CISCO SD-WAN konfigirasyon paramèt sekirite yo

Konfigirasyon paramèt sekirite yo

Remak

Pou reyalize senplifikasyon ak konsistans, solisyon Cisco SD-WAN te rebranded kòm Cisco Catalyst SD-WAN. Anplis de sa, soti nan Cisco IOS XE SD-WAN Release 17.12.1a ak Cisco Catalyst SD-WAN Release 20.12.1, chanjman nan eleman sa yo aplikab: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics to Cisco Catalyst SD-WAN Analytics, Cisco vBond pou Cisco Catalyst SD-WAN Validator, ak Cisco vSmart pou Cisco Catalyst SD-WAN Controller. Gade dènye Nòt lage yo pou jwenn yon lis konplè sou tout chanjman non mak eleman yo. Pandan ke nou tranzisyon nan nouvo non yo, gen kèk enkonsistans ka prezan nan seri dokiman an akòz yon apwòch pwogresiv nan mizajou koòdone itilizatè a nan pwodwi lojisyèl an.

Seksyon sa a dekri kijan pou chanje paramèt sekirite pou avyon kontwòl la ak avyon done nan rezo a kouvri Cisco Catalyst SD-WAN.

• Konfigirasyon paramèt sekirite avyon kontwòl, sou
• Konfigirasyon paramèt sekirite avyon done yo, sou
• Konfigirasyon tinèl IPsec ki pèmèt IKE, sou
• Enfim fèb SSH Algoritm chifreman sou Cisco SD-WAN Manager, sou

Konfigirasyon paramèt sekirite avyon kontwòl

Pa default, avyon an kontwòl itilize DTLS kòm pwotokòl ki bay vi prive sou tout tinèl li yo. DTLS kouri sou UDP. Ou ka chanje pwotokòl sekirite avyon kontwòl nan TLS, ki kouri sou TCP. Rezon prensipal ki fè yo sèvi ak TLS se ke, si ou konsidere Cisco SD-WAN Controller la kòm yon sèvè, firewall pwoteje serveurs TCP pi bon pase serveurs UDP. Ou configured pwotokòl tinèl avyon kontwòl sou yon Cisco SD-WAN Controller: vSmart(config)# Security Control Protocol tls Avèk chanjman sa a, tout tinèl avyon kontwòl ant Cisco SD-WAN Controller ak routeurs yo ak ant Cisco SD-WAN Controller la ak Cisco SD-WAN Manager itilize TLS. Kontwòl tinèl avyon pou Cisco Catalyst SD-WAN Validator toujou sèvi ak DTLS, paske koneksyon sa yo dwe okipe pa UDP. Nan yon domèn ki gen plizyè Cisco SD-WAN Controllers, lè ou konfigirasyon TLS sou youn nan Cisco SD-WAN Controllers, tout tinèl avyon kontwòl soti nan kontwolè sa a ak lòt kontwolè yo itilize TLS. Di yon lòt fason, TLS toujou pran priyorite sou DTLS. Sepandan, nan pèspektiv nan lòt Cisco SD-WAN Contrôleur yo, si ou pa te configuré TLS sou yo, yo sèvi ak TLS sou tinèl avyon kontwòl sèlman nan yon sèl Cisco SD-WAN Contrôleur, epi yo sèvi ak tinèl DTLS nan tout lòt la. Cisco SD-WAN Controllers ak tout routeurs ki konekte yo. Pou gen tout Cisco SD-WAN Controllers itilize TLS, konfigirasyon li sou tout nan yo. Pa default, Cisco SD-WAN Controller koute sou pò 23456 pou demann TLS. Pou chanje sa a: vSmart(config)# security control tls-port number Pò a kapab yon nimewo soti nan 1025 jiska 65535. Pou montre enfòmasyon sekirite avyon kontwòl, sèvi ak lòd la montre koneksyon kontwòl sou Cisco SD-WAN Controller la. Pou egzanpample: vSmart-2 # montre koneksyon kontwòl

Konfigure DTLS nan Cisco SD-WAN Manager

Si ou configured Cisco SD-WAN Manager pou itilize TLS kòm pwotokòl sekirite avyon kontwòl, ou dwe pèmèt transmisyon pò sou NAT ou. Si w ap itilize DTLS kòm pwotokòl sekirite avyon kontwòl, ou pa bezwen fè anyen. Nimewo a nan pò yo voye depann sou kantite pwosesis vdaemon ki kouri sou Cisco SD-WAN Manager. Pou montre enfòmasyon sou pwosesis sa yo ak sou ak kantite pò yo ap voye yo, sèvi ak lòd montre rezime kontwòl montre ke kat pwosesis daemon ap kouri:

Pou wè pò koute yo, sèvi ak lòd show control local-properties: vManage# show control local-properties

Pwodiksyon sa a montre ke pò TCP ki koute a se 23456. Si w ap kouri Cisco SD-WAN Manager dèyè yon NAT, ou ta dwe louvri pò sa yo sou aparèy NAT la:

• 23456 (baz - egzanp 0 pò)
• 23456 + 100 (baz + 100)
• 23456 + 200 (baz + 200)
• 23456 + 300 (baz + 300)

Remake byen ke kantite ka yo se menm ak kantite nwayo ou te asiyen pou Cisco SD-WAN Manager, jiska yon maksimòm 8.

Konfigirasyon Paramèt Sekirite Sèvi ak Modèl Karakteristik Sekirite a

Sèvi ak modèl karakteristik sekirite a pou tout aparèy Cisco vEdge. Sou routeurs kwen yo ak sou Cisco SD-WAN Validator, sèvi ak modèl sa a pou configure IPsec pou sekirite avyon done. Sou Cisco SD-WAN Manager ak Cisco SD-WAN Controller, sèvi ak modèl karakteristik sekirite a pou konfigirasyon DTLS oswa TLS pou sekirite avyon kontwòl.

Konfigirasyon paramèt sekirite yo

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon> Modèl.
2. Klike sou Modèl Karakteristik epi klike sou Ajoute Modèl.
   Remak Nan Cisco vManage Release 20.7.1 ak degaje pi bonè, Modèl karakteristik yo rele Feature.
3. Soti nan lis Aparèy nan fenèt gòch la, chwazi yon aparèy. Modèl ki aplikab pou aparèy chwazi a parèt nan fenèt dwat la.
4. Klike sou Sekirite pou ouvri modèl la.
5. Nan jaden Non modèl la, antre yon non pou modèl la. Non an ka gen jiska 128 karaktè epi li ka genyen sèlman karaktè alfanumerik.
6. Nan jaden Modèl Deskripsyon, antre yon deskripsyon modèl la. Deskripsyon nan ka jiska 2048 karaktè epi li ka genyen sèlman karaktè alfanumerik.

Lè ou premye louvri yon modèl karakteristik, pou chak paramèt ki gen yon valè default, sijè ki abòde lan mete sou Default (ki endike pa yon mak), epi yo montre paramèt oswa valè default la. Pou chanje defo a oswa pou antre yon valè, klike sou meni dewoulman dimansyon ki sou bò gòch jaden paramèt la epi chwazi youn nan bagay sa yo:

Tablo 1:

Paramèt Dimansyon

Deskripsyon Dimansyon

Aparèy Espesifik (ki endike pa yon icon lame)

Sèvi ak yon valè espesifik aparèy pou paramèt la. Pou paramèt espesifik aparèy, ou pa ka antre yon valè nan modèl karakteristik la. Ou antre valè a lè ou tache yon aparèy Viptela nan yon modèl aparèy. Lè w klike sou Aparèy Espesifik, bwat Antre kle a ouvri. Bwat sa a montre yon kle, ki se yon kòd inik ki idantifye paramèt la nan yon CSV file ke ou kreye. Sa a file se yon calcul Excel ki gen yon kolòn pou chak kle. Ranje header la gen non kle yo (yon kle pou chak kolòn), epi chak ranje apre sa koresponn ak yon aparèy epi li defini valè kle yo pou aparèy sa a. Ou telechaje CSV la file lè ou tache yon aparèy Viptela nan yon modèl aparèy. Pou plis enfòmasyon, gade Kreye yon Fèy kalkil varyab modèl. Pou chanje kle default la, tape yon nouvo fisèl epi deplase kurseur a soti nan bwat Antre kle a. Exampparamèt espesifik aparèy yo se adrès IP sistèm, non host, kote GPS, ak ID sit.

Paramèt Dimansyon	Deskripsyon Dimansyon
Global (ki endike pa yon icon glòb)	Antre yon valè pou paramèt la, epi aplike valè sa a nan tout aparèy. Exampkèk paramèt ke ou ta ka aplike globalman nan yon gwoup aparèy yo se sèvè DNS, sèvè syslog, ak MTU koòdone.

Konfigirasyon Sekirite Avyon Kontwòl

Remak
Seksyon Configure Control Plane Security aplike a Cisco SD-WAN Manager ak Cisco SD-WAN Controller sèlman. Pou konfigirasyon pwotokòl koneksyon avyon kontwòl sou yon egzanp Cisco SD-WAN Manadjè oswa yon Cisco SD-WAN Controller, chwazi zòn Konfigirasyon Debaz la. ak konfigirasyon paramèt sa yo:

Tablo 2:

Paramèt Non	Deskripsyon
Pwotokòl	Chwazi pwotokòl la pou itilize sou koneksyon avyon kontwòl ak yon Cisco SD-WAN Controller: • DTLS (Datagram transpò kouch sekirite). Sa a se default la. • TLS (Sekirite Kouch Transpò)
Kontwole TLS Port	Si ou chwazi TLS, konfigirasyon nimewo pò a pou itilize:Ranje: 1025 jiska 65535Default: 23456

Klike sou Save

Konfigirasyon Sekirite Avyon Done
Pou konfigirasyon sekirite avyon done sou yon Validatè Cisco SD-WAN oswa yon routeur Cisco vEdge, chwazi onglet Konfigirasyon Debaz ak Kalite Otantifikasyon, epi konfigirasyon paramèt sa yo:

Tablo 3:

Paramèt Non	Deskripsyon
Rekey Tan	Espesifye konbyen fwa yon routeur Cisco vEdge chanje kle AES yo itilize sou koneksyon an sekirite DTLS li ak Cisco SD-WAN Controller la. Si OMP grasyeuz rekòmanse aktive, tan an rekeying dwe omwen de fwa valè revèy OMP grasyeuz rekòmanse a.Ranje: 10 jiska 1209600 segonn (14 jou)Default: 86400 segonn (24 èdtan)
Fenèt Replay	Espesifye gwosè a nan fennèt la glisman replay. Valè: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakeDefault: 512 pake
IPsec par-keying	Sa a se etenn pa default. Klike sou On pou limen li.

Paramèt Non

Deskripsyon

Kalite Otantifikasyon

Chwazi kalite otantifikasyon yo nan Otantifikasyon Lis, epi klike sou flèch ki montre adwat la pou w deplase kalite otantifikasyon yo nan Lis Chwazi kolòn. Kalite otantifikasyon sipòte nan Cisco SD-WAN Release 20.6.1: •  esp: Pèmèt Encapsulating Security Payload (ESP) chifreman ak tcheke entegrite sou header ESP la. •  ip-udp-esp: Pèmèt ESP chifreman. Anplis chèk entegrite yo sou header ESP ak chaj, chèk yo gen ladan tou ekstèn IP ak Tèt UDP. •  ip-udp-esp-no-id: Ignore jaden ID nan header IP la pou Cisco Catalyst SD-WAN ka travay ansanm ak aparèy ki pa Cisco. •  okenn: Vire tcheke entegrite sou pake IPSec. Nou pa rekòmande pou itilize opsyon sa a.   Kalite otantifikasyon sipòte nan Cisco SD-WAN Release 20.5.1 ak pi bonè: •  ah-non-id: Pèmèt yon vèsyon amelyore nan AH-SHA1 HMAC ak ESP HMAC-SHA1 ki inyore jaden idantite nan tèt ekstèn IP pake a. •  ah-sha1-hmac: Pèmèt AH-SHA1 HMAC ak ESP HMAC-SHA1. •  okenn: Chwazi pa gen otantifikasyon. •  sha1-hmac: Pèmèt ESP HMAC-SHA1.   Remak              Pou yon aparèy kwen ki kouri sou Cisco SD-WAN Release 20.5.1 oswa pi bonè, ou ka gen konfigirasyon kalite otantifikasyon lè l sèvi avèk yon Sekirite modèl. Lè ou ajou aparèy la nan Cisco SD-WAN Release 20.6.1 oswa pita, mete ajou kalite otantifikasyon yo chwazi nan la. Sekirite modèl nan kalite otantifikasyon yo sipòte nan Cisco SD-WAN Release 20.6.1. Pou mete ajou kalite otantifikasyon yo, fè bagay sa yo: 1.      Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon > Modèl. 2.      Klike sou Modèl karakteristik. 3.      Jwenn la Sekirite modèl pou mete ajou epi klike sou ... epi klike Edit. 4.      Klike sou Mizajou. Pa modifye okenn konfigirasyon. Cisco SD-WAN Manager mete ajou Sekirite modèl pou montre kalite otantifikasyon sipòte yo.

Klike sou Save.

Konfigirasyon paramèt sekirite avyon done yo

Nan plan done a, IPsec pèmèt pa default sou tout routeurs, epi pa default koneksyon tinèl IPsec itilize yon vèsyon amelyore nan pwotokòl Encapsulating Security Payload (ESP) pou otantifikasyon sou tinèl IPsec. Sou routeurs yo, ou ka chanje kalite otantifikasyon, revèy IPsec rekeying, ak gwosè fenèt anti-replay IPsec la.

Konfigure Kalite Otantifikasyon Otorize yo

Kalite Otantifikasyon nan Cisco SD-WAN Release 20.6.1 ak pita
Soti nan Cisco SD-WAN Release 20.6.1, yo sipòte kalite entegrite sa yo:

• esp: Opsyon sa a pèmèt Encapsulating Security Payload (ESP) chifreman ak tcheke entegrite sou header ESP la.
• ip-udp-esp: Opsyon sa a pèmèt ESP chifreman. Anplis de chèk entegrite yo sou header ESP a ak chaj la, chèk yo gen ladan tou ekstèn IP ak Tèt UDP.
• ip-udp-esp-no-id: Opsyon sa a se menm jan ak ip-udp-esp, sepandan, jaden idantite nan tèt IP ekstèn lan inyore. Konfigirasyon opsyon sa a nan lis kalite entegrite pou fè lojisyèl Cisco Catalyst SD-WAN inyore jaden ID nan header IP la pou Cisco Catalyst SD-WAN ka travay ansanm ak aparèy ki pa Cisco.
• okenn: Opsyon sa a vire tcheke entegrite sou pakè IPSec. Nou pa rekòmande pou itilize opsyon sa a.

Pa default, koneksyon tinèl IPsec itilize yon vèsyon amelyore pwotokòl Encapsulating Security Payload (ESP) pou otantifikasyon. Pou modifye kalite entegrite negosye yo oswa pou enfim chèk entegrite, sèvi ak lòd sa a: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Kalite Otantifikasyon anvan Cisco SD-WAN Release 20.6.1
Pa default, koneksyon tinèl IPsec itilize yon vèsyon amelyore pwotokòl Encapsulating Security Payload (ESP) pou otantifikasyon. Pou modifye kalite otantifikasyon negosye yo oswa pou enfim otantifikasyon, sèvi ak lòd sa a: Aparèy (config) # sekirite ipsec otantifikasyon-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Pa default, IPsec koneksyon tinèl yo itilize AES-GCM-256, ki bay tou de chifreman ak otantifikasyon. Konfigirasyon chak kalite otantifikasyon ak yon lòd separe sekirite ipsec otantifikasyon-kalite. Opsyon kòmand yo bay kalite otantifikasyon sa yo, ki nan lis nan lòd soti nan pi fò rive nan pi piti:

Remak
Sha1 nan opsyon konfigirasyon yo itilize pou rezon istorik. Opsyon otantifikasyon yo endike konbyen nan tcheke entegrite pake yo fè. Yo pa presize algorithm ki tcheke entegrite a. Eksepte pou chifreman nan trafik multicast, algoritm yo otantifikasyon sipòte pa Cisco Catalyst SD WAN pa sèvi ak SHA1. Sepandan nan Cisco SD-WAN Release 20.1.x ak ivè, tou de unicast ak multicast pa sèvi ak SHA1.

• ah-sha1-hmac pèmèt chifreman ak ankapsulasyon lè l sèvi avèk ESP. Sepandan, anplis de chèk entegrite yo sou header ESP ak chaj, chèk yo gen ladan tou ekstèn IP ak Tèt UDP. Pakonsekan, opsyon sa a sipòte yon chèk entegrite nan pake a ki sanble ak pwotokòl Otantifikasyon Header (AH). Tout entegrite ak chifreman fèt lè l sèvi avèk AES-256-GCM.
• ah-no-id pèmèt yon mòd ki sanble ak ah-sha1-hmac, sepandan, jaden idantite nan tèt IP ekstèn lan inyore. Opsyon sa a akomode kèk aparèy SD-WAN ki pa Cisco Catalyst, ki gen ladan Apple AirPort Express NAT, ki gen yon ensèk ki lakòz jaden ID nan header IP la, yon jaden ki pa ka chanje. Konfigirasyon opsyon ah-no-id nan lis kalite otantifikasyon pou fè lojisyèl Cisco Catalyst SD-WAN AH inyore jaden ID nan header IP pou lojisyèl Cisco Catalyst SD-WAN ka travay ansanm ak aparèy sa yo.
• sha1-hmac pèmèt ESP chifreman ak tcheke entegrite.
• okenn kat pou pa gen otantifikasyon. Opsyon sa a ta dwe itilize sèlman si li nesesè pou debogaj tanporè. Ou ka chwazi opsyon sa a tou nan sitiyasyon kote otantifikasyon avyon done ak entegrite yo pa yon enkyetid. Cisco pa rekòmande pou itilize opsyon sa a pou rezo pwodiksyon yo.

Pou jwenn enfòmasyon sou ki jaden pake done ki afekte pa kalite otantifikasyon sa yo, gade Entegrite Plan Done. Aparèy Cisco IOS XE Catalyst SD-WAN ak aparèy Cisco vEdge fè reklam kalite otantifikasyon konfigirasyon yo nan pwopriyete TLOC yo. De routeurs yo sou chak bò yon koneksyon tinèl IPsec negosye otantifikasyon an pou itilize sou koneksyon ki genyen ant yo, lè l sèvi avèk kalite otantifikasyon ki pi fò ki configuré sou tou de routeurs yo. Pou egzanpample, si yon sèl routeur piblisite kalite ah-sha1-hmac ak ah-no-id, ak yon dezyèm routeur fè piblisite kalite ah-no-id, de routeurs yo negosye pou itilize ah-no-id sou koneksyon tinèl IPsec ant. yo. Si pa gen okenn kalite otantifikasyon komen yo configuré sou de kanmarad yo, pa gen okenn tinèl IPsec etabli ant yo. Algorithm chifreman sou koneksyon tinèl IPsec depann de kalite trafik la:

• Pou trafik unicast, algorithm chifreman an se AES-256-GCM.
• Pou trafik multicast:
• Cisco SD-WAN Release 20.1.x ak pita– algorithm chifreman an se AES-256-GCM
• Versions anvan yo– algorithm chifreman an se AES-256-CBC ak SHA1-HMAC.

Lè yo chanje kalite otantifikasyon IPsec, kle AES pou chemen done yo chanje.

Chanje Rekeying Timer la

Anvan aparèy Cisco IOS XE Catalyst SD-WAN ak aparèy Cisco vEdge ka fè echanj trafik done, yo mete kanpe yon kanal kominikasyon ki otantifye ki an sekirite ant yo. Routeurs yo itilize tinèl IPSec ant yo kòm kanal la, ak chifreman AES-256 pou fè chifreman. Chak routeur jenere yon nouvo kle AES pou chemen done li yo detanzantan. Pa default, yon kle valab pou 86400 segonn (24 èdtan), ak ranje revèy la se 10 segonn jiska 1209600 segonn (14 jou). Pou chanje valè rekey revèy la: Device(config)# security ipsec rekey seconds Konfigirasyon an sanble sa a:

• sekirite ipsec rekey segonn !

Si ou vle jenere nouvo kle IPsec imedyatman, ou ka fè sa san yo pa modifye konfigirasyon routeur la. Pou fè sa, bay lòd sekirite ipsecrekey demann sou routeur konpwomèt la. Pou egzanpample, pwodiksyon sa a montre ke SA lokal la gen yon Endèks Paramèt Sekirite (SPI) nan 256:

Yon kle inik asosye ak chak SPI. Si kle sa a konpwomèt, sèvi ak lòd sekirite ipsec-rekey demann pou jenere yon nouvo kle imedyatman. Kòmand sa a ogmante SPI la. Nan ansyen nou anample, SPI a chanje nan 257 ak kle ki asosye ak li kounye a itilize:

• Aparèy # mande sekirite ipsecrekey
• Aparèy # montre ipsec lokal-sa

Apre yo fin pwodwi nouvo kle a, routeur la voye li imedyatman bay Cisco SD-WAN Controllers yo lè l sèvi avèk DTLS oswa TLS. Cisco SD-WAN Contrôleurs yo voye kle a nan routeurs kanmarad yo. Routeurs yo kòmanse sèvi ak li le pli vit ke yo resevwa li. Remake byen ke kle ki asosye ak ansyen SPI a (256) ap kontinye itilize pou yon ti tan jiskaske li fwa. Pou sispann sèvi ak ansyen kle a imedyatman, bay lòd sekirite ipsec-rekey demann lan de fwa, nan siksesyon rapid. Sekans kòmandman sa a retire tou de SPI 256 ak 257 epi li mete SPI a 258. Lè sa a, routeur la sèvi ak kle ki asosye nan SPI 258. Remake byen, sepandan, ke kèk pake yo pral tonbe pou yon kout peryòd de tan jiskaske tout routeurs aleka yo aprann. nouvo kle a.

Chanje Gwosè Fenèt Anti-Replay la

Otantifikasyon IPsec bay pwoteksyon anti-replay pa bay yon nimewo sekans inik nan chak pake nan yon kouran done. Nimero sekans sa a pwoteje kont yon atakè ki diplike pake done yo. Avèk pwoteksyon anti-replay, moun k la bay nimewo sekans ki ogmante monotone, epi destinasyon an tcheke nimewo sekans sa yo pou detekte kopi. Paske pakè yo souvan pa rive nan lòd, destinasyon an kenbe yon fenèt glisman nan nimewo sekans ke li pral aksepte.

Pake ki gen nimewo sekans ki tonbe sou bò gòch seri fenèt glisman yo konsidere kòm ansyen oswa kopi, epi destinasyon an lage yo. Destinasyon an swiv nimewo sekans ki pi wo li te resevwa a, epi ajiste fenèt glisman an lè li resevwa yon pake ki gen yon valè ki pi wo.

Pa default, fenèt glisman an mete sou 512 pake. Li ka mete nan nenpòt valè ant 64 ak 4096 ki se yon pouvwa 2 (ki se, 64, 128, 256, 512, 1024, 2048, oswa 4096). Pou modifye gwosè fenèt anti-replay la, sèvi ak lòd la replay-window, espesifye gwosè fenèt la:

Aparèy (config) # sekirite ipsec replay-window nimewo

Konfigirasyon an sanble sa a:
sekirite ipsec replay-window nimewo ! !

Pou ede ak QoS, yo kenbe fenèt replay separe pou chak nan uit premye chanèl trafik yo. Gwosè fenèt konfigirasyon rejou divize pa uit pou chak chanèl. Si QoS konfigirasyon sou yon routeur, routeur sa a ta ka fè eksperyans yon kantite gout pake ki pi gwo pase sa te espere kòm rezilta IPsec anti-replay mekanis, e anpil nan pake yo tonbe yo lejitim. Sa rive paske QoS rekòmande pake yo, bay pake ki pi wo priyorite tretman preferansyèl ak retade pake ki pi ba priyorite yo. Pou minimize oswa anpeche sitiyasyon sa a, ou ka fè bagay sa yo:

• Ogmante gwosè a nan fenèt la anti-replay.
• Enjenyè trafik sou uit premye chanèl trafik yo pou asire ke trafik nan yon chanèl pa reordonne.

Konfigirasyon tinèl IPsec ki pèmèt IKE
Pou transfere trafik an sekirite soti nan rezo a kouvri nan yon rezo sèvis, ou ka configured tinèl IPsec ki kouri pwotokòl Echanj kle Entènèt (IKE). Tinèl IPsec ki pèmèt IKE bay otantifikasyon ak chifreman pou asire transpò pake an sekirite. Ou kreye yon tinèl IPsec ki pèmèt IKE pa konfigirasyon yon koòdone IPsec. Entèfas IPsec yo se entèfas lojik, epi ou konfigirasyon yo menm jan ak nenpòt lòt koòdone fizik. Ou konfigirasyon paramèt pwotokòl IKE sou koòdone IPsec, epi ou ka konfigirasyon lòt pwopriyete koòdone.

Remak Cisco rekòmande pou itilize IKE Version 2. Soti nan lage Cisco SD-WAN 19.2.x ivè, kle pre-pataje a bezwen omwen 16 octets nan longè. Etablisman tinèl IPsec la echwe si gwosè kle a se mwens pase 16 karaktè lè routeur la modènize nan vèsyon 19.2.

Remak
Lojisyèl Cisco Catalyst SD-WAN sipòte IKE Version 2 jan sa defini nan RFC 7296. Youn nan itilizasyon tinèl IPsec se pou pèmèt vEdge Cloud routeur VM ka kouri sou Amazon AWS pou konekte avèk Amazon vityèl nwaj prive (VPC). Ou dwe configured IKE Version 1 sou routeurs sa yo. Aparèy Cisco vEdge sipòte sèlman VPN ki baze sou wout nan yon konfigirasyon IPSec paske aparèy sa yo pa ka defini seleksyon trafik nan domèn chifreman an.

Konfigure yon Tinèl IPsec
Pou konfigirasyon yon koòdone tinèl IPsec pou trafik transpò an sekirite nan yon rezo sèvis, ou kreye yon koòdone IPsec ki lojik:

Ou ka kreye tinèl IPsec nan transpò VPN (VPN 0) ak nan nenpòt sèvis VPN (VPN 1 jiska 65530, eksepte pou 512). Koòdone IPsec a gen yon non nan fòma nimewo ipsec, kote nimewo a ka soti nan 1 jiska 255. Chak koòdone IPsec dwe gen yon adrès IPv4. Adrès sa a dwe yon prefiks /30. Tout trafik nan VPN ki nan prefiks IPv4 sa a ap dirije nan yon koòdone fizik nan VPN 0 yo dwe voye an sekirite sou yon tinèl IPsec. Pou konfigirasyon sous la nan tinèl IPsec sou aparèy lokal la, ou ka presize swa adrès IP la nan. koòdone fizik la (nan kòmand nan tinèl-sous) oswa non an nan koòdone fizik la (nan kòmand nan tinèl-sous-koòdone). Asire w ke koòdone fizik la configuré nan VPN 0. Pou konfigirasyon destinasyon tinèl IPsec la, presize adrès IP aparèy aleka a nan lòd tinèl-destinasyon an. Konbinezon yon adrès sous (oswa non koòdone sous) ak yon adrès destinasyon defini yon tinèl IPsec sèl. Sèlman yon tinèl IPsec ka egziste ki sèvi ak yon adrès sous espesifik (oswa non koòdone) ak pè adrès destinasyon.

Konfigure yon wout estatik IPsec

Pou dirije trafik soti nan VPN sèvis la nan yon tinèl IPsec nan VPN transpò a (VPN 0), ou configured yon wout estatik IPsec espesifik nan yon VPN sèvis (yon VPN ki pa VPN 0 oswa VPN 512):

• vEdge (config) # vpn vpn-id
• vEdge(config-vpn)# ip ipsec-route prefiks/longè vpn 0 koòdone
• ipsecnumber [ipsecnumber2]

ID VPN a se sa ki nan nenpòt sèvis VPN (VPN 1 jiska 65530, eksepte pou 512). prefiks/longè se adrès IP oswa prefiks, nan notasyon desimal kat pati-pwen, ak longè prefiks wout estatik IPsec-espesifik la. Koòdone a se koòdone tinèl IPsec nan VPN 0. Ou ka configured youn oubyen de koòdone tinèl IPsec. Si ou configured de, premye a se tinèl IPsec prensipal la, ak dezyèm lan se backup la. Avèk de interfaces, tout pake yo voye sèlman nan tinèl prensipal la. Si tinèl sa a echwe, yo voye tout pake yo nan tinèl segondè a. Si tinèl prensipal la tounen moute, tout trafik yo deplase tounen nan tinèl IPsec prensipal la.

Pèmèt IKE vèsyon 1
Lè ou kreye yon tinèl IPsec sou yon routeur vEdge, IKE Version 1 aktive pa default sou koòdone tinèl la. Pwopriyete sa yo aktive tou pa default pou IKEv1:

• Otantifikasyon ak chifreman—AES-256 chifreman avanse chifreman CBC estanda ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite
• Nimewo gwoup Diffie-Hellman—16
• Rekeying tan entèval-4 èdtan
• SA etablisman mòd—Principal

Pa default, IKEv1 itilize mòd prensipal IKE pou etabli IKE SA. Nan mòd sa a, sis pake negosyasyon yo echanje etabli SA a. Pou chanje sèlman twa pake negosyasyon, pèmèt mòd agresif:

Remak
IKE mòd agresif ak kle pre-pataje ta dwe evite tout kote sa posib. Sinon, yo ta dwe chwazi yon kle fò pre-pataje.

• vEdge (config) # vpn vpn-id koòdone ipsec nimewo ike
• vEdge(config-ike)# mòd agresif

Pa default, IKEv1 itilize gwoup Diffie-Hellman 16 nan echanj kle IKE la. Gwoup sa a sèvi ak gwoup 4096-bit plis modilè eksponansyèl (MODP) pandan echanj kle IKE. Ou ka chanje nimewo gwoup la a 2 (pou 1024-bit MODP), 14 (2048-bit MODP), oswa 15 (3072-bit MODP):

• vEdge (config) # vpn vpn-id koòdone ipsec nimewo ike
• vEdge(config-ike)# nimewo gwoup

Pa default, echanj kle IKE sèvi ak AES-256 chifreman avanse chifreman CBC estanda ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite. Ou ka chanje otantifikasyon an:

• vEdge (config) # vpn vpn-id koòdone ipsec nimewo ike
• vEdge (config-ike) # suite chifreman

Suite otantifikasyon an kapab youn nan bagay sa yo:

• aes128-cbc-sha1 — AES-128 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite
• aes128-cbc-sha2 — AES-128 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA256 kle-hash pou entegrite
• aes256-cbc-sha1—AES-256 chifreman avanse estanda CBC chifreman ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite; sa a se default la.
• aes256-cbc-sha2 — AES-256 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA256 kle-hash pou entegrite

Pa default, kle IKE yo rafrechi chak èdtan 1 (3600 segonn). Ou ka chanje entèval rekeying nan yon valè ki soti nan 30 segonn jiska 14 jou (1209600 segonn). Li rekòmande pou entèval rekeying la dwe omwen 1 èdtan.

• vEdge (config) # vpn vpn-id koòdone ipsec nimewo tankou
• vEdge(config-ike)# rekey segonn

Pou fòse jenerasyon nouvo kle pou yon sesyon IKE, bay lòd ipsec ike-rekey demann lan.

• vEdge (config) # vpn vpn-id interfaceipsec nimewo ike

Pou IKE, ou ka tou configured otantifikasyon kle prepartaje (PSK):

• vEdge (config) # vpn vpn-id koòdone ipsec nimewo ike
• vEdge(config-ike)# otantifikasyon-type pre-pataje-kle pre-pataje-sekrè modpas modpas se modpas pou itilize ak kle pre-pataje. Li kapab yon ASCII oswa yon fisèl egzadesimal ki gen 1 jiska 127 karaktè.

Si parèy IKE aleka a mande yon idantite lokal oswa aleka, ou ka konfigirasyon idantifyan sa a:

• vEdge (config) # vpn vpn-id koòdone nimewo ipsec tankou otantifikasyon-type
• vEdge (config-otantifikasyon-tip) # id lokal-id
• vEdge (config-otantifikasyon-kalite) # remote-id id

Idantifyan an kapab yon adrès IP oswa nenpòt seri tèks soti nan 1 jiska 63 karaktè. Pa default, ID lokal la se adrès IP sous tinèl la ak ID aleka se adrès IP destinasyon tinèl la.

Pèmèt IKE vèsyon 2
Lè ou configured yon tinèl IPsec pou itilize IKE Version 2, pwopriyete sa yo aktive tou pa default pou IKEv2:

• Otantifikasyon ak chifreman—AES-256 chifreman avanse chifreman CBC estanda ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite
• Nimewo gwoup Diffie-Hellman—16
• Rekeying tan entèval-4 èdtan

Pa default, IKEv2 itilize gwoup Diffie-Hellman 16 nan echanj kle IKE la. Gwoup sa a sèvi ak gwoup 4096-bit plis modilè eksponansyèl (MODP) pandan echanj kle IKE. Ou ka chanje nimewo gwoup la a 2 (pou 1024-bit MODP), 14 (2048-bit MODP), oswa 15 (3072-bit MODP):

• vEdge (config) # vpn vpn-id koòdone ipsecnumber ike
• vEdge(config-ike)# nimewo gwoup

Pa default, echanj kle IKE sèvi ak AES-256 chifreman avanse chifreman CBC estanda ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite. Ou ka chanje otantifikasyon an:

• vEdge (config) # vpn vpn-id koòdone ipsecnumber ike
• vEdge (config-ike) # suite chifreman

Suite otantifikasyon an kapab youn nan bagay sa yo:

• aes128-cbc-sha1 — AES-128 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite
• aes128-cbc-sha2 — AES-128 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA256 kle-hash pou entegrite
• aes256-cbc-sha1—AES-256 chifreman avanse estanda CBC chifreman ak algorithm kòd otantifikasyon mesaj HMAC-SHA1 kle-hash pou entegrite; sa a se default la.
• aes256-cbc-sha2 — AES-256 cryptage avanse estanda cryptage CBC ak algorithm kòd otantifikasyon mesaj HMAC-SHA256 kle-hash pou entegrite

Pa default, kle IKE yo rafrechi chak 4 èdtan (14,400 segonn). Ou ka chanje entèval rekeying nan yon valè ki soti nan 30 segonn jiska 14 jou (1209600 segonn):

• vEdge (config) # vpn vpn-id koòdone ipsecnumber ike
• vEdge(config-ike)# rekey segonn

Pou fòse jenerasyon nouvo kle pou yon sesyon IKE, bay lòd ipsec ike-rekey demann lan. Pou IKE, ou ka tou configured otantifikasyon kle prepartaje (PSK):

• vEdge (config) # vpn vpn-id koòdone ipsecnumber ike
• vEdge(config-ike)# otantifikasyon-type pre-pataje-kle pre-pataje-sekrè modpas modpas se modpas pou itilize ak kle pre-pataje. Li kapab yon ASCII oswa yon kòd egzadesimal, oswa li kapab yon kle AES-chiffre. Si parèy IKE aleka a mande yon idantite lokal oswa aleka, ou ka konfigirasyon idantifyan sa a:
• vEdge (config) # vpn vpn-id koòdone ipsecnumber ike kalite otantifikasyon
• vEdge (config-otantifikasyon-tip) # id lokal-id
• vEdge (config-otantifikasyon-kalite) # remote-id id

Idantifyan an kapab yon adrès IP oswa nenpòt seri tèks soti nan 1 jiska 64 karaktè. Pa default, ID lokal la se adrès IP sous tinèl la ak ID aleka se adrès IP destinasyon tinèl la.

Konfigirasyon paramèt Tinèl IPsec

Tablo 4: Istwa Karakteristik

Karakteristik Non	Divilge Enfòmasyon	Deskripsyon
Lòt kriptografik	Cisco SD-WAN Release 20.1.1	Karakteristik sa a ajoute sipò pou
Sipò algoritmik pou IPSec		HMAC_SHA256, HMAC_SHA384, ak
Tinèl		HMAC_SHA512 algoritm pou
		sekirite amelyore.

Pa default, paramèt sa yo yo itilize sou tinèl IPsec ki pote trafik IKE:

• Otantifikasyon ak chifreman-AES-256 algorithm nan GCM (Galois / mòd kontwa)
• Rekeying entèval-4 èdtan
• Fenèt Replay—32 pake

Ou ka chanje chifreman an sou tinèl IPsec a nan chifreman AES-256 nan CBC (mòd chèn blòk chifreman, ak HMAC lè l sèvi avèk swa SHA-1 oswa SHA-2 kle-hash otantifikasyon mesaj oswa nan nil ak HMAC lè l sèvi avèk swa SHA-1 oswa SHA-2. Otantifikasyon mesaj SHA-XNUMX keyed-hash, pou pa ankripte tinèl IPsec yo itilize pou trafik echanj kle IKE:

• vEdge(config-koòdone-ipsecnumber)# ipsec
• vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-sha256-null-sha256-null | | aes256-null-sha384 | aes256-null-sha512)

Pa default, kle IKE yo rafrechi chak 4 èdtan (14,400 segonn). Ou ka chanje entèval rekeying nan yon valè ki soti nan 30 segonn jiska 14 jou (1209600 segonn):

• vEdge(config-koòdone-ipsecnumber)# ipsec
• vEdge(config-ipsec)# rekey segonn

Pou fòse jenerasyon nouvo kle pou yon tinèl IPsec, bay lòd ipsec ipsec-rekey demann lan. Pa default, sekrete pafè pou pi devan (PFS) pèmèt sou tinèl IPsec, pou asire ke sesyon sot pase yo pa afekte si kle nan lavni yo konpwomèt. PFS fòse yon nouvo echanj kle Diffie-Hellman, pa default lè l sèvi avèk gwoup modil premye Diffie-Hellman 4096-bit. Ou ka chanje anviwònman PFS la:

• vEdge(config-koòdone-ipsecnumber)# ipsec
• vEdge (config-ipsec) # pafè-forward-secrecy pfs-setting

pfs-setting ka youn nan bagay sa yo:

• group-2—Sèvi ak 1024-bit Diffie-Hellman premye modil gwoup la.
• group-14—Sèvi ak 2048-bit Diffie-Hellman premye modil gwoup la.
• group-15—Sèvi ak 3072-bit Diffie-Hellman premye modil gwoup la.
• group-16—Sèvi ak gwoup modil premye Diffie-Hellman 4096-bit. Sa a se default la.
• okenn—Enfim PFS.

Pa default, fenèt IPsec replay sou tinèl IPsec la se 512 bytes. Ou ka mete gwosè fennèt reparèt la sou 64, 128, 256, 512, 1024, 2048, oswa 4096 pake:

• vEdge(config-koòdone-ipsecnumber)# ipsec
• vEdge(config-ipsec)# nimewo replay-window

Modifye IKE Dead-Peer Detection

IKE sèvi ak yon mekanis deteksyon dead-peer pou detèmine si koneksyon an ak yon kanmarad IKE fonksyonèl ak ka jwenn. Pou aplike mekanis sa a, IKE voye yon pake Hello bay kanmarad li yo, epi kanmarad la voye yon rekonesans an repons. Pa default, IKE voye bonjou pakè chak 10 segonn, epi apre twa pakè ki pa rekonèt, IKE deklare vwazen an mouri epi dechire tinèl la bay kanmarad la. Apre sa, IKE detanzantan voye yon pake Hello bay kanmarad la, epi re-etabli tinèl la lè kanmarad la tounen sou entènèt. Ou ka chanje entèval deteksyon vivan an nan yon valè ki soti nan 0 jiska 65535, epi ou ka chanje kantite retry a yon valè ki soti nan 0 jiska 255.

Remak

Pou vpn transpò yo, entèval deteksyon vivan an konvèti an segonn lè l sèvi avèk fòmil sa a: Entèval pou tantativ retransmisyon nimewo N = entèval * 1.8N-1Pou egzanpample, si entèval la mete sou 10 epi reesye a 5, entèval deteksyon an ogmante jan sa a:

• Eseye 1: 10 * 1.81-1 = 10 segonn
• Eseye 2: 10 * 1.82-1 = 18 segonn
• Eseye 3: 10 * 1.83-1 = 32.4 segonn
• Eseye 4: 10 * 1.84-1 = 58.32 segonn
• Eseye 5: 10 * 1.85-1 = 104.976 segonn

vEdge (config-koòdone-ipsecnumber) # nimewo retry entèval dead-peer-detection

Konfigirasyon Lòt Pwopriyete Entèfas

Pou koòdone tinèl IPsec, ou ka configured sèlman pwopriyete koòdone adisyonèl sa yo:

• vEdge (config-koòdone-ipsec) # mtu byte
• vEdge (config-koòdone-ipsec) # tcp-mss-ajiste byte

Enfim fèb SSH Algoritm chifreman sou Cisco SD-WAN Manadjè

Tablo 5: Tablo Istwa Karakteristik

Karakteristik Non	Divilge Enfòmasyon	Karakteristik Deskripsyon
Enfim fèb SSH Algoritm chifreman sou Cisco SD-WAN Manadjè	Cisco vManage Release 20.9.1	Karakteristik sa a pèmèt ou enfim algoritm SSH ki pi fèb sou Cisco SD-WAN Manager ki ka pa konfòme yo ak sèten estanda sekirite done.

Enfòmasyon sou Enfimite algoritm SSH fèb chifreman sou Cisco SD-WAN Manager
Cisco SD-WAN Manadjè bay yon kliyan SSH pou kominikasyon ak eleman nan rezo a, ki gen ladan contrôleur ak aparèy kwen. Kliyan SSH a bay yon koneksyon kode pou transfè done an sekirite, ki baze sou yon varyete algoritm cryptage. Anpil òganizasyon mande pi fò chifreman pase sa SHA-1, AES-128, ak AES-192 bay. Soti nan Cisco vManage Release 20.9.1, ou ka enfim algoritm chifreman ki pi fèb sa yo pou yon kliyan SSH pa sèvi ak algorithm sa yo:

• SHA-1
• AES-128
• AES-192

Anvan ou enfim algoritm chifreman sa yo, asire w ke aparèy Cisco vEdge, si genyen, nan rezo a, ap itilize yon lage lojisyèl pita pase Cisco SD-WAN Release 18.4.6.

Avantaj ki genyen nan enfim algorithm chifreman SSH fèb sou Cisco SD-WAN Manager
Enfimite algorithm chifreman SSH ki pi fèb amelyore sekirite kominikasyon SSH, epi asire ke òganizasyon ki itilize Cisco Catalyst SD-WAN konfòme yo ak règleman sekirite strik.

Enfim algorithm chifreman SSH fèb sou Cisco SD-WAN Manager lè l sèvi avèk CLI

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Zouti> SSH Tèminal.
2. Chwazi aparèy Cisco SD-WAN Manager kote ou vle enfim algoritm SSH ki pi fèb yo.
3. Antre non itilizatè a ak modpas pou konekte nan aparèy la.
4. Antre nan mòd sèvè SSH.
   • vmanage(config)# sistèm
   • vmanage (config-system) # ssh-sèvè
5. Fè youn nan bagay sa yo pou enfim yon algorithm chifreman SSH:
   • Enfim SHA-1:
6. jere(config-ssh-server)# pa gen kex-algo sha1
7. jere (config-ssh-server) # komèt
   Mesaj avètisman sa a parèt: Avètisman sa yo te pwodwi: 'system ssh-server kex-algo sha1': AVÈTISMAN: Tanpri asire tout kwen ou yo kouri kòd vèsyon > 18.4.6 ki negosye pi bon pase SHA1 ak vManage. Sinon kwen sa yo ka vin offline. Kontinye? [wi, non] wi
   • Asire w ke nenpòt aparèy Cisco vEdge nan rezo a ap kouri Cisco SD-WAN Release 18.4.6 oswa pita epi antre wi.
   • Enfim AES-128 ak AES-192:
   • vmanage(config-ssh-server)# pa gen okenn chifreman aes-128-192
   • vmanage(config-ssh-server)# komèt
     Mesaj avètisman sa a ap parèt:
     Avètisman sa yo te pwodwi:
     'system ssh-server cipher aes-128-192': AVÈTISMAN: Tanpri asire ke tout kwen ou yo kouri kòd vèsyon> 18.4.6 ki negosye pi bon pase AES-128-192 ak vManage. Sinon kwen sa yo ka vin offline. Kontinye? [wi, non] wi
   • Asire w ke nenpòt aparèy Cisco vEdge nan rezo a ap kouri Cisco SD-WAN Release 18.4.6 oswa pita epi antre wi.

Verifye ke fèb SSH algoritm chifreman yo enfim sou Cisco SD-WAN Manager lè l sèvi avèk CLI a

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Zouti> SSH Tèminal.
2. Chwazi aparèy Cisco SD-WAN Manager ou vle verifye.
3. Antre non itilizatè a ak modpas pou konekte nan aparèy la.
4. Kouri lòd sa a: show running-config system ssh-server
5. Konfime ke pwodiksyon an montre youn oswa plis nan kòmandman ki enfim algoritm chifreman ki pi fèb:
   • pa gen okenn sif aes-128-192
   • pa gen kex-algo sha1

Dokiman / Resous

CISCO SD-WAN konfigirasyon paramèt sekirite yo [pdfGid Itilizatè SD-WAN konfigirasyon paramèt sekirite, SD-WAN, konfigirasyon paramèt sekirite, paramèt sekirite

Referans

• Manyèl itilizatè