira parametar u CSV-u file koje stvarate. Ovaj file je Excel proračunska tablica koja sadrži jedan stupac za svaki ključ. Redak zaglavlja sadrži nazive ključeva (jedan ključ po stupcu), a svaki redak nakon toga odgovara uređaju i definira vrijednosti ključeva za taj uređaj. Učitavate CSV file kada pričvrstite Viptela uređaj na predložak uređaja. Za više informacija pogledajte Stvaranje proračunske tablice varijabli predloška.

Za promjenu zadane tipke, upišite novi niz i pomaknite kursor izvan okvira Enter Key.

ExampParametri specifični za uređaj su IP adresa sustava, naziv hosta, GPS lokacija i ID stranice.
Parametar Opseg Opis opsega
Globalno (označeno ikonom globusa) Unesite vrijednost za parametar i primijenite tu vrijednost na sve uređaje.

ExampParametri koje možete globalno primijeniti na grupu uređaja su DNS poslužitelj, syslog poslužitelj i MTU sučelja.

Konfigurirajte sigurnost kontrolne razine

Bilješka
Odjeljak Konfiguracija sigurnosti kontrolne ravnine odnosi se samo na Cisco SD-WAN upravitelj i Cisco SD-WAN kontroler. Za konfiguraciju protokola veze kontrolne ravnine na instanci Cisco SD-WAN upravitelja ili Cisco SD-WAN kontrolera, odaberite područje osnovne konfiguracije i konfigurirajte sljedeće parametre:

Tablica 2:

Parametar Ime Opis
Protokol Odaberite protokol za korištenje na povezivanju kontrolne ravnine s Cisco SD-WAN kontrolerom:

• DTLS (datagram Transport Layer Security). Ovo je zadana postavka.

• TLS (Transport Layer Security)
Kontrolirajte TLS priključak Ako ste odabrali TLS, konfigurirajte broj porta za korištenje:Raspon: 1025 do 65535Zadano: 23456

Pritisnite Spremi

Konfigurirajte sigurnost podatkovne ravnine
Da biste konfigurirali sigurnost podatkovne ravnine na Cisco SD-WAN Validatoru ili Cisco vEdge usmjerivaču, odaberite kartice Osnovna konfiguracija i Vrsta provjere autentičnosti i konfigurirajte sljedeće parametre:

Tablica 3:

Parametar Ime Opis
Vrijeme ponovnog ključa Odredite koliko često Cisco vEdge usmjerivač mijenja AES ključ koji se koristi na njegovoj sigurnoj DTLS vezi s Cisco SD-WAN kontrolerom. Ako je OMP graciozno ponovno pokretanje omogućeno, vrijeme ponovnog upisivanja ključa mora biti najmanje dvostruko veće od vrijednosti OMP graceful restart timera.Raspon: 10 do 1209600 sekundi (14 dana)Zadano: 86400 sekundi (24 sata)
Prozor za ponovnu reprodukciju Odredite veličinu kliznog prozora za ponavljanje.

Vrijednosti: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketaZadano: 512 paketa
IPsec

pairwise-keying

 Ovo je prema zadanim postavkama isključeno. Klik On da ga uključite.
Parametar Ime Opis
Vrsta provjere autentičnosti Odaberite vrste provjere autentičnosti iz Autentifikacija Popisi kliknite strelicu koja pokazuje udesno da premjestite vrste provjere autentičnosti na Odabrani popis stupac.

Vrste provjere autentičnosti podržane od Cisco SD-WAN izdanja 20.6.1:

•  osobito: Omogućuje šifriranje Encapsulating Security Payload (ESP) i provjeru integriteta na ESP zaglavlju.

•  ip-udp-esp: Omogućuje ESP enkripciju. Uz provjere integriteta ESP zaglavlja i korisnog sadržaja, provjere također uključuju vanjska IP i UDP zaglavlja.

•  ip-udp-esp-no-id: Zanemaruje ID polje u IP zaglavlju tako da Cisco Catalyst SD-WAN može raditi zajedno s uređajima koji nisu Cisco.

•  nikakav: Isključuje provjeru integriteta IPSec paketa. Ne preporučujemo korištenje ove opcije.

 

Vrste provjere autentičnosti podržane u Cisco SD-WAN izdanju 20.5.1 i ranijim verzijama:

•  ah-ne-id: Omogućite poboljšanu verziju AH-SHA1 HMAC i ESP HMAC-SHA1 koja zanemaruje ID polje u vanjskom IP zaglavlju paketa.

•  ah-sha1-hmac: Omogućite AH-SHA1 HMAC i ESP HMAC-SHA1.

•  nikakav: Odaberite bez provjere autentičnosti.

•  sha1-hmac: Omogućite ESP HMAC-SHA1.

 

Bilješka              Za rubni uređaj koji radi na Cisco SD-WAN izdanju 20.5.1 ili starijem, možda ste konfigurirali vrste provjere autentičnosti pomoću Sigurnost šablona. Kada nadogradite uređaj na Cisco SD-WAN izdanje 20.6.1 ili novije, ažurirajte odabrane vrste autentifikacije u Sigurnost predlošku na vrste provjere autentičnosti podržane od Cisco SD-WAN izdanja 20.6.1. Da biste ažurirali vrste provjere autentičnosti, učinite sljedeće:

1.      Na izborniku Cisco SD-WAN Manager odaberite Konfiguracija >

Predlošci.

2.      Klik Predlošci značajki.

3.      Pronađite Sigurnost predložak za ažuriranje i kliknite ... i kliknite Uredi.

4.      Klik Ažurirati. Ne mijenjajte konfiguraciju.

Cisco SD-WAN Manager ažurira Sigurnost predložak za prikaz podržanih vrsta provjere autentičnosti.

Pritisnite Spremi.

Konfigurirajte sigurnosne parametre podatkovne ravnine

U podatkovnoj ravni, IPsec je prema zadanim postavkama omogućen na svim usmjerivačima, a veze IPsec tunela prema zadanim postavkama koriste poboljšanu verziju protokola Encapsulating Security Payload (ESP) za autentifikaciju na IPsec tunelima. Na usmjerivačima možete promijeniti vrstu provjere autentičnosti, mjerač vremena ponovnog ključa IPsec-a i veličinu prozora protiv ponavljanja IPsec-a.

Konfigurirajte dopuštene vrste provjere autentičnosti

Vrste autentifikacije u Cisco SD-WAN izdanju 20.6.1 i novijim
Od Cisco SD-WAN izdanja 20.6.1 podržani su sljedeći tipovi integriteta:

  • esp: Ova opcija omogućuje šifriranje Encapsulating Security Payload (ESP) i provjeru integriteta na ESP zaglavlju.
  • ip-udp-esp: Ova opcija omogućuje ESP enkripciju. Uz provjere integriteta ESP zaglavlja i korisnih podataka, provjere također uključuju vanjska IP i UDP zaglavlja.
  • ip-udp-esp-no-id: Ova opcija je slična ip-udp-esp, međutim, ID polje vanjskog IP zaglavlja se zanemaruje. Konfigurirajte ovu opciju na popisu tipova integriteta kako bi softver Cisco Catalyst SD-WAN zanemario ID polje u IP zaglavlju tako da Cisco Catalyst SD-WAN može raditi zajedno s uređajima koji nisu Cisco.
  • ništa: Ova opcija isključuje provjeru integriteta IPSec paketa. Ne preporučujemo korištenje ove opcije.

Prema zadanim postavkama, veze IPsec tunela koriste poboljšanu verziju protokola Encapsulating Security Payload (ESP) za provjeru autentičnosti. Za izmjenu dogovorenih tipova interiteta ili za onemogućavanje provjere integriteta, koristite sljedeću naredbu: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Vrste provjere autentičnosti prije Cisco SD-WAN izdanja 20.6.1
Prema zadanim postavkama, veze IPsec tunela koriste poboljšanu verziju protokola Encapsulating Security Payload (ESP) za provjeru autentičnosti. Za izmjenu dogovorenih vrsta provjere autentičnosti ili za onemogućavanje provjere autentičnosti upotrijebite sljedeću naredbu: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Prema zadanim postavkama, IPsec tunelske veze koriste AES-GCM-256, koji osigurava i enkripciju i autentifikaciju. Konfigurirajte svaku vrstu provjere autentičnosti zasebnom sigurnosnom ipsec naredbom tipa provjere autentičnosti. Opcije naredbe mapiraju se na sljedeće vrste provjere autentičnosti, koje su navedene redoslijedom od najjače do najmanje jake:

Bilješka
Sha1 u konfiguracijskim opcijama koristi se iz povijesnih razloga. Opcije provjere autentičnosti pokazuju koliko je obavljena provjera integriteta paketa. Ne navode algoritam koji provjerava integritet. Osim kodiranja multicast prometa, algoritmi provjere autentičnosti koje podržava Cisco Catalyst SD WAN ne koriste SHA1. Međutim, u Cisco SD-WAN izdanju 20.1.x i novijim, ni jednosmjerno ni multicast ne koriste SHA1.

  • ah-sha1-hmac omogućuje enkripciju i enkapsulaciju pomoću ESP-a. Međutim, uz provjere integriteta ESP zaglavlja i korisnog sadržaja, provjere također uključuju vanjska IP i UDP zaglavlja. Dakle, ova opcija podržava provjeru integriteta paketa sličnu protokolu zaglavlja provjere autentičnosti (AH). Sav integritet i enkripcija izvode se pomoću AES-256-GCM.
  • ah-no-id omogućuje način koji je sličan ah-sha1-hmac, međutim, ID polje vanjskog IP zaglavlja se zanemaruje. Ova opcija podržava neke SD-WAN uređaje koji nisu Cisco Catalyst, uključujući Apple AirPort Express NAT, koji imaju grešku koja uzrokuje izmjenu ID polja u IP zaglavlju, nepromjenjivog polja. Konfigurirajte opciju ah-no-id na popisu vrsta provjere autentičnosti kako bi softver Cisco Catalyst SD-WAN AH zanemario ID polje u IP zaglavlju tako da softver Cisco Catalyst SD-WAN može raditi zajedno s ovim uređajima.
  • sha1-hmac omogućuje ESP šifriranje i provjeru integriteta.
  • nijedan ne preslikava u nikakvu provjeru autentičnosti. Ovu opciju treba koristiti samo ako je potrebna za privremeno uklanjanje pogrešaka. Također možete odabrati ovu opciju u situacijama u kojima provjera autentičnosti podatkovne ravnine i integritet nisu problem. Cisco ne preporučuje korištenje ove opcije za proizvodne mreže.

Za informacije o tome na koja polja paketa podataka utječu ove vrste provjere autentičnosti, pogledajte Integritet podatkovne razine. Cisco IOS XE Catalyst SD-WAN uređaji i Cisco vEdge uređaji oglašavaju svoje konfigurirane tipove provjere autentičnosti u svojim TLOC svojstvima. Dva usmjerivača s obje strane IPsec tunelske veze dogovaraju autentifikaciju koja će se koristiti na vezi između njih, koristeći najjaču vrstu provjere autentičnosti koja je konfigurirana na oba usmjerivača. Na primjerample, ako jedan usmjerivač oglašava tipove ah-sha1-hmac i ah-no-id, a drugi usmjerivač oglašava tip ah-no-id, dva usmjerivača pregovaraju o korištenju ah-no-id na IPsec tunelskoj vezi između ih. Ako na dva ravnopravna uređaja nisu konfigurirane zajedničke vrste provjere autentičnosti, između njih se ne uspostavlja IPsec tunel. Algoritam šifriranja na IPsec tunelskim vezama ovisi o vrsti prometa:

  • Za unicast promet, algoritam šifriranja je AES-256-GCM.
  • Za multicast promet:
  • Cisco SD-WAN izdanje 20.1.x i kasnije – algoritam šifriranja je AES-256-GCM
  • Prethodna izdanja – algoritam šifriranja je AES-256-CBC sa SHA1-HMAC.

Kada se promijeni vrsta IPsec provjere autentičnosti, mijenja se i AES ključ za put podataka.

Promijenite Rekeying Timer

Prije nego što Cisco IOS XE Catalyst SD-WAN uređaji i Cisco vEdge uređaji mogu razmjenjivati ​​podatkovni promet, postavljaju sigurni autentificirani komunikacijski kanal između sebe. Usmjerivači koriste IPSec tunele između sebe kao kanal i AES-256 šifru za izvođenje enkripcije. Svaki usmjerivač povremeno generira novi AES ključ za svoj put podataka. Prema zadanim postavkama, ključ vrijedi 86400 sekundi (24 sata), a raspon vremena je od 10 sekundi do 1209600 sekundi (14 dana). Za promjenu vrijednosti mjerača vremena ponovnog ključa: Device(config)# security ipsec rekey seconds Konfiguracija izgleda ovako:

  • sigurnosni ipsec rekey sekundi !

Ako želite odmah generirati nove IPsec ključeve, to možete učiniti bez mijenjanja konfiguracije usmjerivača. Da biste to učinili, izdajte naredbu request security ipsecrekey na kompromitiranom usmjerivaču. Na primjerample, sljedeći izlaz pokazuje da lokalni SA ima indeks sigurnosnih parametara (SPI) od 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Jedinstveni ključ povezan je sa svakim SPI. Ako je ovaj ključ ugrožen, upotrijebite naredbu request security ipsec-rekey da biste odmah generirali novi ključ. Ova naredba povećava SPI. U našem bivšemample, SPI se mijenja u 257 i sada se koristi ključ povezan s njim:

  • Device# request security ipsecrekey
  • Device# show ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Nakon što se generira novi ključ, usmjerivač ga odmah šalje Cisco SD-WAN kontrolerima koristeći DTLS ili TLS. Cisco SD-WAN kontroleri šalju ključ ravnopravnim usmjerivačima. Usmjerivači ga počinju koristiti čim ga prime. Imajte na umu da će se ključ povezan sa starim SPI (256) nastaviti koristiti kratko vrijeme dok ne istekne. Da biste odmah prestali koristiti stari ključ, izdajte naredbu request security ipsec-rekey dva puta, u kratkom nizu. Ovaj slijed naredbi uklanja i SPI 256 i 257 i postavlja SPI na 258. Usmjerivač tada koristi pridruženi ključ SPI 258. Međutim, imajte na umu da će neki paketi biti ispušteni na kratko vrijeme dok svi udaljeni usmjerivači ne nauče novi ključ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Promijenite veličinu prozora protiv ponavljanja

IPsec provjera autentičnosti pruža zaštitu od ponavljanja dodjeljivanjem jedinstvenog sekvencijskog broja svakom paketu u toku podataka. Ovo numeriranje niza štiti od napadača koji duplicira pakete podataka. Uz zaštitu od ponavljanja, pošiljatelj dodjeljuje monotono rastuće redne brojeve, a odredište provjerava te redne brojeve kako bi otkrilo duplikate. Budući da paketi često ne stižu redom, odredište održava klizni prozor s rednim brojevima koje će prihvatiti.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paketi s rednim brojevima koji padaju lijevo od raspona kliznog prozora smatraju se starim ili duplikatima, a odredište ih ispušta. Odredište prati najveći redni broj koji je primilo i prilagođava klizni prozor kada primi paket s višom vrijednošću.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Prema zadanim postavkama, klizni prozor postavljen je na 512 paketa. Može se postaviti na bilo koju vrijednost između 64 i 4096 koja je stepen 2 (to jest, 64, 128, 256, 512, 1024, 2048 ili 4096). Za izmjenu veličine prozora protiv ponavljanja, upotrijebite naredbu prozora za ponavljanje, navodeći veličinu prozora:

Device(config)# sigurnosni ipsec broj prozora za reprodukciju

Konfiguracija izgleda ovako:
sigurnosni ipsec broj prozora za ponavljanje ! !

Kako bi se pomoglo s QoS-om, održavaju se zasebni prozori za ponavljanje za svaki od prvih osam kanala prometa. Konfigurirana veličina prozora za ponavljanje podijeljena je s osam za svaki kanal. Ako je QoS konfiguriran na usmjerivaču, taj bi usmjerivač mogao doživjeti veći broj ispuštanja paketa od očekivanog kao rezultat IPsec mehanizma protiv ponavljanja, a mnogi od ispuštenih paketa su legitimni. To se događa jer QoS mijenja redoslijed paketa, dajući paketima višeg prioriteta povlašteni tretman i odgađajući pakete nižeg prioriteta. Kako biste smanjili ili spriječili ovu situaciju, možete učiniti sljedeće:

  • Povećajte veličinu prozora protiv ponavljanja.
  • Projektirajte promet na prvih osam prometnih kanala kako biste osigurali da promet unutar kanala nije preuređen.

Konfigurirajte IPsec tunele omogućene za IKE
Za siguran prijenos prometa s preklopne mreže na uslužnu mrežu, možete konfigurirati IPsec tunele koji pokreću Internet Key Exchange (IKE) protokol. IPsec tuneli s IKE-om omogućuju autentifikaciju i enkripciju kako bi se osigurao siguran prijenos paketa. IPsec tunel omogućen za IKE stvarate konfiguriranjem IPsec sučelja. IPsec sučelja su logička sučelja i konfigurirate ih kao i svako drugo fizičko sučelje. Parametre IKE protokola konfigurirate na IPsec sučelju i možete konfigurirati druga svojstva sučelja.

Bilješka Cisco preporučuje korištenje IKE verzije 2. Od izdanja Cisco SD-WAN 19.2.x nadalje, unaprijed dijeljeni ključ mora biti dug najmanje 16 bajtova. Uspostavljanje IPsec tunela ne uspijeva ako je veličina ključa manja od 16 znakova kada se usmjerivač nadogradi na verziju 19.2.

Bilješka
Softver Cisco Catalyst SD-WAN podržava IKE Version 2 kako je definirano u RFC 7296. Jedna upotreba za IPsec tunele je dopustiti instancama VM usmjerivača vEdge Cloud koje se izvode na Amazon AWS da se povežu na Amazon virtualni privatni oblak (VPC). Morate konfigurirati IKE verziju 1 na ovim usmjerivačima. Cisco vEdge uređaji podržavaju samo VPN-ove temeljene na ruti u IPSec konfiguraciji jer ti uređaji ne mogu definirati birače prometa u domeni šifriranja.

Konfigurirajte IPsec tunel
Da biste konfigurirali sučelje IPsec tunela za siguran transportni promet iz servisne mreže, kreirate logičko IPsec sučelje:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Možete stvoriti IPsec tunel u transportnom VPN-u (VPN 0) i u bilo kojem uslužnom VPN-u (VPN 1 do 65530, osim 512). IPsec sučelje ima naziv u formatu ipsecnumber, gdje broj može biti od 1 do 255. Svako IPsec sučelje mora imati IPv4 adresu. Ova adresa mora biti prefiks /30. Sav promet u VPN-u koji je unutar ovog IPv4 prefiksa usmjeren je na fizičko sučelje u VPN-u 0 da bi se sigurno poslao preko IPsec tunela. Da biste konfigurirali izvor IPsec tunela na lokalnom uređaju, možete navesti ili IP adresu fizičko sučelje (u naredbi tunnel-source) ili naziv fizičkog sučelja (u naredbi tunnel-source-interface). Osigurajte da je fizičko sučelje konfigurirano u VPN 0. Za konfiguriranje odredišta IPsec tunela, navedite IP adresu udaljenog uređaja u naredbi tunnel-destination. Kombinacija izvorne adrese (ili naziva izvornog sučelja) i odredišne ​​adrese definira jedan IPsec tunel. Može postojati samo jedan IPsec tunel koji koristi određenu izvornu adresu (ili naziv sučelja) i par odredišne ​​adrese.

Konfigurirajte IPsec statičku rutu

Za usmjeravanje prometa od servisnog VPN-a do IPsec tunela u transportnom VPN-u (VPN 0), konfigurirate statičku rutu specifičnu za IPsec u servisnom VPN-u (VPN koji nije VPN 0 ili VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 sučelje
  • ipsecbroj [ipsecnumber2]

VPN ID je ID bilo koje usluge VPN (VPN 1 do 65530, osim 512). prefix/length je IP adresa ili prefiks, u decimalnom zapisu od četiri dijela s točkama, i duljina prefiksa statičke rute specifične za IPsec. Sučelje je sučelje IPsec tunela u VPN 0. Možete konfigurirati jedno ili dva sučelja IPsec tunela. Ako konfigurirate dva, prvi je primarni IPsec tunel, a drugi je rezervni. S dva sučelja, svi paketi se šalju samo u primarni tunel. Ako taj tunel ne uspije, svi paketi se zatim šalju u sekundarni tunel. Ako se primarni tunel vrati, sav se promet premješta natrag u primarni IPsec tunel.

Omogućite IKE verziju 1
Kada kreirate IPsec tunel na vEdge usmjerivaču, IKE verzija 1 je omogućena prema zadanim postavkama na sučelju tunela. Sljedeća svojstva su također omogućena prema zadanim postavkama za IKEv1:

  • Autentifikacija i enkripcija—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • Broj Diffie-Hellmanove grupe—16
  • Vremenski interval ponovnog ključanja—4 sata
  • Način uspostavljanja SA—Glavni

Prema zadanim postavkama, IKEv1 koristi IKE glavni način za uspostavljanje IKE SA-ova. U ovom načinu rada razmjenjuje se šest pregovaračkih paketa kako bi se uspostavio SA. Za razmjenu samo tri pregovaračka paketa, omogućite agresivni način:

Bilješka
IKE agresivni način rada s unaprijed dijeljenim ključevima treba izbjegavati gdje god je to moguće. U suprotnom treba odabrati jaki unaprijed dijeljeni ključ.

  • vEdge(config)# vpn vpn-id sučelje ipsec broj ike
  • vEdge(config-ike)# način agresivan

Prema zadanim postavkama, IKEv1 koristi Diffie-Hellman grupu 16 u razmjeni IKE ključeva. Ova grupa koristi 4096-bitnu više modularnu eksponencijalnu (MODP) grupu tijekom IKE razmjene ključeva. Možete promijeniti broj grupe u 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ili 15 (3072-bitni MODP):

  • vEdge(config)# vpn vpn-id sučelje ipsec broj ike
  • vEdge(config-ike)# broj grupe

Prema zadanim postavkama, IKE razmjena ključeva koristi AES-256 naprednu standardnu ​​enkripciju CBC enkripciju s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost. Možete promijeniti autentifikaciju:

  • vEdge(config)# vpn vpn-id sučelje ipsec broj ike
  • vEdge(config-ike)# skup paketa šifri

Paket za provjeru autentičnosti može biti jedan od sljedećeg:

  • aes128-cbc-sha1—AES-128 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • aes128-cbc-sha2—AES-128 napredni standard enkripcije CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • aes256-cbc-sha1—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost; ovo je zadana postavka.
  • aes256-cbc-sha2—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost

Prema zadanim postavkama, IKE ključevi se osvježavaju svakih 1 sat (3600 sekundi). Interval ponovnog unosa ključa možete promijeniti na vrijednost od 30 sekundi do 14 dana (1209600 sekundi). Preporuča se da interval ponovnog ključa bude najmanje 1 sat.

  • vEdge(config)# vpn vpn-id sučelje ipsec broj poput
  • vEdge(config-ike)# rekey sekundi

Za prisilno generiranje novih ključeva za IKE sesiju, izdajte naredbu request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id sučeljeipsec broj ike

Za IKE također možete konfigurirati autentifikaciju unaprijed dijeljenog ključa (PSK):

  • vEdge(config)# vpn vpn-id sučelje ipsec broj ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret lozinka lozinka je lozinka za korištenje s unaprijed dijeljenim ključem. To može biti ASCII ili heksadecimalni niz od 1 do 127 znakova.

Ako udaljeni IKE peer zahtijeva lokalni ili udaljeni ID, možete konfigurirati ovaj identifikator:

  • vEdge(config)# vpn vpn-id sučelje ipsec broj ike autentifikacijski tip
  • vEdge(config-authentication-type)# lokalni-id id
  • vEdge(config-authentication-type)# id daljinskog id-a

Identifikator može biti IP adresa ili bilo koji tekstualni niz od 1 do 63 znaka. Prema zadanim postavkama, lokalni ID je izvorna IP adresa tunela, a daljinski ID je odredišna IP adresa tunela.

Omogućite IKE verziju 2
Kada konfigurirate IPsec tunel za korištenje IKE verzije 2, sljedeća svojstva su također omogućena prema zadanim postavkama za IKEv2:

  • Autentifikacija i enkripcija—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • Broj Diffie-Hellmanove grupe—16
  • Vremenski interval ponovnog ključanja—4 sata

Prema zadanim postavkama, IKEv2 koristi Diffie-Hellman grupu 16 u razmjeni IKE ključeva. Ova grupa koristi 4096-bitnu više modularnu eksponencijalnu (MODP) grupu tijekom IKE razmjene ključeva. Možete promijeniti broj grupe u 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ili 15 (3072-bitni MODP):

  • vEdge(config)# vpn vpn-id sučelje ipsecnumber ike
  • vEdge(config-ike)# broj grupe

Prema zadanim postavkama, IKE razmjena ključeva koristi AES-256 naprednu standardnu ​​enkripciju CBC enkripciju s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost. Možete promijeniti autentifikaciju:

  • vEdge(config)# vpn vpn-id sučelje ipsecnumber ike
  • vEdge(config-ike)# skup paketa šifri

Paket za provjeru autentičnosti može biti jedan od sljedećeg:

  • aes128-cbc-sha1—AES-128 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • aes128-cbc-sha2—AES-128 napredni standard enkripcije CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost
  • aes256-cbc-sha1—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA1 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost; ovo je zadana postavka.
  • aes256-cbc-sha2—AES-256 napredni standard enkripcije CBC enkripcija s HMAC-SHA256 algoritmom koda za provjeru autentičnosti poruke s ključem za cjelovitost

Prema zadanim postavkama, IKE ključevi se osvježavaju svaka 4 sata (14,400 30 sekundi). Interval ponovnog unosa ključa možete promijeniti na vrijednost od 14 sekundi do 1209600 dana (XNUMX sekundi):

  • vEdge(config)# vpn vpn-id sučelje ipsecnumber ike
  • vEdge(config-ike)# rekey sekundi

Za prisilno generiranje novih ključeva za IKE sesiju, izdajte naredbu request ipsec ike-rekey. Za IKE također možete konfigurirati autentifikaciju unaprijed dijeljenog ključa (PSK):

  • vEdge(config)# vpn vpn-id sučelje ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret lozinka lozinka je lozinka za korištenje s unaprijed dijeljenim ključem. To može biti ASCII ili heksadecimalni niz ili može biti ključ šifriran AES. Ako udaljeni IKE peer zahtijeva lokalni ili udaljeni ID, možete konfigurirati ovaj identifikator:
  • vEdge(config)# vpn vpn-id sučelje ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# lokalni-id id
  • vEdge(config-authentication-type)# id daljinskog id-a

Identifikator može biti IP adresa ili bilo koji tekstualni niz od 1 do 64 znaka. Prema zadanim postavkama, lokalni ID je izvorna IP adresa tunela, a daljinski ID je odredišna IP adresa tunela.

Konfigurirajte parametre IPsec tunela

Tablica 4: Povijest značajki

Značajka Ime Informacije o izdanju Opis
Dodatna kriptografija Cisco SD-WAN izdanje 20.1.1 Ova značajka dodaje podršku za
Algoritamska podrška za IPSec   HMAC_SHA256, HMAC_SHA384 i
Tuneli   HMAC_SHA512 algoritmi za
    pojačana sigurnost.

Prema zadanim postavkama, sljedeći parametri se koriste na IPsec tunelu koji prenosi IKE promet:

  • Autentifikacija i enkripcija—AES-256 algoritam u GCM-u (Galois/način brojača)
  • Interval ponovnog ključanja—4 sata
  • Prozor ponavljanja—32 paketa

Možete promijeniti enkripciju na IPsec tunelu na šifru AES-256 u CBC-u (način ulančavanja blokova šifre, s HMAC-om koristeći SHA-1 ili SHA-2 autentifikaciju poruke s ključem ili na null s HMAC-om koristeći SHA-1 ili SHA-2 autentifikacija poruke s ključem i raspršivanjem, da se ne kriptira IPsec tunel koji se koristi za promet razmjene IKE ključeva:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 |. aes256-null-sha384 |. aes256-null-sha512)

Prema zadanim postavkama, IKE ključevi se osvježavaju svaka 4 sata (14,400 30 sekundi). Interval ponovnog unosa ključa možete promijeniti na vrijednost od 14 sekundi do 1209600 dana (XNUMX sekundi):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ponovno unesite sekunde

Za prisilno generiranje novih ključeva za IPsec tunel, izdajte naredbu request ipsec ipsec-rekey. Prema zadanim postavkama, Perfect Forward Secrecy (PFS) je omogućen na IPsec tunelima, kako bi se osiguralo da prošle sesije nisu pogođene ako budući ključevi budu ugroženi. PFS forsira novu Diffie-Hellmanovu razmjenu ključeva, prema zadanim postavkama koristeći 4096-bitnu Diffie-Hellmanovu grupu primarnih modula. Možete promijeniti PFS postavku:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# savršena-naprijed-tajnost pfs-postavka

pfs-postavka može biti jedna od sljedećih:

  • grupa-2—Koristite 1024-bitnu Diffie-Hellmanovu grupu prostih modula.
  • grupa-14—Koristite 2048-bitnu Diffie-Hellmanovu grupu prostih modula.
  • grupa-15—Koristite 3072-bitnu Diffie-Hellmanovu grupu prostih modula.
  • grupa-16—Koristite 4096-bitnu Diffie-Hellmanovu grupu prostih modula. Ovo je zadana postavka.
  • nijedan—onemogući PFS.

Prema zadanim postavkama, IPsec prozor za ponavljanje na IPsec tunelu je 512 bajtova. Možete postaviti veličinu prozora za ponovnu reprodukciju na 64, 128, 256, 512, 1024, 2048 ili 4096 paketa:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# broj prozora za ponavljanje

Izmijenite IKE Dead-Peer Detection

IKE koristi mehanizam za otkrivanje mrtvog ravnopravnog računala da utvrdi je li veza s IKE ravnopravnim uređajem funkcionalna i dostupna. Za implementaciju ovog mehanizma, IKE šalje Hello paket svom ravnopravnom uređaju, a ravnopravni šalje potvrdu kao odgovor. Prema zadanim postavkama, IKE šalje Hello pakete svakih 10 sekundi, a nakon tri nepriznata paketa, IKE proglašava susjeda mrtvim i ruši tunel do ravnopravnog računala. Nakon toga, IKE povremeno šalje paket Hello peer-u i ponovno uspostavlja tunel kada se peer vrati na mrežu. Možete promijeniti interval otkrivanja živosti na vrijednost od 0 do 65535, a možete promijeniti i broj ponovnih pokušaja na vrijednost od 0 do 255.

Bilješka

Za prijenosne VPN-ove, interval otkrivanja živosti pretvara se u sekunde pomoću sljedeće formule: Interval za broj pokušaja ponovnog prijenosa N = interval * 1.8N-1 Na ​​primjerample, ako je interval postavljen na 10 i ponovno pokuša na 5, interval otkrivanja se povećava na sljedeći način:

  • 1. pokušaj: 10 * 1.81-1= 10 sekundi
  • Pokušaj 2: 10 * 1.82-1= 18 sekundi
  • Pokušaj 3: 10 * 1.83-1= 32.4 sekundi
  • Pokušaj 4: 10 * 1.84-1= 58.32 sekundi
  • Pokušaj 5: 10 * 1.85-1= 104.976 sekundi

vEdge(config-interface-ipsecnumber)# broj ponovnih pokušaja intervala detekcije mrtvih ravnopravnih uređaja

Konfigurirajte druga svojstva sučelja

Za sučelja IPsec tunela, možete konfigurirati samo sljedeća dodatna svojstva sučelja:

  • vEdge(config-interface-ipsec)# mtu bajtova
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bajtova

Onemogućite slabe algoritme šifriranja SSH na Cisco SD-WAN Manageru

Tablica 5: Tablica povijesti značajki

Značajka Ime Informacije o izdanju Značajka Opis
Onemogućite slabe algoritme šifriranja SSH na Cisco SD-WAN Manageru Cisco vManage izdanje 20.9.1 Ova značajka omogućuje vam da onemogućite slabije SSH algoritme na Cisco SD-WAN Manageru koji možda nisu u skladu s određenim standardima sigurnosti podataka.

Informacije o onemogućavanju slabih algoritama šifriranja SSH na Cisco SD-WAN Manageru
Cisco SD-WAN Manager pruža SSH klijent za komunikaciju s komponentama u mreži, uključujući kontrolere i rubne uređaje. SSH klijent pruža šifriranu vezu za siguran prijenos podataka, na temelju različitih algoritama šifriranja. Mnoge organizacije zahtijevaju jaču enkripciju od one koju pružaju SHA-1, AES-128 i AES-192. Od Cisco vManage izdanja 20.9.1, možete onemogućiti sljedeće slabije algoritme šifriranja tako da SSH klijent ne koristi te algoritme:

  • SHA-1
  • AES-128
  • AES-192

Prije nego što onemogućite ove algoritme enkripcije, provjerite koriste li Cisco vEdge uređaji, ako ih ima, u mreži, izdanje softvera kasnije od Cisco SD-WAN izdanja 18.4.6.

Prednosti onemogućavanja slabih algoritama šifriranja SSH na Cisco SD-WAN Manageru
Onemogućavanje slabijih algoritama SSH enkripcije poboljšava sigurnost SSH komunikacije i osigurava da su organizacije koje koriste Cisco Catalyst SD-WAN u skladu sa strogim sigurnosnim propisima.

Onemogućite slabe algoritme šifriranja SSH na Cisco SD-WAN upravitelju pomoću CLI-ja

  1. Na izborniku Cisco SD-WAN upravitelja odaberite Alati > SSH terminal.
  2. Odaberite Cisco SD-WAN Manager uređaj na kojem želite onemogućiti slabije SSH algoritme.
  3. Unesite korisničko ime i lozinku za prijavu na uređaj.
  4. Uđite u način rada SSH poslužitelja.
    • vmanage(config)# sustav
    • vmanage(config-system)# ssh-poslužitelj
  5. Učinite jedno od sljedećeg kako biste onemogućili algoritam SSH enkripcije:
    • Onemogući SHA-1:
  6. upravljaj(config-ssh-server)# nema kex-algo sha1
  7. upravljaj(config-ssh-server)# počini
    Prikazuje se sljedeća poruka upozorenja: Generirana su sljedeća upozorenja: 'system ssh-server kex-algo sha1': UPOZORENJE: Provjerite da li svi vaši rubovi izvode verziju koda > 18.4.6 koja bolje pregovara od SHA1 s vManageom. Inače bi ti rubovi mogli postati offline. Nastaviti? [da, ne] da
    • Provjerite rade li svi Cisco vEdge uređaji u mreži Cisco SD-WAN izdanje 18.4.6 ili novije i unesite yes.
    • Onemogućite AES-128 i AES-192:
    • vmanage(config-ssh-server)# bez šifre aes-128-192
    • vmanage(config-ssh-server)# predaja
      Prikazuje se sljedeća poruka upozorenja:
      Generirana su sljedeća upozorenja:
      'system ssh-server cipher aes-128-192': UPOZORENJE: Osigurajte da svi vaši rubovi izvode verziju koda > 18.4.6 koja bolje pregovara od AES-128-192 s vManageom. Inače bi ti rubovi mogli postati offline. Nastaviti? [da, ne] da
    • Provjerite rade li svi Cisco vEdge uređaji u mreži Cisco SD-WAN izdanje 18.4.6 ili novije i unesite yes.

Provjerite jesu li slabi algoritmi za šifriranje SSH onemogućeni na Cisco SD-WAN upravitelju pomoću CLI-ja

  1. Na izborniku Cisco SD-WAN upravitelja odaberite Alati > SSH terminal.
  2. Odaberite uređaj Cisco SD-WAN Manager koji želite provjeriti.
  3. Unesite korisničko ime i lozinku za prijavu na uređaj.
  4. Pokrenite sljedeću naredbu: show running-config system ssh-server
  5. Potvrdite da izlaz prikazuje jednu ili više naredbi koje onemogućuju slabije algoritme šifriranja:
    • nema šifre aes-128-192
    • nema kex-algo sha1

Dokumenti / Resursi

CISCO SD-WAN Konfigurirajte sigurnosne parametre [pdf] Korisnički priručnik
SD-WAN Konfigurirajte sigurnosne parametre, SD-WAN, Konfigurirajte sigurnosne parametre, Sigurnosne parametre

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *