Tartalom elrejt
1 CISCO SD-WAN Biztonsági paraméterek konfigurálása
2 Konfigurálja a biztonsági paramétereket
3 Konfigurálja a vezérlősík biztonsági paramétereit
4 Konfigurálja a DTLS-t a Cisco SD-WAN Managerben
5 Konfigurálja az adatsík biztonsági paramétereit
6 Konfigurálja az engedélyezett hitelesítési típusokat
7 Módosítsa az újrabillentyűzési időzítőt
8 Módosítsa az Anti-Replay ablak méretét
9 Állítson be egy IPsec statikus útvonalat
10 Konfigurálja az IPsec alagút paramétereit
11 Módosítsa az IKE Dead-Peer Detection funkciót
12 Konfigurálja az interfész egyéb tulajdonságait
13 Tiltsa le a gyenge SSH titkosítási algoritmusokat a Cisco SD-WAN Manager alkalmazásban
14 Dokumentumok / Források
14.1 Hivatkozások

CISCO-LOGO

CISCO SD-WAN Biztonsági paraméterek konfigurálása

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurálja a biztonsági paramétereket

Jegyzet

Az egyszerűsítés és az egységesség érdekében a Cisco SD-WAN megoldást Cisco Catalyst SD-WAN névre keresztelték át. Ezenkívül a Cisco IOS XE SD-WAN 17.12.1a és a Cisco Catalyst SD-WAN 20.12.1 verzióitól a következő összetevő-módosítások érvényesek: Cisco vManage át Cisco Catalyst SD-WAN Manager, Cisco vAnalytics Cisco SD-WAN Catalyst Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator és Cisco vSmart Cisco Catalyst SD-WAN Controller. Tekintse meg a legújabb kiadási megjegyzéseket az összes összetevő márkanév-változás átfogó listájáért. Miközben áttérünk az új nevekre, előfordulhat, hogy a dokumentációban bizonyos ellentmondások jelennek meg a szoftvertermék felhasználói felületének fokozatos megközelítése miatt.

Ez a rész leírja, hogyan módosíthatja a vezérlősík és az adatsík biztonsági paramétereit a Cisco Catalyst SD-WAN átfedő hálózatában.

  • Vezérlősík biztonsági paramétereinek konfigurálása, be
  • Adatsík biztonsági paramétereinek konfigurálása, be
  • IKE-kompatibilis IPsec-alagutak konfigurálása bekapcsolva
  • Kapcsolja ki a gyenge SSH titkosítási algoritmusokat a Cisco SD-WAN Manager alkalmazásban

Konfigurálja a vezérlősík biztonsági paramétereit

Alapértelmezés szerint a vezérlősík a DTLS-t használja protokollként, amely adatvédelmet biztosít az összes alagútjában. A DTLS UDP-n fut. A vezérlősík biztonsági protokollját módosíthatja TLS-re, amely TCP-n fut. A TLS használatának elsődleges oka az, hogy ha a Cisco SD-WAN Controllert kiszolgálónak tekinti, a tűzfalak jobban védik a TCP-kiszolgálókat, mint az UDP-kiszolgálókat. A vezérlősík alagút protokollját egy Cisco SD-WAN vezérlőn konfigurálja: vSmart(config)# biztonsági vezérlő protokoll tls Ezzel a változtatással minden vezérlősík alagút a Cisco SD-WAN vezérlő és az útválasztók, valamint a Cisco SD-WAN vezérlő között és a Cisco SD-WAN Manager TLS-t használ. A Cisco Catalyst SD-WAN Validator felé vezető sík alagutak mindig DTLS-t használnak, mert ezeket a kapcsolatokat az UDP-nek kell kezelnie. Egy több Cisco SD-WAN vezérlővel rendelkező tartományban, amikor az egyik Cisco SD-WAN vezérlőn konfigurálja a TLS-t, a vezérlőtől a többi vezérlőig tartó összes vezérlősík-alagút TLS-t használ. Másképp mondva, a TLS mindig elsőbbséget élvez a DTLS-sel szemben. A többi Cisco SD-WAN vezérlő szemszögéből azonban, ha nem konfigurálta rajtuk a TLS-t, akkor csak az adott Cisco SD-WAN vezérlőhöz használnak TLS-t a vezérlősík alagútjában, és DTLS alagutakat használnak az összes többihez. Cisco SD-WAN vezérlőkhöz és az összes csatlakoztatott útválasztóhoz. Ahhoz, hogy az összes Cisco SD-WAN vezérlő TLS-t használjon, mindegyiken konfigurálja azt. Alapértelmezés szerint a Cisco SD-WAN vezérlő a 23456-os porton figyeli a TLS kéréseket. A módosításhoz: vSmart(config)# security control tls-port number A port 1025 és 65535 közötti szám lehet. A vezérlősík biztonsági információinak megjelenítéséhez használja a show control connections parancsot a Cisco SD-WAN vezérlőn. Plample: a vSmart-2# a vezérlőkapcsolatokat mutatja

CISCO-SD-WAN-Configure-Security-Parameters-1. ÁBRA

Konfigurálja a DTLS-t a Cisco SD-WAN Managerben

Ha úgy konfigurálja a Cisco SD-WAN Managert, hogy a TLS-t használja vezérlősík biztonsági protokollként, engedélyeznie kell a porttovábbítást a NAT-on. Ha DTLS-t használ vezérlősík biztonsági protokollként, akkor semmit sem kell tennie. A továbbított portok száma a Cisco SD-WAN Manageren futó vdaemon folyamatok számától függ. Ha meg szeretné jeleníteni ezeket a folyamatokat, valamint a továbbított portok számát és számát, használja a show control summary parancsot, amely megmutatja, hogy négy démonfolyamat fut:CISCO-SD-WAN-Configure-Security-Parameters-2. ÁBRA

A figyelő portok megtekintéséhez használja a show control local-properties parancsot: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-3. ÁBRA

Ez a kimenet azt mutatja, hogy a figyelő TCP-port 23456. Ha a Cisco SD-WAN Manager programot NAT mögött futtatja, nyissa meg a következő portokat a NAT-eszközön:

  • 23456 (alap – példány 0 port)
  • 23456 + 100 (bázis + 100)
  • 23456 + 200 (bázis + 200)
  • 23456 + 300 (bázis + 300)

Vegye figyelembe, hogy a példányok száma megegyezik a Cisco SD-WAN Managerhez hozzárendelt magok számával, legfeljebb 8-ig.

Konfigurálja a biztonsági paramétereket a biztonsági szolgáltatássablon segítségével

Használja a biztonsági szolgáltatássablont az összes Cisco vEdge eszközhöz. A szélső útválasztókon és a Cisco SD-WAN Validatorban használja ezt a sablont az IPsec adatsík biztonságának konfigurálásához. A Cisco SD-WAN Manager és Cisco SD-WAN Controller alkalmazásban használja a Biztonsági szolgáltatássablont a DTLS vagy TLS vezérlési sík biztonságához való konfigurálásához.

Konfigurálja a biztonsági paramétereket

  1. A Cisco SD-WAN Manager menüben válassza a Konfiguráció > Sablonok menüpontot.
  2. Kattintson a Szolgáltatássablonok, majd a Sablon hozzáadása elemre.
    Jegyzet A Cisco vManage 20.7.1-es és korábbi kiadásaiban a szolgáltatássablonok neve Feature.
  3. A bal oldali panel Eszközök listájából válasszon egy eszközt. A kiválasztott eszközre vonatkozó sablonok a jobb oldali ablaktáblában jelennek meg.
  4. Kattintson a Biztonság elemre a sablon megnyitásához.
  5. A Sablon neve mezőben adja meg a sablon nevét. A név legfeljebb 128 karakterből állhat, és csak alfanumerikus karaktereket tartalmazhat.
  6. A Sablonleírás mezőbe írja be a sablon leírását. A leírás legfeljebb 2048 karakterből állhat, és csak alfanumerikus karaktereket tartalmazhat.

Amikor először nyit meg egy szolgáltatássablont, minden alapértelmezett értékkel rendelkező paraméternél a hatókör Alapértelmezettre van állítva (pipa jelzi), és megjelenik az alapértelmezett beállítás vagy érték. Az alapértelmezett módosításhoz vagy egy érték megadásához kattintson a paramétermező bal oldalán található hatókör legördülő menüre, és válasszon az alábbiak közül:

1. táblázat:

Paraméter Hatály Alkalmazási terület leírása
Eszközspecifikus (gazdagép ikon jelzi) Használjon eszközspecifikus értéket a paraméterhez. Eszközspecifikus paramétereknél nem adhat meg értéket a szolgáltatássablonban. Az értéket akkor kell megadni, amikor Viptela eszközt csatol egy eszközsablonhoz.

Ha az Eszközspecifikus gombra kattint, megnyílik az Enter Key mező. Ez a mező egy kulcsot jelenít meg, amely egy egyedi karakterlánc, amely azonosítja a paramétert a CSV-fájlban file amit létrehozol. Ez file egy Excel-táblázat, amely minden kulcshoz egy oszlopot tartalmaz. A fejléc sor tartalmazza a kulcsneveket (oszloponként egy kulcs), és minden utána következő sor egy eszközhöz tartozik, és meghatározza az adott eszköz kulcsainak értékeit. Feltöltöd a CSV-t file amikor Viptela eszközt csatlakoztat egy eszközsablonhoz. További információkért lásd: Sablonváltozók táblázat létrehozása.

Az alapértelmezett kulcs megváltoztatásához írjon be egy új karakterláncot, és vigye ki a kurzort az Enter Key mezőből.

ExampAz eszközspecifikus paraméterek közé tartozik a rendszer IP-címe, a gazdagépnév, a GPS-hely és a helyazonosító.
Paraméter Hatály Alkalmazási terület leírása
Globális (földgömb ikon jelzi) Adjon meg egy értéket a paraméternek, és alkalmazza azt az összes eszközre.

ExampAz eszközök egy csoportjára globálisan alkalmazható paraméterek a DNS-kiszolgáló, a rendszernapló-kiszolgáló és az interfész MTU-k.

Konfigurálja a Vezérlősík biztonságát

Jegyzet
A Vezérlősík biztonságának konfigurálása szakasz csak a Cisco SD-WAN Managerre és a Cisco SD-WAN Controllerre vonatkozik. A vezérlősík csatlakozási protokolljának konfigurálásához egy Cisco SD-WAN Manager példányon vagy egy Cisco SD-WAN Controlleren válassza az Alapkonfiguráció területet. és állítsa be a következő paramétereket:

2. táblázat:

Paraméter Név Leírás
Jegyzőkönyv Válassza ki a protokollt, amelyet a Cisco SD-WAN vezérlővel való vezérlősík-kapcsolatokhoz használni kíván:

• DTLS (Datagram Transport Layer Security). Ez az alapértelmezett.

• TLS (Transport Layer Security)
TLS port vezérlése Ha a TLS-t választotta, konfigurálja a használandó portszámot:Hatótávolság: 1025-től 65535-igAlapértelmezett: 23456

Kattintson a Mentés gombra

Konfigurálja az adatsík biztonságát
Az adatsík biztonságának konfigurálásához egy Cisco SD-WAN Validator vagy egy Cisco vEdge útválasztón, válassza az Alapkonfiguráció és a Hitelesítés típusa lapot, és konfigurálja a következő paramétereket:

3. táblázat:

Paraméter Név Leírás
Rekey Time Adja meg, hogy a Cisco vEdge útválasztó milyen gyakran módosítsa a biztonságos DTLS-kapcsolatában használt AES-kulcsot a Cisco SD-WAN vezérlőre. Ha az OMP kecses újraindítás engedélyezve van, az újrakulcsolási időnek legalább kétszerese az OMP kecses újraindítási időzítő értékének.Hatótávolság: 10-1209600 másodperc (14 nap)Alapértelmezett: 86400 másodperc (24 óra)
Visszajátszás ablak Adja meg a csúszó visszajátszási ablak méretét.

Értékek: 64, 128, 256, 512, 1024, 2048, 4096, 8192 csomagAlapértelmezett: 512 csomag
IPsec

páronkénti kulcsozás

 Ez alapértelmezés szerint ki van kapcsolva. Kattintson On bekapcsolni.
Paraméter Név Leírás
Hitelesítés típusa Válassza ki a hitelesítési típusokat a Hitelesítés Lista, majd kattintson a jobbra mutató nyílra a hitelesítési típusok áthelyezéséhez a Kiválasztott lista oszlop.

A Cisco SD-WAN 20.6.1-es kiadása által támogatott hitelesítési típusok:

•  pl: Encapsulating Security Payload (ESP) titkosítást és integritás-ellenőrzést tesz lehetővé az ESP fejlécében.

•  ip-udp-esp: Engedélyezi az ESP titkosítást. Az ESP-fejléc és a hasznos terhelés integritás-ellenőrzése mellett az ellenőrzések magukban foglalják a külső IP- és UDP-fejléceket is.

•  ip-udp-esp-no-id: Figyelmen kívül hagyja az IP-fejlécben található ID mezőt, így a Cisco Catalyst SD-WAN nem Cisco eszközökkel együtt tud működni.

•  egyik sem: Kikapcsolja az integritás-ellenőrzést az IPSec-csomagokon. Nem javasoljuk ennek az opciónak a használatát.

 

A Cisco SD-WAN 20.5.1-es és korábbi verzióiban támogatott hitelesítési típusok:

•  ah-no-id: Engedélyezze az AH-SHA1 HMAC és ESP HMAC-SHA1 továbbfejlesztett verzióját, amely figyelmen kívül hagyja a csomag külső IP-fejlécében lévő ID mezőt.

•  ah-sha1-hmac: Az AH-SHA1 HMAC és az ESP HMAC-SHA1 engedélyezése.

•  egyik sem: Válassza ki, hogy nincs hitelesítés.

•  sha1-hmac: ESP HMAC-SHA1 engedélyezése.

 

Jegyzet              A Cisco SD-WAN 20.5.1-es vagy korábbi verzióját futtató szélső eszközön előfordulhat, hogy hitelesítési típusokat konfigurált egy Biztonság sablon. Amikor frissíti az eszközt a Cisco SD-WAN 20.6.1-es vagy újabb verziójára, frissítse a kiválasztott hitelesítési típusokat a Biztonság sablon a Cisco SD-WAN Release 20.6.1 által támogatott hitelesítési típusokhoz. A hitelesítési típusok frissítéséhez tegye a következőket:

1.      A Cisco SD-WAN Manager menüben válassza a lehetőséget Konfiguráció >

Sablonok.

2.      Kattintson Funkciósablonok.

3.      Keresse meg a Biztonság sablon frissítéséhez, majd kattintson a … gombra, majd kattintson Szerkesztés.

4.      Kattintson Frissítés. Ne módosítson semmilyen konfigurációt.

A Cisco SD-WAN Manager frissíti a Biztonság sablon a támogatott hitelesítési típusok megjelenítéséhez.

Kattintson a Mentés gombra.

Konfigurálja az adatsík biztonsági paramétereit

Az adatsíkon az IPsec alapértelmezés szerint engedélyezve van az összes útválasztón, és az IPsec alagútkapcsolatok alapértelmezés szerint az Encapsulating Security Payload (ESP) protokoll továbbfejlesztett változatát használják az IPsec alagutak hitelesítéséhez. Az útválasztókon módosíthatja a hitelesítés típusát, az IPsec-újrakulcsolás időzítőjét és az IPsec visszajátszást gátló ablak méretét.

Konfigurálja az engedélyezett hitelesítési típusokat

Hitelesítési típusok a Cisco SD-WAN 20.6.1-es és újabb verzióiban
A Cisco SD-WAN 20.6.1-es kiadása a következő integritástípusokat támogatja:

  • esp: Ez az opció lehetővé teszi az Encapsulating Security Payload (ESP) titkosítását és az ESP fejléc integritásának ellenőrzését.
  • ip-udp-esp: Ez az opció lehetővé teszi az ESP titkosítást. Az ESP-fejléc és a hasznos terhelés integritás-ellenőrzése mellett az ellenőrzések magukban foglalják a külső IP- és UDP-fejlécet is.
  • ip-udp-esp-no-id: Ez az opció hasonló az ip-udp-esp-hez, azonban a külső IP-fejléc ID mezőjét figyelmen kívül hagyja. Állítsa be ezt a beállítást az integritástípusok listájában, hogy a Cisco Catalyst SD-WAN szoftver figyelmen kívül hagyja az IP-fejlécben található ID mezőt, így a Cisco Catalyst SD-WAN nem Cisco eszközökkel együtt tud működni.
  • none: Ez a beállítás kikapcsolja az integritás-ellenőrzést az IPSec-csomagokon. Nem javasoljuk ennek az opciónak a használatát.

Alapértelmezés szerint az IPsec alagútkapcsolatok az Encapsulating Security Payload (ESP) protokoll továbbfejlesztett verzióját használják a hitelesítéshez. Az egyeztetett interitástípusok módosításához vagy az integritás-ellenőrzés letiltásához használja a következő parancsot: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Hitelesítési típusok a Cisco SD-WAN kiadás előtt 20.6.1
Alapértelmezés szerint az IPsec alagútkapcsolatok az Encapsulating Security Payload (ESP) protokoll továbbfejlesztett verzióját használják a hitelesítéshez. Az egyeztetett hitelesítési típusok módosításához vagy a hitelesítés letiltásához használja a következő parancsot: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Alapértelmezés szerint az IPsec az alagútkapcsolatok AES-GCM-256-ot használnak, amely titkosítást és hitelesítést is biztosít. Konfigurálja az egyes hitelesítési típusokat egy külön biztonsági ipsec hitelesítési típus paranccsal. A parancsbeállítások a következő hitelesítési típusokhoz vannak társítva, amelyek a legerősebbtől a legkevésbé erősig vannak felsorolva:

Jegyzet
A konfigurációs lehetőségek sha1-et történelmi okokból használjuk. A hitelesítési beállítások jelzik, hogy a csomagintegritás-ellenőrzés mekkora részét végzik el. Nem adják meg az integritást ellenőrző algoritmust. A multicast forgalom titkosításán kívül a Cisco Catalyst SD WAN által támogatott hitelesítési algoritmusok nem használnak SHA1-et. A Cisco SD-WAN 20.1.x és újabb verzióiban azonban sem az unicast, sem a multicast nem használja az SHA1-et.

  • Az ah-sha1-hmac lehetővé teszi az ESP használatával történő titkosítást és tokozást. Az ESP-fejléc és a hasznos terhelés integritás-ellenőrzése mellett azonban az ellenőrzések magukban foglalják a külső IP- és UDP-fejlécet is. Ezért ez az opció támogatja a csomag integritás-ellenőrzését, hasonlóan az Authentication Header (AH) protokollhoz. Minden integritás és titkosítás az AES-256-GCM használatával történik.
  • Az ah-no-id az ah-sha1-hmachoz hasonló módot engedélyez, azonban a külső IP-fejléc ID mezőjét figyelmen kívül hagyja. Ez az opció néhány nem Cisco Catalyst SD-WAN eszközt tartalmaz, köztük az Apple AirPort Express NAT-ot, amelyek olyan hibával rendelkeznek, amely az IP-fejléc azonosítómezőjének módosítását okozza, amely egy nem módosítható mező. Állítsa be az ah-no-id beállítást a hitelesítési típusok listájában, hogy a Cisco Catalyst SD-WAN AH szoftver figyelmen kívül hagyja az IP-fejlécben található ID mezőt, így a Cisco Catalyst SD-WAN szoftver együtt tud működni ezekkel az eszközökkel.
  • A sha1-hmac lehetővé teszi az ESP titkosítást és az integritás ellenőrzését.
  • egyik sem azonosítja a hitelesítést. Ezt az opciót csak akkor szabad használni, ha ideiglenes hibakereséshez szükséges. Ezt az opciót olyan helyzetekben is választhatja, amikor az adatsík hitelesítése és integritása nem jelent gondot. A Cisco nem javasolja ennek a beállításnak a használatát éles hálózatokhoz.

Ha többet szeretne megtudni arról, hogy ezek a hitelesítési típusok mely adatcsomagmezőket érintik, tekintse meg az Adatsík integritása című részt. A Cisco IOS XE Catalyst SD-WAN eszközök és a Cisco vEdge eszközök a TLOC tulajdonságaikban hirdetik konfigurált hitelesítési típusaikat. Az IPsec alagútkapcsolat két oldalán lévő két útválasztó egyezteti a hitelesítést a közöttük lévő kapcsolathoz, a mindkét útválasztón konfigurált legerősebb hitelesítési típus használatával. Plampha az egyik útválasztó az ah-sha1-hmac és ah-no-id típust hirdeti, a másik pedig az ah-no-id típust, a két útválasztó megbeszéli, hogy az ah-no-id használatát használja az IPsec alagút kapcsolaton. őket. Ha nincs közös hitelesítési típus konfigurálva a két partneren, akkor nem jön létre IPsec-alagút közöttük. Az IPsec alagútkapcsolatok titkosítási algoritmusa a forgalom típusától függ:

  • Az unicast forgalom esetében a titkosítási algoritmus az AES-256-GCM.
  • Multicast forgalom esetén:
  • Cisco SD-WAN Release 20.1.x és újabb – a titkosítási algoritmus AES-256-GCM
  • Korábbi kiadások – a titkosítási algoritmus AES-256-CBC és SHA1-HMAC.

Az IPsec-hitelesítési típus megváltoztatásakor az adatútvonal AES-kulcsa megváltozik.

Módosítsa az újrabillentyűzési időzítőt

Mielőtt a Cisco IOS XE Catalyst SD-WAN eszközök és a Cisco vEdge eszközök adatforgalmat cserélhetnének, biztonságos hitelesített kommunikációs csatornát hoznak létre közöttük. Az útválasztók IPSec alagutakat használnak közöttük csatornaként, és az AES-256 titkosítót a titkosítás végrehajtásához. Minden útválasztó rendszeresen generál egy új AES-kulcsot az adatútjához. Alapértelmezés szerint egy kulcs 86400 másodpercig (24 óráig) érvényes, és az időzítő tartománya 10 másodperc és 1209600 másodperc (14 nap) között van. Az újrakulcsolás időzítő értékének módosítása: Eszköz(config)# security ipsec rekey seconds A konfiguráció így néz ki:

  • biztonsági ipsec újrakulcsolás másodpercek alatt!

Ha azonnal új IPsec-kulcsokat szeretne létrehozni, ezt az útválasztó konfigurációjának módosítása nélkül is megteheti. Ehhez adja ki a request security ipsecrekey parancsot a feltört útválasztón. Plample, a következő kimenet azt mutatja, hogy a helyi SA biztonsági paraméter indexe (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-4. ÁBRA

Minden SPI-hez egyedi kulcs tartozik. Ha ez a kulcs feltört, használja a request security ipsec-rekey parancsot az új kulcs azonnali létrehozásához. Ez a parancs növeli az SPI-t. Az exünkbenample, az SPI 257-re változik, és a hozzá tartozó kulcs kerül felhasználásra:

  • Eszköz# kérés biztonsági ipsecrekey
  • Eszköz# mutat ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-5. ÁBRA

Az új kulcs létrehozása után az útválasztó azonnal elküldi azt a Cisco SD-WAN vezérlőknek DTLS vagy TLS használatával. A Cisco SD-WAN vezérlők elküldik a kulcsot a peer routereknek. Az útválasztók azonnal használni kezdik, amint megkapják. Ne feledje, hogy a régi SPI-hez (256) társított kulcs rövid ideig továbbra is használatban lesz, amíg lejár. A régi kulcs használatának azonnali leállításához adja ki a security ipsec-rekey parancsot kétszer, gyorsan egymás után. Ez a parancssorozat eltávolítja az SPI 256-ot és a 257-et is, és az SPI-t 258-ra állítja. Az útválasztó ezután az SPI 258 kapcsolódó kulcsát használja. Vegye figyelembe azonban, hogy egyes csomagok rövid időre el lesznek dobva, amíg az összes távoli útválasztó meg nem tanulja. az új kulcsot.CISCO-SD-WAN-Configure-Security-Parameters-6. ÁBRA

Módosítsa az Anti-Replay ablak méretét

Az IPsec-hitelesítés visszajátszás elleni védelmet biztosít azáltal, hogy az adatfolyamban minden egyes csomaghoz egyedi sorszámot rendel. Ez a sorozatszámozás védelmet nyújt az adatcsomagok megkettőzésével szemben. A visszajátszás elleni védelemmel a küldő monoton növekvő sorszámokat rendel hozzá, és a célállomás ezeket a sorszámokat ellenőrzi a duplikációk észlelése érdekében. Mivel a csomagok gyakran nem sorrendben érkeznek, a rendeltetési hely fenntart egy csúszó ablakot a sorszámokból, amelyeket elfogad.CISCO-SD-WAN-Configure-Security-Parameters-7. ÁBRA

A csúszóablak-tartománytól balra eső sorszámú csomagok réginek vagy ismétlődőnek minősülnek, és a cél eldobja őket. A célállomás követi a kapott legmagasabb sorszámot, és beállítja a csúszó ablakot, amikor nagyobb értékű csomagot kap.CISCO-SD-WAN-Configure-Security-Parameters-8. ÁBRA

Alapértelmezés szerint a csúszóablak 512 csomagra van állítva. Bármilyen 64 és 4096 közötti értékre állítható, amely 2 hatványa (azaz 64, 128, 256, 512, 1024, 2048 vagy 4096). Az anti-replay ablak méretének módosításához használja a replay-window parancsot, és adja meg az ablak méretét:

Eszköz(config)# biztonsági ipsec visszajátszási ablak száma

A konfiguráció így néz ki:
biztonsági ipsec visszajátszási ablak száma ! !

A QoS segítése érdekében külön visszajátszási ablakokat tartanak fenn az első nyolc forgalmi csatorna mindegyikéhez. A beállított visszajátszási ablak mérete minden csatornánál el van osztva nyolczal. Ha a QoS konfigurálva van egy útválasztón, akkor az IPsec visszajátszást gátló mechanizmusa miatt a vártnál nagyobb számú csomag csökkenést tapasztalhat, és a kiesett csomagok közül sok jogos. Ez azért fordul elő, mert a QoS újrarendeli a csomagokat, így a magasabb prioritású csomagokat előnyben részesíti, és késlelteti az alacsonyabb prioritású csomagokat. A helyzet minimalizálása vagy megelőzése érdekében a következőket teheti:

  • Növelje a visszajátszást gátló ablak méretét.
  • Tervezze meg a forgalmat az első nyolc forgalmi csatornára annak biztosítására, hogy a csatornán belüli forgalom ne kerüljön átrendezésre.

IKE-kompatibilis IPsec-alagutak konfigurálása
A forgalom biztonságos átviteléhez a fedvényhálózatról a szolgáltatási hálózatra, konfigurálhat olyan IPsec-alagutakat, amelyek az Internet Key Exchange (IKE) protokollt futtatják. Az IKE-kompatibilis IPsec-alagutak hitelesítést és titkosítást biztosítanak a biztonságos csomagszállítás érdekében. IKE-kompatibilis IPsec-alagutat egy IPsec-felület konfigurálásával hozhat létre. Az IPsec interfészek logikai interfészek, amelyeket ugyanúgy konfigurálhat, mint bármely más fizikai interfészt. Az IKE-protokoll paramétereit az IPsec interfészen, és más interfésztulajdonságokat is beállíthat.

Jegyzet A Cisco az IKE 2-es verziójának használatát javasolja. A Cisco SD-WAN 19.2.x kiadástól kezdődően az előre megosztott kulcsnak legalább 16 bájt hosszúságúnak kell lennie. Az IPsec-alagút létrehozása meghiúsul, ha a kulcs mérete kevesebb, mint 16 karakter, amikor az útválasztót a 19.2-es verzióra frissítik.

Jegyzet
A Cisco Catalyst SD-WAN szoftver támogatja az RFC 2-ban meghatározott IKE 7296-es verzióját. Az IPsec-alagutak egyik felhasználási módja az, hogy az Amazon AWS-en futó vEdge Cloud router VM-példányok kapcsolódjanak az Amazon virtuális privát felhőjéhez (VPC). Ezeken az útválasztókon az IKE 1-es verzióját kell konfigurálnia. A Cisco vEdge eszközök csak útvonalalapú VPN-eket támogatnak IPSec-konfigurációban, mivel ezek az eszközök nem tudnak forgalomválasztókat meghatározni a titkosítási tartományban.

Konfiguráljon egy IPsec-alagutat
Az IPsec alagút interfész konfigurálásához a szolgáltatási hálózatról érkező biztonságos szállítási forgalomhoz létre kell hoznia egy logikai IPsec interfészt:CISCO-SD-WAN-Configure-Security-Parameters-9. ÁBRA

Az IPsec alagutat létrehozhatja a szállítási VPN-ben (VPN 0) és bármely szolgáltatási VPN-ben (VPN 1–65530, kivéve az 512-t). Az IPsec interfész neve ipsecnumber formátumban van, ahol a szám 1 és 255 között lehet. Minden IPsec interfésznek rendelkeznie kell IPv4 címmel. Ennek a címnek /30 előtagnak kell lennie. A VPN-ben ezen az IPv4-előtagon belüli összes forgalom a VPN 0 fizikai interfészére irányul, és biztonságosan továbbítható egy IPsec-alagúton. Az IPsec-alagút forrásának helyi eszközön történő konfigurálásához megadhatja a a fizikai interfész (az tunnel-source parancsban) vagy a fizikai interfész neve (a tunnel-source-interface parancsban). Győződjön meg arról, hogy a fizikai interfész a VPN 0-ban van konfigurálva. Az IPsec-alagút céljának konfigurálásához adja meg a távoli eszköz IP-címét az tunnel-destination parancsban. A forráscím (vagy a forrás interfész neve) és a célcím kombinációja egyetlen IPsec alagutat határoz meg. Csak egy IPsec-alagút létezhet, amely egy adott forráscímet (vagy interfésznevet) és célcímpárt használ.

Állítson be egy IPsec statikus útvonalat

Ahhoz, hogy a szolgáltatási VPN-ből a forgalmat a szállítási VPN-ben (VPN 0) lévő IPsec-alagútba irányítsa, be kell állítania egy IPsec-specifikus statikus útvonalat a szolgáltatási VPN-ben (a VPN 0-tól vagy VPN 512-től eltérő VPN):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interfész
  • ipsecnumber [ipsecnumber2]

A VPN azonosítója bármely szolgáltatás VPN azonosítója (VPN 1-től 65530-ig, kivéve az 512-t). prefix/length az IPsec-specifikus statikus útvonal IP-címe vagy előtagja, tizedes négyrészes pontozott jelöléssel és előtag hossza. Az interfész a VPN 0 IPsec alagút interfésze. Konfigurálhat egy vagy két IPsec alagút interfészt. Ha kettőt konfigurál, az első az elsődleges IPsec-alagút, a második pedig a biztonsági mentés. Két interfész esetén minden csomag csak az elsődleges alagútba kerül. Ha az alagút meghibásodik, akkor az összes csomag a másodlagos alagútba kerül. Ha az elsődleges alagút visszatér, az összes forgalom visszakerül az elsődleges IPsec-alagútba.

Engedélyezze az IKE 1-es verzióját
Amikor IPsec-alagutat hoz létre egy vEdge útválasztón, az IKE 1-es verziója alapértelmezés szerint engedélyezve van az alagútfelületen. A következő tulajdonságok alapértelmezés szerint engedélyezve vannak az IKEv1 számára:

  • Hitelesítés és titkosítás – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kód algoritmussal az integritás érdekében
  • Diffie-Hellman csoportszám: 16
  • Újrakulcsolási időintervallum – 4 óra
  • SA létrehozási mód – Fő

Alapértelmezés szerint az IKEv1 az IKE fő módot használja az IKE SA-k létrehozásához. Ebben az üzemmódban hat tárgyalási csomagot cserélnek az SA létrehozásához. Ha csak három tárgyalási csomagot szeretne cserélni, engedélyezze az agresszív módot:

Jegyzet
Az előre megosztott kulcsokkal rendelkező IKE agresszív módot lehetőség szerint kerülni kell. Ellenkező esetben erős előre megosztott kulcsot kell választani.

  • vEdge(config)# vpn vpn-id interfész ipsec szám ike
  • vEdge(config-ike)# mód agresszív

Alapértelmezés szerint az IKEv1 a Diffie-Hellman 16. csoportot használja az IKE kulcscseréjében. Ez a csoport a 4096 bites modulárisabb exponenciális (MODP) csoportot használja az IKE kulcscseréje során. A csoport számát módosíthatja 2-re (1024 bites MODP esetén), 14-re (2048 bites MODP) vagy 15-re (3072 bites MODP):

  • vEdge(config)# vpn vpn-id interfész ipsec szám ike
  • vEdge(config-ike)# csoportszám

Alapértelmezés szerint az IKE kulcscsere az AES-256 fejlett titkosítási szabványos CBC-titkosítását használja a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében. A hitelesítést módosíthatja:

  • vEdge(config)# vpn vpn-id interfész ipsec szám ike
  • vEdge(config-ike)# cipher-suite suite

A hitelesítési csomag a következők egyike lehet:

  • aes128-cbc-sha1 – AES-128 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében
  • aes128-cbc-sha2 – AES-128 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA256 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében
  • aes256-cbc-sha1 – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében; ez az alapértelmezett.
  • aes256-cbc-sha2 – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA256 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében

Alapértelmezés szerint az IKE-kulcsok 1 óránként (3600 másodpercenként) frissülnek. Az újrakulcsolási időközt 30 másodperctől 14 napig (1209600 másodpercig) módosíthatja. Javasoljuk, hogy az újrakulcsolási intervallum legalább 1 óra legyen.

  • vEdge(config)# vpn vpn-id interfész ipsec szám, mint
  • vEdge(config-ike)# rekey másodperc

Az IKE-munkamenethez új kulcsok létrehozásának kényszerítéséhez adja ki az ipsec ike-rekey parancsot.

  • vEdge(config)# vpn vpn-id interfaceipsec szám ike

Az IKE esetében az előre megosztott kulcs (PSK) hitelesítést is beállíthatja:

  • vEdge(config)# vpn vpn-id interfész ipsec szám ike
  • A vEdge(config-ike)# hitelesítési típusú előre megosztott kulcsú előre megosztott titkos jelszó jelszó az előre megosztott kulccsal használandó jelszó. Ez lehet ASCII vagy hexadecimális karakterlánc 1 és 127 karakter között.

Ha a távoli IKE-társnak helyi vagy távoli azonosítóra van szüksége, konfigurálhatja ezt az azonosítót:

  • vEdge(config)# vpn vpn-id interfész ipsec szám ike hitelesítési típus
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Az azonosító lehet IP-cím vagy bármilyen 1-63 karakter hosszúságú szöveges karakterlánc. Alapértelmezés szerint a helyi azonosító az alagút forrás IP-címe, a távoli azonosító pedig az alagút cél IP-címe.

Engedélyezze az IKE 2-es verzióját
Amikor egy IPsec-alagutat konfigurál az IKE 2-es verziójának használatára, a következő tulajdonságok is alapértelmezés szerint engedélyezve vannak az IKEv2 számára:

  • Hitelesítés és titkosítás – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kód algoritmussal az integritás érdekében
  • Diffie-Hellman csoportszám: 16
  • Újrakulcsolási időintervallum – 4 óra

Alapértelmezés szerint az IKEv2 a Diffie-Hellman 16. csoportot használja az IKE kulcscseréjében. Ez a csoport a 4096 bites modulárisabb exponenciális (MODP) csoportot használja az IKE kulcscseréje során. A csoport számát módosíthatja 2-re (1024 bites MODP esetén), 14-re (2048 bites MODP) vagy 15-re (3072 bites MODP):

  • vEdge(config)# vpn vpn-id interfész ipsecnumber ike
  • vEdge(config-ike)# csoportszám

Alapértelmezés szerint az IKE kulcscsere az AES-256 fejlett titkosítási szabványos CBC-titkosítását használja a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében. A hitelesítést módosíthatja:

  • vEdge(config)# vpn vpn-id interfész ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

A hitelesítési csomag a következők egyike lehet:

  • aes128-cbc-sha1 – AES-128 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében
  • aes128-cbc-sha2 – AES-128 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA256 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében
  • aes256-cbc-sha1 – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA1 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében; ez az alapértelmezett.
  • aes256-cbc-sha2 – AES-256 fejlett titkosítási szabványos CBC-titkosítás a HMAC-SHA256 kulcsolt hash üzenet-hitelesítési kódalgoritmussal az integritás érdekében

Alapértelmezés szerint az IKE-kulcsok 4 óránként (14,400 30 másodpercenként) frissülnek. Az újrakulcsolási intervallumot 14 másodperctől 1209600 napig (XNUMX másodpercig) módosíthatja:

  • vEdge(config)# vpn vpn-id interfész ipsecnumber ike
  • vEdge(config-ike)# rekey másodperc

Az IKE-munkamenethez új kulcsok létrehozásának kényszerítéséhez adja ki az ipsec ike-rekey parancsot. Az IKE esetében az előre megosztott kulcs (PSK) hitelesítést is beállíthatja:

  • vEdge(config)# vpn vpn-id interfész ipsecnumber ike
  • A vEdge(config-ike)# hitelesítési típusú előre megosztott kulcsú előre megosztott titkos jelszó jelszó az előre megosztott kulccsal használandó jelszó. Ez lehet ASCII vagy hexadecimális karakterlánc, vagy lehet AES-titkosított kulcs. Ha a távoli IKE-társnak helyi vagy távoli azonosítóra van szüksége, konfigurálhatja ezt az azonosítót:
  • vEdge(config)# vpn vpn-id interfész ipsecnumber ike hitelesítési típus
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Az azonosító lehet IP-cím vagy bármilyen 1-64 karakter hosszúságú szöveges karakterlánc. Alapértelmezés szerint a helyi azonosító az alagút forrás IP-címe, a távoli azonosító pedig az alagút cél IP-címe.

Konfigurálja az IPsec alagút paramétereit

4. táblázat: Funkcióelőzmények

Funkció Név Kiadási információk Leírás
További kriptográfiai Cisco SD-WAN 20.1.1 kiadás Ez a funkció támogatja a
Algoritmikus támogatás az IPSec-hez   HMAC_SHA256, HMAC_SHA384 és
Alagutak   HMAC_SHA512 algoritmusok ehhez
    fokozott biztonság.

Alapértelmezés szerint a következő paraméterek használatosak az IKE-forgalmat hordozó IPsec-alagútban:

  • Hitelesítés és titkosítás – AES-256 algoritmus GCM-ben (Galois/számláló mód)
  • Újrakulcsolási időköz – 4 óra
  • Visszajátszási ablak – 32 csomag

Az IPsec-alagút titkosítását módosíthatja az AES-256 titkosításra a CBC-ben (titkosítóblokk-láncolási mód, HMAC-vel SHA-1 vagy SHA-2 kulcsos hash üzenet hitelesítéssel, vagy nullára HMAC esetén az SHA-1 vagy SHA-2 vagy SHA-XNUMX használatával SHA-XNUMX kulcsos hash üzenet hitelesítés az IKE kulcscsere-forgalomhoz használt IPsec-alagút titkosításának elkerülése érdekében:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-1-null-256-256 | aes256-null-sha384 | aes256-null-sha512)

Alapértelmezés szerint az IKE-kulcsok 4 óránként (14,400 30 másodpercenként) frissülnek. Az újrakulcsolási intervallumot 14 másodperctől 1209600 napig (XNUMX másodpercig) módosíthatja:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey másodperc

Új kulcsok létrehozásának kényszerítéséhez egy IPsec-alagúthoz adja ki az ipsec ipsec-rekey parancsot. Alapértelmezés szerint a tökéletes továbbítási titkosság (PFS) engedélyezve van az IPsec-alagutakban, így biztosítva, hogy a múltbeli munkameneteket ne érintse a jövőbeli kulcsok veszélyeztetése. A PFS új Diffie-Hellman kulcscserét kényszerít ki, alapértelmezés szerint a 4096 bites Diffie-Hellman prime modulcsoport használatával. Módosíthatja a PFS beállítást:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

A pfs-setting a következők egyike lehet:

  • csoport-2 – Használja az 1024 bites Diffie-Hellman prime modulus csoportot.
  • csoport-14 – Használja az 2048 bites Diffie-Hellman prime modulus csoportot.
  • csoport-15 – Használja az 3072 bites Diffie-Hellman prime modulus csoportot.
  • group-16 – Használja a 4096 bites Diffie-Hellman prime modulus csoportot. Ez az alapértelmezett.
  • nincs – PFS letiltása.

Alapértelmezés szerint az IPsec-alagút IPsec-visszajátszási ablaka 512 bájt. A visszajátszási ablak méretét beállíthatja 64, 128, 256, 512, 1024, 2048 vagy 4096 csomagra:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# visszajátszási ablak száma

Módosítsa az IKE Dead-Peer Detection funkciót

Az IKE egy holttárs-érzékelési mechanizmust használ annak meghatározására, hogy az IKE-társhoz való kapcsolat működőképes és elérhető-e. Ennek a mechanizmusnak a megvalósításához az IKE Hello-csomagot küld a társának, a partner pedig visszaigazolást küld válaszul. Alapértelmezés szerint az IKE 10 másodpercenként küld Hello csomagokat, és három nyugtázatlan csomag után az IKE halottnak nyilvánítja a szomszédot, és lebontja az alagutat a peer felé. Ezt követően az IKE rendszeres időközönként Hello-csomagot küld a peer-nek, és újra létrehozza az alagutat, amikor a peer újra online állapotba kerül. Módosíthatja az élességérzékelési intervallumot 0 és 65535 közötti értékre, és módosíthatja az újrapróbálkozások számát 0 és 255 közötti értékre.

Jegyzet

A szállítási VPN-k esetében az élességérzékelési intervallumot a rendszer másodpercekre konvertálja a következő képlet segítségével: Az újraküldési kísérlet számának intervalluma N = intervallum * 1.8N-1Pl.ample, ha az intervallum 10-re van állítva, és újra próbálkozik 5-re, az észlelési intervallum a következőképpen nő:

  • 1. kísérlet: 10 * 1.81-1 = 10 másodperc
  • Kísérlet 2: 10 * 1.82-1 = 18 másodperc
  • Kísérlet 3: 10 * 1.83-1 = 32.4 másodperc
  • Kísérlet 4: 10 * 1.84-1 = 58.32 másodperc
  • Kísérlet 5: 10 * 1.85-1 = 104.976 másodperc

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval újrapróbálkozási szám

Konfigurálja az interfész egyéb tulajdonságait

Az IPsec alagút interfészek esetében csak a következő további interfésztulajdonságokat konfigurálhatja:

  • vEdge(config-interface-ipsec)# mtu bájt
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bájtok

Tiltsa le a gyenge SSH titkosítási algoritmusokat a Cisco SD-WAN Manager alkalmazásban

5. táblázat: Feature History Table

Funkció Név Kiadási információk Funkció Leírás
Tiltsa le a gyenge SSH titkosítási algoritmusokat a Cisco SD-WAN Manager alkalmazásban Cisco vManage 20.9.1-es kiadás Ez a funkció lehetővé teszi a gyengébb SSH-algoritmusok letiltását a Cisco SD-WAN Managerben, amelyek esetleg nem felelnek meg bizonyos adatbiztonsági szabványoknak.

Információ a gyenge SSH titkosítási algoritmusok letiltásával kapcsolatban a Cisco SD-WAN Manager alkalmazásban
A Cisco SD-WAN Manager SSH-ügyfelet biztosít a hálózat összetevőivel való kommunikációhoz, beleértve a vezérlőket és a szélső eszközöket. Az SSH-kliens titkosított kapcsolatot biztosít a biztonságos adatátvitelhez, különféle titkosítási algoritmusok alapján. Sok szervezet erősebb titkosítást igényel, mint amit az SHA-1, AES-128 és AES-192 biztosít. A Cisco vManage 20.9.1-es kiadásában letilthatja a következő gyengébb titkosítási algoritmusokat, hogy az SSH-kliensek ne használják ezeket az algoritmusokat:

  • SHA-1
  • AES-128
  • AES-192

A titkosítási algoritmusok letiltása előtt győződjön meg arról, hogy a hálózatban lévő Cisco vEdge eszközök (ha vannak ilyenek) a Cisco SD-WAN 18.4.6-os kiadásánál későbbi szoftvert használnak.

A gyenge SSH titkosítási algoritmusok letiltásának előnyei a Cisco SD-WAN Managerben
A gyengébb SSH-titkosítási algoritmusok letiltása javítja az SSH-kommunikáció biztonságát, és biztosítja, hogy a Cisco Catalyst SD-WAN-t használó szervezetek megfeleljenek a szigorú biztonsági előírásoknak.

A gyenge SSH-titkosítási algoritmusok letiltása a Cisco SD-WAN Managerben CLI használatával

  1. A Cisco SD-WAN Manager menüben válassza az Eszközök > SSH terminál menüpontot.
  2. Válassza ki azt a Cisco SD-WAN Manager eszközt, amelyen le szeretné tiltani a gyengébb SSH-algoritmusokat.
  3. Adja meg a felhasználónevet és a jelszót az eszközre való bejelentkezéshez.
  4. Lépjen be az SSH-kiszolgáló módba.
    • vmanage(config)# rendszer
    • vmanage(config-system)# ssh-server
  5. Az SSH titkosítási algoritmus letiltásához tegye a következők egyikét:
    • Az SHA-1 letiltása:
  6. manage(config-ssh-server)# no kex-algo sha1
  7. manage(config-ssh-server)# commit
    A következő figyelmeztető üzenet jelenik meg: A következő figyelmeztetéseket generáltuk: 'system ssh-server kex-algo sha1': FIGYELMEZTETÉS: Győződjön meg arról, hogy minden élén a 18.4.6-nál nagyobb kódverzió fut, amely a vManage szolgáltatással jobban egyeztet, mint az SHA1. Ellenkező esetben ezek az élek offline állapotba kerülhetnek. Folytassa? [igen, nem] igen
    • Győződjön meg arról, hogy a hálózatban lévő Cisco vEdge eszközökön a Cisco SD-WAN 18.4.6-os vagy újabb verziója fut, majd írja be az igent.
    • Az AES-128 és az AES-192 letiltása:
    • vmanage(config-ssh-server)# nincs titkosítás aes-128-192
    • vmanage(config-ssh-server)# commit
      A következő figyelmeztető üzenet jelenik meg:
      A következő figyelmeztetéseket generáltuk:
      'system ssh-server cipher aes-128-192': FIGYELMEZTETÉS: Győződjön meg róla, hogy minden élén a 18.4.6-nál nagyobb kódverzió fut, amely a vManage szolgáltatással jobban együttműködik, mint az AES-128-192. Ellenkező esetben ezek az élek offline állapotba kerülhetnek. Folytassa? [igen, nem] igen
    • Győződjön meg arról, hogy a hálózatban lévő Cisco vEdge eszközökön a Cisco SD-WAN 18.4.6-os vagy újabb verziója fut, majd írja be az igent.

A CLI segítségével ellenőrizze, hogy a gyenge SSH-titkosítási algoritmusok le vannak-e tiltva a Cisco SD-WAN Managerben

  1. A Cisco SD-WAN Manager menüben válassza az Eszközök > SSH terminál menüpontot.
  2. Válassza ki az ellenőrizni kívánt Cisco SD-WAN Manager eszközt.
  3. Adja meg a felhasználónevet és a jelszót az eszközre való bejelentkezéshez.
  4. Futtassa a következő parancsot: show running-config system ssh-server
  5. Győződjön meg arról, hogy a kimenet egy vagy több olyan parancsot jelenít meg, amely letiltja a gyengébb titkosítási algoritmusokat:
    • nincs titkosítás aes-128-192
    • nincs kex-algo sha1

Dokumentumok / Források

CISCO SD-WAN Biztonsági paraméterek konfigurálása [pdf] Felhasználói útmutató
SD-WAN Biztonsági paraméterek konfigurálása, SD-WAN, Biztonsági paraméterek konfigurálása, Biztonsági paraméterek

Hivatkozások

Hagyj megjegyzést

E-mail címét nem tesszük közzé. A kötelező mezők meg vannak jelölve *