Turinys paslėpti
1 CISCO SD-WAN Konfigūruoti saugos parametrus
2 Konfigūruokite saugos parametrus
3 Konfigūruokite valdymo plokštumos saugos parametrus
4 Sukonfigūruokite DTLS „Cisco SD-WAN Manager“.
5 Konfigūruokite duomenų plokštumos saugos parametrus
6 Konfigūruokite leidžiamus autentifikavimo tipus
7 Pakeiskite klavišų pakartojimo laikmatį
8 Pakeiskite „Anti-Replay“ lango dydį
9 Konfigūruokite IPsec statinį maršrutą
10 Konfigūruokite IPsec tunelio parametrus
11 Modifikuokite IKE negyvų bendraamžių aptikimą
12 Konfigūruokite kitas sąsajos ypatybes
13 Išjunkite silpnus SSH šifravimo algoritmus „Cisco SD-WAN Manager“.
14 Dokumentai / Ištekliai
14.1 Nuorodos

CISCO logotipas

CISCO SD-WAN Konfigūruoti saugos parametrus

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigūruokite saugos parametrus

Pastaba

Siekiant supaprastinimo ir nuoseklumo, Cisco SD-WAN sprendimas buvo pervadintas į Cisco Catalyst SD-WAN. Be to, iš „Cisco IOS XE SD-WAN Release 17.12.1a“ ir „Cisco Catalyst SD-WAN Release 20.12.1“ taikomi šie komponentų pakeitimai: „Cisco vManage“ į „Cisco Catalyst SD-WAN Manager“, „Cisco vAnalytics“ į „Cisco Catalyst“ SD-WAN „Analytics“, „Cisco vBond“ į „Cisco Catalyst SD-WAN Validator“ ir „Cisco vSmart“ į „Cisco Catalyst“ SD-WAN valdiklį. Išsamų visų komponentų prekės ženklo pakeitimų sąrašą rasite naujausiose leidimo pastabose. Kol pereiname prie naujų pavadinimų, dokumentų rinkinyje gali būti tam tikrų neatitikimų, nes programinės įrangos produkto vartotojo sąsajos naujinimai atnaujinami palaipsniui.

Šiame skyriuje aprašoma, kaip pakeisti valdymo plokštumos ir duomenų plokštumos saugos parametrus Cisco Catalyst SD-WAN perdangos tinkle.

  • Konfigūruoti valdymo plokštumos saugos parametrus, įjungta
  • Konfigūruoti duomenų plokštumos saugos parametrus, įjungta
  • Konfigūruoti IKE įgalintus IPsec tunelius, įjungta
  • Išjunkite silpnus SSH šifravimo algoritmus „Cisco SD-WAN Manager“, įjungę

Konfigūruokite valdymo plokštumos saugos parametrus

Pagal numatytuosius nustatymus valdymo plokštuma naudoja DTLS kaip protokolą, užtikrinantį privatumą visuose savo tuneliuose. DTLS veikia per UDP. Galite pakeisti valdymo plokštumos saugos protokolą į TLS, kuris veikia per TCP. Pagrindinė TLS naudojimo priežastis yra ta, kad jei manote, kad „Cisco SD-WAN Controller“ yra serveris, ugniasienės apsaugo TCP serverius geriau nei UDP serverius. Valdymo plokštumos tunelio protokolą konfigūruojate Cisco SD-WAN valdiklyje: vSmart(config)# saugos valdymo protokolas tls Atlikus šį pakeitimą, visi valdymo plokštumos tuneliai tarp Cisco SD-WAN valdiklio ir maršrutizatorių bei tarp Cisco SD-WAN valdiklio ir Cisco SD-WAN Manager naudoja TLS. Valdymo plokštumos tuneliai į Cisco Catalyst SD-WAN Validator visada naudoja DTLS, nes šiuos ryšius turi tvarkyti UDP. Domene su keliais Cisco SD-WAN valdikliais, kai konfigūruojate TLS viename iš Cisco SD-WAN valdiklių, visi valdymo plokštumos tuneliai nuo to valdiklio iki kitų valdiklių naudoja TLS. Kitaip tariant, TLS visada turi viršenybę prieš DTLS. Tačiau kitų Cisco SD-WAN valdiklių požiūriu, jei nesate sukonfigūravę TLS, jie naudoja TLS valdymo plokštumos tunelyje tik tam vienam Cisco SD-WAN valdikliui, o DTLS tunelius naudoja visiems kitiems. Cisco SD-WAN valdikliai ir visi prie jų prijungti maršruto parinktuvai. Kad visi Cisco SD-WAN valdikliai naudotų TLS, sukonfigūruokite jį visuose. Pagal numatytuosius nustatymus Cisco SD-WAN valdiklis klausosi TLS užklausų per 23456 prievadą. Norėdami tai pakeisti: vSmart(config)# saugos kontrolės tls-port numeris Prievadas gali būti skaičius nuo 1025 iki 65535. Norėdami rodyti valdymo plokštumos saugos informaciją, naudokite komandą rodyti valdymo ryšius Cisco SD-WAN valdiklyje. Pavyzdžiui,ample: vSmart-2# rodo valdymo jungtis

CISCO-SD-WAN-Configure-Security-Parameters-1 pav

Sukonfigūruokite DTLS „Cisco SD-WAN Manager“.

Jei sukonfigūravote Cisco SD-WAN Manager naudoti TLS kaip valdymo plokštumos saugos protokolą, turite įjungti prievado persiuntimą savo NAT. Jei naudojate DTLS kaip valdymo plokštumos saugos protokolą, nieko daryti nereikia. Persiunčiamų prievadų skaičius priklauso nuo vdaemon procesų, veikiančių „Cisco SD-WAN Manager“, skaičiaus. Norėdami parodyti informaciją apie šiuos procesus ir apie persiunčiamų prievadų skaičių, naudokite komandą Rodyti valdymo suvestinę, kuri parodo, kad veikia keturi demono procesai:CISCO-SD-WAN-Configure-Security-Parameters-2 pav

Norėdami pamatyti klausymosi prievadus, naudokite komandą show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-3 pav

Ši išvestis rodo, kad klausymosi TCP prievadas yra 23456. Jei naudojate Cisco SD-WAN Manager už NAT, turėtumėte atidaryti šiuos NAT įrenginio prievadus:

  • 23456 (bazė – 0 egzemplioriaus prievadas)
  • 23456 + 100 (bazinė + 100)
  • 23456 + 200 (bazinė + 200)
  • 23456 + 300 (bazinė + 300)

Atminkite, kad egzempliorių skaičius yra toks pat, kaip ir branduolių, kuriuos priskyrėte „Cisco SD-WAN Manager“, skaičius, daugiausia iki 8.

Konfigūruokite saugos parametrus naudodami saugos funkcijos šabloną

Naudokite saugos funkcijos šabloną visiems Cisco vEdge įrenginiams. Kraštiniuose maršrutizatoriuose ir „Cisco SD-WAN Validator“ naudokite šį šabloną, kad sukonfigūruotumėte IPsec duomenų plokštumos saugumui. „Cisco SD-WAN Manager“ ir „Cisco SD-WAN Controller“ naudokite saugos funkcijos šabloną, kad sukonfigūruotumėte DTLS arba TLS valdymo plokštumos saugumui.

Konfigūruokite saugos parametrus

  1. Cisco SD-WAN Manager meniu pasirinkite Configuration > Templates.
  2. Spustelėkite Funkcijų šablonai, tada spustelėkite Pridėti šabloną.
    Pastaba Cisco vManage 20.7.1 ir ankstesnėse versijose funkcijų šablonai vadinami funkcija.
  3. Kairiojoje srityje esančiame įrenginių sąraše pasirinkite įrenginį. Pasirinktam įrenginiui taikomi šablonai rodomi dešinėje srityje.
  4. Spustelėkite Sauga, kad atidarytumėte šabloną.
  5. Lauke Šablono pavadinimas įveskite šablono pavadinimą. Pavadinimas gali būti sudarytas iki 128 simbolių ir gali būti sudarytas tik iš raidinių ir skaitmeninių simbolių.
  6. Lauke Šablono aprašymas įveskite šablono aprašymą. Aprašą gali sudaryti iki 2048 simbolių ir jame gali būti tik raidinių ir skaitinių simbolių.

Kai pirmą kartą atidarote funkcijos šabloną, kiekvienam parametrui, turinčiam numatytąją reikšmę, taikymo sritis nustatoma į Numatytoji (nurodyta varnele) ir rodomas numatytasis nustatymas arba reikšmė. Norėdami pakeisti numatytąjį arba įvesti reikšmę, spustelėkite parametro lauko kairėje esantį išskleidžiamąjį meniu ir pasirinkite vieną iš šių parinkčių:

1 lentelė:

Parametras Taikymo sritis Taikymo sritis Aprašymas
Specifinis įrenginys (nurodoma prieglobos piktograma) Parametrui naudokite konkrečiam įrenginiui skirtą reikšmę. Konkrečiam įrenginiui būdingų parametrų reikšmės funkcijos šablone įvesti negalite. Reikšmę įvedate, kai prijungiate Viptela įrenginį prie įrenginio šablono.

Spustelėjus konkretų įrenginį, atidaromas langas Enter Key. Šiame laukelyje rodomas raktas, unikali eilutė, identifikuojanti parametrą CSV file kurį kuriate. Tai file yra „Excel“ skaičiuoklė, kurioje yra vienas stulpelis kiekvienam raktui. Antraštės eilutėje yra raktų pavadinimai (po vieną raktą kiekviename stulpelyje), o kiekviena eilutė po to atitinka įrenginį ir apibrėžia to įrenginio raktų reikšmes. Įkeliate CSV file kai prijungiate Viptela įrenginį prie įrenginio šablono. Norėdami gauti daugiau informacijos, žr. šablono kintamųjų skaičiuoklės kūrimas.

Norėdami pakeisti numatytąjį raktą, įveskite naują eilutę ir perkelkite žymeklį iš laukelio Enter Key.

ExampĮrenginiams būdingi parametrai yra sistemos IP adresas, pagrindinio kompiuterio pavadinimas, GPS vieta ir svetainės ID.
Parametras Taikymo sritis Taikymo sritis Aprašymas
Pasaulinis (nurodytas gaublio piktograma) Įveskite parametro vertę ir pritaikykite ją visiems įrenginiams.

ExampParametrų, kuriuos galite taikyti visame pasaulyje įrenginių grupei, yra DNS serveris, syslog serveris ir sąsajos MTU.

Konfigūruokite valdymo plokštumos apsaugą

Pastaba
Skyrius „Configure Control Plane Security“ taikomas tik „Cisco SD-WAN Manager“ ir „Cisco SD-WAN Controller“. Norėdami sukonfigūruoti valdymo plokštumos ryšio protokolą „Cisco SD-WAN Manager“ egzemplioriuje arba „Cisco SD-WAN Controller“, pasirinkite bazinės konfigūracijos sritį. ir sukonfigūruokite šiuos parametrus:

2 lentelė:

Parametras Vardas Aprašymas
protokolas Pasirinkite protokolą, kurį naudosite valdymo plokštumos ryšiams su Cisco SD-WAN valdikliu:

• DTLS (Datagram Transport Layer Security). Tai yra numatytasis.

• TLS (transporto lygmens sauga)
Valdykite TLS prievadą Jei pasirinkote TLS, sukonfigūruokite naudotiną prievado numerį:Diapazonas: nuo 1025 iki 65535Numatytasis: 23456

Spustelėkite Išsaugoti

Konfigūruokite duomenų plokštumos apsaugą
Norėdami sukonfigūruoti duomenų plokštumos saugumą „Cisco SD-WAN Validator“ arba „Cisco vEdge“ maršrutizatoriuje, pasirinkite skirtukus „Pagrindinė konfigūracija“ ir „Autentifikavimo tipas“ ir sukonfigūruokite šiuos parametrus:

3 lentelė:

Parametras Vardas Aprašymas
Pakartotinis laikas Nurodykite, kaip dažnai Cisco vEdge maršruto parinktuvas keičia AES raktą, naudojamą saugiam DTLS ryšiui su Cisco SD-WAN valdikliu. Jei OMP grakštus paleidimas iš naujo įjungtas, pakartotinio raktų įvedimo laikas turi būti bent du kartus didesnis už OMP grakštaus paleidimo iš naujo laikmačio vertę.Diapazonas: nuo 10 iki 1209600 sekundžių (14 dienų)Numatytasis: 86400 sekundžių (24 valandos)
Pakartojimo langas Nurodykite stumdomo pakartojimo lango dydį.

Vertybės: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketaiNumatytasis: 512 pakelių
IPsec

porinis raktas

 Tai pagal numatytuosius nustatymus išjungta. Spustelėkite On kad jį įjungtumėte.
Parametras Vardas Aprašymas
Autentifikavimo tipas Pasirinkite autentifikavimo tipus iš Autentifikavimas Sąrašasir spustelėkite rodyklę, nukreiptą į dešinę, kad perkeltumėte autentifikavimo tipus į Pasirinktas sąrašas stulpelyje.

Autentifikavimo tipai, palaikomi Cisco SD-WAN 20.6.1 leidime:

•  ypač: Įgalina Encapsulating Security Payload (ESP) šifravimą ir ESP antraštės vientisumo tikrinimą.

•  ip-udp-esp: Įjungia ESP šifravimą. Be ESP antraštės ir naudingosios apkrovos vientisumo patikrų, patikrinimai taip pat apima išorines IP ir UDP antraštes.

•  ip-udp-esp-no-id: nepaiso ID lauko IP antraštėje, kad Cisco Catalyst SD-WAN galėtų veikti kartu su ne Cisco įrenginiais.

•  jokios: IPSec paketų vientisumo tikrinimas išjungiamas. Nerekomenduojame naudoti šios parinkties.

 

Autentifikavimo tipai, palaikomi Cisco SD-WAN 20.5.1 ir ankstesnėse versijose:

•  ah-ne-id: įgalinkite patobulintą AH-SHA1 HMAC ir ESP HMAC-SHA1 versiją, kuri nepaiso ID lauko paketo išorinėje IP antraštėje.

•  ah-sha1-hmac: įgalinkite AH-SHA1 HMAC ir ESP HMAC-SHA1.

•  jokios: pasirinkite be autentifikavimo.

•  sha1-hmac: įjungti ESP HMAC-SHA1.

 

Pastaba              Krašto įrenginyje, kuriame veikia „Cisco SD-WAN Release 20.5.1“ arba senesnė versija, gali būti, kad sukonfigūravote autentifikavimo tipus naudodami Saugumas šabloną. Kai atnaujinate įrenginį į Cisco SD-WAN 20.6.1 ar naujesnę versiją, atnaujinkite pasirinktus autentifikavimo tipus Saugumas šabloną autentifikavimo tipams, kuriuos palaiko Cisco SD-WAN 20.6.1 leidimas. Norėdami atnaujinti autentifikavimo tipus, atlikite šiuos veiksmus:

1.      Cisco SD-WAN Manager meniu pasirinkite Konfigūracija >

Šablonai.

2.      Spustelėkite Funkcijų šablonai.

3.      Raskite Saugumas šabloną, kurį norite atnaujinti, spustelėkite … ir spustelėkite Redaguoti.

4.      Spustelėkite Atnaujinti. Nekeiskite jokios konfigūracijos.

„Cisco SD-WAN Manager“ atnaujina Saugumas šabloną, kad būtų rodomi palaikomi autentifikavimo tipai.

Spustelėkite Išsaugoti.

Konfigūruokite duomenų plokštumos saugos parametrus

Duomenų plokštumoje IPsec pagal numatytuosius nustatymus įjungtas visuose maršrutizatoriuose, o pagal numatytuosius nustatymus IPsec tuneliniai ryšiai naudoja patobulintą Encapsulating Security Payload (ESP) protokolo versiją, skirtą autentifikavimui IPsec tuneliuose. Maršrutizatoriuose galite pakeisti autentifikavimo tipą, IPsec raktų keitimo laikmatį ir IPsec anti-pakartojimo lango dydį.

Konfigūruokite leidžiamus autentifikavimo tipus

Autentifikavimo tipai Cisco SD-WAN 20.6.1 ir vėlesnėse versijose
Iš „Cisco SD-WAN Release 20.6.1“ palaikomi šie vientisumo tipai:

  • esp: ši parinktis įgalina Encapsulating Security Payload (ESP) šifravimą ir ESP antraštės vientisumo tikrinimą.
  • ip-udp-esp: ši parinktis įgalina ESP šifravimą. Be ESP antraštės ir naudingosios apkrovos vientisumo patikrų, patikros taip pat apima išorines IP ir UDP antraštes.
  • ip-udp-esp-no-id: ši parinktis panaši į ip-udp-esp, tačiau išorinės IP antraštės ID laukas nepaisomas. Konfigūruokite šią parinktį vientisumo tipų sąraše, kad Cisco Catalyst SD-WAN programinė įranga nepaisytų ID lauko IP antraštėje, kad Cisco Catalyst SD-WAN galėtų veikti kartu su ne Cisco įrenginiais.
  • jokio: ši parinktis išjungia IPSec paketų vientisumo tikrinimą. Nerekomenduojame naudoti šios parinkties.

Pagal numatytuosius nustatymus IPsec tuneliniai ryšiai autentifikavimui naudoja patobulintą Encapsulating Security Payload (ESP) protokolo versiją. Norėdami pakeisti suderintus interity tipus arba išjungti vientisumo tikrinimą, naudokite šią komandą: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | ypač }

Autentifikavimo tipai iki Cisco SD-WAN leidimo 20.6.1
Pagal numatytuosius nustatymus IPsec tuneliniai ryšiai autentifikavimui naudoja patobulintą Encapsulating Security Payload (ESP) protokolo versiją. Norėdami pakeisti sutartus autentifikavimo tipus arba išjungti autentifikavimą, naudokite šią komandą: Įrenginys(config)# security ipsec autentifikavimo tipas (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Pagal numatytuosius nustatymus IPsec tunelio ryšiams naudojamas AES-GCM-256, kuris užtikrina ir šifravimą, ir autentifikavimą. Konfigūruokite kiekvieną autentifikavimo tipą naudodami atskirą saugos ipsec autentifikavimo tipo komandą. Komandos parinktys susietos su šiais autentifikavimo tipais, kurie yra išvardyti nuo stipriausio iki mažiausiai stipraus:

Pastaba
Sha1 konfigūracijos parinktyse naudojamas dėl istorinių priežasčių. Autentifikavimo parinktys rodo, kiek paketo vientisumo patikrinimo atlikta. Jie nenurodo vientisumą tikrinančio algoritmo. Išskyrus daugialypės terpės srauto šifravimą, Cisco Catalyst SD WAN palaikomi autentifikavimo algoritmai nenaudoja SHA1. Tačiau „Cisco SD-WAN Release 20.1.x“ ir naujesnėje versijoje tiek unicast, tiek multicast nenaudoja SHA1.

  • ah-sha1-hmac įgalina šifravimą ir inkapsuliavimą naudojant ESP. Tačiau, be ESP antraštės ir naudingosios apkrovos vientisumo patikrų, patikrinimai taip pat apima išorines IP ir UDP antraštes. Taigi ši parinktis palaiko paketo vientisumo patikrinimą, panašų į autentifikavimo antraštės (AH) protokolą. Visas vientisumas ir šifravimas atliekamas naudojant AES-256-GCM.
  • ah-no-id įjungia režimą, panašų į ah-sha1-hmac, tačiau išorinės IP antraštės ID laukas nepaisomas. Ši parinktis apima kai kuriuos ne „Cisco Catalyst“ SD-WAN įrenginius, įskaitant „Apple AirPort Express NAT“, turinčius klaidą, dėl kurios keičiamas ID laukas IP antraštėje, nekeičiamas laukas. Konfigūruokite parinktį ah-no-id autentifikavimo tipų sąraše, kad Cisco Catalyst SD-WAN AH programinė įranga nepaisytų ID lauko IP antraštėje, kad Cisco Catalyst SD-WAN programinė įranga galėtų veikti kartu su šiais įrenginiais.
  • „sha1-hmac“ įgalina ESP šifravimą ir vientisumo tikrinimą.
  • nė vienas nesusijęs su jokiu autentifikavimu. Ši parinktis turėtų būti naudojama tik tuo atveju, jei ji reikalinga laikinai derinant. Taip pat galite pasirinkti šią parinktį tais atvejais, kai duomenų plokštumos autentifikavimas ir vientisumas nekelia rūpesčių. „Cisco“ nerekomenduoja naudoti šios parinkties gamybos tinklams.

Norėdami gauti informacijos apie tai, kuriuos duomenų paketų laukus veikia šie autentifikavimo tipai, žr. Duomenų plokštumos vientisumą. Cisco IOS XE Catalyst SD-WAN įrenginiai ir Cisco vEdge įrenginiai reklamuoja sukonfigūruotus autentifikavimo tipus savo TLOC ypatybėse. Du maršruto parinktuvai, esantys abiejose IPsec tunelinio ryšio pusėse, derasi dėl autentifikavimo, kuris bus naudojamas ryšiui tarp jų, naudodami stipriausią autentifikavimo tipą, sukonfigūruotą abiejuose maršrutizatoriuose. Pavyzdžiui,ampjei vienas maršrutizatorius reklamuoja ah-sha1-hmac ir ah-no-id tipus, o antrasis maršrutizatorius reklamuoja ah-no-id tipą, du maršruto parinktuvai derasi naudoti ah-no-id IPsec tunelio jungtyje tarp juos. Jei dviejose lygiavertėse programose nesukonfigūruojami jokie bendri autentifikavimo tipai, tarp jų neįrengiamas joks IPsec tunelis. IPsec tunelio jungčių šifravimo algoritmas priklauso nuo srauto tipo:

  • Unicast srautui šifravimo algoritmas yra AES-256-GCM.
  • Multicast srautui:
  • Cisco SD-WAN 20.1.x ir naujesnės versijos – šifravimo algoritmas yra AES-256-GCM
  • Ankstesni leidimai – šifravimo algoritmas yra AES-256-CBC su SHA1-HMAC.

Pakeitus IPsec autentifikavimo tipą, pakeičiamas duomenų kelio AES raktas.

Pakeiskite klavišų pakartojimo laikmatį

Kad Cisco IOS XE Catalyst SD-WAN įrenginiai ir Cisco vEdge įrenginiai galėtų keistis duomenų srautu, jie nustato saugų autentifikuotą ryšio kanalą tarp jų. Maršrutizatoriai naudoja IPSec tunelius tarp jų kaip kanalą ir AES-256 šifrą šifravimui atlikti. Kiekvienas maršrutizatorius periodiškai generuoja naują AES raktą savo duomenų keliui. Pagal numatytuosius nustatymus raktas galioja 86400 sekundžių (24 valandas), o laikmačio diapazonas yra nuo 10 sekundžių iki 1209600 sekundžių (14 dienų). Norėdami pakeisti pakartotinio rakto laikmačio reikšmę: Įrenginys(konfigūracija)# sauga ipsec pakartotinio rakto sekundės Konfigūracija atrodo taip:

  • saugumas ipsec rekey sekundes!

Jei norite nedelsiant sugeneruoti naujus IPsec raktus, galite tai padaryti nekeisdami maršrutizatoriaus konfigūracijos. Norėdami tai padaryti, pažeistame maršrutizatoriuje išduokite saugumo užklausos komandą ipsecrekey. Pavyzdžiui,ample, ši išvestis rodo, kad vietinės SA saugos parametrų indeksas (SPI) yra 256:CISCO-SD-WAN-Configure-Security-Parameters-4 pav

Su kiekvienu SPI susietas unikalus raktas. Jei šis raktas pažeistas, naudokite užklausos saugumo komandą ipsec-rekey, kad nedelsdami sugeneruotumėte naują raktą. Ši komanda padidina SPI. Mūsų buvusiameample, SPI pasikeičia į 257 ir dabar naudojamas su juo susietas raktas:

  • Įrenginio Nr. saugos ipsecrekey užklausa
  • Įrenginio Nr. rodomas ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-5 pav

Sukūrus naują raktą, maršrutizatorius iš karto siunčia jį į Cisco SD-WAN valdiklius naudodamas DTLS arba TLS. Cisco SD-WAN valdikliai siunčia raktą lygiaverčiams maršruto parinktuvams. Maršrutizatoriai pradeda jį naudoti, kai tik jį gauna. Atminkite, kad raktas, susietas su senuoju SPI (256), bus toliau naudojamas trumpą laiką, kol pasibaigs skirtasis laikas. Norėdami nedelsiant nustoti naudoti seną raktą, du kartus greitai iš eilės išduokite saugumo užklausos komandą ipsec-rekey. Ši komandų seka pašalina ir SPI 256, ir 257, o SPI nustato į 258. Tada maršrutizatorius naudoja susijusį SPI 258 raktą. Tačiau atminkite, kad kai kurie paketai bus trumpam atmesti, kol visi nuotoliniai maršruto parinktuvai išmoks. naują raktą.CISCO-SD-WAN-Configure-Security-Parameters-6 pav

Pakeiskite „Anti-Replay“ lango dydį

IPsec autentifikavimas suteikia apsaugą nuo atkūrimo, kiekvienam duomenų srauto paketui priskirdamas unikalų eilės numerį. Šis sekos numeravimas apsaugo nuo užpuoliko, kuris dubliuoja duomenų paketus. Naudodamas apsaugą nuo atkūrimo, siuntėjas priskiria monotoniškai didėjančius eilės numerius, o paskirties vieta patikrina šiuos eilės numerius, kad aptiktų pasikartojančius numerius. Kadangi paketai dažnai atkeliauja ne eilės tvarka, paskirties vieta palaiko slankųjį eilės numerių langą, kurį ji priims.CISCO-SD-WAN-Configure-Security-Parameters-7 pav

Paketai, kurių eilės numeriai patenka į kairę nuo slankiojo lango diapazono, laikomi senais arba pasikartojančiais, o paskirties vieta juos atmeta. Paskirties vieta seka didžiausią gautą eilės numerį ir koreguoja slankiojantį langą, kai gauna didesnės vertės paketą.CISCO-SD-WAN-Configure-Security-Parameters-8 pav

Pagal numatytuosius nustatymus stumdomas langas yra 512 paketų. Jis gali būti nustatytas į bet kokią reikšmę nuo 64 iki 4096, kuri yra 2 laipsnis (ty 64, 128, 256, 512, 1024, 2048 arba 4096). Norėdami pakeisti anti-pakartojimo lango dydį, naudokite komandą replay-window, nurodydami lango dydį:

Device(config)# saugos ipsec pakartojimo lango numeris

Konfigūracija atrodo taip:
saugumo ipsec pakartojimo lango numeris! !

Siekiant padėti su QoS, kiekvienam iš pirmųjų aštuonių srauto kanalų palaikomi atskiri atkūrimo langai. Kiekvienam kanalui sukonfigūruotas atkūrimo lango dydis yra padalintas iš aštuonių. Jei maršrutizatoriuje sukonfigūruotas QoS, dėl IPsec apsaugos nuo atkūrimo mechanizmo šis maršruto parinktuvas gali nukristi daugiau nei tikėtasi paketų, o daugelis atmetamų paketų yra teisėti. Taip nutinka dėl to, kad QoS pertvarko paketus, suteikdamas pirmenybę aukštesnio prioriteto paketams ir uždelsdamas žemesnio prioriteto paketus. Norėdami sumažinti arba užkirsti kelią tokiai situacijai, galite atlikti šiuos veiksmus:

  • Padidinkite anti-pakartojimo lango dydį.
  • Sukurkite srautą į pirmuosius aštuonis srauto kanalus, kad užtikrintumėte, jog srautas kanale nebūtų pertvarkytas.

Konfigūruokite IKE įgalintus IPsec tunelius
Norėdami saugiai perkelti srautą iš perdangos tinklo į paslaugų tinklą, galite sukonfigūruoti IPsec tunelius, kuriuose veikia interneto raktų mainų (IKE) protokolas. IKE įgalinti IPsec tuneliai užtikrina autentifikavimą ir šifravimą, kad būtų užtikrintas saugus paketų perdavimas. Sukurkite IKE įgalintą IPsec tunelį sukonfigūruodami IPsec sąsają. IPsec sąsajos yra loginės sąsajos, kurias konfigūruojate kaip ir bet kurią kitą fizinę sąsają. Konfigūruojate IKE protokolo parametrus IPsec sąsajoje ir galite konfigūruoti kitas sąsajos ypatybes.

Pastaba Cisco rekomenduoja naudoti IKE 2 versiją. Nuo Cisco SD-WAN 19.2.x leidimo iš anksto bendrinamas raktas turi būti bent 16 baitų ilgio. IPsec tunelio sukūrimas nepavyksta, jei rakto dydis yra mažesnis nei 16 simbolių, kai maršruto parinktuvas atnaujinamas į 19.2 versiją.

Pastaba
„Cisco Catalyst SD-WAN“ programinė įranga palaiko IKE 2 versiją, kaip apibrėžta RFC 7296. Vienas iš IPsec tunelių naudojimo būdų yra leisti „vEdge Cloud“ maršrutizatoriaus VM egzemplioriams, veikiantiems „Amazon AWS“, prisijungti prie „Amazon“ virtualiojo privataus debesies (VPC). Šiuose maršrutizatoriuose turite sukonfigūruoti IKE 1 versiją. „Cisco vEdge“ įrenginiai palaiko tik maršrutais pagrįstus VPN IPSec konfigūracijoje, nes šie įrenginiai negali apibrėžti srauto parinktuvų šifravimo domene.

Sukonfigūruokite IPsec tunelį
Norėdami sukonfigūruoti IPsec tunelio sąsają saugiam transporto srautui iš paslaugų tinklo, sukurkite loginę IPsec sąsają:CISCO-SD-WAN-Configure-Security-Parameters-9 pav

Galite sukurti IPsec tunelį transportavimo VPN (VPN 0) ir bet kurios paslaugos VPN (VPN 1–65530, išskyrus 512). IPsec sąsaja turi pavadinimą ipsecnumerio formatu, kur skaičius gali būti nuo 1 iki 255. Kiekviena IPsec sąsaja turi turėti IPv4 adresą. Šis adresas turi būti /30 priešdėlis. Visas VPN srautas, esantis šiame IPv4 priešdėlyje, nukreipiamas į fizinę VPN 0 sąsają, kad būtų saugiai siunčiamas per IPsec tunelį. Norėdami sukonfigūruoti IPsec tunelio šaltinį vietiniame įrenginyje, galite nurodyti IP adresą fizinė sąsaja (komandoje „tunnel-source“) arba fizinės sąsajos pavadinimas (komandoje „tunnel-source-interface“). Įsitikinkite, kad fizinė sąsaja sukonfigūruota VPN 0. Norėdami sukonfigūruoti IPsec tunelio paskirties vietą, komandoje tunel-destination nurodykite nuotolinio įrenginio IP adresą. Šaltinio adreso (arba šaltinio sąsajos pavadinimo) ir paskirties adreso derinys apibrėžia vieną IPsec tunelį. Gali egzistuoti tik vienas IPsec tunelis, kuriame naudojamas konkretus šaltinio adresas (arba sąsajos pavadinimas) ir paskirties adreso pora.

Konfigūruokite IPsec statinį maršrutą

Norėdami nukreipti srautą iš paslaugos VPN į IPsec tunelį transportavimo VPN (VPN 0), sukonfigūruokite specifinį IPsec statinį maršrutą paslaugos VPN (VPN, išskyrus VPN 0 arba VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 sąsaja
  • ipsecnumber [ipsecnumber2]

VPN ID yra bet kurios paslaugos VPN (VPN 1–65530, išskyrus 512). prefiksas / ilgis yra IP adresas arba priešdėlis dešimtainiu keturių dalių punktyriniu žymėjimu ir IPsec specifinio statinio maršruto priešdėlio ilgis. Sąsaja yra IPsec tunelio sąsaja VPN 0. Galite sukonfigūruoti vieną arba dvi IPsec tunelio sąsajas. Jei sukonfigūruosite du, pirmasis bus pagrindinis IPsec tunelis, o antrasis - atsarginė kopija. Naudojant dvi sąsajas, visi paketai siunčiami tik į pirminį tunelį. Jei tunelis sugenda, visi paketai siunčiami į antrinį tunelį. Jei pirminis tunelis grįžta, visas srautas perkeliamas atgal į pirminį IPsec tunelį.

Įgalinti IKE 1 versiją
Kai kuriate IPsec tunelį „vEdge“ maršrutizatoriuje, pagal numatytuosius nustatymus tunelio sąsajoje įjungiama IKE 1 versija. Šios ypatybės taip pat įgalintos pagal numatytuosius nustatymus IKEv1:

  • Autentifikavimas ir šifravimas – AES-256 pažangus šifravimo standartas CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • Diffie-Hellman grupės numeris – 16
  • Klavišų pakartojimo laiko intervalas – 4 valandos
  • SA įkūrimo režimas – pagrindinis

Pagal numatytuosius nustatymus IKEv1 naudoja IKE pagrindinį režimą, kad sukurtų IKE SA. Šiuo režimu, siekiant sukurti SA, apsikeičiama šešiais derybų paketais. Norėdami apsikeisti tik trimis derybų paketais, įjunkite agresyvų režimą:

Pastaba
Jei įmanoma, reikėtų vengti agresyvaus IKE režimo su iš anksto bendrintais raktais. Priešingu atveju reikėtų pasirinkti stiprų iš anksto bendrinamą raktą.

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris ike
  • vEdge(config-ike)# režimas agresyvus

Pagal numatytuosius nustatymus IKEv1 naudoja Diffie-Hellman 16 grupę IKE raktų mainuose. Keičiant IKE raktus ši grupė naudoja 4096 bitų modulinę eksponentinę (MODP) grupę. Galite pakeisti grupės numerį į 2 (1024 bitų MODP), 14 (2048 bitų MODP) arba 15 (3072 bitų MODP):

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris ike
  • vEdge(config-ike)# grupės numeris

Pagal numatytuosius nustatymus IKE raktų mainai naudoja AES-256 išplėstinio šifravimo standarto CBC šifravimą su HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmu, kad būtų užtikrintas vientisumas. Galite pakeisti autentifikavimą:

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris ike
  • vEdge(config-ike)# šifro rinkinys

Autentifikavimo rinkinys gali būti vienas iš šių:

  • aes128-cbc-sha1 – AES-128 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • aes128-cbc-sha2 – AES-128 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA256 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • aes256-cbc-sha1 – AES-256 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti; tai yra numatytasis.
  • aes256-cbc-sha2 – AES-256 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA256 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti

Pagal numatytuosius nustatymus IKE klavišai atnaujinami kas 1 valandą (3600 sekundžių). Galite pakeisti raktų keitimo intervalą į vertę nuo 30 sekundžių iki 14 dienų (1209600 sekundžių). Rekomenduojama, kad raktų keitimo intervalas būtų bent 1 valanda.

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris kaip
  • vEdge(config-ike)# rekey sekundžių

Norėdami priversti generuoti naujus IKE seanso raktus, išduokite užklausą ipsec ike-rekey komandą.

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris ike

Jei naudojate IKE, taip pat galite konfigūruoti iš anksto bendrinamo rakto (PSK) autentifikavimą:

  • vEdge(config)# vpn vpn-id sąsajos ipsec numeris ike
  • vEdge(config-ike)# autentifikavimo tipo iš anksto bendrinamo rakto iš anksto bendrinamo slaptažodžio slaptažodis yra slaptažodis, naudojamas su iš anksto bendrinamu raktu. Tai gali būti ASCII arba šešioliktainė eilutė nuo 1 iki 127 simbolių.

Jei nuotoliniam IKE partneriui reikalingas vietinis arba nuotolinis ID, galite sukonfigūruoti šį identifikatorių:

  • vEdge(config)# vpn vpn-id sąsaja ipsec numeris ike autentifikavimo tipas
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# nuotolinio ID ID

Identifikatorius gali būti IP adresas arba bet kokia teksto eilutė nuo 1 iki 63 simbolių. Pagal numatytuosius nustatymus vietinis ID yra tunelio šaltinio IP adresas, o nuotolinis ID yra tunelio paskirties IP adresas.

Įgalinti IKE 2 versiją
Kai sukonfigūruojate IPsec tunelį naudoti IKE 2 versiją, toliau nurodytos ypatybės taip pat įgalintos pagal numatytuosius nustatymus IKEv2:

  • Autentifikavimas ir šifravimas – AES-256 pažangus šifravimo standartas CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • Diffie-Hellman grupės numeris – 16
  • Klavišų pakartojimo laiko intervalas – 4 valandos

Pagal numatytuosius nustatymus IKEv2 naudoja Diffie-Hellman 16 grupę IKE raktų mainuose. Keičiant IKE raktus ši grupė naudoja 4096 bitų modulinę eksponentinę (MODP) grupę. Galite pakeisti grupės numerį į 2 (1024 bitų MODP), 14 (2048 bitų MODP) arba 15 (3072 bitų MODP):

  • vEdge(config)# vpn vpn-id sąsaja ipsecnumber ike
  • vEdge(config-ike)# grupės numeris

Pagal numatytuosius nustatymus IKE raktų mainai naudoja AES-256 išplėstinio šifravimo standarto CBC šifravimą su HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmu, kad būtų užtikrintas vientisumas. Galite pakeisti autentifikavimą:

  • vEdge(config)# vpn vpn-id sąsaja ipsecnumber ike
  • vEdge(config-ike)# šifro rinkinys

Autentifikavimo rinkinys gali būti vienas iš šių:

  • aes128-cbc-sha1 – AES-128 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • aes128-cbc-sha2 – AES-128 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA256 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti
  • aes256-cbc-sha1 – AES-256 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA1 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti; tai yra numatytasis.
  • aes256-cbc-sha2 – AES-256 išplėstinio šifravimo standarto CBC šifravimas naudojant HMAC-SHA256 raktinio maišos pranešimų autentifikavimo kodo algoritmą vientisumui užtikrinti

Pagal numatytuosius nustatymus IKE klavišai atnaujinami kas 4 valandas (14,400 30 sekundžių). Galite pakeisti raktų keitimo intervalą į vertę nuo 14 sekundžių iki 1209600 dienų (XNUMX sekundžių):

  • vEdge(config)# vpn vpn-id sąsaja ipsecnumber ike
  • vEdge(config-ike)# rekey sekundžių

Norėdami priversti generuoti naujus IKE seanso raktus, išduokite užklausą ipsec ike-rekey komandą. Jei naudojate IKE, taip pat galite konfigūruoti iš anksto bendrinamo rakto (PSK) autentifikavimą:

  • vEdge(config)# vpn vpn-id sąsaja ipsecnumber ike
  • vEdge(config-ike)# autentifikavimo tipo iš anksto bendrinamo rakto iš anksto bendrinamo slaptažodžio slaptažodis yra slaptažodis, naudojamas su iš anksto bendrinamu raktu. Tai gali būti ASCII arba šešioliktainė eilutė, arba tai gali būti AES užšifruotas raktas. Jei nuotoliniam IKE partneriui reikalingas vietinis arba nuotolinis ID, galite sukonfigūruoti šį identifikatorių:
  • vEdge(config)# vpn vpn-id sąsaja ipsecnumber ike autentifikavimo tipas
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# nuotolinio ID ID

Identifikatorius gali būti IP adresas arba bet kokia teksto eilutė nuo 1 iki 64 simbolių. Pagal numatytuosius nustatymus vietinis ID yra tunelio šaltinio IP adresas, o nuotolinis ID yra tunelio paskirties IP adresas.

Konfigūruokite IPsec tunelio parametrus

4 lentelė. Funkcijų istorija

Funkcija Vardas Išleidimo informacija Aprašymas
Papildoma kriptografija Cisco SD-WAN 20.1.1 leidimas Ši funkcija papildo palaikymą
Algoritminis IPSec palaikymas   HMAC_SHA256, HMAC_SHA384 ir
Tuneliai   HMAC_SHA512 algoritmai
    padidintas saugumas.

Pagal numatytuosius nustatymus IPsec tunelyje, kuriame vyksta IKE srautas, naudojami šie parametrai:

  • Autentifikavimas ir šifravimas – AES-256 algoritmas GCM (Galois / skaitiklio režimas)
  • Klavišų pakartojimo intervalas – 4 valandos
  • Pakartojimo langas - 32 paketai

Galite pakeisti IPsec tunelio šifravimą į AES-256 šifrą CBC (šifravimo blokų grandinės režimas, naudojant HMAC naudojant SHA-1 arba SHA-2 raktinio maišos pranešimo autentifikavimą arba į nulinį HMAC naudojant SHA-1 arba SHA-2 arba SHA-XNUMX raktų maišos pranešimų autentifikavimas, kad nebūtų šifruojamas IPsec tunelis, naudojamas IKE raktų mainų srautui:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# šifro rinkinys (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-1-null-256-256 | aes256-null-sha384 | aes256-null-sha512)

Pagal numatytuosius nustatymus IKE klavišai atnaujinami kas 4 valandas (14,400 30 sekundžių). Galite pakeisti raktų keitimo intervalą į vertę nuo 14 sekundžių iki 1209600 dienų (XNUMX sekundžių):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# pakartotinio klavišo sekundžių

Norėdami priversti generuoti naujus IPsec tunelio raktus, išduokite užklausą ipsec ipsec-rekey komandą. Pagal numatytuosius nustatymus IPsec tuneliuose įgalintas tobulas persiuntimo slaptumas (PFS), kad būtų užtikrinta, jog ankstesni seansai nebūtų paveikti, jei būsimi raktai bus pažeisti. PFS priverčia keisti Diffie-Hellman raktus pagal numatytuosius nustatymus naudojant 4096 bitų Diffie-Hellman pirminių modulių grupę. Galite pakeisti PFS nustatymą:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# tobulas-forward-secrecy pfs-setting

pfs-setting gali būti vienas iš šių:

  • 2 grupė – naudokite 1024 bitų Diffie-Hellman pirminio modulio grupę.
  • 14 grupė – naudokite 2048 bitų Diffie-Hellman pirminio modulio grupę.
  • 15 grupė – naudokite 3072 bitų Diffie-Hellman pirminio modulio grupę.
  • group-16 – naudokite 4096 bitų Diffie-Hellman pirminio modulio grupę. Tai yra numatytasis.
  • nėra – išjungti PFS.

Pagal numatytuosius nustatymus IPsec atkūrimo langas IPsec tunelyje yra 512 baitų. Galite nustatyti atkūrimo lango dydį į 64, 128, 256, 512, 1024, 2048 arba 4096 paketus:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# pakartojimo lango numeris

Modifikuokite IKE negyvų bendraamžių aptikimą

IKE naudoja negyvų partnerių aptikimo mechanizmą, kad nustatytų, ar ryšys su IKE lygiaverčiu partneriu veikia ir pasiekiamas. Siekdama įgyvendinti šį mechanizmą, IKE siunčia „Hello“ paketą bendraamžiui, o lygiavertis atsakydamas siunčia patvirtinimą. Pagal numatytuosius nustatymus IKE siunčia Hello paketus kas 10 sekundžių, o po trijų nepatvirtintų paketų IKE paskelbia kaimyną mirusiu ir nugriauna tunelį bendraamžiui. Po to IKE periodiškai siunčia „Hello“ paketą lygiavertei programai ir atkuria tunelį, kai bendraamžis vėl prisijungia. Galite pakeisti gyvumo aptikimo intervalą į reikšmę nuo 0 iki 65535, o pakartotinių bandymų skaičių galite pakeisti į vertę nuo 0 iki 255.

Pastaba

Transporto VPN gyvumo aptikimo intervalas konvertuojamas į sekundes, naudojant šią formulę: Intervalas pakartotinio siuntimo bandymo numeriui N = intervalas * 1.8N-1PavyzdžiuiampJei intervalas nustatytas į 10 ir bandoma dar kartą iki 5, aptikimo intervalas padidėja taip:

  • 1 bandymas: 10 * 1.81-1 = 10 sekundžių
  • Bandymas 2: 10 * 1.82-1 = 18 sekundžių
  • Bandymas 3: 10 * 1.83-1 = 32.4 sekundžių
  • Bandymas 4: 10 * 1.84-1 = 58.32 sekundžių
  • Bandymas 5: 10 * 1.85-1 = 104.976 sekundžių

vEdge(config-interface-ipsecnumber)# mirusio lygiaverčio aptikimo intervalo pakartotinių bandymų skaičius

Konfigūruokite kitas sąsajos ypatybes

IPsec tunelio sąsajoms galite konfigūruoti tik šias papildomas sąsajos ypatybes:

  • vEdge(config-interface-ipsec)# mtu baitų
  • vEdge(config-interface-ipsec)# tcp-mss-adjust baitai

Išjunkite silpnus SSH šifravimo algoritmus „Cisco SD-WAN Manager“.

5 lentelė: Funkcijų istorijos lentelė

Funkcija Vardas Išleidimo informacija Funkcija Aprašymas
Išjunkite silpnus SSH šifravimo algoritmus „Cisco SD-WAN Manager“. Cisco vManage 20.9.1 leidimas Ši funkcija leidžia išjungti silpnesnius „Cisco SD-WAN Manager“ SSH algoritmus, kurie gali neatitikti tam tikrų duomenų saugumo standartų.

Informacija apie silpnų SSH šifravimo algoritmų išjungimą „Cisco SD-WAN Manager“.
„Cisco SD-WAN Manager“ suteikia SSH klientą ryšiui su tinklo komponentais, įskaitant valdiklius ir krašto įrenginius. SSH klientas užtikrina šifruotą ryšį saugiam duomenų perdavimui, pagrįstą įvairiais šifravimo algoritmais. Daugeliui organizacijų reikalingas stipresnis šifravimas nei SHA-1, AES-128 ir AES-192. Iš Cisco vManage Release 20.9.1 galite išjungti šiuos silpnesnius šifravimo algoritmus, kad SSH klientas nenaudotų šių algoritmų:

  • SHA-1
  • AES-128
  • AES-192

Prieš išjungdami šiuos šifravimo algoritmus, įsitikinkite, kad tinkle esantys „Cisco vEdge“ įrenginiai, jei tokių yra, naudoja naujesnę nei „Cisco SD-WAN 18.4.6“ versiją.

Silpno SSH šifravimo algoritmų išjungimo „Cisco SD-WAN Manager“ pranašumai
Silpnesnių SSH šifravimo algoritmų išjungimas pagerina SSH ryšio saugumą ir užtikrina, kad organizacijos, naudojančios Cisco Catalyst SD-WAN, laikytųsi griežtų saugumo taisyklių.

Išjunkite silpnus SSH šifravimo algoritmus „Cisco SD-WAN Manager“, naudodami CLI

  1. Cisco SD-WAN Manager meniu pasirinkite Įrankiai > SSH terminalas.
  2. Pasirinkite „Cisco SD-WAN Manager“ įrenginį, kuriame norite išjungti silpnesnius SSH algoritmus.
  3. Įveskite vartotojo vardą ir slaptažodį, kad prisijungtumėte prie įrenginio.
  4. Įjunkite SSH serverio režimą.
    • vmanage(config)# sistemą
    • vmanage(config-system)# ssh-server
  5. Norėdami išjungti SSH šifravimo algoritmą, atlikite vieną iš šių veiksmų:
    • Išjungti SHA-1:
  6. valdyti(config-ssh-server)# ne kex-algo sha1
  7. valdyti(config-ssh-server)# commit
    Rodomas toks įspėjamasis pranešimas: Sugeneruoti šie įspėjimai: 'sistemos ssh-server kex-algo sha1': ĮSPĖJIMAS: Įsitikinkite, kad visose jūsų briaunose veikia kodo versija > 18.4.6, kuri veikia geriau nei SHA1 su vManage. Priešingu atveju šie kraštai gali tapti neprisijungę. Tęsti? [taip, ne] taip
    • Įsitikinkite, kad visuose tinklo „Cisco vEdge“ įrenginiuose veikia „Cisco SD-WAN Release 18.4.6“ arba naujesnė versija, ir įveskite „taip“.
    • Išjungti AES-128 ir AES-192:
    • vmanage(config-ssh-server)# be šifro aes-128-192
    • vmanage(config-ssh-server)# commit
      Rodomas toks įspėjamasis pranešimas:
      Buvo sukurti šie įspėjimai:
      „System ssh-server šifras aes-128-192“: ĮSPĖJIMAS: įsitikinkite, kad visose briaunose veikia kodo versija > 18.4.6, kuri veikia geriau nei AES-128-192 su vManage. Priešingu atveju šie kraštai gali tapti neprisijungę. Tęsti? [taip, ne] taip
    • Įsitikinkite, kad visuose tinklo „Cisco vEdge“ įrenginiuose veikia „Cisco SD-WAN Release 18.4.6“ arba naujesnė versija, ir įveskite „taip“.

Patikrinkite, ar „Cisco SD-WAN Manager“ sistemoje išjungti silpni SSH šifravimo algoritmai, naudojant CLI

  1. Cisco SD-WAN Manager meniu pasirinkite Įrankiai > SSH terminalas.
  2. Pasirinkite „Cisco SD-WAN Manager“ įrenginį, kurį norite patvirtinti.
  3. Įveskite vartotojo vardą ir slaptažodį, kad prisijungtumėte prie įrenginio.
  4. Vykdykite šią komandą: show running-config system ssh-server
  5. Patvirtinkite, kad išvestis rodo vieną ar daugiau komandų, kurios išjungia silpnesnius šifravimo algoritmus:
    • nėra šifro aes-128-192
    • ne kex-algo sha1

Dokumentai / Ištekliai

CISCO SD-WAN Konfigūruoti saugos parametrus [pdfVartotojo vadovas
SD-WAN konfigūruoti saugos parametrus, SD-WAN, konfigūruoti saugos parametrus, saugos parametrus

Nuorodos

Palikite komentarą

Jūsų el. pašto adresas nebus skelbiamas. Privalomi laukai pažymėti *