Contenuto nascondere
1 CISCO SD-WAN Configura i parametri di sicurezza
2 Configura i parametri di sicurezza
3 Configurare i parametri di sicurezza del piano di controllo
4 Configura DTLS in Cisco SD-WAN Manager
5 Configura i parametri di sicurezza del piano dati
6 Configura i tipi di autenticazione consentiti
7 Modificare il timer di riprogrammazione
8 Modifica la dimensione della finestra Anti-Replay
9 Configurare un percorso statico IPsec
10 Configura i parametri del tunnel IPsec
11 Modifica il rilevamento dei peer inattivi IKE
12 Configura altre proprietà dell'interfaccia
13 Disabilita gli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager
14 Documenti / Risorse
14.1 Riferimenti

CISCO-LOGO

CISCO SD-WAN Configura i parametri di sicurezza

CISCO-SD-WAN-Configura-Parametri-di-sicurezza-PRODOTTO

Configura i parametri di sicurezza

Nota

Per ottenere semplificazione e coerenza, la soluzione Cisco SD-WAN è stata rinominata Cisco Catalyst SD-WAN. Inoltre, da Cisco IOS XE SD-WAN versione 17.12.1a e Cisco Catalyst SD-WAN versione 20.12.1, sono applicabili le seguenti modifiche ai componenti: da Cisco vManage a Cisco Catalyst SD-WAN Manager, da Cisco vAnalytics a Cisco Catalyst SD-WAN Analytics, Cisco vBond per Cisco Catalyst SD-WAN Validator e Cisco vSmart per Cisco Catalyst SD-WAN Controller. Consulta le note di rilascio più recenti per un elenco completo di tutte le modifiche ai marchi dei componenti. Durante la transizione ai nuovi nomi, potrebbero essere presenti alcune incoerenze nella documentazione a causa di un approccio graduale agli aggiornamenti dell'interfaccia utente del prodotto software.

In questa sezione viene descritto come modificare i parametri di sicurezza per il piano di controllo e il piano dati nella rete overlay Cisco Catalyst SD-WAN.

  • Configura i parametri di sicurezza del piano di controllo, su
  • Configura i parametri di sicurezza del piano dati, attiva
  • Configura tunnel IPsec abilitati per IKE, attivo
  • Disattiva gli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager, su

Configurare i parametri di sicurezza del piano di controllo

Per impostazione predefinita, il piano di controllo utilizza DTLS come protocollo che garantisce la privacy su tutti i suoi tunnel. DTLS viene eseguito su UDP. È possibile modificare il protocollo di sicurezza del piano di controllo in TLS, che viene eseguito su TCP. Il motivo principale per utilizzare TLS è che, se si considera il controller Cisco SD-WAN come un server, i firewall proteggono i server TCP meglio dei server UDP. Configurare il protocollo del tunnel del piano di controllo su un controller Cisco SD-WAN: vSmart(config)# protocollo di controllo della sicurezza tls Con questa modifica, tutti i tunnel del piano di controllo tra il controller Cisco SD-WAN e i router e tra il controller Cisco SD-WAN e Cisco SD-WAN Manager utilizzano TLS. I tunnel del piano di controllo verso Cisco Catalyst SD-WAN Validator utilizzano sempre DTLS, poiché queste connessioni devono essere gestite da UDP. In un dominio con più controller Cisco SD-WAN, quando si configura TLS su uno dei controller Cisco SD-WAN, tutti i tunnel del piano di controllo da quel controller agli altri controller utilizzano TLS. Detto in altro modo, TLS ha sempre la precedenza su DTLS. Tuttavia, dal punto di vista degli altri controller Cisco SD-WAN, se non è stato configurato TLS su di essi, utilizzano TLS sul tunnel del piano di controllo solo verso quel controller Cisco SD-WAN e utilizzano tunnel DTLS verso tutti gli altri Controller Cisco SD-WAN e a tutti i router collegati. Per fare in modo che tutti i controller Cisco SD-WAN utilizzino TLS, configurarlo su tutti. Per impostazione predefinita, il controller Cisco SD-WAN è in ascolto sulla porta 23456 per le richieste TLS. Per modificarlo: vSmart(config)# security control tls-port number La porta può essere un numero compreso tra 1025 e 65535. Per visualizzare le informazioni sulla sicurezza del piano di controllo, utilizzare il comando show control connessioni sul controller Cisco SD-WAN. Per esample: vSmart-2# mostra le connessioni di controllo

CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-1

Configura DTLS in Cisco SD-WAN Manager

Se si configura Cisco SD-WAN Manager per utilizzare TLS come protocollo di sicurezza del piano di controllo, è necessario abilitare il port forwarding sul NAT. Se utilizzi DTLS come protocollo di sicurezza del piano di controllo, non devi fare nulla. Il numero di porte inoltrate dipende dal numero di processi vdaemon in esecuzione su Cisco SD-WAN Manager. Per visualizzare informazioni su questi processi e sul numero di porte che vengono inoltrate, utilizzare il comando show control summary che mostra che sono in esecuzione quattro processi daemon:CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-2

Per visualizzare le porte di ascolto, utilizzare il comando show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-3

Questo output mostra che la porta TCP in ascolto è 23456. Se si esegue Cisco SD-WAN Manager dietro un NAT, è necessario aprire le seguenti porte sul dispositivo NAT:

  • 23456 (base – porta istanza 0)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Tieni presente che il numero di istanze è uguale al numero di core assegnati a Cisco SD-WAN Manager, fino a un massimo di 8.

Configurare i parametri di sicurezza utilizzando il modello delle funzionalità di sicurezza

Utilizza il modello di funzionalità Sicurezza per tutti i dispositivi Cisco vEdge. Sui router periferici e su Cisco SD-WAN Validator, utilizzare questo modello per configurare IPsec per la sicurezza del piano dati. Su Cisco SD-WAN Manager e Cisco SD-WAN Controller, utilizzare il modello di funzionalità Sicurezza per configurare DTLS o TLS per la sicurezza del piano di controllo.

Configura i parametri di sicurezza

  1. Dal menu Cisco SD-WAN Manager, scegliere Configurazione > Modelli.
  2. Fare clic su Modelli di funzionalità e quindi su Aggiungi modello.
    Nota In Cisco vManage versione 20.7.1 e versioni precedenti, i modelli di funzionalità sono chiamati funzionalità.
  3. Dall'elenco Dispositivi nel riquadro di sinistra, scegli un dispositivo. I modelli applicabili al dispositivo selezionato vengono visualizzati nel riquadro destro.
  4. Fare clic su Sicurezza per aprire il modello.
  5. Nel campo Nome modello, inserisci un nome per il modello. Il nome può contenere fino a 128 caratteri e può contenere solo caratteri alfanumerici.
  6. Nel campo Descrizione modello, inserisci una descrizione del modello. La descrizione può contenere fino a 2048 caratteri e può contenere solo caratteri alfanumerici.

Quando si apre per la prima volta un modello di funzionalità, per ogni parametro che ha un valore predefinito, l'ambito viene impostato su Predefinito (indicato da un segno di spunta) e viene visualizzato l'impostazione o il valore predefinito. Per modificare l'impostazione predefinita o inserire un valore, fare clic sul menu a discesa dell'ambito a sinistra del campo del parametro e scegliere una delle seguenti opzioni:

Tabella 1:

Parametro Ambito Descrizione dell'ambito
Specifico del dispositivo (indicato da un'icona host) Utilizzare un valore specifico del dispositivo per il parametro. Per i parametri specifici del dispositivo, non è possibile immettere un valore nel modello di funzionalità. Il valore viene immesso quando si collega un dispositivo Viptela a un modello di dispositivo.

Quando si fa clic su Specifiche del dispositivo, si apre la casella Immetti chiave. Questa casella visualizza una chiave, ovvero una stringa univoca che identifica il parametro in un CSV file che crei. Questo file è un foglio di calcolo Excel che contiene una colonna per ciascuna chiave. La riga di intestazione contiene i nomi delle chiavi (una chiave per colonna) e ogni riga successiva corrisponde a un dispositivo e definisce i valori delle chiavi per quel dispositivo. Carichi il CSV file quando si collega un dispositivo Viptela a un modello di dispositivo. Per ulteriori informazioni, consulta Creare un foglio di calcolo delle variabili del modello.

Per modificare la chiave predefinita, digitare una nuova stringa e spostare il cursore fuori dalla casella Inserisci chiave.

Exampi file di parametri specifici del dispositivo sono l'indirizzo IP del sistema, il nome host, la posizione GPS e l'ID del sito.
Parametro Ambito Descrizione dell'ambito
Globale (indicato da un'icona a forma di globo) Immettere un valore per il parametro e applicare tale valore a tutti i dispositivi.

Exampi file di parametri che è possibile applicare globalmente a un gruppo di dispositivi sono server DNS, server syslog e MTU di interfaccia.

Configurare la sicurezza del piano di controllo

Nota
La sezione Configura sicurezza del piano di controllo si applica solo a Cisco SD-WAN Manager e Cisco SD-WAN Controller. Per configurare il protocollo di connessione del piano di controllo su un'istanza di Cisco SD-WAN Manager o un controller Cisco SD-WAN, scegli l'area Configurazione di base e configurare i seguenti parametri:

Tabella 2:

Parametro Nome Descrizione
Protocollo Scegli il protocollo da utilizzare sulle connessioni del piano di controllo a un controller Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Questa è l'impostazione predefinita.

• TLS (Transport Layer Security)
Controlla la porta TLS Se hai selezionato TLS, configura il numero di porta da utilizzare:Allineare: Da 1025 a 65535Predefinito: 23456

Fare clic su Salva

Configura la sicurezza del piano dati
Per configurare la sicurezza del piano dati su un Cisco SD-WAN Validator o un router Cisco vEdge, scegliere le schede Configurazione di base e Tipo di autenticazione e configurare i seguenti parametri:

Tabella 3:

Parametro Nome Descrizione
Ora di riprogrammazione Specificare la frequenza con cui un router Cisco vEdge modifica la chiave AES utilizzata sulla connessione DTLS sicura al controller Cisco SD-WAN. Se il riavvio normale di OMP è abilitato, il tempo di riprogrammazione deve essere almeno il doppio del valore del timer di riavvio normale di OMP.Allineare: Da 10 a 1209600 secondi (14 giorni)Predefinito: 86400 secondi (24 ore)
Finestra di riproduzione Specificare la dimensione della finestra di riproduzione scorrevole.

Valori: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pacchettiPredefinito: 512 pacchetti
IPsec

codifica a coppie

 Questo è disattivato per impostazione predefinita. Clic On per accenderlo.
Parametro Nome Descrizione
Tipo di autenticazione Seleziona i tipi di autenticazione da Autenticazione Listae fare clic sulla freccia rivolta verso destra per spostare i tipi di autenticazione nel file Elenco selezionato colonna.

Tipi di autenticazione supportati da Cisco SD-WAN versione 20.6.1:

•  specialmente: abilita la crittografia ESP (Encapsulating Security Payload) e il controllo dell'integrità sull'intestazione ESP.

•  ip-udp-esp: Abilita la crittografia ESP. Oltre ai controlli di integrità sull'intestazione ESP e sul payload, i controlli includono anche le intestazioni IP e UDP esterne.

•  ip-udp-esp-no-id: ignora il campo ID nell'intestazione IP in modo che Cisco Catalyst SD-WAN possa funzionare insieme a dispositivi non Cisco.

•  nessuno: disattiva il controllo dell'integrità sui pacchetti IPSec. Non consigliamo di utilizzare questa opzione.

 

Tipi di autenticazione supportati in Cisco SD-WAN versione 20.5.1 e versioni precedenti:

•  ah-no-id: abilita una versione migliorata di AH-SHA1 HMAC e ESP HMAC-SHA1 che ignora il campo ID nell'intestazione IP esterna del pacchetto.

•  ah-sha1-hmac: Abilita AH-SHA1 HMAC e ESP HMAC-SHA1.

•  nessuno: selezionare nessuna autenticazione.

•  sha1-hmac: Abilita ESP HMAC-SHA1.

 

Nota              Per un dispositivo periferico in esecuzione su Cisco SD-WAN versione 20.5.1 o precedente, potresti aver configurato i tipi di autenticazione utilizzando un Sicurezza modello. Quando si aggiorna il dispositivo a Cisco SD-WAN versione 20.6.1 o successiva, aggiornare i tipi di autenticazione selezionati nella Sicurezza modello ai tipi di autenticazione supportati da Cisco SD-WAN versione 20.6.1. Per aggiornare i tipi di autenticazione, procedere come segue:

1.      Dal menu Cisco SD-WAN Manager, scegliere Configurazione >

Modelli.

2.      Clic Modelli di funzionalità.

3.      Trova il Sicurezza modello da aggiornare e fare clic... e fare clic Modificare.

4.      Clic Aggiornamento. Non modificare alcuna configurazione.

Cisco SD-WAN Manager aggiorna il Sicurezza modello per visualizzare i tipi di autenticazione supportati.

Fare clic su Salva.

Configura i parametri di sicurezza del piano dati

Nel piano dati, IPsec è abilitato per impostazione predefinita su tutti i router e, per impostazione predefinita, le connessioni tunnel IPsec utilizzano una versione avanzata del protocollo ESP (Encapsulating Security Payload) per l'autenticazione sui tunnel IPsec. Sui router è possibile modificare il tipo di autenticazione, il timer di rekeying IPsec e la dimensione della finestra anti-replay IPsec.

Configura i tipi di autenticazione consentiti

Tipi di autenticazione in Cisco SD-WAN versione 20.6.1 e successive
A partire dalla versione 20.6.1 di Cisco SD-WAN, sono supportati i seguenti tipi di integrità:

  • esp: questa opzione abilita la crittografia Encapsulating Security Payload (ESP) e il controllo dell'integrità sull'intestazione ESP.
  • ip-udp-esp: questa opzione abilita la crittografia ESP. Oltre ai controlli di integrità sull'intestazione ESP e sul payload, i controlli includono anche le intestazioni IP e UDP esterne.
  • ip-udp-esp-no-id: questa opzione è simile a ip-udp-esp, tuttavia, il campo ID dell'intestazione IP esterna viene ignorato. Configurare questa opzione nell'elenco dei tipi di integrità per fare in modo che il software Cisco Catalyst SD-WAN ignori il campo ID nell'intestazione IP in modo che Cisco Catalyst SD-WAN possa funzionare insieme a dispositivi non Cisco.
  • none: questa opzione disattiva il controllo dell'integrità sui pacchetti IPSec. Non consigliamo di utilizzare questa opzione.

Per impostazione predefinita, le connessioni tunnel IPsec utilizzano una versione avanzata del protocollo ESP (Encapsulating Security Payload) per l'autenticazione. Per modificare i tipi di interità negoziati o per disabilitare il controllo di integrità, utilizzare il comando seguente: integrità-tipo { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Tipi di autenticazione prima della versione Cisco SD-WAN 20.6.1
Per impostazione predefinita, le connessioni tunnel IPsec utilizzano una versione avanzata del protocollo ESP (Encapsulating Security Payload) per l'autenticazione. Per modificare i tipi di autenticazione negoziati o per disabilitare l'autenticazione, utilizzare il comando seguente: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Per impostazione predefinita, IPsec le connessioni tunnel utilizzano AES-GCM-256, che fornisce sia crittografia che autenticazione. Configura ciascun tipo di autenticazione con un comando separato per il tipo di autenticazione ipsec di sicurezza. Le opzioni del comando corrispondono ai seguenti tipi di autenticazione, elencati in ordine dal più sicuro al meno sicuro:

Nota
Lo sha1 nelle opzioni di configurazione viene utilizzato per ragioni storiche. Le opzioni di autenticazione indicano la quantità di controllo dell'integrità del pacchetto eseguita. Non specificano l'algoritmo che controlla l'integrità. Ad eccezione della crittografia del traffico multicast, gli algoritmi di autenticazione supportati da Cisco Catalyst SD WAN non utilizzano SHA1. Tuttavia, in Cisco SD-WAN versione 20.1.x e successive, sia unicast che multicast non utilizzano SHA1.

  • ah-sha1-hmac abilita la crittografia e l'incapsulamento utilizzando ESP. Tuttavia, oltre ai controlli di integrità sull'intestazione ESP e sul payload, i controlli includono anche le intestazioni IP e UDP esterne. Pertanto, questa opzione supporta un controllo di integrità del pacchetto simile al protocollo Authentication Header (AH). Tutta l'integrità e la crittografia vengono eseguite utilizzando AES-256-GCM.
  • ah-no-id abilita una modalità simile a ah-sha1-hmac, tuttavia, il campo ID dell'intestazione IP esterna viene ignorato. Questa opzione è compatibile con alcuni dispositivi SD-WAN non Cisco Catalyst, incluso Apple AirPort Express NAT, che presentano un bug che causa la modifica del campo ID nell'intestazione IP, un campo non modificabile. Configurare l'opzione ah-no-id nell'elenco dei tipi di autenticazione per fare in modo che il software Cisco Catalyst SD-WAN AH ignori il campo ID nell'intestazione IP in modo che il software Cisco Catalyst SD-WAN possa funzionare insieme a questi dispositivi.
  • sha1-hmac abilita la crittografia ESP e il controllo dell'integrità.
  • nessuno corrisponde a nessuna autenticazione. Questa opzione deve essere utilizzata solo se è necessaria per il debug temporaneo. Puoi anche scegliere questa opzione in situazioni in cui l'autenticazione e l'integrità del piano dati non sono un problema. Cisco sconsiglia l'utilizzo di questa opzione per le reti di produzione.

Per informazioni su quali campi del pacchetto dati sono interessati da questi tipi di autenticazione, vedere Integrità del piano dati. I dispositivi Cisco IOS XE Catalyst SD-WAN e i dispositivi Cisco vEdge pubblicizzano i tipi di autenticazione configurati nelle proprietà TLOC. I due router su entrambi i lati di una connessione tunnel IPsec negoziano l'autenticazione da utilizzare nella connessione tra di loro, utilizzando il tipo di autenticazione più potente configurato su entrambi i router. Per esample, se un router pubblicizza i tipi ah-sha1-hmac e ah-no-id e un secondo router pubblicizza il tipo ah-no-id, i due router negoziano per utilizzare ah-no-id sulla connessione tunnel IPsec tra loro. Se sui due peer non sono configurati tipi di autenticazione comuni, tra loro non verrà stabilito alcun tunnel IPsec. L'algoritmo di crittografia sulle connessioni tunnel IPsec dipende dal tipo di traffico:

  • Per il traffico unicast, l'algoritmo di crittografia è AES-256-GCM.
  • Per il traffico multicast:
  • Cisco SD-WAN versione 20.1.x e successive: l'algoritmo di crittografia è AES-256-GCM
  • Versioni precedenti: l'algoritmo di crittografia è AES-256-CBC con SHA1-HMAC.

Quando viene modificato il tipo di autenticazione IPsec, viene modificata la chiave AES per il percorso dati.

Modificare il timer di riprogrammazione

Prima che i dispositivi Cisco IOS XE Catalyst SD-WAN e i dispositivi Cisco vEdge possano scambiare traffico dati, configurano tra loro un canale di comunicazione sicuro e autenticato. I router utilizzano tunnel IPSec tra loro come canale e la crittografia AES-256 per eseguire la crittografia. Ogni router genera periodicamente una nuova chiave AES per il proprio percorso dati. Per impostazione predefinita, una chiave è valida per 86400 secondi (24 ore) e l'intervallo del timer è compreso tra 10 secondi e 1209600 secondi (14 giorni). Per modificare il valore del timer di rekey: Device(config)# security ipsec rekey secondi La configurazione è simile alla seguente:

  • sicurezza ipsec rekey secondi!

Se vuoi generare subito nuove chiavi IPsec, puoi farlo senza modificare la configurazione del router. Per fare ciò, emetti il ​​comando request security ipsecrekey sul router compromesso. Per esample, il seguente output mostra che la SA locale ha un indice dei parametri di sicurezza (SPI) di 256:CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-4

Ad ogni SPI è associata una chiave univoca. Se questa chiave è compromessa, utilizza il comando request security ipsec-rekey per generare immediatamente una nuova chiave. Questo comando incrementa l'SPI. Nel nostro example, l'SPI cambia in 257 e la chiave ad esso associata viene ora utilizzata:

  • Il dispositivo n. richiede la chiave ipsecrekey di sicurezza
  • Dispositivo# mostra ipsec local-sa

CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-5

Dopo che la nuova chiave è stata generata, il router la invia immediatamente ai controller Cisco SD-WAN utilizzando DTLS o TLS. I controller Cisco SD-WAN inviano la chiave ai router peer. I router iniziano a utilizzarlo non appena lo ricevono. Tieni presente che la chiave associata al vecchio SPI (256) continuerà a essere utilizzata per un breve periodo fino allo scadere del tempo. Per interrompere immediatamente l'utilizzo della vecchia chiave, eseguire due volte il comando request security ipsec-rekey, in rapida successione. Questa sequenza di comandi rimuove sia SPI 256 che 257 e imposta SPI su 258. Il router utilizza quindi la chiave associata di SPI 258. Si noti, tuttavia, che alcuni pacchetti verranno eliminati per un breve periodo di tempo finché tutti i router remoti non apprendono la nuova chiave.CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-6

Modifica la dimensione della finestra Anti-Replay

L'autenticazione IPsec fornisce protezione anti-replay assegnando un numero di sequenza univoco a ciascun pacchetto in un flusso di dati. Questa numerazione in sequenza protegge da un utente malintenzionato che duplica i pacchetti di dati. Con la protezione anti-replay, il mittente assegna numeri di sequenza crescenti in modo monotono e la destinazione controlla questi numeri di sequenza per rilevare i duplicati. Poiché i pacchetti spesso non arrivano in ordine, la destinazione mantiene una finestra scorrevole di numeri di sequenza che accetterà.CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-7

I pacchetti con numeri di sequenza che si trovano a sinistra dell'intervallo della finestra scorrevole sono considerati vecchi o duplicati e la destinazione li elimina. La destinazione tiene traccia del numero di sequenza più alto che ha ricevuto e regola la finestra scorrevole quando riceve un pacchetto con un valore più alto.CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-8

Per impostazione predefinita, la finestra scorrevole è impostata su 512 pacchetti. Può essere impostato su qualsiasi valore compreso tra 64 e 4096 ovvero una potenza di 2 (ovvero 64, 128, 256, 512, 1024, 2048 o 4096). Per modificare la dimensione della finestra anti-replay, utilizzare il comando replay-window, specificando la dimensione della finestra:

Dispositivo(config)# numero della finestra di riproduzione ipsec di sicurezza

La configurazione è simile alla seguente:
numero della finestra di riproduzione ipsec di sicurezza ! !

Per facilitare la QoS, vengono mantenute finestre di replay separate per ciascuno dei primi otto canali di traffico. La dimensione della finestra di riproduzione configurata è divisa per otto per ciascun canale. Se QoS è configurato su un router, quel router potrebbe riscontrare un numero di pacchetti persi maggiore del previsto come risultato del meccanismo anti-replay IPsec e molti dei pacchetti persi sono quelli legittimi. Ciò si verifica perché QoS riordina i pacchetti, dando un trattamento preferenziale ai pacchetti con priorità più alta e ritardando quelli con priorità più bassa. Per ridurre al minimo o prevenire questa situazione, è possibile effettuare le seguenti operazioni:

  • Aumenta la dimensione della finestra anti-replay.
  • Progettare il traffico sui primi otto canali di traffico per garantire che il traffico all'interno di un canale non venga riordinato.

Configura tunnel IPsec abilitati per IKE
Per trasferire in modo sicuro il traffico dalla rete overlay a una rete di servizio, è possibile configurare tunnel IPsec che eseguono il protocollo Internet Key Exchange (IKE). I tunnel IPsec abilitati per IKE forniscono autenticazione e crittografia per garantire il trasporto sicuro dei pacchetti. Puoi creare un tunnel IPsec abilitato per IKE configurando un'interfaccia IPsec. Le interfacce IPsec sono interfacce logiche e puoi configurarle proprio come qualsiasi altra interfaccia fisica. Puoi configurare i parametri del protocollo IKE sull'interfaccia IPsec ed è possibile configurare altre proprietà dell'interfaccia.

Nota Cisco consiglia di utilizzare IKE versione 2. Dalla versione Cisco SD-WAN 19.2.x in poi, la chiave precondivisa deve avere una lunghezza di almeno 16 byte. La creazione del tunnel IPsec non riesce se la dimensione della chiave è inferiore a 16 caratteri quando il router viene aggiornato alla versione 19.2.

Nota
Il software Cisco Catalyst SD-WAN supporta IKE versione 2 come definito nella RFC 7296. Un utilizzo dei tunnel IPsec è consentire alle istanze VM del router vEdge Cloud in esecuzione su Amazon AWS di connettersi al cloud privato virtuale (VPC) di Amazon. È necessario configurare IKE versione 1 su questi router. I dispositivi Cisco vEdge supportano solo VPN basate su route in una configurazione IPSec poiché questi dispositivi non possono definire selettori di traffico nel dominio di crittografia.

Configura un tunnel IPsec
Per configurare un'interfaccia tunnel IPsec per il traffico di trasporto sicuro da una rete di servizio, creare un'interfaccia IPsec logica:CISCO-SD-WAN-Configura-Parametri-di-sicurezza-FIG-9

È possibile creare il tunnel IPsec nella VPN di trasporto (VPN 0) e in qualsiasi VPN di servizio (VPN da 1 a 65530, tranne 512). L'interfaccia IPsec ha un nome nel formato ipsecnumber, dove il numero può essere compreso tra 1 e 255. Ciascuna interfaccia IPsec deve avere un indirizzo IPv4. Questo indirizzo deve essere un prefisso /30. Tutto il traffico nella VPN compreso in questo prefisso IPv4 viene indirizzato a un'interfaccia fisica nella VPN 0 per essere inviato in modo sicuro tramite un tunnel IPsec. Per configurare l'origine del tunnel IPsec sul dispositivo locale, è possibile specificare l'indirizzo IP di l'interfaccia fisica (nel comando tunnel-source) o il nome dell'interfaccia fisica (nel comando tunnel-source-interface). Assicurarsi che l'interfaccia fisica sia configurata in VPN 0. Per configurare la destinazione del tunnel IPsec, specificare l'indirizzo IP del dispositivo remoto nel comando tunnel-destination. La combinazione di un indirizzo di origine (o nome dell'interfaccia di origine) e un indirizzo di destinazione definisce un singolo tunnel IPsec. Può esistere un solo tunnel IPsec che utilizza una specifica coppia di indirizzo di origine (o nome di interfaccia) e indirizzo di destinazione.

Configurare un percorso statico IPsec

Per indirizzare il traffico dalla VPN del servizio a un tunnel IPsec nella VPN di trasporto (VPN 0), configura una route statica specifica di IPsec in una VPN del servizio (una VPN diversa da VPN 0 o VPN 512):

  • vEdge(config)# vpn id-vpn
  • vEdge(config-vpn)# ip ipsec-route prefisso/lunghezza interfaccia vpn 0
  • numero ipsec [numero ipsec2]

L'ID VPN è quello di qualsiasi servizio VPN (VPN da 1 a 65530, tranne 512). prefisso/lunghezza è l'indirizzo IP o il prefisso, in notazione decimale puntata in quattro parti, e la lunghezza del prefisso della route statica specifica di IPsec. L'interfaccia è l'interfaccia tunnel IPsec in VPN 0. È possibile configurare una o due interfacce tunnel IPsec. Se ne configuri due, il primo è il tunnel IPsec primario e il secondo è il backup. Con due interfacce, tutti i pacchetti vengono inviati solo al tunnel primario. Se il tunnel fallisce, tutti i pacchetti vengono inviati al tunnel secondario. Se il tunnel primario ritorna attivo, tutto il traffico viene spostato nuovamente nel tunnel IPsec primario.

Abilita IKE versione 1
Quando crei un tunnel IPsec su un router vEdge, IKE versione 1 è abilitata per impostazione predefinita sull'interfaccia del tunnel. Anche le seguenti proprietà sono abilitate per impostazione predefinita per IKEv1:

  • Autenticazione e crittografia: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità
  • Numero del gruppo Diffie-Hellman: 16
  • Intervallo di tempo per la riprogrammazione: 4 ore
  • Modalità di creazione SA: Principale

Per impostazione predefinita, IKEv1 utilizza la modalità principale IKE per stabilire le SA IKE. In questa modalità vengono scambiati sei pacchetti di negoziazione per stabilire la SA. Per scambiare solo tre pacchetti di negoziazione, abilitare la modalità aggressiva:

Nota
La modalità aggressiva IKE con chiavi precondivise dovrebbe essere evitata ove possibile. Altrimenti dovrebbe essere scelta una chiave precondivisa forte.

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec ike
  • vEdge(config-ike)# modalità aggressiva

Per impostazione predefinita, IKEv1 utilizza il gruppo Diffie-Hellman 16 nello scambio di chiavi IKE. Questo gruppo utilizza il gruppo MODP (More Modular Exponential) a 4096 bit durante lo scambio di chiavi IKE. È possibile modificare il numero del gruppo su 2 (per MODP a 1024 bit), 14 (MODP a 2048 bit) o ​​15 (MODP a 3072 bit):

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec ike
  • vEdge(config-ike)# numero del gruppo

Per impostazione predefinita, lo scambio di chiavi IKE utilizza la crittografia CBC standard di crittografia avanzata AES-256 con l'algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità. Puoi modificare l'autenticazione:

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec ike
  • vEdge(config-ike)# suite di crittografia

La suite di autenticazione può essere una delle seguenti:

  • aes128-cbc-sha1: crittografia CBC standard di crittografia avanzata AES-128 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità
  • aes128-cbc-sha2: crittografia CBC standard di crittografia avanzata AES-128 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA256 per l'integrità
  • aes256-cbc-sha1: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità; questa è l'impostazione predefinita.
  • aes256-cbc-sha2: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA256 per l'integrità

Per impostazione predefinita, le chiavi IKE vengono aggiornate ogni ora (1 secondi). È possibile modificare l'intervallo di ricodifica su un valore compreso tra 3600 secondi e 30 giorni (14 secondi). Si consiglia che l'intervallo di riprogrammazione sia di almeno 1209600 ora.

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec simile
  • vEdge(config-ike)# rekey secondi

Per forzare la generazione di nuove chiavi per una sessione IKE, emettere il comando request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfacciaipsec numero ike

Per IKE, puoi anche configurare l'autenticazione con chiave precondivisa (PSK):

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec ike
  • vEdge(config-ike)# tipo di autenticazione password pre-condivisa pre-condivisa-segreta password è la password da utilizzare con la chiave precondivisa. Può essere una stringa ASCII o esadecimale lunga da 1 a 127 caratteri.

Se il peer IKE remoto richiede un ID locale o remoto, puoi configurare questo identificatore:

  • vEdge(config)# vpn vpn-id interfaccia numero ipsec ike tipo di autenticazione
  • vEdge(tipo-autenticazione-config)# id-locale
  • vEdge(tipo-autenticazione-config)# ID-remoto

L'identificatore può essere un indirizzo IP o qualsiasi stringa di testo lunga da 1 a 63 caratteri. Per impostazione predefinita, l'ID locale è l'indirizzo IP di origine del tunnel e l'ID remoto è l'indirizzo IP di destinazione del tunnel.

Abilita IKE versione 2
Quando configuri un tunnel IPsec per utilizzare IKE versione 2, anche le seguenti proprietà sono abilitate per impostazione predefinita per IKEv2:

  • Autenticazione e crittografia: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità
  • Numero del gruppo Diffie-Hellman: 16
  • Intervallo di tempo per la riprogrammazione: 4 ore

Per impostazione predefinita, IKEv2 utilizza il gruppo Diffie-Hellman 16 nello scambio di chiavi IKE. Questo gruppo utilizza il gruppo MODP (More Modular Exponential) a 4096 bit durante lo scambio di chiavi IKE. È possibile modificare il numero del gruppo su 2 (per MODP a 1024 bit), 14 (MODP a 2048 bit) o ​​15 (MODP a 3072 bit):

  • vEdge(config)# vpn vpn-id interfaccia ipsecnumber ike
  • vEdge(config-ike)# numero del gruppo

Per impostazione predefinita, lo scambio di chiavi IKE utilizza la crittografia CBC standard di crittografia avanzata AES-256 con l'algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità. Puoi modificare l'autenticazione:

  • vEdge(config)# vpn vpn-id interfaccia ipsecnumber ike
  • vEdge(config-ike)# suite di crittografia

La suite di autenticazione può essere una delle seguenti:

  • aes128-cbc-sha1: crittografia CBC standard di crittografia avanzata AES-128 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità
  • aes128-cbc-sha2: crittografia CBC standard di crittografia avanzata AES-128 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA256 per l'integrità
  • aes256-cbc-sha1: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA1 per l'integrità; questa è l'impostazione predefinita.
  • aes256-cbc-sha2: crittografia CBC standard di crittografia avanzata AES-256 con algoritmo del codice di autenticazione del messaggio con hash con chiave HMAC-SHA256 per l'integrità

Per impostazione predefinita, le chiavi IKE vengono aggiornate ogni 4 ore (14,400 secondi). È possibile modificare l'intervallo di ricodifica su un valore compreso tra 30 secondi e 14 giorni (1209600 secondi):

  • vEdge(config)# vpn vpn-id interfaccia ipsecnumber ike
  • vEdge(config-ike)# rekey secondi

Per forzare la generazione di nuove chiavi per una sessione IKE, emettere il comando request ipsec ike-rekey. Per IKE, puoi anche configurare l'autenticazione con chiave precondivisa (PSK):

  • vEdge(config)# vpn vpn-id interfaccia ipsecnumber ike
  • vEdge(config-ike)# tipo di autenticazione password pre-condivisa pre-condivisa-segreta password è la password da utilizzare con la chiave precondivisa. Può essere una stringa ASCII o esadecimale oppure una chiave crittografata AES. Se il peer IKE remoto richiede un ID locale o remoto, puoi configurare questo identificatore:
  • vEdge(config)# vpn vpn-id interfaccia numero ipsec tipo di autenticazione ike
  • vEdge(tipo-autenticazione-config)# id-locale
  • vEdge(tipo-autenticazione-config)# ID-remoto

L'identificatore può essere un indirizzo IP o qualsiasi stringa di testo lunga da 1 a 64 caratteri. Per impostazione predefinita, l'ID locale è l'indirizzo IP di origine del tunnel e l'ID remoto è l'indirizzo IP di destinazione del tunnel.

Configura i parametri del tunnel IPsec

Tabella 4: Cronologia delle funzionalità

Caratteristica Nome Informazioni sulla versione Descrizione
Crittografia aggiuntiva Cisco SD-WAN versione 20.1.1 Questa funzionalità aggiunge il supporto per
Supporto algoritmico per IPSec   HMAC_SHA256, HMAC_SHA384 e
Tunnel   Algoritmi HMAC_SHA512 per
    maggiore sicurezza.

Per impostazione predefinita, sul tunnel IPsec che trasporta il traffico IKE vengono utilizzati i seguenti parametri:

  • Autenticazione e crittografia: algoritmo AES-256 in GCM (modalità Galois/contatore)
  • Intervallo di riprogrammazione: 4 ore
  • Finestra di riproduzione: 32 pacchetti

È possibile modificare la crittografia sul tunnel IPsec con la crittografia AES-256 in CBC (modalità di concatenamento di blocchi di crittografia, con HMAC che utilizza l'autenticazione del messaggio con hash con chiave SHA-1 o SHA-2 o su null con HMAC utilizzando SHA-1 o Autenticazione del messaggio con hash con chiave SHA-2, per non crittografare il tunnel IPsec utilizzato per il traffico di scambio di chiavi IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# suite di crittografia (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Per impostazione predefinita, le chiavi IKE vengono aggiornate ogni 4 ore (14,400 secondi). È possibile modificare l'intervallo di ricodifica su un valore compreso tra 30 secondi e 14 giorni (1209600 secondi):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# reimposta i secondi

Per forzare la generazione di nuove chiavi per un tunnel IPsec, emettere il comando request ipsec ipsec-rekey. Per impostazione predefinita, sui tunnel IPsec è abilitata la Perfect Forward Secrecy (PFS), per garantire che le sessioni passate non vengano influenzate nel caso in cui le chiavi future vengano compromesse. PFS impone un nuovo scambio di chiavi Diffie-Hellman, per impostazione predefinita utilizzando il gruppo di moduli prime Diffie-Hellman a 4096 bit. È possibile modificare l'impostazione PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# impostazione pfs Perfect-Forward-Secrecy

L'impostazione pfs può essere una delle seguenti:

  • group-2: utilizza il gruppo del modulo primo Diffie-Hellman a 1024 bit.
  • group-14: utilizza il gruppo del modulo primo Diffie-Hellman a 2048 bit.
  • group-15: utilizza il gruppo del modulo primo Diffie-Hellman a 3072 bit.
  • group-16: utilizza il gruppo del modulo primo Diffie-Hellman a 4096 bit. Questa è l'impostazione predefinita.
  • nessuno: disabilita PFS.

Per impostazione predefinita, la finestra di riproduzione IPsec sul tunnel IPsec è di 512 byte. È possibile impostare la dimensione della finestra di riproduzione su 64, 128, 256, 512, 1024, 2048 o 4096 pacchetti:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# numero della finestra di riproduzione

Modifica il rilevamento dei peer inattivi IKE

IKE utilizza un meccanismo di rilevamento dei peer inattivi per determinare se la connessione a un peer IKE è funzionale e raggiungibile. Per implementare questo meccanismo, IKE invia un pacchetto Hello al suo peer e il peer invia un riconoscimento in risposta. Per impostazione predefinita, IKE invia pacchetti Hello ogni 10 secondi e, dopo tre pacchetti non riconosciuti, IKE dichiara morto il vicino e interrompe il tunnel verso il peer. Successivamente, IKE invia periodicamente un pacchetto Hello al peer e ristabilisce il tunnel quando il peer torna online. È possibile modificare l'intervallo di rilevamento dell'attività su un valore compreso tra 0 e 65535 ed è possibile modificare il numero di tentativi su un valore compreso tra 0 e 255.

Nota

Per le VPN di trasporto, l'intervallo di rilevamento dell'attività viene convertito in secondi utilizzando la seguente formula: Intervallo per il numero di tentativi di ritrasmissione N = intervallo * 1.8N-1Per es.ample, se l'intervallo è impostato su 10 e i tentativi su 5, l'intervallo di rilevamento aumenta come segue:

  • Tentativo 1: 10 * 1.81-1= 10 secondi
  • Tentativo 2: 10 * 1.82-1= 18 secondi
  • Tentativo 3: 10 * 1.83-1= 32.4 secondi
  • Tentativo 4: 10 * 1.84-1= 58.32 secondi
  • Tentativo 5: 10 * 1.85-1= 104.976 secondi

vEdge(config-interface-ipsecnumber)# numero di tentativi dell'intervallo di rilevamento peer inattivo

Configura altre proprietà dell'interfaccia

Per le interfacce tunnel IPsec è possibile configurare solo le seguenti proprietà aggiuntive dell'interfaccia:

  • vEdge(config-interface-ipsec)# mtu byte
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Disabilita gli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager

Tabella 5: tabella della cronologia delle funzionalità

Caratteristica Nome Informazioni sulla versione Caratteristica Descrizione
Disabilita gli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager Cisco vManage versione 20.9.1 Questa funzionalità consente di disabilitare gli algoritmi SSH più deboli su Cisco SD-WAN Manager che potrebbero non essere conformi a determinati standard di sicurezza dei dati.

Informazioni sulla disabilitazione degli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager
Cisco SD-WAN Manager fornisce un client SSH per la comunicazione con i componenti della rete, inclusi controller e dispositivi edge. Il client SSH fornisce una connessione crittografata per un trasferimento sicuro dei dati, basata su una varietà di algoritmi di crittografia. Molte organizzazioni richiedono una crittografia più potente di quella fornita da SHA-1, AES-128 e AES-192. Da Cisco vManage versione 20.9.1, è possibile disabilitare i seguenti algoritmi di crittografia più deboli in modo che un client SSH non utilizzi questi algoritmi:

  • SHA-1
  • AES-128
  • AES-192

Prima di disabilitare questi algoritmi di crittografia, assicurarsi che i dispositivi Cisco vEdge, se presenti, nella rete utilizzino una versione del software successiva alla versione Cisco SD-WAN 18.4.6.

Vantaggi della disattivazione degli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager
La disabilitazione degli algoritmi di crittografia SSH più deboli migliora la sicurezza delle comunicazioni SSH e garantisce che le organizzazioni che utilizzano Cisco Catalyst SD-WAN siano conformi a rigorose norme di sicurezza.

Disabilitare gli algoritmi di crittografia SSH deboli su Cisco SD-WAN Manager utilizzando la CLI

  1. Dal menu Cisco SD-WAN Manager, scegliere Strumenti > Terminale SSH.
  2. Scegli il dispositivo Cisco SD-WAN Manager su cui desideri disabilitare gli algoritmi SSH più deboli.
  3. Inserisci il nome utente e la password per accedere al dispositivo.
  4. Accedi alla modalità server SSH.
    • vmanage(config)# sistema
    • vmanage(config-system)# ssh-server
  5. Effettuare una delle seguenti operazioni per disabilitare un algoritmo di crittografia SSH:
    • Disabilita SHA-1:
  6. gestire(config-ssh-server)# no kex-algo sha1
  7. gestire(config-ssh-server)# commit
    Viene visualizzato il seguente messaggio di avviso: Sono stati generati i seguenti avvisi: "system ssh-server kex-algo sha1": ATTENZIONE: assicurarsi che tutti i bordi eseguano la versione del codice > 18.4.6 che negozia meglio di SHA1 con vManage. Altrimenti questi bordi potrebbero diventare offline. Procedere? [sì, no] sì
    • Assicurarsi che tutti i dispositivi Cisco vEdge nella rete eseguano Cisco SD-WAN versione 18.4.6 o successiva e inserire sì.
    • Disabilita AES-128 e AES-192:
    • vmanage(config-ssh-server)# nessun codice aes-128-192
    • vmanage(config-ssh-server)# commit
      Viene visualizzato il seguente messaggio di avviso:
      Sono stati generati i seguenti avvisi:
      'system ssh-server cipher aes-128-192': ATTENZIONE: assicurati che tutti i tuoi bordi eseguano la versione del codice > 18.4.6 che negozia meglio di AES-128-192 con vManage. Altrimenti questi bordi potrebbero diventare offline. Procedere? [sì, no] sì
    • Assicurarsi che tutti i dispositivi Cisco vEdge nella rete eseguano Cisco SD-WAN versione 18.4.6 o successiva e inserire sì.

Verificare che gli algoritmi di crittografia SSH deboli siano disabilitati su Cisco SD-WAN Manager utilizzando la CLI

  1. Dal menu Cisco SD-WAN Manager, scegliere Strumenti > Terminale SSH.
  2. Seleziona il dispositivo Cisco SD-WAN Manager che desideri verificare.
  3. Inserisci il nome utente e la password per accedere al dispositivo.
  4. Eseguire il comando seguente: show running-config system ssh-server
  5. Conferma che l'output mostri uno o più comandi che disabilitano gli algoritmi di crittografia più deboli:
    • nessun codice aes-128-192
    • no kex-algo sha1

Documenti / Risorse

CISCO SD-WAN Configura i parametri di sicurezza [pdf] Guida utente
SD-WAN Configura parametri di sicurezza, SD-WAN, Configura parametri di sicurezza, Parametri di sicurezza

Riferimenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *