Isine ndhelikake
1 CISCO SD-WAN Ngatur Parameter Keamanan
2 Ngatur Parameter Keamanan
3 Ngatur Parameter Keamanan Pesawat Kontrol
4 Ngatur DTLS ing Cisco SD-WAN Manager
5 Ngatur Parameter Keamanan Data Plane
6 Konfigurasi Jinis Otentikasi sing Diidini
7 Ngganti Timer Rekeying
8 Ngganti Ukuran Jendela Anti-Replay
9 Konfigurasi Rute Statis IPsec
10 Konfigurasi Parameter Tunnel IPsec
11 Ngowahi IKE Dead-Peer Detection
12 Konfigurasi Properties Antarmuka Liyane
13 Pateni Algoritma Enkripsi SSH Lemah ing Manager Cisco SD-WAN
14 Dokumen / Sumber Daya
14.1 Referensi

CISCO-LOGO

CISCO SD-WAN Ngatur Parameter Keamanan

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Ngatur Parameter Keamanan

Cathetan

Kanggo nyederhanakake lan konsistensi, wis solusi Cisco SD-WAN rebranded minangka Cisco Catalyst SD-WAN. Kajaba iku, saka Cisco IOS XE SD-WAN Release 17.12.1a lan Cisco Catalyst SD-WAN Release 20.12.1, owah-owahan komponen ing ngisor iki ditrapake: Cisco vManage kanggo Cisco Catalyst SD-WAN Manager, Cisco vAnalytics kanggo Cisco Catalyst SD-WAN. Analytics, Cisco vBond kanggo Cisco Catalyst SD-WAN Validator, lan Cisco vSmart kanggo Cisco Catalyst SD-WAN Controller. Deleng Cathetan Rilis paling anyar kanggo dhaptar lengkap kabeh owah-owahan jeneng merek komponen. Nalika kita pindhah menyang jeneng anyar, sawetara inconsistencies bisa uga ana ing set dokumentasi amarga pendekatan bertahap kanggo nganyari antarmuka panganggo produk piranti lunak.

bagean iki njlèntrèhaké carane ngganti paramèter keamanan kanggo bidang kontrol lan bidang data ing jaringan overlay Cisco Catalyst SD-WAN.

  • Konfigurasi Control Plane Security Parameters, ing
  • Ngatur Parameter Keamanan Data Plane, ing
  • Konfigurasi IKE-Enabled IPsec Tunnels, on
  • Pateni Algoritma Enkripsi SSH Lemah ing Cisco SD-WAN Manager, ing

Ngatur Parameter Keamanan Pesawat Kontrol

Kanthi gawan, pesawat kontrol nggunakake DTLS minangka protokol sing nyedhiyakake privasi ing kabeh trowongan. DTLS mlaku liwat UDP. Sampeyan bisa ngganti protokol keamanan pesawat kontrol menyang TLS, sing nganggo TCP. Alesan utama kanggo nggunakake TLS yaiku, yen sampeyan nganggep Cisco SD-WAN Controller minangka server, firewall nglindhungi server TCP luwih apik tinimbang server UDP. Sampeyan ngatur protokol terowongan pesawat kontrol ing Cisco SD-WAN Controller: vSmart (config) # protokol kontrol keamanan tls Kanthi owah-owahan iki, kabeh kontrol trowongan bidang antarane Cisco SD-WAN Controller lan router lan antarane Cisco SD-WAN Controller. lan Cisco SD-WAN Manager nggunakake TLS. Tunnel bidang Control kanggo Cisco Catalyst SD-WAN Validator tansah nggunakake DTLS, amarga sambungan iki kudu ditangani dening UDP. Ing domain karo macem-macem Cisco SD-WAN Controllers, nalika sampeyan ngatur TLS ing salah siji saka Cisco SD-WAN Controllers, kabeh kontrol trowongan bidang saka controller kanggo controller liyane nggunakake TLS. Ngandika cara liyane, TLS tansah njupuk precedence saka DTLS. Nanging, saka perspektif saka Cisco SD-WAN Controller liyane, yen sampeyan wis ora ngatur TLS ing wong, padha nggunakake TLS ing trowongan pesawat kontrol mung siji Cisco SD-WAN Controller, lan padha nggunakake DTLS trowongan kanggo kabeh liyane. Cisco SD-WAN Controllers lan kanggo kabeh router sing disambungake. Kanggo kabeh Cisco SD-WAN Controllers nggunakake TLS, ngatur ing kabeh mau. Kanthi gawan, Cisco SD-WAN Controller ngrungokake ing port 23456 kanggo panjalukan TLS. Kanggo ngganti iki: vSmart (config) # kontrol keamanan nomer tls-port Port bisa dadi nomer saka 1025 kanggo 65535. Kanggo informasi keamanan pesawat kontrol tampilan, nggunakake printah sambungan kontrol show ing Cisco SD-WAN Controller. Kanggo example: vSmart-2 # nuduhake sambungan kontrol

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Ngatur DTLS ing Cisco SD-WAN Manager

Yen sampeyan ngatur Cisco SD-WAN Manager kanggo nggunakake TLS minangka protokol keamanan pesawat kontrol, sampeyan kudu ngaktifake port Terusake ing NAT Panjenengan. Yen sampeyan nggunakake DTLS minangka protokol keamanan pesawat kontrol, sampeyan ora perlu nindakake apa-apa. Jumlah bandar diterusake gumantung ing nomer pangolahan vdaemon mlaku ing Cisco SD-WAN Manager. Kanggo nampilake informasi babagan proses kasebut lan babagan lan jumlah port sing diterusake, gunakake printah ringkesan kontrol show nuduhake yen papat proses daemon lagi mlaku:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Kanggo ndeleng port ngrungokake, gunakake perintah show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Output iki nuduhake yen port TCP ngrungokake 23456. Yen sampeyan mbukak Cisco SD-WAN Manager konco NAT, sampeyan kudu mbukak ing ngisor iki bandar ing piranti NAT:

  • 23456 (basis – conto 0 port)
  • 23456 + 100 (basa + 100)
  • 23456 + 200 (basa + 200)
  • 23456 + 300 (basa + 300)

Elinga yen jumlah kedadean padha karo nomer intine sing wis diutus kanggo Cisco SD-WAN Manager, nganti maksimum 8.

Konfigurasi Parameter Keamanan Nggunakake Cithakan Fitur Keamanan

Gunakake cithakan fitur Keamanan kanggo kabeh piranti Cisco vEdge. Ing router pinggiran lan ing Cisco SD-WAN Validator, nggunakake cithakan iki kanggo ngatur IPsec kanggo keamanan pesawat data. Ing Cisco SD-WAN Manager lan Cisco SD-WAN Controller, nggunakake Cithakan fitur Keamanan kanggo ngatur DTLS utawa TLS kanggo keamanan pesawat kontrol.

Ngatur Parameter Keamanan

  1. Saka menu Cisco SD-WAN Manager, pilih Konfigurasi > Cithakan.
  2. Klik Feature Templates banjur klik Add Template.
    Cathetan Ing Cisco vManage Release 20.7.1 lan rilis sadurungé, Cithakan Fitur disebut Fitur.
  3. Saka dhaptar Piranti ing panel kiwa, pilih piranti. Cithakan sing ditrapake kanggo piranti sing dipilih katon ing panel tengen.
  4. Klik Keamanan kanggo mbukak cithakan.
  5. Ing lapangan Jeneng Cithakan, ketik jeneng kanggo cithakan. Jeneng kasebut bisa nganti 128 karakter lan mung bisa ngemot karakter alfanumerik.
  6. Ing kolom Katrangan Cithakan, ketik katrangan saka cithakan. Katrangan bisa nganti 2048 karakter lan mung bisa ngemot karakter alfanumerik.

Nalika sampeyan mbukak cithakan fitur pisanan, kanggo saben parameter sing nduweni nilai standar, ruang lingkup disetel menyang Default (dituduhake kanthi tandha centhang), lan setelan utawa nilai standar ditampilake. Kanggo ngganti standar utawa ngetik nilai, klik menu tarik-mudhun ruang lingkup ing sisih kiwa kolom parameter banjur pilih salah siji saka ing ngisor iki:

Tabel 1:

Paramèter Cakupan Cakupan Katrangan
Spesifik Piranti (dituduhake dening lambang host) Gunakake nilai khusus piranti kanggo parameter kasebut. Kanggo paramèter khusus piranti, sampeyan ora bisa ngetik nilai ing cithakan fitur. Sampeyan ngetik nilai nalika masang piranti Viptela menyang cithakan piranti.

Nalika sampeyan ngeklik Piranti Spesifik, kothak Enter Key mbukak. Kothak iki nampilake kunci, yaiku senar unik sing ngenali parameter ing CSV file sing nggawe. Iki file minangka spreadsheet Excel sing ngemot siji kolom kanggo saben tombol. Baris header ngemot jeneng kunci (siji tombol saben kolom), lan saben baris sawise iku cocog karo piranti lan nemtokake nilai tombol kanggo piranti kasebut. Sampeyan ngunggah CSV file nalika sampeyan masang piranti Viptela menyang cithakan piranti. Kanggo informasi luwih lengkap, waca Nggawe Spreadsheet Variabel Cithakan.

Kanggo ngganti tombol standar, ketik string anyar lan pindhah kursor metu saka kothak Enter Key.

ExampParameter khusus piranti yaiku alamat IP sistem, jeneng host, lokasi GPS, lan ID situs.
Paramèter Cakupan Cakupan Katrangan
Global (dituduhake dening lambang globe) Ketik nilai kanggo parameter, lan aplikasi nilai kasebut ing kabeh piranti.

ExampParamèter sing bisa ditrapake sacara global menyang klompok piranti yaiku server DNS, server syslog, lan antarmuka MTU.

Konfigurasi Control Plane Security

Cathetan
Bagean Konfigurasi Control Plane Security ditrapake kanggo Cisco SD-WAN Manager lan Cisco SD-WAN Controller mung. lan atur paramèter ing ngisor iki:

Tabel 2:

Paramèter jeneng Katrangan
Protokol Pilih protokol sing digunakake ing sambungan pesawat kontrol menyang Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Iki minangka standar.

• TLS (Transport Layer Security)
Kontrol Port TLS Yen sampeyan milih TLS, atur nomer port sing bakal digunakake:Range: 1025 nganti 65535Default: 23456

Klik Simpen

Ngatur Keamanan Data Plane
Kanggo ngatur keamanan pesawat data ing Validator Cisco SD-WAN utawa router Cisco vEdge, pilih tab Konfigurasi Dasar lan Jinis Authentication, lan konfigurasi paramèter ing ngisor iki:

Tabel 3:

Paramèter jeneng Katrangan
Wektu Rekey Nemtokake sepira kerepe router Cisco vEdge ngganti tombol AES digunakake ing sambungan DTLS aman kanggo Cisco SD-WAN Controller. Yen OMP graceful restart diaktifake, wektu rekeying kudu paling sethithik kaping pindho nilai saka OMP graceful restart timer.Range: 10 nganti 1209600 detik (14 dina)Default: 86400 detik (24 jam)
Replay Window Nemtokake ukuran jendhela muter maneh ngusapake.

Nilai: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketDefault: 512 paket
IPsec

pasangan-keying

 Iki dipateni kanthi gawan. Klik On kanggo nguripake.
Paramèter jeneng Katrangan
Tipe Authentication Pilih jinis otentikasi saka Authentication Dhaptar, lan klik panah nuding nengen kanggo mindhah jinis otentikasi menyang Dhaptar sing dipilih kolom.

Jinis otentikasi didhukung saka Cisco SD-WAN Release 20.6.1:

•  esp: Mbisakake enkripsi Encapsulating Security Payload (ESP) lan mriksa integritas ing header ESP.

•  ip-udp-esp: Ngaktifake enkripsi ESP. Saliyane mriksa integritas ing header lan muatan ESP, pamriksa uga kalebu header IP njaba lan UDP.

•  ip-udp-esp-no-id: Nglirwakake lapangan ID ing header IP supaya Cisco Catalyst SD-WAN bisa bebarengan karo piranti non-Cisco.

•  ora ana: Nguripake mriksa integritas ing paket IPSec. Kita ora nyaranake nggunakake pilihan iki.

 

Jinis bukti asli sing didhukung ing Cisco SD-WAN Release 20.5.1 lan sadurungé:

•  ah-ora-id: Aktifake versi AH-SHA1 HMAC lan ESP HMAC-SHA1 sing luwih apik sing ora nggatekake kolom ID ing header IP njaba paket.

•  ah-sha1-hmac: Aktifake AH-SHA1 HMAC lan ESP HMAC-SHA1.

•  ora ana: Pilih ora otentikasi.

•  sha1-hmac: Aktifake ESP HMAC-SHA1.

 

Cathetan              Kanggo piranti pinggiran mlaku ing Cisco SD-WAN Release 20.5.1 utawa sadurungé, sampeyan bisa uga wis ngatur jinis bukti asli nggunakake Keamanan cithakan. Nalika sampeyan nganyarke piranti kanggo Cisco SD-WAN Release 20.6.1 utawa mengko, nganyari jinis bukti asli sing dipilih ing Keamanan Cithakan kanggo jinis bukti asli didhukung saka Cisco SD-WAN Release 20.6.1. Kanggo nganyari jinis otentikasi, tindakake ing ngisor iki:

1.      Saka menu Cisco SD-WAN Manager, pilih Konfigurasi >

Cithakan.

2.      Klik Cithakan Fitur.

3.      Golek sing Keamanan Cithakan kanggo nganyari lan klik ... banjur klik Sunting.

4.      Klik Nganyari. Aja ngowahi konfigurasi apa wae.

Cisco SD-WAN Manager nganyari ing Keamanan Cithakan kanggo nampilake jinis otentikasi sing didhukung.

Klik Simpen.

Ngatur Parameter Keamanan Data Plane

Ing bidang data, IPsec diaktifake kanthi gawan ing kabeh router, lan minangka standar sambungan terowongan IPsec nggunakake versi ditingkatake protokol Encapsulating Security Payload (ESP) kanggo otentikasi ing terowongan IPsec. Ing router, sampeyan bisa ngganti jinis otentikasi, timer rekeying IPsec, lan ukuran jendhela anti-muter maneh IPsec.

Konfigurasi Jinis Otentikasi sing Diidini

Jinis bukti asli ing Cisco SD-WAN Release 20.6.1 lan mengko
Saka Cisco SD-WAN Release 20.6.1, jinis integritas ing ngisor iki didhukung:

  • esp: Opsi iki mbisakake enkripsi Encapsulating Security Payload (ESP) lan mriksa integritas ing header ESP.
  • ip-udp-esp: Opsi iki mbisakake enkripsi ESP. Saliyane mriksa integritas ing header ESP lan payload, mriksa uga kalebu header IP njaba lan UDP.
  • ip-udp-esp-no-id: Pilihan iki padha karo ip-udp-esp, nanging kolom ID saka header IP njaba ora digatekake. Ngatur pilihan iki ing dhaftar jinis integritas kanggo duwe Cisco Catalyst SD-WAN lunak nglirwakake lapangan ID ing header IP supaya Cisco Catalyst SD-WAN bisa dianggo magepokan karo piranti non-Cisco.
  • ora ana: Pilihan iki nguripake integritas mriksa ing paket IPSec. Kita ora nyaranake nggunakake pilihan iki.

Kanthi gawan, sambungan terowongan IPsec nggunakake protokol Encapsulating Security Payload (ESP) versi sing ditingkatake kanggo otentikasi. Kanggo ngowahi jinis interity sing dirundingake utawa mateni mriksa integritas, gunakake printah ing ngisor iki: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Jinis bukti asli Sadurunge Cisco SD-WAN Release 20.6.1
Kanthi gawan, sambungan terowongan IPsec nggunakake protokol Encapsulating Security Payload (ESP) versi sing ditingkatake kanggo otentikasi. Kanggo ngowahi jinis otentikasi sing dirundingake utawa mateni otentikasi, gunakake printah ing ngisor iki: Piranti(config)# keamanan ipsec otentikasi-jinis (ah-sha1-hmac | ah-no-id | sha1-hmac | | ora ana) Kanthi gawan, IPsec sambungan trowongan nggunakake AES-GCM-256, kang nyedhiyani loro enkripsi lan bukti asli. Konfigurasi saben jinis otentikasi kanthi printah jinis otentikasi ipsec keamanan sing kapisah. Opsi printah peta menyang jinis otentikasi ing ngisor iki, sing didaftar saka sing paling kuat nganti paling ora kuwat:

Cathetan
Sha1 ing opsi konfigurasi digunakake kanggo alasan historis. Opsi otentikasi nuduhake sepira pamriksa integritas paket wis rampung. Dheweke ora nemtokake algoritma sing mriksa integritas. Kajaba kanggo enkripsi lalu lintas multicast, algoritma bukti asli sing didhukung dening Cisco Catalyst SD WAN ora nggunakake SHA1. Nanging ing Cisco SD-WAN Release 20.1.x lan sabanjure, loro unicast lan multicast ora nggunakake SHA1.

  • ah-sha1-hmac mbisakake enkripsi lan enkapsulasi nggunakake ESP. Nanging, saliyane mriksa integritas ing header lan muatan ESP, pamriksa uga kalebu header IP lan UDP njaba. Mula, opsi iki ndhukung mriksa integritas paket sing padha karo protokol Authentication Header (AH). Kabeh integritas lan enkripsi ditindakake nggunakake AES-256-GCM.
  • ah-no-id mbisakake mode sing padha karo ah-sha1-hmac, Nanging, lapangan ID saka header IP njaba ora digatèkaké. Pilihan iki accommodates sawetara piranti non-Cisco Catalyst SD-WAN, kalebu Apple AirPort Express NAT, sing duwe bug sing nyebabake kolom ID ing header IP, lapangan non-mutable, diowahi. Ngatur pilihan ah-ora-id ing dhaftar jinis bukti asli kanggo duwe Cisco Catalyst SD-WAN AH lunak nglirwakake lapangan ID ing header IP supaya piranti lunak Cisco Catalyst SD-WAN bisa dianggo magepokan karo piranti iki.
  • sha1-hmac mbisakake enkripsi ESP lan mriksa integritas.
  • ora ana peta kanggo ora otentikasi. Opsi iki mung kudu digunakake yen dibutuhake kanggo debugging sementara. Sampeyan uga bisa milih pilihan iki ing kahanan yen otentikasi lan integritas pesawat data ora dadi masalah. Cisco ora nyaranake nggunakake pilihan iki kanggo jaringan produksi.

Kanggo informasi babagan kolom paket data sing kena pengaruh dening jinis otentikasi kasebut, deleng Integritas Pesawat Data. Piranti Cisco IOS XE Catalyst SD-WAN lan piranti Cisco vEdge ngiklanake jinis otentikasi sing dikonfigurasi ing properti TLOC. Router loro ing salah siji sisih sambungan trowongan IPsec rembugan otentikasi kanggo nggunakake ing sambungan antarane wong-wong mau, nggunakake jinis bukti asli kuat sing diatur ing loro router. Kanggo example, yen siji router advertises jinis ah-sha1-hmac lan ah-no-id, lan router kapindho advertises jinis ah-no-id, loro router rembugan nggunakake ah-no-id ing sambungan trowongan IPsec antarane wong-wong mau. Yen ora ana jinis otentikasi umum sing dikonfigurasi ing rong kanca, ora ana trowongan IPsec sing ditetepake ing antarane. Algoritma enkripsi ing sambungan terowongan IPsec gumantung saka jinis lalu lintas:

  • Kanggo lalu lintas unicast, algoritma enkripsi yaiku AES-256-GCM.
  • Kanggo lalu lintas multicast:
  • Cisco SD-WAN Rilis 20.1.x lan mengko– algoritma enkripsi yaiku AES-256-GCM
  • Rilis sadurunge- algoritma enkripsi yaiku AES-256-CBC karo SHA1-HMAC.

Nalika jinis otentikasi IPsec diganti, tombol AES kanggo path data diganti.

Ngganti Timer Rekeying

Sadurunge piranti Cisco IOS XE Catalyst SD-WAN lan piranti Cisco vEdge bisa ijol-ijolan lalu lintas data, padha nyiyapake saluran komunikasi asli aman antarane wong-wong mau. Router nggunakake terowongan IPSec ing antarane minangka saluran, lan cipher AES-256 kanggo nindakake enkripsi. Saben router ngasilake kunci AES anyar kanggo jalur data kanthi periodik. Kanthi gawan, tombol sah kanggo 86400 detik (24 jam), lan kisaran wektu 10 detik nganti 1209600 detik (14 dina). Kanggo ngganti nilai timer rekey: Piranti(config)# keamanan ipsec rekey detik Konfigurasi katon kaya iki:

  • keamanan ipsec rekey detik!

Yen sampeyan pengin langsung nggawe tombol IPsec anyar, sampeyan bisa nindakake tanpa ngowahi konfigurasi router. Kanggo nindakake iki, ngetokake perintah ipsecrekey keamanan panyuwunan ing router sing dikompromi. Kanggo exampNanging, output ing ngisor iki nuduhake yen SA lokal duwe Indeks Parameter Keamanan (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Tombol unik digandhengake karo saben SPI. Yen kunci iki dikompromi, gunakake panjalukan keamanan ipsec-rekey printah kanggo langsung ngasilake kunci anyar. Printah iki nambah SPI. Ing mantan kitaampNanging, SPI diganti dadi 257 lan kunci sing ana gandhengane saiki digunakake:

  • Piranti# njaluk keamanan ipsecrekey
  • Piranti# nuduhake ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Sawise tombol anyar kui, router ngirim langsung menyang Cisco SD-WAN Controllers nggunakake DTLS utawa TLS. Cisco SD-WAN Controllers ngirim tombol kanggo router peer. Router wiwit nggunakake sanalika nampa. Elinga yen tombol sing digandhengake karo SPI lawas (256) bakal terus digunakake kanggo wektu cendhak nganti kaping metu. Kanggo mungkasi nggunakake tombol lawas langsung, ngetokake panjalukan keamanan printah ipsec-rekey kaping pindho, kanthi cepet. Urutan printah iki mbusak SPI 256 lan 257 lan nyetel SPI dadi 258. Router banjur nggunakake tombol SPI 258. tombol anyar.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Ngganti Ukuran Jendela Anti-Replay

Otentikasi IPsec nyedhiyakake proteksi anti-muter maneh kanthi menehi nomer urutan unik kanggo saben paket ing aliran data. Nomer urutan iki nglindhungi saka panyerang duplikat paket data. Kanthi pangayoman anti-muter maneh, pangirim nemtokake nomer urutan monotonically nambah, lan tujuan mriksa nomer urutan iki kanggo ndeteksi duplikat. Amarga paket asring ora teka ing urutan, panggonan njogo jendhela ngusapake nomer urutan sing bakal nampa.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paket karo nomer urutan sing tiba ing sisih kiwa saka sawetara jendhela ngusapake dianggep lawas utawa duplikat, lan tujuan irungnya. Tujuan nglacak nomer urutan paling dhuwur sing wis ditampa, lan nyetel jendhela ngusapake nalika nampa paket karo nilai luwih.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Kanthi gawan, jendhela geser disetel dadi 512 paket. Bisa disetel menyang nilai apa wae ing antarane 64 lan 4096 sing dadi daya 2 (yaiku 64, 128, 256, 512, 1024, 2048, utawa 4096). Kanggo ngowahi ukuran jendhela anti-muter maneh, gunakake printah replay-window, nemtokake ukuran jendhela:

Piranti(config)# keamanan ipsec replay-window number

Konfigurasi katon kaya iki:
keamanan ipsec replay-window number ! !

Kanggo bantuan karo QoS, jendhela muter maneh kapisah maintained kanggo saben wolung saluran lalu lintas pisanan. Ukuran jendhela muter maneh diatur dipérang wolung kanggo saben saluran. Yen QoS dikonfigurasi ing router, router kasebut bisa ngalami jumlah paket sing luwih gedhe tinimbang sing diarepake amarga mekanisme anti-muter maneh IPsec, lan akeh paket sing dibuwang iku sah. Iki kedadeyan amarga QoS ngatur ulang paket, menehi perawatan preferensial kanggo paket prioritas sing luwih dhuwur lan tundha paket sing luwih murah. Kanggo nyilikake utawa nyegah kahanan iki, sampeyan bisa nindakake ing ngisor iki:

  • Tambah ukuran jendhela anti-muter maneh.
  • Lalu lintas insinyur menyang wolung saluran lalu lintas pisanan kanggo mesthekake yen lalu lintas ing saluran ora diatur maneh.

Konfigurasi IKE-Aktif Terowongan IPsec
Kanggo nransfer lalu lintas kanthi aman saka jaringan overlay menyang jaringan layanan, sampeyan bisa ngatur terowongan IPsec sing nganggo protokol Internet Key Exchange (IKE). Tunnel IPsec sing aktif IKE nyedhiyakake otentikasi lan enkripsi kanggo njamin transportasi paket sing aman. Sampeyan nggawe trowongan IPsec sing aktif IKE kanthi ngatur antarmuka IPsec. Antarmuka IPsec minangka antarmuka logis, lan sampeyan ngatur kaya antarmuka fisik liyane. Sampeyan ngatur paramèter protokol IKE ing antarmuka IPsec, lan sampeyan bisa ngatur sifat antarmuka liyane.

Cathetan Cisco nyaranake nggunakake IKE Version 2. Saka Cisco SD-WAN 19.2.x release, tombol wis dienggo bareng kudu paling sethithik 16 bait. Panyiapan terowongan IPsec gagal yen ukuran tombol kurang saka 16 karakter nalika router ditingkatake menyang versi 19.2.

Cathetan
Piranti lunak Cisco Catalyst SD-WAN ndhukung IKE Version 2 minangka ditetepake ing RFC 7296. Salah siji nggunakake kanggo trowongan IPsec ngidini vEdge Cloud router VM kedadean mlaku ing Amazon AWS kanggo nyambung menyang maya pribadi virtual Amazon (VPC). Sampeyan kudu ngatur IKE Versi 1 ing router iki. Piranti Cisco vEdge mung ndhukung VPN adhedhasar rute ing konfigurasi IPSec amarga piranti kasebut ora bisa nemtokake pamilih lalu lintas ing domain enkripsi.

Ngatur Tunnel IPsec
Kanggo ngatur antarmuka terowongan IPsec kanggo lalu lintas transportasi sing aman saka jaringan layanan, sampeyan nggawe antarmuka IPsec logis:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Sampeyan bisa nggawe trowongan IPsec ing VPN transportasi (VPN 0) lan ing layanan VPN apa wae (VPN 1 nganti 65530, kajaba 512). Antarmuka IPsec nduweni jeneng ing format ipsecnumber, ing ngendi nomer bisa saka 1 nganti 255. Saben antarmuka IPsec kudu duwe alamat IPv4. Alamat iki kudu ater-ater /30. Kabeh lalu lintas ing VPN sing ana ing ater-ater IPv4 iki diarahake menyang antarmuka fisik ing VPN 0 supaya dikirim kanthi aman liwat terowongan IPsec. Kanggo ngatur sumber terowongan IPsec ing piranti lokal, sampeyan bisa nemtokake alamat IP saka antarmuka fisik (ing printah trowongan-sumber) utawa jeneng antarmuka fisik (ing printah tunnel-sumber-antarmuka). Priksa manawa antarmuka fisik dikonfigurasi ing VPN 0. Kanggo ngatur tujuan trowongan IPsec, nemtokake alamat IP piranti remot ing printah tunnel-destination. Kombinasi alamat sumber (utawa jeneng antarmuka sumber) lan alamat tujuan nemtokake siji terowongan IPsec. Mung siji trowongan IPsec sing bisa ana sing nggunakake alamat sumber tartamtu (utawa jeneng antarmuka) lan pasangan alamat tujuan.

Konfigurasi Rute Statis IPsec

Kanggo ngarahake lalu lintas saka VPN layanan menyang trowongan IPsec ing VPN transportasi (VPN 0), sampeyan ngatur rute statis khusus IPsec ing VPN layanan (VPN liyane saka VPN 0 utawa VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-rute awalan/dawa vpn 0 antarmuka
  • ipsecnumber [ipsecnumber2]

ID VPN yaiku VPN layanan apa wae (VPN 1 nganti 65530, kajaba 512). ater-ater/dawa iku alamat IP utawa awalan, ing notasi papat-titik desimal, lan dawa awalan rute statis khusus IPsec. Antarmuka punika antarmuka terowongan IPsec ing VPN 0. Sampeyan bisa ngatur siji utawa loro antarmuka terowongan IPsec. Yen sampeyan ngatur loro, sing pisanan yaiku terowongan IPsec utama, lan sing nomer loro yaiku serep. Kanthi rong antarmuka, kabeh paket dikirim mung menyang trowongan utama. Yen trowongan kasebut gagal, kabeh paket banjur dikirim menyang trowongan sekunder. Yen trowongan utama bali munggah, kabeh lalu lintas dipindhah bali menyang trowongan IPsec utami.

Aktifake IKE Versi 1
Nalika sampeyan nggawe trowongan IPsec ing router vEdge, IKE Version 1 diaktifake kanthi gawan ing antarmuka trowongan. Properti ing ngisor iki uga diaktifake kanthi standar kanggo IKEv1:

  • Otentikasi lan enkripsi—Enkripsi CBC standar enkripsi canggih AES-256 kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA1 kanggo integritas
  • Nomer klompok Diffie-Hellman-16
  • Interval wektu rekeying - 4 jam
  • Mode panyiapan SA-Utama

Kanthi gawan, IKEv1 nggunakake mode utama IKE kanggo nggawe SA IKE. Ing mode iki, enem paket negosiasi diijolke kanggo netepake SA. Kanggo ngganti mung telung paket negosiasi, aktifake mode agresif:

Cathetan
Mode agresif IKE kanthi tombol sing wis dienggo bareng kudu dihindari yen bisa. Yen ora, kunci sing wis dienggo bareng kudu dipilih.

  • vEdge(config)# vpn vpn-id antarmuka ipsec nomer ike
  • vEdge(config-ike)# mode agresif

Kanthi gawan, IKEv1 nggunakake grup Diffie-Hellman 16 ing ijol-ijolan tombol IKE. Klompok iki nggunakake klompok eksponensial modular (MODP) 4096-bit liyane sajrone ijol-ijolan kunci IKE. Sampeyan bisa ngganti nomer grup dadi 2 (kanggo 1024-bit MODP), 14 (2048-bit MODP), utawa 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id antarmuka ipsec nomer ike
  • vEdge(config-ike)# nomer grup

Secara default, ijol-ijolan kunci IKE nggunakake enkripsi CBC standar enkripsi canggih AES-256 kanthi algoritma kode otentikasi pesen keyed-hash HMAC-SHA1 kanggo integritas. Sampeyan bisa ngganti otentikasi:

  • vEdge(config)# vpn vpn-id antarmuka ipsec nomer ike
  • vEdge(config-ike)# suite cipher-suite

Suite otentikasi bisa dadi salah siji saka ing ngisor iki:

  • aes128-cbc-sha1—AES-128 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA1 kanggo integritas
  • aes128-cbc-sha2—AES-128 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA256 kanggo integritas
  • aes256-cbc-sha1—AES-256 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen keyed-hash HMAC-SHA1 kanggo integritas; iki standar.
  • aes256-cbc-sha2—AES-256 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA256 kanggo integritas

Kanthi gawan, tombol IKE dianyari saben 1 jam (3600 detik). Sampeyan bisa ngganti interval rekeying menyang nilai saka 30 detik liwat 14 dina (1209600 detik). Disaranake interval rekeying paling sethithik 1 jam.

  • vEdge(config)# vpn vpn-id antarmuka nomer ipsec kaya
  • vEdge(config-ike)# rekey detik

Kanggo meksa generasi tombol anyar kanggo sesi IKE, ngetokake printah ipsec ike-rekey request.

  • vEdge(config)# vpn vpn-id interfaceipsek nomer ike

Kanggo IKE, sampeyan uga bisa ngatur otentikasi kunci preshared (PSK):

  • vEdge(config)# vpn vpn-id antarmuka ipsec nomer ike
  • vEdge(config-ike)# otentikasi-jinis pre-shared-key pre-shared-secret sandi sandhi iku tembung sandhi kanggo digunakake karo tombol sing wis dienggo bareng. Bisa dadi ASCII utawa string heksadesimal saka 1 nganti 127 karakter.

Yen peer IKE remot mbutuhake ID lokal utawa remot, sampeyan bisa ngatur pengenal iki:

  • vEdge(config)# vpn vpn-id antarmuka nomer ipsec minangka jinis otentikasi
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Pengenal bisa dadi alamat IP utawa string teks saka 1 nganti 63 karakter. Kanthi gawan, ID lokal minangka alamat IP sumber terowongan lan ID remot minangka alamat IP tujuan terowongan.

Aktifake IKE Versi 2
Nalika sampeyan ngatur trowongan IPsec kanggo nggunakake IKE Versi 2, properti ing ngisor iki uga diaktifake kanthi gawan kanggo IKEv2:

  • Otentikasi lan enkripsi—Enkripsi CBC standar enkripsi canggih AES-256 kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA1 kanggo integritas
  • Nomer klompok Diffie-Hellman-16
  • Interval wektu rekeying - 4 jam

Kanthi gawan, IKEv2 nggunakake grup Diffie-Hellman 16 ing ijol-ijolan tombol IKE. Klompok iki nggunakake klompok eksponensial modular (MODP) 4096-bit liyane sajrone ijol-ijolan kunci IKE. Sampeyan bisa ngganti nomer grup dadi 2 (kanggo 1024-bit MODP), 14 (2048-bit MODP), utawa 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber ike
  • vEdge(config-ike)# nomer grup

Secara default, ijol-ijolan kunci IKE nggunakake enkripsi CBC standar enkripsi canggih AES-256 kanthi algoritma kode otentikasi pesen keyed-hash HMAC-SHA1 kanggo integritas. Sampeyan bisa ngganti otentikasi:

  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber ike
  • vEdge(config-ike)# suite cipher-suite

Suite otentikasi bisa dadi salah siji saka ing ngisor iki:

  • aes128-cbc-sha1—AES-128 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA1 kanggo integritas
  • aes128-cbc-sha2—AES-128 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA256 kanggo integritas
  • aes256-cbc-sha1—AES-256 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen keyed-hash HMAC-SHA1 kanggo integritas; iki standar.
  • aes256-cbc-sha2—AES-256 standar enkripsi standar enkripsi CBC kanthi algoritma kode otentikasi pesen kunci-hash HMAC-SHA256 kanggo integritas

Kanthi gawan, tombol IKE dianyari saben 4 jam (14,400 detik). Sampeyan bisa ngganti interval rekeying dadi nilai saka 30 detik nganti 14 dina (1209600 detik):

  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber ike
  • vEdge(config-ike)# rekey detik

Kanggo meksa generasi tombol anyar kanggo sesi IKE, ngetokake printah ipsec ike-rekey request. Kanggo IKE, sampeyan uga bisa ngatur otentikasi kunci preshared (PSK):

  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber ike
  • vEdge(config-ike)# otentikasi-jinis pre-shared-key pre-shared-secret sandi sandhi iku tembung sandhi kanggo digunakake karo tombol sing wis dienggo bareng. Bisa dadi ASCII utawa senar heksadesimal, utawa bisa dadi kunci sing dienkripsi AES. Yen peer IKE remot mbutuhake ID lokal utawa remot, sampeyan bisa ngatur pengenal iki:
  • vEdge(config)# vpn vpn-id antarmuka ipsecnumber kaya otentikasi-jinis
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Pengenal bisa dadi alamat IP utawa string teks saka 1 nganti 64 karakter. Kanthi gawan, ID lokal minangka alamat IP sumber terowongan lan ID remot minangka alamat IP tujuan terowongan.

Konfigurasi Parameter Tunnel IPsec

Tabel 4: Riwayat Fitur

Fitur jeneng Rilis Informasi Katrangan
Kriptografi Tambahan Cisco SD-WAN Rilis 20.1.1 Fitur iki nambah dhukungan kanggo
Dhukungan Algoritma kanggo IPSec   HMAC_SHA256, HMAC_SHA384, lan
Trowongan   HMAC_SHA512 algoritma kanggo
    keamanan meningkat.

Kanthi gawan, paramèter ing ngisor iki digunakake ing trowongan IPsec sing nggawa lalu lintas IKE:

  • Otentikasi lan enkripsi—Algoritma AES-256 ing GCM (mode Galois/counter)
  • Interval rekeying - 4 jam
  • Jendhela puter maneh—32 paket

Sampeyan bisa ngganti enkripsi ing terowongan IPsec menyang cipher AES-256 ing CBC (mode chaining blok cipher, kanthi HMAC nggunakake otentikasi pesen SHA-1 utawa SHA-2 keyed-hash utawa null karo HMAC nggunakake SHA-1 utawa Otentikasi pesen SHA-2 keyed-hash, supaya ora ngenkripsi terowongan IPsec sing digunakake kanggo lalu lintas ijol-ijolan kunci IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-sha256 | aes256-sha384 | aes256-null-sha512 | aesXNUMX-null-shaXNUMX)

Kanthi gawan, tombol IKE dianyari saben 4 jam (14,400 detik). Sampeyan bisa ngganti interval rekeying dadi nilai saka 30 detik nganti 14 dina (1209600 detik):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey detik

Kanggo meksa generasi kunci anyar kanggo trowongan IPsec, ngetokake panjalukan ipsec ipsec-rekey printah. Kanthi gawan, rahasia maju sing sampurna (PFS) diaktifake ing terowongan IPsec, kanggo mesthekake yen sesi kepungkur ora kena pengaruh yen kunci mangsa ngarep dikompromi. PFS meksa ijol-ijolan tombol Diffie-Hellman anyar, kanthi standar nggunakake grup modul utama Diffie-Hellman 4096-bit. Sampeyan bisa ngganti setelan PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# sampurna-maju-rahasia pfs-setting

pfs-setting bisa dadi salah siji saka ing ngisor iki:

  • grup-2-Gunakake grup modulus prima Diffie-Hellman 1024-bit.
  • grup-14-Gunakake grup modulus prima Diffie-Hellman 2048-bit.
  • grup-15-Gunakake grup modulus prima Diffie-Hellman 3072-bit.
  • grup-16-Gunakake grup modulus prima Diffie-Hellman 4096-bit. Iki minangka standar.
  • ora ana-Pateni PFS.

Kanthi gawan, jendhela muter maneh IPsec ing trowongan IPsec yaiku 512 bita. Sampeyan bisa nyetel ukuran jendhela muter maneh dadi 64, 128, 256, 512, 1024, 2048, utawa 4096 paket:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-window number

Ngowahi IKE Dead-Peer Detection

IKE nggunakake mekanisme deteksi peer mati kanggo nemtokake manawa sambungan menyang peer IKE fungsional lan bisa diakses. Kanggo ngleksanakake mekanisme iki, IKE ngirim paket Hello menyang kanca-kancane, lan peer ngirim pangakuan minangka respon. Kanthi gawan, IKE ngirim paket Hello saben 10 detik, lan sawise telung paket sing ora diakoni, IKE nyatakake pepadhamu wis mati lan nyuwek trowongan menyang kanca. Sawisé iku, IKE ngirim paket Hello menyang peer, lan nggawe trowongan maneh nalika kanca bali online. Sampeyan bisa ngganti interval deteksi liveness dadi nilai saka 0 nganti 65535, lan sampeyan bisa ngganti nomer nyoba maneh dadi nilai saka 0 nganti 255.

Cathetan

Kanggo VPN transportasi, interval deteksi liveness diowahi dadi detik kanthi nggunakake rumus ing ngisor iki: Interval kanggo upaya transmisi ulang N = interval * 1.8N-1Kanggo exampYen interval disetel dadi 10 lan dicoba maneh dadi 5, interval deteksi mundhak kaya ing ngisor iki:

  • Upaya 1: 10 * 1.81-1= 10 detik
  • upaya 2: 10 * 1.82-1= 18 detik
  • upaya 3: 10 * 1.83-1= 32.4 detik
  • upaya 4: 10 * 1.84-1= 58.32 detik
  • upaya 5: 10 * 1.85-1= 104.976 detik

vEdge(config-interface-ipsecnumber)# mati-peer-deteksi interval nyoba maneh nomer

Konfigurasi Properties Antarmuka Liyane

Kanggo antarmuka terowongan IPsec, sampeyan mung bisa ngatur properti antarmuka tambahan ing ngisor iki:

  • vEdge(config-interface-ipsec)# mtu byte
  • vEdge(config-interface-ipsec)# tcp-mss-adjust byte

Pateni Algoritma Enkripsi SSH Lemah ing Manager Cisco SD-WAN

Tabel 5: Tabel Riwayat Fitur

Fitur jeneng Rilis Informasi Fitur Katrangan
Pateni Algoritma Enkripsi SSH Lemah ing Manager Cisco SD-WAN Cisco vManage Release 20.9.1 Fitur iki ngidini sampeyan mateni algoritma SSH sing luwih lemah ing Cisco SD-WAN Manager sing bisa uga ora tundhuk karo standar keamanan data tartamtu.

Informasi Babagan Mateni Algoritma Enkripsi SSH Lemah ing Cisco SD-WAN Manager
Cisco SD-WAN Manager menehi klien SSH kanggo komunikasi karo komponen ing jaringan, kalebu pengontrol lan piranti pinggiran. Klien SSH nyedhiyakake sambungan sing dienkripsi kanggo transfer data sing aman, adhedhasar macem-macem algoritma enkripsi. Akeh organisasi mbutuhake enkripsi sing luwih kuat tinimbang sing diwenehake dening SHA-1, AES-128, lan AES-192. Saka Cisco vManage Release 20.9.1, sampeyan bisa mateni algoritma enkripsi sing luwih lemah supaya klien SSH ora nggunakake algoritma kasebut:

  • SHA-1
  • AES-128
  • AES-192

Sadurunge mateni kalkulus enkripsi iki, mesthekake yen piranti Cisco vEdge, yen ana, ing jaringan, nggunakake release lunak mengko saka Cisco SD-WAN Release 18.4.6.

Keuntungan saka mateni Algoritma Enkripsi SSH Lemah ing Manager Cisco SD-WAN
Mateni algoritma enkripsi SSH sing luwih lemah nambah keamanan komunikasi SSH, lan njamin organisasi sing nggunakake Cisco Catalyst SD-WAN tundhuk karo peraturan keamanan sing ketat.

Pateni Algoritma Enkripsi SSH Lemah ing Cisco SD-WAN Manager Nggunakake CLI

  1. Saka menu Cisco SD-WAN Manager, pilih Tools > SSH Terminal.
  2. Pilih piranti Cisco SD-WAN Manager sing pengin mateni algoritma SSH sing luwih lemah.
  3. Ketik jeneng pangguna lan sandhi kanggo mlebu menyang piranti.
  4. Ketik mode server SSH.
    • vmanage(config)# sistem
    • vmanage(config-system)# ssh-server
  5. Tindakake salah siji saka ing ngisor iki kanggo mateni algoritma enkripsi SSH:
    • Pateni SHA-1:
  6. ngatur (config-ssh-server) # ora kex-algo sha1
  7. ngatur (config-ssh-server) # commit
    Pesen bebaya ing ngisor iki ditampilake: Bebaya ing ngisor iki digawe: 'sistem ssh-server kex-algo sha1': PÈNGET: Mangga mesthekake kabeh pinggiran sampeyan mbukak versi kode> 18.4.6 sing rembugan luwih apik tinimbang SHA1 karo vManage. Yen ora, pinggiran kasebut bisa dadi offline. nerusake? [ya, ora] ya
    • Mesthekake yen sembarang piranti Cisco vEdge ing jaringan mlaku Cisco SD-WAN Release 18.4.6 utawa mengko lan ketik ya.
    • Pateni AES-128 lan AES-192:
    • vmanage(config-ssh-server)# ora cipher aes-128-192
    • vmanage(config-ssh-server)# commit
      Pesen peringatan ing ngisor iki ditampilake:
      Bebaya ing ngisor iki digawe:
      'Sistem ssh-server cipher aes-128-192': PÈNGET: Mangga mesthekake kabeh pinggiran mbukak versi kode> 18.4.6 kang rembugan luwih saka AES-128-192 karo vManage. Yen ora, pinggiran kasebut bisa dadi offline. nerusake? [ya, ora] ya
    • Mesthekake yen sembarang piranti Cisco vEdge ing jaringan mlaku Cisco SD-WAN Release 18.4.6 utawa mengko lan ketik ya.

Verifikasi yen Algoritma Enkripsi SSH Lemah Dipateni ing Manajer Cisco SD-WAN Nggunakake CLI

  1. Saka menu Cisco SD-WAN Manager, pilih Tools > SSH Terminal.
  2. Pilih piranti Cisco SD-WAN Manager sing pengin diverifikasi.
  3. Ketik jeneng pangguna lan sandhi kanggo mlebu menyang piranti.
  4. Jalanake printah ing ngisor iki: nuduhake running-config system ssh-server
  5. Konfirmasi yen output nuduhake siji utawa luwih saka perintah sing mateni algoritma enkripsi sing luwih lemah:
    • ora cipher aes-128-192
    • ora kex-algo sha1

Dokumen / Sumber Daya

CISCO SD-WAN Ngatur Parameter Keamanan [pdf] Pandhuan pangguna
SD-WAN Konfigurasi Parameter Keamanan, SD-WAN, Konfigurasi Parameter Keamanan, Parameter Keamanan

Referensi

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *