შინაარსი დამალვა
1 CISCO SD-WAN უსაფრთხოების პარამეტრების კონფიგურაცია
2 უსაფრთხოების პარამეტრების კონფიგურაცია
3 საკონტროლო სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია
4 DTLS კონფიგურაცია Cisco SD-WAN მენეჯერში
5 მონაცემთა სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია
6 ავტორიზაციის დაშვებული ტიპების კონფიგურაცია
7 შეცვალეთ აღდგენის ტაიმერი
8 შეცვალეთ გამეორების საწინააღმდეგო ფანჯრის ზომა
9 IPsec სტატიკური მარშრუტის კონფიგურაცია
10 IPsec გვირაბის პარამეტრების კონფიგურაცია
11 შეცვალეთ IKE Dead-Peer Detection
12 სხვა ინტერფეისის თვისებების კონფიგურაცია
13 გამორთეთ სუსტი SSH დაშიფვრის ალგორითმები Cisco SD-WAN მენეჯერზე
14 დოკუმენტები / რესურსები
14.1 ცნობები

CISCO-LOGO

CISCO SD-WAN უსაფრთხოების პარამეტრების კონფიგურაცია

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

უსაფრთხოების პარამეტრების კონფიგურაცია

შენიშვნა

გამარტივებისა და თანმიმდევრულობის მისაღწევად, Cisco SD-WAN გადაწყვეტა შეიცვალა, როგორც Cisco Catalyst SD-WAN. გარდა ამისა, Cisco IOS XE SD-WAN გამოშვებიდან 17.12.1a და Cisco Catalyst SD-WAN გამოშვებიდან 20.12.1 გამოიყენება კომპონენტების შემდეგი ცვლილებები: Cisco vManage to Cisco Catalyst SD-WAN მენეჯერი, Cisco vAnalytics SD-WAN Catalyst. ანალიტიკა, Cisco vBond to Cisco Catalyst SD-WAN Validator და Cisco vSmart to Cisco Catalyst SD-WAN კონტროლერი. იხილეთ უახლესი გამოშვების შენიშვნები ყველა კომპონენტის ბრენდის სახელის ცვლილების ყოვლისმომცველი სიისთვის. სანამ ახალ სახელებზე გადავდივართ, გარკვეული შეუსაბამობები შეიძლება იყოს დოკუმენტაციის ნაკრებში პროგრამული პროდუქტის მომხმარებლის ინტერფეისის განახლების ეტაპობრივი მიდგომის გამო.

ეს განყოფილება აღწერს, თუ როგორ უნდა შეიცვალოს უსაფრთხოების პარამეტრები საკონტროლო სიბრტყისთვის და მონაცემთა სიბრტყისთვის Cisco Catalyst SD-WAN გადაფარვის ქსელში.

  • საკონტროლო სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია, ჩართულია
  • მონაცემთა სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია, ჩართულია
  • IKE-ჩართული IPsec გვირაბების კონფიგურაცია, ჩართულია
  • გამორთეთ სუსტი SSH დაშიფვრის ალგორითმები Cisco SD-WAN მენეჯერზე, ჩართულია

საკონტროლო სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია

ნაგულისხმევად, საკონტროლო თვითმფრინავი იყენებს DTLS-ს, როგორც პროტოკოლს, რომელიც უზრუნველყოფს კონფიდენციალურობას მის ყველა გვირაბში. DTLS გადის UDP-ზე. თქვენ შეგიძლიათ შეცვალოთ საკონტროლო სიბრტყის უსაფრთხოების პროტოკოლი TLS-ზე, რომელიც მუშაობს TCP-ზე. TLS-ის გამოყენების მთავარი მიზეზი ის არის, რომ თუ Cisco SD-WAN კონტროლერი სერვერად მიგაჩნიათ, ბუხარი უკეთესად იცავს TCP სერვერებს, ვიდრე UDP სერვერებს. თქვენ აკონფიგურირებთ საკონტროლო სიბრტყის გვირაბის პროტოკოლს Cisco SD-WAN კონტროლერზე: vSmart(config)# უსაფრთხოების კონტროლის პროტოკოლი tls ამ ცვლილებით, ყველა საკონტროლო სიბრტყის გვირაბი Cisco SD-WAN კონტროლერსა და მარშრუტიზატორებს შორის და Cisco SD-WAN კონტროლერს შორის. და Cisco SD-WAN მენეჯერი იყენებს TLS. საკონტროლო თვითმფრინავის გვირაბები Cisco Catalyst SD-WAN Validator-თან ყოველთვის იყენებს DTLS-ს, რადგან ეს კავშირები უნდა დამუშავდეს UDP-ით. დომენში, რომელსაც აქვს მრავალი Cisco SD-WAN კონტროლერი, როდესაც თქვენ აკონფიგურირებთ TLS-ს ერთ-ერთ Cisco SD-WAN კონტროლერზე, ყველა საკონტროლო სიბრტყის გვირაბი ამ კონტროლერიდან სხვა კონტროლერებამდე იყენებს TLS-ს. სხვაგვარად რომ ვთქვათ, TLS ყოველთვის უპირატესობას ანიჭებს DTLS-ს. თუმცა, სხვა Cisco SD-WAN კონტროლერების პერსპექტივიდან გამომდინარე, თუ თქვენ არ გაქვთ კონფიგურირებული TLS მათზე, ისინი იყენებენ TLS-ს საკონტროლო სიბრტყის გვირაბზე მხოლოდ იმ ერთ Cisco SD-WAN კონტროლერთან, და ისინი იყენებენ DTLS გვირაბებს ყველა დანარჩენისთვის. Cisco SD-WAN კონტროლერები და ყველა მათთან დაკავშირებული მარშრუტიზატორები. იმისათვის, რომ ყველა Cisco SD-WAN კონტროლერმა გამოიყენოს TLS, დააკონფიგურირეთ იგი ყველა მათგანზე. ნაგულისხმევად, Cisco SD-WAN კონტროლერი უსმენს პორტს 23456 TLS მოთხოვნებს. ამის შესაცვლელად: vSmart(config)# უსაფრთხოების კონტროლი tls-პორტის ნომერი პორტი შეიძლება იყოს რიცხვი 1025-დან 65535-მდე. საკონტროლო თვითმფრინავის უსაფრთხოების ინფორმაციის საჩვენებლად გამოიყენეთ ბრძანება Show control connections Cisco SD-WAN Controller-ზე. მაგample: vSmart-2# აჩვენებს საკონტროლო კავშირებს

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

DTLS კონფიგურაცია Cisco SD-WAN მენეჯერში

თუ თქვენ დააკონფიგურირებთ Cisco SD-WAN მენეჯერს, რათა გამოიყენოს TLS, როგორც საკონტროლო სიბრტყის უსაფრთხოების პროტოკოლი, უნდა ჩართოთ პორტის გადამისამართება თქვენს NAT-ზე. თუ თქვენ იყენებთ DTLS-ს, როგორც საკონტროლო თვითმფრინავის უსაფრთხოების პროტოკოლს, არაფრის გაკეთება არ გჭირდებათ. გადაგზავნილი პორტების რაოდენობა დამოკიდებულია Cisco SD-WAN მენეჯერზე გაშვებული vdaemon პროცესების რაოდენობაზე. ამ პროცესების შესახებ ინფორმაციის საჩვენებლად და გადაგზავნილი პორტების რაოდენობის შესახებ, გამოიყენეთ show control summary ბრძანება, რომელიც აჩვენებს, რომ ოთხი დემონური პროცესი მუშაობს:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

მოსმენის პორტების სანახავად გამოიყენეთ show control local-properties ბრძანება: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

ეს გამომავალი გვიჩვენებს, რომ მოსმენის TCP პორტი არის 23456. თუ თქვენ იყენებთ Cisco SD-WAN მენეჯერს NAT-ის უკან, თქვენ უნდა გახსნათ შემდეგი პორტები NAT მოწყობილობაზე:

  • 23456 (ბაზა – მაგალითი 0 პორტი)
  • 23456 + 100 (ბაზა + 100)
  • 23456 + 200 (ბაზა + 200)
  • 23456 + 300 (ბაზა + 300)

გაითვალისწინეთ, რომ ინსტანციების რაოდენობა იგივეა, რაც თქვენ მიერ მინიჭებული ბირთვების რაოდენობა Cisco SD-WAN მენეჯერისთვის, მაქსიმუმ 8-მდე.

უსაფრთხოების პარამეტრების კონფიგურაცია უსაფრთხოების ფუნქციის შაბლონის გამოყენებით

გამოიყენეთ უსაფრთხოების ფუნქციის შაბლონი ყველა Cisco vEdge მოწყობილობისთვის. კიდეების მარშრუტიზატორებზე და Cisco SD-WAN Validator-ზე გამოიყენეთ ეს შაბლონი IPsec-ის კონფიგურაციისთვის მონაცემთა სიბრტყის უსაფრთხოებისთვის. Cisco SD-WAN მენეჯერსა და Cisco SD-WAN კონტროლერზე გამოიყენეთ უსაფრთხოების ფუნქციის შაბლონი DTLS ან TLS კონფიგურაციისთვის საკონტროლო სიბრტყის უსაფრთხოებისთვის.

უსაფრთხოების პარამეტრების კონფიგურაცია

  1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია > შაბლონები.
  2. დააწკაპუნეთ ფუნქციის შაბლონებზე და შემდეგ დააწკაპუნეთ შაბლონის დამატებაზე.
    შენიშვნა Cisco vManage Release 20.7.1 და უფრო ადრე გამოშვებებში, ფუნქციების შაბლონებს ეწოდება ფუნქცია.
  3. მოწყობილობების სიიდან მარცხენა პანელში აირჩიეთ მოწყობილობა. არჩეულ მოწყობილობაზე მოქმედი შაბლონები გამოჩნდება მარჯვენა პანელში.
  4. შაბლონის გასახსნელად დააწკაპუნეთ უსაფრთხოებაზე.
  5. შაბლონის სახელის ველში შეიყვანეთ შაბლონის სახელი. სახელი შეიძლება შედგებოდეს 128 სიმბოლომდე და შეიძლება შეიცავდეს მხოლოდ ალფანუმერულ სიმბოლოებს.
  6. შაბლონის აღწერა ველში შეიყვანეთ შაბლონის აღწერა. აღწერა შეიძლება შედგებოდეს 2048 სიმბოლომდე და შეიძლება შეიცავდეს მხოლოდ ალფანუმერულ სიმბოლოებს.

როდესაც პირველად ხსნით ფუნქციის შაბლონს, თითოეული პარამეტრისთვის, რომელსაც აქვს ნაგულისხმევი მნიშვნელობა, ფარგლები დაყენებულია ნაგულისხმევად (მითითებულია გამშვები ნიშნით) და ნაჩვენებია ნაგულისხმევი პარამეტრი ან მნიშვნელობა. ნაგულისხმევის შესაცვლელად ან მნიშვნელობის შესაყვანად დააწკაპუნეთ სკოპის ჩამოსაშლელ მენიუზე პარამეტრის ველის მარცხნივ და აირჩიეთ ერთ-ერთი შემდეგი:

ცხრილი 1:

პარამეტრი ფარგლები მოცულობის აღწერა
მოწყობილობის სპეციფიკური (მითითებულია ჰოსტის ხატულაზე) გამოიყენეთ მოწყობილობის სპეციფიკური მნიშვნელობა პარამეტრისთვის. მოწყობილობის სპეციფიკური პარამეტრებისთვის, თქვენ არ შეგიძლიათ შეიყვანოთ მნიშვნელობა ფუნქციის შაბლონში. თქვენ შეიყვანთ მნიშვნელობას, როდესაც ანიჭებთ Viptela მოწყობილობას მოწყობილობის შაბლონს.

როდესაც დააწკაპუნებთ Device Specific, იხსნება Enter Key ველი. ეს ველი აჩვენებს კლავიშს, რომელიც არის უნიკალური სტრიქონი, რომელიც განსაზღვრავს პარამეტრს CSV-ში file რომ თქვენ ქმნით. ეს file არის Excel-ის ცხრილი, რომელიც შეიცავს ერთ სვეტს თითოეული გასაღებისთვის. სათაურის მწკრივი შეიცავს გასაღების სახელებს (თითო კლავიშს თითო სვეტში) და ყოველი მწკრივის შემდეგ შეესაბამება მოწყობილობას და განსაზღვრავს ამ მოწყობილობის გასაღებების მნიშვნელობებს. თქვენ ატვირთავთ CSV-ს file როდესაც Viptela მოწყობილობას ანიჭებთ მოწყობილობის შაბლონს. დამატებითი ინფორმაციისთვის იხილეთ შაბლონის ცვლადების ელცხრილის შექმნა.

ნაგულისხმევი კლავიშის შესაცვლელად, აკრიფეთ ახალი სტრიქონი და გადაიტანეთ კურსორი Enter Key ველიდან.

Exampმოწყობილობის სპეციფიკური პარამეტრებია სისტემის IP მისამართი, ჰოსტის სახელი, GPS მდებარეობა და საიტის ID.
პარამეტრი ფარგლები მოცულობის აღწერა
გლობალური (მითითებულია გლობუსის ხატით) შეიყვანეთ პარამეტრის მნიშვნელობა და გამოიყენეთ ეს მნიშვნელობა ყველა მოწყობილობაზე.

Exampპარამეტრი, რომელიც შეიძლება გლობალურად გამოიყენოთ მოწყობილობების ჯგუფზე, არის DNS სერვერი, syslog სერვერი და ინტერფეისის MTU.

საკონტროლო თვითმფრინავის უსაფრთხოების კონფიგურაცია

შენიშვნა
კონფიგურაციის საკონტროლო თვითმფრინავის უსაფრთხოების განყოფილება ეხება მხოლოდ Cisco SD-WAN მენეჯერს და Cisco SD-WAN კონტროლერს. საკონტროლო სიბრტყის კავშირის პროტოკოლის კონფიგურაციისთვის Cisco SD-WAN მენეჯერის მაგალითზე ან Cisco SD-WAN კონტროლერზე, აირჩიეთ ძირითადი კონფიგურაციის არე. და დააკონფიგურიროთ შემდეგი პარამეტრები:

ცხრილი 2:

პარამეტრი სახელი აღწერა
პროტოკოლი აირჩიეთ პროტოკოლი, რომელიც გამოიყენება საკონტროლო სიბრტყეზე Cisco SD-WAN კონტროლერთან:

• DTLS (დაtagram Transport Layer Security). ეს არის ნაგულისხმევი.

• TLS (სატრანსპორტო ფენის უსაფრთხოება)
აკონტროლეთ TLS პორტი თუ აირჩიეთ TLS, დააკონფიგურირეთ პორტის ნომერი გამოსაყენებლად:დიაპაზონი: 1025-დან 65535-მდენაგულისხმევი: 23456

დააწკაპუნეთ შენახვა

მონაცემთა თვითმფრინავის უსაფრთხოების კონფიგურაცია
მონაცემთა სიბრტყის უსაფრთხოების კონფიგურაციისთვის Cisco SD-WAN Validator-ზე ან Cisco vEdge როუტერზე, აირჩიეთ ძირითადი კონფიგურაციის და ავთენტიფიკაციის ტიპის ჩანართები და დააკონფიგურირეთ შემდეგი პარამეტრები:

ცხრილი 3:

პარამეტრი სახელი აღწერა
ხელახლა გასაღების დრო მიუთითეთ რამდენად ხშირად ცვლის Cisco vEdge როუტერი AES კლავიშს, რომელიც გამოიყენება მის უსაფრთხო DTLS კავშირზე Cisco SD-WAN კონტროლერთან. თუ OMP მოხდენილი გადატვირთვა ჩართულია, ხელახლა ჩართვის დრო უნდა იყოს მინიმუმ ორჯერ მეტი OMP მოხდენილი გადატვირთვის ტაიმერის მნიშვნელობაზე.დიაპაზონი: 10-დან 1209600 წამამდე (14 დღე)ნაგულისხმევი: 86400 წამი (24 საათი)
გამეორების ფანჯარა მიუთითეთ მოცურების გამეორების ფანჯრის ზომა.

ღირებულებები: 64, 128, 256, 512, 1024, 2048, 4096, 8192 პაკეტინაგულისხმევი: 512 პაკეტი
IPsec

წყვილ-გასაღები

 ეს გამორთულია ნაგულისხმევად. დააწკაპუნეთ On რომ ჩართოთ.
პარამეტრი სახელი აღწერა
ავთენტიფიკაციის ტიპი აირჩიეთ ავთენტიფიკაციის ტიპები ავთენტიფიკაცია სიადა დააწკაპუნეთ მარჯვნივ მიმართულ ისარს, რომ გადაიტანოთ ავთენტიფიკაციის ტიპები არჩეული სია სვეტი.

ავთენტიფიკაციის ტიპები მხარდაჭერილი Cisco SD-WAN 20.6.1-დან:

•  ესპ: რთავს Encapsulating Security Payload (ESP) დაშიფვრას და მთლიანობის შემოწმებას ESP სათაურზე.

•  ip-udp-esp: რთავს ESP დაშიფვრას. ESP-ის სათაურსა და დატვირთვის მთლიანობის შემოწმების გარდა, ჩეკები ასევე მოიცავს გარე IP და UDP სათაურებს.

•  ip-udp-esp-no-id: იგნორირებას უკეთებს ID ველს IP სათაურში, რათა Cisco Catalyst SD-WAN-მა შეძლოს მუშაობა არა Cisco მოწყობილობებთან ერთად.

•  არცერთი: გამორთავს მთლიანობის შემოწმებას IPSec პაკეტებზე. ჩვენ არ გირჩევთ ამ პარამეტრის გამოყენებას.

 

ავთენტიფიკაციის ტიპები, რომლებიც მხარდაჭერილია Cisco SD-WAN გამოშვებაში 20.5.1 და უფრო ადრე:

•  ah-no-id: ჩართეთ AH-SHA1 HMAC და ESP HMAC-SHA1 გაუმჯობესებული ვერსია, რომელიც უგულებელყოფს ID ველს პაკეტის გარე IP სათაურში.

•  აჰ-შა1-ჰმაც: ჩართეთ AH-SHA1 HMAC და ESP HMAC-SHA1.

•  არცერთი: აირჩიეთ ავთენტიფიკაციის გარეშე.

•  sha1-hmac: ჩართეთ ESP HMAC-SHA1.

 

შენიშვნა              Edge მოწყობილობისთვის, რომელიც მუშაობს Cisco SD-WAN Release 20.5.1 ან უფრო ადრე, შესაძლოა კონფიგურირებული გქონდეთ ავთენტიფიკაციის ტიპები უსაფრთხოება შაბლონი. როდესაც მოწყობილობას განაახლებთ Cisco SD-WAN Release 20.6.1 ან უფრო ახალ ვერსიაზე, განაახლეთ ავტორიზაციის შერჩეული ტიპები უსაფრთხოება 20.6.1 Cisco SD-WAN გამოშვებიდან მხარდაჭერილი ავტორიზაციის ტიპების შაბლონი. ავთენტიფიკაციის ტიპების განახლებისთვის, გააკეთეთ შემდეგი:

1.      Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია >

შაბლონები.

2.      დააწკაპუნეთ მხატვრული შაბლონები.

3.      იპოვეთ უსაფრთხოება შაბლონი განახლებისთვის და დააწკაპუნეთ … და დააწკაპუნეთ რედაქტირება.

4.      დააწკაპუნეთ განახლება. არ შეცვალოთ რაიმე კონფიგურაცია.

Cisco SD-WAN მენეჯერი განაახლებს უსაფრთხოება შაბლონი მხარდაჭერილი ავთენტიფიკაციის ტიპების ჩვენებისთვის.

დააწკაპუნეთ შენახვა.

მონაცემთა სიბრტყის უსაფრთხოების პარამეტრების კონფიგურაცია

მონაცემთა სიბრტყეში IPsec ჩართულია ნაგულისხმევად ყველა მარშრუტიზატორზე და ნაგულისხმევად IPsec გვირაბის კავშირები იყენებს Encapsulating Security Payload (ESP) პროტოკოლის გაძლიერებულ ვერსიას IPsec გვირაბებზე ავთენტიფიკაციისთვის. მარშრუტიზატორებზე შეგიძლიათ შეცვალოთ ავთენტიფიკაციის ტიპი, IPsec ხელახლა ჩართვის ტაიმერი და IPsec განმეორების საწინააღმდეგო ფანჯრის ზომა.

ავტორიზაციის დაშვებული ტიპების კონფიგურაცია

ავთენტიფიკაციის ტიპები Cisco SD-WAN გამოშვებაში 20.6.1 და მოგვიანებით
Cisco SD-WAN გამოშვებიდან 20.6.1 მხარდაჭერილია შემდეგი მთლიანობის ტიპები:

  • esp: ეს პარამეტრი საშუალებას აძლევს Encapsulating Security Payload (ESP) დაშიფვრას და მთლიანობის შემოწმებას ESP სათაურზე.
  • ip-udp-esp: ეს პარამეტრი საშუალებას აძლევს ESP დაშიფვრას. ESP-ის სათაურის და დატვირთვის მთლიანობის შემოწმების გარდა, ჩეკები ასევე მოიცავს გარე IP და UDP სათაურებს.
  • ip-udp-esp-no-id: ეს პარამეტრი ip-udp-esp-ის მსგავსია, თუმცა გარე IP სათაურის ID ველი იგნორირებულია. დააკონფიგურირეთ ეს პარამეტრი მთლიანობის ტიპების სიაში, რათა Cisco Catalyst SD-WAN პროგრამულმა პროგრამულმა უგულებელყო ID ველი IP სათაურში, რათა Cisco Catalyst SD-WAN-მა შეძლოს მუშაობა არა Cisco მოწყობილობებთან ერთად.
  • არცერთი: ეს პარამეტრი გამორთავს მთლიანობის შემოწმებას IPSec პაკეტებზე. ჩვენ არ გირჩევთ ამ პარამეტრის გამოყენებას.

ნაგულისხმევად, IPsec გვირაბის კავშირები ავთენტიფიკაციისთვის იყენებს Encapsulating Security Payload (ESP) პროტოკოლის გაძლიერებულ ვერსიას. შეთანხმებული ინტერიერების ტიპების შესაცვლელად ან მთლიანობის შემოწმების გამორთვისთვის გამოიყენეთ შემდეგი ბრძანება: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

ავთენტიფიკაციის ტიპები Cisco SD-WAN გამოშვებამდე 20.6.1
ნაგულისხმევად, IPsec გვირაბის კავშირები ავთენტიფიკაციისთვის იყენებს Encapsulating Security Payload (ESP) პროტოკოლის გაძლიერებულ ვერსიას. შეთანხმებული ავთენტიფიკაციის ტიპების შესაცვლელად ან ავტორიზაციის გამორთვისთვის გამოიყენეთ შემდეგი ბრძანება: Device(config)# უსაფრთხოების ipsec ავთენტიფიკაციის ტიპი (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) ნაგულისხმევად, IPsec გვირაბის კავშირები იყენებს AES-GCM-256, რომელიც უზრუნველყოფს როგორც დაშიფვრას, ასევე ავთენტიფიკაციას. თითოეული ავთენტიფიკაციის ტიპის კონფიგურაცია ცალკე უსაფრთხოების ipsec ავთენტიფიკაციის ტიპის ბრძანებით. ბრძანების ოფციები ასახავს ავტორიზაციის შემდეგ ტიპებს, რომლებიც ჩამოთვლილია ყველაზე ძლიერიდან ნაკლებად ძლიერის მიხედვით:

შენიშვნა
sha1 კონფიგურაციის ვარიანტებში გამოიყენება ისტორიული მიზეზების გამო. ავთენტიფიკაციის ოფციები მიუთითებს, თუ რამდენად შესრულებულია პაკეტის მთლიანობის შემოწმება. ისინი არ აკონკრეტებენ ალგორითმს, რომელიც ამოწმებს მთლიანობას. გარდა multicast ტრაფიკის დაშიფვრისა, ავთენტიფიკაციის ალგორითმები, რომლებიც მხარდაჭერილია Cisco Catalyst SD WAN-ით, არ იყენებს SHA1-ს. თუმცა Cisco SD-WAN გამოშვებაში 20.1.x და შემდგომში, როგორც unicast, ასევე multicast არ იყენებენ SHA1-ს.

  • ah-sha1-hmac საშუალებას აძლევს დაშიფვრას და ინკაპსულაციას ESP-ის გამოყენებით. თუმცა, ESP სათაურსა და დატვირთვის მთლიანობის შემოწმების გარდა, ჩეკები ასევე მოიცავს გარე IP და UDP სათაურებს. აქედან გამომდინარე, ეს პარამეტრი მხარს უჭერს პაკეტის მთლიანობის შემოწმებას ავტორიზაციის სათაურის (AH) პროტოკოლის მსგავსი. მთელი მთლიანობა და დაშიფვრა ხორციელდება AES-256-GCM გამოყენებით.
  • ah-no-id ჩართავს რეჟიმს, რომელიც ah-sha1-hmac-ის მსგავსია, თუმცა გარე IP სათაურის ID ველი იგნორირებულია. ეს პარამეტრი ათავსებს ზოგიერთ არა-Cisco Catalyst SD-WAN მოწყობილობას, მათ შორის Apple AirPort Express NAT-ს, რომლებსაც აქვთ ხარვეზი, რომელიც იწვევს ID ველის IP სათაურში, შეუცვლელი ველის შეცვლას. დააკონფიგურირეთ ah-no-id ოფცია ავტორიზაციის ტიპების სიაში, რათა Cisco Catalyst SD-WAN AH პროგრამულმა უგულებელყოს ID ველი IP სათაურში, რათა Cisco Catalyst SD-WAN პროგრამულმა პროგრამულმა მუშაობამ შეძლოს ამ მოწყობილობებთან ერთად.
  • sha1-hmac საშუალებას აძლევს ESP დაშიფვრას და მთლიანობის შემოწმებას.
  • არცერთი რუქა არ არის ავტორიზაციის გარეშე. ეს პარამეტრი უნდა იქნას გამოყენებული მხოლოდ იმ შემთხვევაში, თუ ის საჭიროა დროებითი გამართვისთვის. თქვენ ასევე შეგიძლიათ აირჩიოთ ეს ვარიანტი იმ სიტუაციებში, როდესაც მონაცემთა სიბრტყის ავთენტიფიკაცია და მთლიანობა არ არის შემაშფოთებელი. Cisco არ გირჩევთ ამ ვარიანტის გამოყენებას საწარმოო ქსელებისთვის.

ინფორმაციისთვის, თუ რომელ მონაცემთა პაკეტის ველებზე მოქმედებს ავტორიზაციის ეს ტიპები, იხილეთ მონაცემთა სიბრტყის მთლიანობა. Cisco IOS XE Catalyst SD-WAN მოწყობილობები და Cisco vEdge მოწყობილობები რეკლამირებენ თავიანთ კონფიგურირებულ ავთენტიფიკაციის ტიპებს თავიანთ TLOC თვისებებში. IPsec გვირაბის კავშირის ორივე მხარეს მდებარე ორი მარშრუტიზატორი მოლაპარაკებებს აწარმოებს ავთენტიფიკაციაზე, რათა გამოიყენოს მათ შორის კავშირი, ყველაზე ძლიერი ავტორიზაციის ტიპის გამოყენებით, რომელიც კონფიგურირებულია ორივე მარშრუტიზატორზე. მაგampმაგალითად, თუ ერთი როუტერი რეკლამირებს ah-sha1-hmac და ah-no-id ტიპებს, ხოლო მეორე როუტერი რეკლამირებს ah-no-id ტიპს, ორი მარშრუტიზატორი მოლაპარაკებას აწარმოებს ah-no-id-ის გამოყენებაზე IPsec გვირაბის კავშირზე. მათ. თუ ორ თანატოლზე არ არის კონფიგურირებული ავთენტიფიკაციის საერთო ტიპები, მათ შორის IPsec გვირაბი არ იქმნება. დაშიფვრის ალგორითმი IPsec გვირაბის კავშირებზე დამოკიდებულია ტრაფიკის ტიპზე:

  • უნიკასტის ტრაფიკისთვის, დაშიფვრის ალგორითმი არის AES-256-GCM.
  • Multicast ტრაფიკისთვის:
  • Cisco SD-WAN გამოშვება 20.1.x და მოგვიანებით – დაშიფვრის ალგორითმი არის AES-256-GCM
  • წინა გამოშვებები – დაშიფვრის ალგორითმი არის AES-256-CBC SHA1-HMAC-ით.

როდესაც იცვლება IPsec ავტორიზაციის ტიპი, შეიცვლება მონაცემთა ბილიკის AES გასაღები.

შეცვალეთ აღდგენის ტაიმერი

სანამ Cisco IOS XE Catalyst SD-WAN მოწყობილობები და Cisco vEdge მოწყობილობები შეძლებენ მონაცემთა ტრაფიკის გაცვლას, ისინი ქმნიან უსაფრთხო ავთენტიფიცირებულ საკომუნიკაციო არხს მათ შორის. მარშრუტიზატორები იყენებენ IPSec გვირაბებს მათ შორის, როგორც არხს, და AES-256 შიფრს დაშიფვრის შესასრულებლად. თითოეული როუტერი პერიოდულად აგენერირებს ახალ AES გასაღებს თავისი მონაცემთა ბილისთვის. ნაგულისხმევად, გასაღები მოქმედებს 86400 წამის განმავლობაში (24 საათი), ხოლო ტაიმერის დიაპაზონი არის 10 წამიდან 1209600 წამამდე (14 დღე). ხელახლა გასაღების ტაიმერის მნიშვნელობის შესაცვლელად: Device(config)# უსაფრთხოების ipsec ხელახალი კლავიშის წამი კონფიგურაცია ასე გამოიყურება:

  • უსაფრთხოება ipsec rekey წამი!

თუ გსურთ დაუყოვნებლივ შექმნათ ახალი IPsec გასაღებები, შეგიძლიათ ამის გაკეთება როუტერის კონფიგურაციის შეცვლის გარეშე. ამისათვის გაუშვით მოთხოვნის უსაფრთხოების ipsecrekey ბრძანება კომპრომეტირებულ როუტერზე. მაგampშემდეგ გამომავალი გვიჩვენებს, რომ ადგილობრივ SA-ს აქვს უსაფრთხოების პარამეტრის ინდექსი (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

უნიკალური გასაღები ასოცირდება თითოეულ SPI-სთან. თუ ეს გასაღები გატეხილია, გამოიყენეთ მოთხოვნის უსაფრთხოების ipsec-rekey ბრძანება ახალი გასაღების დაუყოვნებლივ გენერირებისთვის. ეს ბრძანება ზრდის SPI-ს. ჩვენს ყოფილშიampასე რომ, SPI იცვლება 257-ზე და მასთან დაკავშირებული გასაღები ახლა გამოიყენება:

  • მოწყობილობის# მოთხოვნა უსაფრთხოების ipsecrekey
  • მოწყობილობის # ჩვენება ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

ახალი გასაღების გენერირების შემდეგ, როუტერი დაუყოვნებლივ უგზავნის მას Cisco SD-WAN კონტროლერებს DTLS ან TLS გამოყენებით. Cisco SD-WAN კონტროლერები გასაღებს უგზავნიან თანატოლ მარშრუტიზატორებს. მარშრუტიზატორები იწყებენ მის გამოყენებას მიღებისთანავე. გაითვალისწინეთ, რომ ძველ SPI-სთან (256) დაკავშირებული გასაღები გაგრძელდება მცირე ხნით, სანამ დრო ამოიწურება. ძველი გასაღების გამოყენების დაუყოვნებლივ შეწყვეტისთვის, გაუშვით მოთხოვნის უსაფრთხოების ipsec-rekey ბრძანება ორჯერ, ზედიზედ. ბრძანებების ეს თანმიმდევრობა შლის როგორც SPI 256-ს, ასევე 257-ს და აყენებს SPI-ს 258-ზე. შემდეგ როუტერი იყენებს SPI 258-ის ასოცირებულ კლავიშს. თუმცა გაითვალისწინეთ, რომ ზოგიერთი პაკეტი ჩამოიშლება მცირე დროით, სანამ ყველა დისტანციური მარშრუტიზატორი არ გაიგებს. ახალი გასაღები.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

შეცვალეთ გამეორების საწინააღმდეგო ფანჯრის ზომა

IPsec ავთენტიფიკაცია უზრუნველყოფს გამეორების საწინააღმდეგო დაცვას მონაცემთა ნაკადში თითოეულ პაკეტს უნიკალური მიმდევრობის ნომრის მინიჭებით. ეს თანმიმდევრული ნუმერაცია იცავს თავდამსხმელის მიერ მონაცემთა პაკეტების დუბლირებას. გამეორების საწინააღმდეგო დაცვით, გამგზავნი ანიჭებს მონოტონურად მზარდ მიმდევრობის ნომრებს და დანიშნულების ადგილი ამოწმებს ამ თანმიმდევრობის ნომრებს დუბლიკატების გამოსავლენად. იმის გამო, რომ პაკეტები ხშირად არ მოდის წესრიგში, დანიშნულების ადგილი ინახავს მიმდევრობითი ნომრების მოცურების ფანჯარას, რომელსაც ის მიიღებს.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

პაკეტები მიმდევრობითი ნომრებით, რომლებიც ხვდება მოცურების ფანჯრის დიაპაზონის მარცხნივ, განიხილება ძველად ან დუბლიკატებად, და დანიშნულება ტოვებს მათ. დანიშნულება აკონტროლებს მის მიერ მიღებულ უმაღლეს მიმდევრობის ნომერს და არეგულირებს მოცურების ფანჯარას, როდესაც ის იღებს პაკეტს უფრო მაღალი მნიშვნელობით.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

ნაგულისხმევად, მოცურების ფანჯარა დაყენებულია 512 პაკეტზე. ის შეიძლება დაყენდეს ნებისმიერ მნიშვნელობაზე 64-დან 4096-მდე, რომელიც არის 2-ის სიმძლავრე (ანუ 64, 128, 256, 512, 1024, 2048 ან 4096). გამეორების საწინააღმდეგო ფანჯრის ზომის შესაცვლელად გამოიყენეთ replay-window ბრძანება, მიუთითეთ ფანჯრის ზომა:

Device(config)# უსაფრთხოების ipsec განმეორებითი ფანჯრის ნომერი

კონფიგურაცია ასე გამოიყურება:
უსაფრთხოების ipsec განმეორებითი ფანჯრის ნომერი! !

QoS-ის დასახმარებლად, შენარჩუნებულია ცალ-ცალკე განმეორებითი ფანჯრები ტრაფიკის პირველი რვა არხისთვის. კონფიგურირებული განმეორებითი ფანჯრის ზომა იყოფა რვაზე თითოეული არხისთვის. თუ QoS კონფიგურირებულია როუტერზე, ამ როუტერმა შეიძლება განიცადოს პაკეტების მოსალოდნელზე დიდი რაოდენობის ვარდნა IPsec საწინააღმდეგო განმეორებითი მექანიზმის შედეგად, და ბევრი პაკეტები, რომლებიც ჩამოიშლება, ლეგიტიმურია. ეს ხდება იმის გამო, რომ QoS ხელახლა აწესრიგებს პაკეტებს, ანიჭებს უფრო მაღალი პრიორიტეტის პაკეტებს უპირატესობას და აჭიანურებს დაბალი პრიორიტეტის პაკეტებს. ამ სიტუაციის შესამცირებლად ან თავიდან ასაცილებლად, შეგიძლიათ გააკეთოთ შემდეგი:

  • გამეორების საწინააღმდეგო ფანჯრის ზომის გაზრდა.
  • ინჟინერია ტრაფიკი პირველ რვა სატრანსპორტო არხზე, რათა დარწმუნდეს, რომ არხში ტრაფიკი არ განმეორდება.

IKE-ჩართული IPsec გვირაბების კონფიგურაცია
გადაფარვის ქსელიდან სერვისის ქსელში ტრაფიკის უსაფრთხოდ გადასატანად, შეგიძლიათ დააკონფიგურიროთ IPsec გვირაბები, რომლებიც აწარმოებენ Internet Key Exchange (IKE) პროტოკოლს. IKE ჩართული IPsec გვირაბები უზრუნველყოფს ავთენტიფიკაციას და დაშიფვრას, რათა უზრუნველყოს პაკეტის უსაფრთხო ტრანსპორტი. თქვენ ქმნით IKE ჩართული IPsec გვირაბს IPsec ინტერფეისის კონფიგურაციით. IPsec ინტერფეისები არის ლოგიკური ინტერფეისები და თქვენ აკონფიგურირებთ მათ ისევე, როგორც ნებისმიერი სხვა ფიზიკური ინტერფეისი. თქვენ აკონფიგურირებთ IKE პროტოკოლის პარამეტრებს IPsec ინტერფეისზე და შეგიძლიათ სხვა ინტერფეისის თვისებების კონფიგურაცია.

შენიშვნა Cisco გირჩევთ გამოიყენოთ IKE ვერსია 2. Cisco SD-WAN 19.2.x გამოშვებიდან მოყოლებული, წინასწარ გაზიარებული გასაღები უნდა იყოს მინიმუმ 16 ბაიტის სიგრძე. IPsec გვირაბის დაყენება ვერ ხერხდება, თუ გასაღების ზომა 16 სიმბოლოზე ნაკლებია, როდესაც როუტერი განახლდება 19.2 ვერსიამდე.

შენიშვნა
Cisco Catalyst SD-WAN პროგრამული უზრუნველყოფა მხარს უჭერს IKE ვერსია 2-ს, როგორც ეს განსაზღვრულია RFC 7296-ში. IPsec გვირაბების ერთ-ერთი გამოყენება არის Amazon AWS-ზე გაშვებული vEdge Cloud როუტერის ინსტანციების დაკავშირება Amazon-ის ვირტუალურ კერძო ღრუბელთან (VPC). თქვენ უნდა დააკონფიგურიროთ IKE ვერსია 1 ამ მარშრუტიზატორებზე. Cisco vEdge მოწყობილობები მხარს უჭერენ მხოლოდ მარშრუტზე დაფუძნებულ VPN-ებს IPSec კონფიგურაციაში, რადგან ამ მოწყობილობებს არ შეუძლიათ განსაზღვრონ ტრაფიკის სელექტორები დაშიფვრის დომენში.

IPsec გვირაბის კონფიგურაცია
სერვისის ქსელიდან უსაფრთხო სატრანსპორტო ტრაფიკისთვის IPsec გვირაბის ინტერფეისის კონფიგურაციისთვის, თქვენ ქმნით ლოგიკურ IPsec ინტერფეისს:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

თქვენ შეგიძლიათ შექმნათ IPsec გვირაბი სატრანსპორტო VPN-ში (VPN 0) და ნებისმიერ სერვისში VPN (VPN 1-დან 65530-მდე, გარდა 512-ისა). IPsec ინტერფეისს აქვს სახელი ფორმატში ipsecnumber, სადაც რიცხვი შეიძლება იყოს 1-დან 255-მდე. თითოეულ IPsec ინტერფეისს უნდა ჰქონდეს IPv4 მისამართი. ეს მისამართი უნდა იყოს /30 პრეფიქსი. VPN-ში მთელი ტრაფიკი, რომელიც არის ამ IPv4 პრეფიქსის ფარგლებში, მიმართულია ფიზიკურ ინტერფეისზე VPN 0-ში, რათა უსაფრთხოდ გაიგზავნოს IPsec გვირაბზე. ლოკალურ მოწყობილობაზე IPsec გვირაბის წყაროს კონფიგურაციისთვის, შეგიძლიათ მიუთითოთ ან IP მისამართი. ფიზიკური ინტერფეისი (tunnel-source ბრძანებაში) ან ფიზიკური ინტერფეისის სახელი (tunel-source-interface ბრძანებაში). დარწმუნდით, რომ ფიზიკური ინტერფეისი კონფიგურირებულია VPN 0-ში. IPsec გვირაბის დანიშნულების კონფიგურაციისთვის, მიუთითეთ დისტანციური მოწყობილობის IP მისამართი გვირაბის დანიშნულების ბრძანებაში. წყაროს მისამართის (ან წყაროს ინტერფეისის სახელის) და დანიშნულების მისამართის კომბინაცია განსაზღვრავს ერთ IPsec გვირაბს. შეიძლება არსებობდეს მხოლოდ ერთი IPsec გვირაბი, რომელიც იყენებს კონკრეტულ წყაროს მისამართს (ან ინტერფეისის სახელს) და დანიშნულების მისამართის წყვილს.

IPsec სტატიკური მარშრუტის კონფიგურაცია

სერვისის VPN-დან ტრაფიკის გადასატანად IPsec გვირაბამდე სატრანსპორტო VPN-ში (VPN 0), თქვენ აკონფიგურირებთ IPsec-ს სპეციფიკურ სტატიკური მარშრუტს სერვისის VPN-ში (VPN, გარდა VPN 0 ან VPN 512-ისა):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route პრეფიქსი/სიგრძე vpn 0 ინტერფეისი
  • ipsecnumber [ipsecnumber2]

VPN ID არის ნებისმიერი სერვისის VPN (VPN 1-დან 65530-მდე, გარდა 512-ისა). პრეფიქსი/სიგრძე არის IP მისამართი ან პრეფიქსი, ათწილადი ოთხნაწილიანი წერტილიანი აღნიშვნით და IPsec-ს სპეციფიკური სტატიკური მარშრუტის პრეფიქსის სიგრძე. ინტერფეისი არის IPsec გვირაბის ინტერფეისი VPN 0-ში. შეგიძლიათ დააკონფიგურიროთ ერთი ან ორი IPsec გვირაბის ინტერფეისი. თუ თქვენ დააკონფიგურირებთ ორს, პირველი არის პირველადი IPsec გვირაბი, ხოლო მეორე არის სარეზერვო. ორი ინტერფეისით, ყველა პაკეტი იგზავნება მხოლოდ პირველად გვირაბში. თუ ეს გვირაბი მარცხდება, მაშინ ყველა პაკეტი იგზავნება მეორად გვირაბში. თუ პირველადი გვირაბი დაბრუნდება, მთელი ტრაფიკი გადავა პირველად IPsec გვირაბში.

ჩართეთ IKE ვერსია 1
როდესაც ქმნით IPsec გვირაბს vEdge როუტერზე, IKE ვერსია 1 ჩართულია ნაგულისხმევად გვირაბის ინტერფეისზე. შემდეგი თვისებები ასევე ჩართულია ნაგულისხმევად IKEv1-ისთვის:

  • ავთენტიფიკაცია და დაშიფვრა — AES-256 გაფართოებული დაშიფვრის სტანდარტული CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეში შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • დიფი-ჰელმანის ჯგუფის ნომერი — 16
  • აღდგენის დროის ინტერვალი — 4 საათი
  • SA დაარსების რეჟიმი — მთავარი

ნაგულისხმევად, IKEv1 იყენებს IKE მთავარ რეჟიმს IKE SA-ების დასამყარებლად. ამ რეჟიმში, ექვსი მოლაპარაკების პაკეტი იცვლება SA-ს დასამყარებლად. მხოლოდ სამი მოლაპარაკების პაკეტის გასაცვლელად, ჩართეთ აგრესიული რეჟიმი:

შენიშვნა
IKE აგრესიული რეჟიმი წინასწარ გაზიარებული გასაღებებით თავიდან უნდა იქნას აცილებული, სადაც ეს შესაძლებელია. წინააღმდეგ შემთხვევაში, უნდა აირჩიოთ ძლიერი წინასწარ გაზიარებული გასაღები.

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი ike
  • vEdge(config-ike)# რეჟიმი აგრესიულია

ნაგულისხმევად, IKEv1 იყენებს Diffie-Hellman ჯგუფს 16 IKE გასაღებების გაცვლაში. ეს ჯგუფი იყენებს 4096-ბიტიან უფრო მოდულურ ექსპონენციალურ (MODP) ჯგუფს IKE გასაღების გაცვლის დროს. შეგიძლიათ შეცვალოთ ჯგუფის ნომერი 2-ზე (1024-ბიტიანი MODP-ისთვის), 14 (2048-ბიტიანი MODP) ან 15 (3072-ბიტიანი MODP):

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი ike
  • vEdge(config-ike)# ჯგუფის ნომერი

ნაგულისხმევად, IKE გასაღებების გაცვლა იყენებს AES-256 გაფართოებული დაშიფვრის სტანდარტის CBC დაშიფვრას HMAC-SHA1 ღილაკების ჰეშის შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის. თქვენ შეგიძლიათ შეცვალოთ ავტორიზაცია:

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი ike
  • vEdge(config-ike)# შიფრის კომპლექტი

ავთენტიფიკაციის კომპლექტი შეიძლება იყოს ერთ-ერთი შემდეგი:

  • aes128-cbc-sha1—AES-128 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • aes128-cbc-sha2—AES-128 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA256 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • aes256-cbc-sha1—AES-256 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის; ეს არის ნაგულისხმევი.
  • aes256-cbc-sha2—AES-256 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA256 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის

ნაგულისხმევად, IKE კლავიშების განახლება ხდება ყოველ 1 საათში (3600 წამში). თქვენ შეგიძლიათ შეცვალოთ ხელახალი ჩართვის ინტერვალი მნიშვნელობა 30 წამიდან 14 დღემდე (1209600 წამი). რეკომენდირებულია, რომ ხელახლა ჩართვის ინტერვალი იყოს მინიმუმ 1 საათი.

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი მოსწონს
  • vEdge(config-ike)# ხელახალი გასაღები წამი

IKE სესიისთვის ახალი გასაღებების გენერირების იძულებისთვის, გაუშვით მოთხოვნა ipsec ike-rekey ბრძანება.

  • vEdge(config)# vpn vpn-id ინტერფეისიipsec ნომერი ike

IKE-სთვის ასევე შეგიძლიათ წინასწარ გაზიარებული გასაღების (PSK) ავტორიზაციის კონფიგურაცია:

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი ike
  • vEdge(config-ike)# ავთენტიფიკაციის ტიპის წინასწარ გაზიარებული გასაღები წინასწარ გაზიარებული-საიდუმლო პაროლი პაროლი არის პაროლი, რომელიც გამოიყენება წინასწარ გაზიარებულ გასაღებთან ერთად. ეს შეიძლება იყოს ASCII ან თექვსმეტობითი სტრიქონი 1-დან 127 სიმბოლომდე.

თუ დისტანციური IKE თანატოლს სჭირდება ლოკალური ან დისტანციური ID, შეგიძლიათ დააკონფიგურიროთ ეს იდენტიფიკატორი:

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsec ნომერი ike ავთენტიფიკაციის ტიპი
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id

იდენტიფიკატორი შეიძლება იყოს IP მისამართი ან ნებისმიერი ტექსტის სტრიქონი 1-დან 63 სიმბოლომდე. ნაგულისხმევად, ადგილობრივი ID არის გვირაბის წყაროს IP მისამართი, ხოლო დისტანციური ID არის გვირაბის დანიშნულების IP მისამართი.

ჩართეთ IKE ვერსია 2
როდესაც თქვენ დააკონფიგურირებთ IPsec გვირაბს IKE ვერსიის 2-ის გამოსაყენებლად, შემდეგი თვისებები ასევე ჩართულია ნაგულისხმევად IKEv2-ისთვის:

  • ავთენტიფიკაცია და დაშიფვრა — AES-256 გაფართოებული დაშიფვრის სტანდარტული CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეში შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • დიფი-ჰელმანის ჯგუფის ნომერი — 16
  • აღდგენის დროის ინტერვალი — 4 საათი

ნაგულისხმევად, IKEv2 იყენებს Diffie-Hellman ჯგუფს 16 IKE გასაღებების გაცვლაში. ეს ჯგუფი იყენებს 4096-ბიტიან უფრო მოდულურ ექსპონენციალურ (MODP) ჯგუფს IKE გასაღების გაცვლის დროს. შეგიძლიათ შეცვალოთ ჯგუფის ნომერი 2-ზე (1024-ბიტიანი MODP-ისთვის), 14 (2048-ბიტიანი MODP) ან 15 (3072-ბიტიანი MODP):

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsecnumber ike
  • vEdge(config-ike)# ჯგუფის ნომერი

ნაგულისხმევად, IKE გასაღებების გაცვლა იყენებს AES-256 გაფართოებული დაშიფვრის სტანდარტის CBC დაშიფვრას HMAC-SHA1 ღილაკების ჰეშის შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის. თქვენ შეგიძლიათ შეცვალოთ ავტორიზაცია:

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsecnumber ike
  • vEdge(config-ike)# შიფრის კომპლექტი

ავთენტიფიკაციის კომპლექტი შეიძლება იყოს ერთ-ერთი შემდეგი:

  • aes128-cbc-sha1—AES-128 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • aes128-cbc-sha2—AES-128 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA256 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის
  • aes256-cbc-sha1—AES-256 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA1 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის; ეს არის ნაგულისხმევი.
  • aes256-cbc-sha2—AES-256 გაფართოებული დაშიფვრის სტანდარტი CBC დაშიფვრა HMAC-SHA256 ღილაკ-ჰეშ შეტყობინების ავთენტიფიკაციის კოდის ალგორითმით მთლიანობისთვის

ნაგულისხმევად, IKE კლავიშების განახლება ხდება ყოველ 4 საათში (14,400 წამში). თქვენ შეგიძლიათ შეცვალოთ გასაღების ხელახალი ინტერვალი მნიშვნელობა 30 წამიდან 14 დღემდე (1209600 წამი):

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsecnumber ike
  • vEdge(config-ike)# ხელახალი გასაღები წამი

IKE სესიისთვის ახალი გასაღებების გენერირების იძულებისთვის, გაუშვით მოთხოვნა ipsec ike-rekey ბრძანება. IKE-სთვის ასევე შეგიძლიათ წინასწარ გაზიარებული გასაღების (PSK) ავტორიზაციის კონფიგურაცია:

  • vEdge(config)# vpn vpn-id ინტერფეისი ipsecnumber ike
  • vEdge(config-ike)# ავთენტიფიკაციის ტიპის წინასწარ გაზიარებული გასაღები წინასწარ გაზიარებული-საიდუმლო პაროლი პაროლი არის პაროლი, რომელიც გამოიყენება წინასწარ გაზიარებულ გასაღებთან ერთად. ეს შეიძლება იყოს ASCII ან თექვსმეტობითი სტრიქონი, ან შეიძლება იყოს AES-ში დაშიფრული გასაღები. თუ დისტანციური IKE თანატოლს სჭირდება ლოკალური ან დისტანციური ID, შეგიძლიათ დააკონფიგურიროთ ეს იდენტიფიკატორი:
  • vEdge(config)# vpn vpn-id ინტერფეისი ipsecnumber ike ავთენტიფიკაციის ტიპი
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id

იდენტიფიკატორი შეიძლება იყოს IP მისამართი ან ნებისმიერი ტექსტის სტრიქონი 1-დან 64 სიმბოლომდე. ნაგულისხმევად, ადგილობრივი ID არის გვირაბის წყაროს IP მისამართი, ხოლო დისტანციური ID არის გვირაბის დანიშნულების IP მისამართი.

IPsec გვირაბის პარამეტრების კონფიგურაცია

ცხრილი 4: მახასიათებლების ისტორია

ფუნქცია სახელი გამოშვების ინფორმაცია აღწერა
დამატებითი კრიპტოგრაფიული Cisco SD-WAN გამოშვება 20.1.1 ეს ფუნქცია ამატებს მხარდაჭერას
ალგორითმული მხარდაჭერა IPSec-ისთვის   HMAC_SHA256, HMAC_SHA384 და
გვირაბები   HMAC_SHA512 ალგორითმები ამისთვის
    გაძლიერებული უსაფრთხოება.

ნაგულისხმევად, შემდეგი პარამეტრები გამოიყენება IPsec გვირაბზე, რომელიც ატარებს IKE ტრაფიკს:

  • ავთენტიფიკაცია და დაშიფვრა - AES-256 ალგორითმი GCM-ში (Galois/counter mode)
  • აღდგენის ინტერვალი - 4 საათი
  • გამეორების ფანჯარა - 32 პაკეტი

თქვენ შეგიძლიათ შეცვალოთ დაშიფვრა IPsec გვირაბზე AES-256 შიფრით CBC-ში (შიფრის ბლოკის ჯაჭვის რეჟიმი, HMAC-ით SHA-1 ან SHA-2 გასაღებით ჰეშის შეტყობინების ავთენტიფიკაციის გამოყენებით ან NULL-ით HMAC-ით SHA-1 ან SHA-2 keyed-hash შეტყობინების ავთენტიფიკაცია, რათა არ დაშიფროთ IPsec გვირაბი, რომელიც გამოიყენება IKE გასაღების გაცვლის ტრაფიკისთვის:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# შიფრა-კომპლექტი (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-cbc-256sha256 | aes384-null-256 | aes512-cbc-shaXNUMX | | aesXNUMX-null-shaXNUMX | aesXNUMX-null-shaXNUMX)

ნაგულისხმევად, IKE კლავიშების განახლება ხდება ყოველ 4 საათში (14,400 წამში). თქვენ შეგიძლიათ შეცვალოთ გასაღების ხელახალი ინტერვალი მნიშვნელობა 30 წამიდან 14 დღემდე (1209600 წამი):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ხელახალი გასაღები წამი

IPsec გვირაბისთვის ახალი გასაღებების გენერირების იძულებისთვის, გაუშვით მოთხოვნა ipsec ipsec-rekey ბრძანება. ნაგულისხმევად, სრულყოფილი წინსვლის საიდუმლოება (PFS) ჩართულია IPsec გვირაბებში, რათა დარწმუნდეს, რომ წარსულ სესიებზე გავლენას არ მოახდენს, თუ მომავალი გასაღებები კომპრომეტირებულია. PFS აიძულებს Diffie-Hellman გასაღების გაცვლას, ნაგულისხმევად იყენებს 4096-ბიტიან Diffie-Hellman პრაიმ მოდულის ჯგუფს. თქვენ შეგიძლიათ შეცვალოთ PFS პარამეტრი:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-ის პარამეტრი შეიძლება იყოს ერთ-ერთი შემდეგი:

  • ჯგუფი-2-გამოიყენეთ 1024-ბიტიანი Diffie-Hellman-ის ძირითადი მოდულის ჯგუფი.
  • ჯგუფი-14-გამოიყენეთ 2048-ბიტიანი Diffie-Hellman-ის ძირითადი მოდულის ჯგუფი.
  • ჯგუფი-15-გამოიყენეთ 3072-ბიტიანი Diffie-Hellman-ის ძირითადი მოდულის ჯგუფი.
  • ჯგუფი-16-გამოიყენეთ 4096-ბიტიანი Diffie-Hellman-ის ძირითადი მოდულის ჯგუფი. ეს არის ნაგულისხმევი.
  • არცერთი - გამორთეთ PFS.

ნაგულისხმევად, IPsec განმეორებითი ფანჯარა IPsec გვირაბზე არის 512 ბაიტი. თქვენ შეგიძლიათ დააყენოთ განმეორებითი ფანჯრის ზომა 64, 128, 256, 512, 1024, 2048 ან 4096 პაკეტებზე:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# განმეორებითი ფანჯრის ნომერი

შეცვალეთ IKE Dead-Peer Detection

IKE იყენებს მკვდარი თანატოლების გამოვლენის მექანიზმს იმის დასადგენად, არის თუ არა კავშირი IKE თანატოლებთან ფუნქციონალური და ხელმისაწვდომი. ამ მექანიზმის განსახორციელებლად, IKE უგზავნის Hello პაკეტს თავის თანატოლს, ხოლო თანატოლი პასუხად აგზავნის აღიარებას. ნაგულისხმევად, IKE აგზავნის Hello პაკეტებს ყოველ 10 წამში და სამი არაღიარებული პაკეტის შემდეგ, IKE აცხადებს მეზობელს გარდაცვლილად და ანადგურებს გვირაბს თანატოლს. ამის შემდეგ, IKE პერიოდულად უგზავნის Hello პაკეტს თანატოლს და აღადგენს გვირაბს, როდესაც თანატოლი დაბრუნდება ონლაინში. თქვენ შეგიძლიათ შეცვალოთ სიცოცხლისუნარიანობის გამოვლენის ინტერვალი მნიშვნელობებამდე 0-დან 65535-მდე, და შეგიძლიათ შეცვალოთ განმეორებითი ცდების რაოდენობა მნიშვნელობაზე 0-დან 255-მდე.

შენიშვნა

სატრანსპორტო VPN-ებისთვის, სიცოცხლისუნარიანობის გამოვლენის ინტერვალი გარდაიქმნება წამებში შემდეგი ფორმულის გამოყენებით: ინტერვალი ხელახალი გადაცემის მცდელობისთვის ნომერი N = ინტერვალი * 1.8N-1 ყოფილიampთუ ინტერვალი დაყენებულია 10-ზე და ხელახლა ეცდება 5-ს, აღმოჩენის ინტერვალი იზრდება შემდეგნაირად:

  • მცდელობა 1: 10 * 1.81-1 = 10 წამი
  • მცდელობა 2: 10 * 1.82-1 = 18 წამი
  • მცდელობა 3: 10 * 1.83-1 = 32.4 წამი
  • მცდელობა 4: 10 * 1.84-1 = 58.32 წამი
  • მცდელობა 5: 10 * 1.85-1 = 104.976 წამი

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval განმეორებითი ცდების ნომერი

სხვა ინტერფეისის თვისებების კონფიგურაცია

IPsec გვირაბის ინტერფეისებისთვის, შეგიძლიათ დააკონფიგურიროთ მხოლოდ შემდეგი დამატებითი ინტერფეისის თვისებები:

  • vEdge(config-interface-ipsec)# mtu ბაიტი
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

გამორთეთ სუსტი SSH დაშიფვრის ალგორითმები Cisco SD-WAN მენეჯერზე

ცხრილი 5: ფუნქციების ისტორიის ცხრილი

ფუნქცია სახელი გამოშვების ინფორმაცია ფუნქცია აღწერა
გამორთეთ სუსტი SSH დაშიფვრის ალგორითმები Cisco SD-WAN მენეჯერზე Cisco vManage გამოშვება 20.9.1 ეს ფუნქცია საშუალებას გაძლევთ გამორთოთ უფრო სუსტი SSH ალგორითმები Cisco SD-WAN მენეჯერზე, რომლებიც შეიძლება არ შეესაბამებოდეს მონაცემთა უსაფრთხოების გარკვეულ სტანდარტებს.

ინფორმაცია Cisco SD-WAN მენეჯერზე სუსტი SSH დაშიფვრის ალგორითმების გამორთვის შესახებ
Cisco SD-WAN მენეჯერი უზრუნველყოფს SSH კლიენტს ქსელის კომპონენტებთან კომუნიკაციისთვის, მათ შორის კონტროლერებთან და კიდეებთან მოწყობილობებთან. SSH კლიენტი უზრუნველყოფს დაშიფრულ კავშირს მონაცემთა უსაფრთხო გადაცემისთვის, დაშიფვრის სხვადასხვა ალგორითმების საფუძველზე. ბევრ ორგანიზაციას სჭირდება უფრო ძლიერი დაშიფვრა, ვიდრე SHA-1, AES-128 და AES-192. Cisco vManage Release 20.9.1-დან შეგიძლიათ გამორთოთ შემდეგი სუსტი დაშიფვრის ალგორითმები, რათა SSH კლიენტმა არ გამოიყენოს ეს ალგორითმები:

  • SHA-1
  • AES-128
  • AES-192

ამ დაშიფვრის ალგორითმების გამორთვამდე დარწმუნდით, რომ Cisco vEdge მოწყობილობები, ასეთის არსებობის შემთხვევაში, ქსელში, იყენებენ პროგრამული უზრუნველყოფის გამოშვებას უფრო გვიან, ვიდრე Cisco SD-WAN გამოშვება 18.4.6.

სუსტი SSH დაშიფვრის ალგორითმების გამორთვის უპირატესობები Cisco SD-WAN მენეჯერზე
სუსტი SSH დაშიფვრის ალგორითმების გამორთვა აუმჯობესებს SSH კომუნიკაციის უსაფრთხოებას და უზრუნველყოფს, რომ ორგანიზაციები, რომლებიც იყენებენ Cisco Catalyst SD-WAN, შეესაბამება უსაფრთხოების მკაცრ რეგულაციებს.

გამორთეთ სუსტი SSH დაშიფვრის ალგორითმები Cisco SD-WAN მენეჯერზე CLI-ის გამოყენებით

  1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ ინსტრუმენტები > SSH ტერმინალი.
  2. აირჩიეთ Cisco SD-WAN მენეჯერი მოწყობილობა, რომელზეც გსურთ გამორთოთ სუსტი SSH ალგორითმები.
  3. შეიყვანეთ მომხმარებლის სახელი და პაროლი მოწყობილობაში შესასვლელად.
  4. შედით SSH სერვერის რეჟიმში.
    • vmanage(config)# სისტემა
    • vmanage(config-system)# ssh-server
  5. გააკეთეთ ერთ-ერთი შემდეგი SSH დაშიფვრის ალგორითმის გამორთვის:
    • გამორთეთ SHA-1:
  6. მართვა (config-ssh-server)# no kex-algo sha1
  7. მართვა(config-ssh-server)# commit
    გამოჩნდება შემდეგი გამაფრთხილებელი შეტყობინება: გენერირებულია შემდეგი გაფრთხილებები: 'system ssh-server kex-algo sha1': გაფრთხილება: გთხოვთ, დარწმუნდეთ, რომ თქვენს ყველა კიდეზე მუშაობს კოდის ვერსია > 18.4.6, რომელიც SHA1-ზე უკეთესად მუშაობს vManage-თან. წინააღმდეგ შემთხვევაში, ეს კიდეები შეიძლება გახდეს ხაზგარეშე. გაგრძელება? [დიახ, არა] დიახ
    • დარწმუნდით, რომ ნებისმიერი Cisco vEdge მოწყობილობა ქსელში მუშაობს Cisco SD-WAN Release 18.4.6 ან უფრო ახალი და შეიყვანეთ დიახ.
    • გამორთეთ AES-128 და AES-192:
    • vmanage(config-ssh-server)# შიფრის გარეშე aes-128-192
    • vmanage(config-ssh-server)# commit
      გამოჩნდება შემდეგი გამაფრთხილებელი შეტყობინება:
      შეიქმნა შემდეგი გაფრთხილებები:
      'სისტემის ssh-სერვერის შიფრა aes-128-192': გაფრთხილება: გთხოვთ, დარწმუნდეთ, რომ თქვენს ყველა კიდეზე მუშაობს კოდის ვერსია > 18.4.6, რომელიც AES-128-192-ზე უკეთესად მუშაობს vManage-თან. წინააღმდეგ შემთხვევაში, ეს კიდეები შეიძლება გახდეს ხაზგარეშე. გაგრძელება? [დიახ, არა] დიახ
    • დარწმუნდით, რომ ნებისმიერი Cisco vEdge მოწყობილობა ქსელში მუშაობს Cisco SD-WAN Release 18.4.6 ან უფრო ახალი და შეიყვანეთ დიახ.

შეამოწმეთ, რომ სუსტი SSH დაშიფვრის ალგორითმები გამორთულია Cisco SD-WAN მენეჯერზე CLI-ის გამოყენებით

  1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ ინსტრუმენტები > SSH ტერმინალი.
  2. აირჩიეთ Cisco SD-WAN მენეჯერი მოწყობილობა, რომლის გადამოწმებაც გსურთ.
  3. შეიყვანეთ მომხმარებლის სახელი და პაროლი მოწყობილობაში შესასვლელად.
  4. გაუშვით შემდეგი ბრძანება: show running-config system ssh-server
  5. დაადასტურეთ, რომ გამომავალი აჩვენებს ერთ ან მეტ ბრძანებას, რომელიც გამორთავს სუსტი დაშიფვრის ალგორითმებს:
    • შიფრის გარეშე aes-128-192
    • არა kex-algo sha1

დოკუმენტები / რესურსები

CISCO SD-WAN უსაფრთხოების პარამეტრების კონფიგურაცია [pdf] მომხმარებლის სახელმძღვანელო
SD-WAN უსაფრთხოების პარამეტრების კონფიგურაცია, SD-WAN, უსაფრთხოების პარამეტრების კონფიგურაცია, უსაფრთხოების პარამეტრები

ცნობები

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი არ გამოქვეყნდება. მონიშნულია აუცილებელი ველები *