Saturs paslēpties
1 CISCO SD-WAN Konfigurējiet drošības parametrus
2 Konfigurējiet drošības parametrus
3 Konfigurējiet vadības plaknes drošības parametrus
4 Konfigurējiet DTLS programmā Cisco SD-WAN Manager
5 Konfigurējiet datu plaknes drošības parametrus
6 Konfigurējiet atļautos autentifikācijas veidus
7 Mainiet atkārtotas atslēgas taimeri
8 Mainiet pretatkārtošanas loga izmēru
9 Konfigurējiet IPsec statisko maršrutu
10 Konfigurējiet IPsec tuneļa parametrus
11 Modificēt IKE mirušo līdzinieku noteikšanu
12 Konfigurējiet citus interfeisa rekvizītus
13 Atspējojiet vājos SSH šifrēšanas algoritmus programmā Cisco SD-WAN Manager
14 Dokumenti / Resursi
14.1 Atsauces

CISCO-LOGO

CISCO SD-WAN Konfigurējiet drošības parametrus

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurējiet drošības parametrus

Piezīme

Lai panāktu vienkāršošanu un konsekvenci, Cisco SD-WAN risinājums ir pārdēvēts par Cisco Catalyst SD-WAN. Turklāt no Cisco IOS XE SD-WAN laidiena 17.12.1a un Cisco Catalyst SD-WAN laidiena 20.12.1 ir piemērojamas šādas komponentu izmaiņas: Cisco vManage uz Cisco Catalyst SD-WAN Manager, Cisco vAnalytics uz Cisco Catalyst SD-WAN Analytics, Cisco vBond uz Cisco Catalyst SD-WAN Validator un Cisco vSmart uz Cisco Catalyst SD-WAN kontrolieri. Skatiet jaunākās piezīmes par laidienu, lai iegūtu visaptverošu sarakstu ar visām komponentu zīmola nosaukuma izmaiņām. Kamēr mēs pārejam uz jaunajiem nosaukumiem, dokumentācijas komplektā var būt dažas neatbilstības, jo programmatūras produkta lietotāja saskarnes atjauninājumiem tiek veikta pakāpeniska pieeja.

Šajā sadaļā ir aprakstīts, kā mainīt vadības plaknes un datu plaknes drošības parametrus Cisco Catalyst SD-WAN pārklājuma tīklā.

  • Konfigurēt vadības plaknes drošības parametrus, ieslēgts
  • Konfigurēt datu plaknes drošības parametrus, ieslēgts
  • Konfigurēt IKE iespējotos IPsec tuneļus, ieslēgts
  • Atspējojiet vājos SSH šifrēšanas algoritmus programmā Cisco SD-WAN Manager, ieslēgts

Konfigurējiet vadības plaknes drošības parametrus

Pēc noklusējuma vadības plakne izmanto DTLS kā protokolu, kas nodrošina privātumu visos tās tuneļos. DTLS darbojas, izmantojot UDP. Varat mainīt vadības plaknes drošības protokolu uz TLS, kas darbojas, izmantojot TCP. Galvenais iemesls TLS izmantošanai ir tas, ka, ja uzskatāt, ka Cisco SD-WAN Controller ir serveris, ugunsmūri aizsargā TCP serverus labāk nekā UDP serverus. Jūs konfigurējat vadības plaknes tuneļa protokolu Cisco SD-WAN kontrollerī: vSmart(config)# drošības kontroles protokols tls Izmantojot šīs izmaiņas, visi vadības plaknes tuneļi starp Cisco SD-WAN kontrolieri un maršrutētājiem un starp Cisco SD-WAN kontrolieri. un Cisco SD-WAN Manager izmanto TLS. Vadības plaknes tuneļi uz Cisco Catalyst SD-WAN Validator vienmēr izmanto DTLS, jo šie savienojumi ir jāapstrādā UDP. Domēnā ar vairākiem Cisco SD-WAN kontrolleriem, kad konfigurējat TLS vienā no Cisco SD-WAN kontrolleriem, visi vadības plaknes tuneļi no šī kontrollera līdz citiem kontrolleriem izmanto TLS. Citiem vārdiem sakot, TLS vienmēr ir pārāka par DTLS. Tomēr no citu Cisco SD-WAN kontrolieru viedokļa, ja neesat tajos konfigurējis TLS, tie izmanto TLS vadības plaknes tunelī tikai šim vienam Cisco SD-WAN kontrollerim, un tie izmanto DTLS tuneļus visiem pārējiem. Cisco SD-WAN kontrolieriem un visiem tiem pievienotajiem maršrutētājiem. Lai visi Cisco SD-WAN kontrolleri izmantotu TLS, konfigurējiet to visos. Pēc noklusējuma Cisco SD-WAN kontrolleris klausās TLS pieprasījumus portā 23456. Lai to mainītu: vSmart(config)# drošības kontroles tls-porta numurs Ports var būt skaitlis no 1025 līdz 65535. Lai parādītu vadības plaknes drošības informāciju, izmantojiet Cisco SD-WAN kontrollera komandu parādīt vadības savienojumus. Piemēram,ample: vSmart-2# parāda vadības savienojumus

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurējiet DTLS programmā Cisco SD-WAN Manager

Ja konfigurējat Cisco SD-WAN Manager, lai izmantotu TLS kā vadības plaknes drošības protokolu, jums ir jāiespējo portu pāradresācija savā NAT. Ja kā vadības plaknes drošības protokolu izmantojat DTLS, jums nekas nav jādara. Pārsūtīto portu skaits ir atkarīgs no vdaemon procesu skaita, kas darbojas Cisco SD-WAN Manager. Lai parādītu informāciju par šiem procesiem un par pārsūtīto portu skaitu, izmantojiet komandu parādīt vadības kopsavilkumu, kas parāda, ka darbojas četri dēmonu procesi:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Lai redzētu klausīšanās portus, izmantojiet komandu show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Šī izvade parāda, ka klausīšanās TCP ports ir 23456. Ja izmantojat Cisco SD-WAN Manager aiz NAT, NAT ierīcē ir jāatver šādi porti:

  • 23456 (bāze — 0. instances ports)
  • 23456 + 100 (bāze + 100)
  • 23456 + 200 (bāze + 200)
  • 23456 + 300 (bāze + 300)

Ņemiet vērā, ka gadījumu skaits ir tāds pats kā Cisco SD-WAN Manager piešķirto kodolu skaits, bet ne vairāk kā 8.

Konfigurējiet drošības parametrus, izmantojot drošības līdzekļa veidni

Izmantojiet drošības līdzekļu veidni visām Cisco vEdge ierīcēm. Malas maršrutētājos un Cisco SD-WAN Validator izmantojiet šo veidni, lai konfigurētu IPsec datu plaknes drošībai. Programmā Cisco SD-WAN Manager un Cisco SD-WAN Controller izmantojiet drošības līdzekļa veidni, lai konfigurētu DTLS vai TLS vadības plaknes drošībai.

Konfigurējiet drošības parametrus

  1. Cisco SD-WAN Manager izvēlnē izvēlieties Konfigurācija > Veidnes.
  2. Noklikšķiniet uz Līdzekļu veidnes un pēc tam noklikšķiniet uz Pievienot veidni.
    Piezīme Cisco vManage Release 20.7.1 un agrākos laidienos līdzekļu veidnes sauc par līdzekli.
  3. Kreisajā rūtī esošajā ierīču sarakstā izvēlieties ierīci. Labajā rūtī tiek parādītas atlasītajai ierīcei piemērojamās veidnes.
  4. Noklikšķiniet uz Drošība, lai atvērtu veidni.
  5. Laukā Veidnes nosaukums ievadiet veidnes nosaukumu. Nosaukumā var būt līdz 128 rakstzīmēm, un tajā var būt tikai burtciparu rakstzīmes.
  6. Laukā Veidnes apraksts ievadiet veidnes aprakstu. Aprakstā var būt līdz 2048 rakstzīmēm, un tajā var būt tikai burtciparu rakstzīmes.

Pirmoreiz atverot līdzekļa veidni, katram parametram, kuram ir noklusējuma vērtība, tvērums tiek iestatīts uz Noklusējums (norādīts ar atzīmi), un tiek parādīts noklusējuma iestatījums vai vērtība. Lai mainītu noklusējuma vērtību vai ievadītu vērtību, noklikšķiniet uz tvēruma nolaižamās izvēlnes parametra lauka kreisajā pusē un izvēlieties kādu no šīm iespējām:

1. tabula:

Parametrs Darbības joma Darbības jomas apraksts
Ierīcei raksturīgais (norādīts ar saimniekdatora ikonu) Parametram izmantojiet ierīcei raksturīgu vērtību. Ierīcei raksturīgiem parametriem funkciju veidnē nevar ievadīt vērtību. Jūs ievadāt vērtību, pievienojot Viptela ierīci ierīces veidnei.

Noklikšķinot uz Device Specific, tiek atvērts lodziņš Enter Key. Šajā lodziņā tiek parādīta atslēga, kas ir unikāla virkne, kas CSV failā identificē parametru file ko jūs izveidojat. Šis file ir Excel izklājlapa, kurā katrai atslēgai ir viena kolonna. Galvenes rindā ir atslēgu nosaukumi (viena atslēga katrā kolonnā), un katra rinda pēc tam atbilst ierīcei un nosaka šīs ierīces atslēgu vērtības. Jūs augšupielādējat CSV failu file kad pievienojat Viptela ierīci ierīces veidnei. Papildinformāciju skatiet sadaļā Veidņu mainīgo izklājlapas izveide.

Lai mainītu noklusējuma atslēgu, ierakstiet jaunu virkni un pārvietojiet kursoru no lodziņa Enter Key.

ExampIerīcei raksturīgie parametri ir sistēmas IP adrese, resursdatora nosaukums, GPS atrašanās vieta un vietnes ID.
Parametrs Darbības joma Darbības jomas apraksts
Globāls (norādīts ar globusa ikonu) Ievadiet parametra vērtību un lietojiet šo vērtību visām ierīcēm.

ExampDaži parametri, kurus jūs varētu lietot globāli ierīču grupai, ir DNS serveris, syslog serveris un interfeisa MTU.

Konfigurējiet vadības plaknes drošību

Piezīme
Sadaļa Control Plane Security konfigurēšana attiecas tikai uz Cisco SD-WAN Manager un Cisco SD-WAN Controller. Lai konfigurētu vadības plaknes savienojuma protokolu Cisco SD-WAN Manager instancē vai Cisco SD-WAN Controller, izvēlieties pamatkonfigurācijas apgabalu. un konfigurējiet šādus parametrus:

2. tabula:

Parametrs Vārds Apraksts
Protokols Izvēlieties protokolu, ko izmantot vadības plaknes savienojumiem ar Cisco SD-WAN kontrolieri:

• DTLS (Datagauns Transporta slāņa drošība). Šī ir noklusējuma vērtība.

• TLS (transporta slāņa drošība)
Kontrolējiet TLS portu Ja atlasījāt TLS, konfigurējiet lietojamo porta numuru:Diapazons: 1025 līdz 65535Noklusējums: 23456

Noklikšķiniet uz Saglabāt

Konfigurējiet datu plaknes drošību
Lai konfigurētu datu plaknes drošību Cisco SD-WAN Validator vai Cisco vEdge maršrutētājā, izvēlieties cilnes Pamatkonfigurācija un Autentifikācijas veids un konfigurējiet šādus parametrus:

3. tabula:

Parametrs Vārds Apraksts
Atkārtoti taustiņu laiks Norādiet, cik bieži Cisco vEdge maršrutētājs maina AES atslēgu, kas tiek izmantota tā drošajam DTLS savienojumam, uz Cisco SD-WAN kontrolieri. Ja ir iespējota OMP graciozā restartēšana, atkārtotas atslēgas ievadīšanas laikam ir jābūt vismaz divreiz lielākam par OMP graciozā restartēšanas taimera vērtību.Diapazons: 10 līdz 1209600 sekundes (14 dienas)Noklusējums: 86400 sekundes (24 stundas)
Atkārtošanas logs Norādiet bīdāmā atkārtošanas loga izmēru.

Vērtības: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketesNoklusējums: 512 paciņas
IPsec

pāru atslēgas

 Tas pēc noklusējuma ir izslēgts. Klikšķis On lai to ieslēgtu.
Parametrs Vārds Apraksts
Autentifikācijas veids Izvēlieties autentifikācijas veidus no Autentifikācija Sarakstsun noklikšķiniet uz bultiņas, kas norāda pa labi, lai pārvietotu autentifikācijas veidus uz Atlasītais saraksts kolonnu.

Autentifikācijas veidi, kas tiek atbalstīti no Cisco SD-WAN laidiena 20.6.1:

•  īpaši: iespējo iekapsulēšanas drošības kravnesības (ESP) šifrēšanu un integritātes pārbaudi ESP galvenē.

•  ip-udp-esp: Iespējo ESP šifrēšanu. Papildus ESP galvenes un lietderīgās slodzes integritātes pārbaudēm pārbaudēs ir iekļautas arī ārējās IP un UDP galvenes.

•  ip-udp-esp-no-id: ignorē ID lauku IP galvenē, lai Cisco Catalyst SD-WAN varētu darboties kopā ar ierīcēm, kas nav Cisco.

•  neviens: izslēdz integritātes pārbaudi IPSec paketēs. Mēs neiesakām izmantot šo opciju.

 

Autentifikācijas veidi, kas tiek atbalstīti Cisco SD-WAN laidienā 20.5.1 un vecākā versijā:

•  ak-nē-id: iespējojiet AH-SHA1 HMAC un ESP HMAC-SHA1 uzlaboto versiju, kas ignorē ID lauku paketes ārējā IP galvenē.

•  ah-sha1-hmac: iespējojiet AH-SHA1 HMAC un ESP HMAC-SHA1.

•  neviens: atlasiet bez autentifikācijas.

•  sha1-hmac: iespējot ESP HMAC-SHA1.

 

Piezīme              Malas ierīcei, kurā darbojas Cisco SD-WAN laidiena 20.5.1 vai vecāka versija, iespējams, esat konfigurējis autentifikācijas veidus, izmantojot Drošība veidne. Jauninot ierīci uz Cisco SD-WAN versiju 20.6.1 vai jaunāku versiju, atjauniniet atlasītos autentifikācijas veidus Drošība veidni autentifikācijas veidiem, kas tiek atbalstīti no Cisco SD-WAN laidiena 20.6.1. Lai atjauninātu autentifikācijas veidus, rīkojieties šādi:

1.      Cisco SD-WAN Manager izvēlnē izvēlieties Konfigurācija >

Veidnes.

2.      Noklikšķiniet Funkciju veidnes.

3.      Atrodiet Drošība veidni, lai atjauninātu, un noklikšķiniet uz … un noklikšķiniet Rediģēt.

4.      Noklikšķiniet Atjaunināt. Nepārveidojiet nevienu konfigurāciju.

Cisco SD-WAN Manager atjaunina Drošība veidni, lai parādītu atbalstītos autentifikācijas veidus.

Noklikšķiniet uz Saglabāt.

Konfigurējiet datu plaknes drošības parametrus

Datu plaknē IPsec pēc noklusējuma ir iespējots visos maršrutētājos, un pēc noklusējuma IPsec tuneļa savienojumi izmanto uzlaboto protokola Encapsulating Security Payload (ESP) versiju autentifikācijai IPsec tuneļos. Maršrutētos varat mainīt autentifikācijas veidu, IPsec atkārtotas atslēgas taimeri un IPsec pretatskaņošanas loga izmēru.

Konfigurējiet atļautos autentifikācijas veidus

Autentifikācijas veidi Cisco SD-WAN laidienā 20.6.1 un jaunākās versijās
No Cisco SD-WAN laidiena 20.6.1 tiek atbalstīti šādi integritātes veidi:

  • esp: šī opcija iespējo iekapsulēšanas drošības slodzes (ESP) šifrēšanu un integritātes pārbaudi ESP galvenē.
  • ip-udp-esp: šī opcija iespējo ESP šifrēšanu. Papildus ESP galvenes un lietderīgās slodzes integritātes pārbaudēm pārbaudēs ir iekļautas arī ārējās IP un UDP galvenes.
  • ip-udp-esp-no-id: šī opcija ir līdzīga ip-udp-esp, tomēr ārējās IP galvenes ID lauks tiek ignorēts. Konfigurējiet šo opciju integritātes tipu sarakstā, lai Cisco Catalyst SD-WAN programmatūra ignorētu ID lauku IP galvenē, lai Cisco Catalyst SD-WAN varētu darboties kopā ar ierīcēm, kas nav Cisco.
  • nav: šī opcija izslēdz IPSec pakešu integritātes pārbaudi. Mēs neiesakām izmantot šo opciju.

Pēc noklusējuma IPsec tuneļa savienojumi autentifikācijai izmanto uzlaboto protokola Encapsulating Security Payload (ESP) versiju. Lai modificētu sarunātos interity tipus vai atspējotu integritātes pārbaudi, izmantojiet šādu komandu: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | īpaši }

Autentifikācijas veidi pirms Cisco SD-WAN laidiena 20.6.1
Pēc noklusējuma IPsec tuneļa savienojumi autentifikācijai izmanto uzlaboto protokola Encapsulating Security Payload (ESP) versiju. Lai modificētu sarunātos autentifikācijas veidus vai atspējotu autentifikāciju, izmantojiet šādu komandu: Device(config)# security ipsec autentifikācijas veids (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Pēc noklusējuma IPsec tuneļa savienojumi izmanto AES-GCM-256, kas nodrošina gan šifrēšanu, gan autentifikāciju. Konfigurējiet katru autentifikācijas veidu ar atsevišķu drošības ipsec autentifikācijas tipa komandu. Komandu opcijas ir saistītas ar šādiem autentifikācijas veidiem, kas ir uzskaitīti secībā no spēcīgākā līdz vismazāk spēcīgajam:

Piezīme
Konfigurācijas opcijās sha1 tiek izmantots vēsturisku iemeslu dēļ. Autentifikācijas opcijas norāda, cik liela daļa pakešu integritātes pārbaudes ir veikta. Tajos nav norādīts algoritms, kas pārbauda integritāti. Izņemot multiraides trafika šifrēšanu, Cisco Catalyst SD WAN atbalstītie autentifikācijas algoritmi neizmanto SHA1. Tomēr Cisco SD-WAN laidienā 20.1.x un jaunākās versijās gan unicast, gan multiraide neizmanto SHA1.

  • ah-sha1-hmac nodrošina šifrēšanu un iekapsulēšanu, izmantojot ESP. Tomēr papildus ESP galvenes un lietderīgās slodzes integritātes pārbaudēm pārbaudēs ir iekļautas arī ārējās IP un UDP galvenes. Tādējādi šī opcija atbalsta paketes integritātes pārbaudi, kas ir līdzīga autentifikācijas galvenes (AH) protokolam. Visa integritāte un šifrēšana tiek veikta, izmantojot AES-256-GCM.
  • ah-no-id iespējo režīmu, kas ir līdzīgs ah-sha1-hmac, tomēr ārējās IP galvenes ID lauks tiek ignorēts. Šī opcija ir piemērota dažām ierīcēm, kas nav Cisco Catalyst SD-WAN, tostarp Apple AirPort Express NAT, kurām ir kļūda, kuras dēļ tiek mainīts ID lauks IP galvenē, kas ir nemaināms lauks. Konfigurējiet opciju ah-no-id autentifikācijas veidu sarakstā, lai Cisco Catalyst SD-WAN AH programmatūra ignorētu ID lauku IP galvenē, lai Cisco Catalyst SD-WAN programmatūra varētu darboties kopā ar šīm ierīcēm.
  • sha1-hmac nodrošina ESP šifrēšanu un integritātes pārbaudi.
  • neviens nav saistīts ar autentifikāciju. Šo opciju vajadzētu izmantot tikai tad, ja tā ir nepieciešama pagaidu atkļūdošanai. Varat arī izvēlēties šo opciju situācijās, kad datu plaknes autentifikācija un integritāte nerada bažas. Cisco neiesaka izmantot šo opciju ražošanas tīkliem.

Informāciju par to, kurus datu pakešu laukus ietekmē šie autentifikācijas veidi, skatiet sadaļā Datu plaknes integritāte. Cisco IOS XE Catalyst SD-WAN ierīces un Cisco vEdge ierīces reklamē savus konfigurētos autentifikācijas veidus savos TLOC rekvizītos. Abi maršrutētāji abās IPsec tuneļa savienojuma pusēs vienojas par autentifikāciju, ko izmantot savienojumam starp tiem, izmantojot spēcīgāko autentifikācijas veidu, kas ir konfigurēts abos maršrutētājos. Piemēram,ampja viens maršrutētājs reklamē tipus ah-sha1-hmac un ah-no-id, bet otrs maršrutētājs reklamē ah-no-id veidu, abi maršrutētāji vienojas par ah-no-id izmantošanu IPsec tuneļa savienojumā starp viņiem. Ja abiem vienādrangiem nav konfigurēti izplatīti autentifikācijas veidi, starp tiem netiek izveidots IPsec tunelis. Šifrēšanas algoritms IPsec tuneļa savienojumiem ir atkarīgs no trafika veida:

  • Unicast trafikam šifrēšanas algoritms ir AES-256-GCM.
  • Multiraides trafikam:
  • Cisco SD-WAN laidiens 20.1.x un jaunākas versijas — šifrēšanas algoritms ir AES-256-GCM
  • Iepriekšējie laidieni — šifrēšanas algoritms ir AES-256-CBC ar SHA1-HMAC.

Mainot IPsec autentifikācijas veidu, tiek mainīta datu ceļa AES atslēga.

Mainiet atkārtotas atslēgas taimeri

Pirms Cisco IOS XE Catalyst SD-WAN ierīces un Cisco vEdge ierīces var apmainīties ar datu trafiku, tās savā starpā izveido drošu autentificētu sakaru kanālu. Maršrutētāji izmanto IPSec tuneļus starp tiem kā kanālu un AES-256 šifru, lai veiktu šifrēšanu. Katrs maršrutētājs periodiski ģenerē jaunu AES atslēgu savam datu ceļam. Pēc noklusējuma atslēga ir derīga 86400 24 sekundes (10 stundas), un taimera diapazons ir no 1209600 sekundēm līdz 14 XNUMX sekundēm (XNUMX dienas). Lai mainītu atkārtotas atslēgas taimera vērtību: Device(config)# security ipsec rekey sekundes Konfigurācija izskatās šādi:

  • drošība ipsec atkārtotas atslēgas sekundes!

Ja vēlaties nekavējoties ģenerēt jaunas IPsec atslēgas, varat to izdarīt, nemainot maršrutētāja konfigurāciju. Lai to izdarītu, apdraudētajā maršrutētājā izdodiet drošības pieprasījuma komandu ipsecrekey. Piemēram,ample, šī izvade parāda, ka lokālajam SA drošības parametru indeksam (SPI) ir 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ar katru SPI ir saistīta unikāla atslēga. Ja šī atslēga ir apdraudēta, izmantojiet pieprasījuma drošības komandu ipsec-rekey, lai nekavējoties ģenerētu jaunu atslēgu. Šī komanda palielina SPI. Mūsu bijušajāample, SPI mainās uz 257, un tagad tiek izmantota ar to saistītā atslēga:

  • Ierīces # pieprasījums drošības ipsecrekey
  • Ierīce# rāda ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Pēc jaunās atslēgas ģenerēšanas maršrutētājs to nekavējoties nosūta Cisco SD-WAN kontrolleriem, izmantojot DTLS vai TLS. Cisco SD-WAN kontrolieri nosūta atslēgu vienādranga maršrutētājiem. Maršrutētāji to sāk lietot, tiklīdz to saņem. Ņemiet vērā, ka ar veco SPI (256) saistītā atslēga tiks turpināta īsu laiku, līdz tai beigsies taimauts. Lai nekavējoties pārtrauktu vecās atslēgas izmantošanu, divreiz ātri pēc kārtas izdodiet drošības pieprasījuma komandu ipsec-rekey. Šī komandu secība noņem gan SPI 256, gan 257 un iestata SPI uz 258. Pēc tam maršrutētājs izmanto saistīto SPI 258 atslēgu. Tomēr ņemiet vērā, ka dažas paketes tiks izmestas uz īsu laiku, līdz visi attālie maršrutētāji to apgūs. jauno atslēgu.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Mainiet pretatkārtošanas loga izmēru

IPsec autentifikācija nodrošina aizsardzību pret atkārtošanu, katrai datu straumes paketei piešķirot unikālu kārtas numuru. Šī secību numerācija aizsargā pret uzbrucēju, kas dublē datu paketes. Izmantojot aizsardzību pret atkārtošanu, sūtītājs piešķir monotoni augošus kārtas numurus, un galamērķis pārbauda šos kārtas numurus, lai noteiktu dublikātus. Tā kā paketes bieži nenonāk pēc kārtas, galamērķis uztur slīdošu kārtas numuru logu, ko tas pieņems.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paketes ar kārtas numuriem, kas atrodas pa kreisi no bīdāmā loga diapazona, tiek uzskatītas par vecām vai dublikātiem, un galamērķis tās atmet. Mērķis izseko augstāko saņemto kārtas numuru un pielāgo slīdošo logu, kad tas saņem paketi ar lielāku vērtību.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Pēc noklusējuma bīdāmais logs ir iestatīts uz 512 paketēm. To var iestatīt uz jebkuru vērtību no 64 līdz 4096, kas ir pakāpē 2 (tas ir, 64, 128, 256, 512, 1024, 2048 vai 4096). Lai mainītu pretatkārtojuma loga izmēru, izmantojiet komandu replay-window, norādot loga izmēru:

Ierīces(config)# drošības ipsec atkārtošanas loga numurs

Konfigurācija izskatās šādi:
drošības ipsec atkārtojuma loga numurs! !

Lai palīdzētu ar QoS, katram no pirmajiem astoņiem trafika kanāliem tiek uzturēti atsevišķi atkārtošanas logi. Katram kanālam konfigurētais atkārtošanas loga lielums tiek dalīts ar astoņiem. Ja maršrutētājā ir konfigurēts QoS, IPsec pretatkārtošanas mehānisma dēļ šajā maršrutētājā var rasties lielāks pakešu kritumu skaits, nekā paredzēts, un daudzas atmestās paketes ir likumīgas. Tas notiek tāpēc, ka QoS pārkārto paketes, piešķirot augstākas prioritātes paketēm preferenciālu režīmu un aizkavējot zemākas prioritātes paketes. Lai samazinātu vai novērstu šo situāciju, varat rīkoties šādi:

  • Palieliniet pretatkārtojuma loga izmēru.
  • Inženierējiet datplūsmu uz pirmajiem astoņiem trafika kanāliem, lai nodrošinātu, ka datplūsma kanālā netiek pārkārtota.

Konfigurējiet IKE iespējotos IPsec tuneļus
Lai droši pārsūtītu trafiku no pārklājuma tīkla uz pakalpojumu tīklu, varat konfigurēt IPsec tuneļus, kuros darbojas interneta atslēgu apmaiņas (IKE) protokols. IKE iespējoti IPsec tuneļi nodrošina autentifikāciju un šifrēšanu, lai nodrošinātu drošu pakešu transportēšanu. Jūs izveidojat IKE iespējotu IPsec tuneli, konfigurējot IPsec saskarni. IPsec saskarnes ir loģiskas saskarnes, un jūs tās konfigurējat tāpat kā jebkuru citu fizisko saskarni. Jūs konfigurējat IKE protokola parametrus IPsec saskarnē un varat konfigurēt citus interfeisa rekvizītus.

Piezīme Cisco iesaka izmantot IKE versiju 2. Sākot ar Cisco SD-WAN 19.2.x laidienu, iepriekš koplietotajai atslēgai ir jābūt vismaz 16 baitu garai. IPsec tuneļa izveide neizdodas, ja atslēgas izmērs ir mazāks par 16 rakstzīmēm, kad maršrutētājs tiek jaunināts uz versiju 19.2.

Piezīme
Cisco Catalyst SD-WAN programmatūra atbalsta IKE 2. versiju, kā noteikts RFC 7296. Viens no IPsec tuneļu izmantošanas veidiem ir ļaut vEdge Cloud maršrutētāja VM gadījumiem, kas darbojas pakalpojumā Amazon AWS, izveidot savienojumu ar Amazon virtuālo privāto mākoni (VPC). Šajos maršrutētājos ir jākonfigurē IKE 1. versija. Cisco vEdge ierīces atbalsta tikai uz maršrutiem balstītus VPN IPSec konfigurācijā, jo šīs ierīces nevar definēt trafika atlasītājus šifrēšanas domēnā.

Konfigurējiet IPsec tuneli
Lai konfigurētu IPsec tuneļa saskarni drošai transporta satiksmei no pakalpojumu tīkla, ir jāizveido loģisks IPsec interfeiss:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Varat izveidot IPsec tuneli transporta VPN (VPN 0) un jebkurā pakalpojuma VPN (VPN 1 līdz 65530, izņemot 512). IPsec saskarnei ir nosaukums formātā ipsecnumber, kur skaitlis var būt no 1 līdz 255. Katrai IPsec saskarnei ir jābūt IPv4 adresei. Šai adresei ir jābūt /30 prefiksam. Visa trafika VPN, kas atrodas šajā IPv4 prefiksā, tiek novirzīta uz fizisko saskarni VPN 0, lai to droši nosūtītu pa IPsec tuneli.Lai konfigurētu IPsec tuneļa avotu lokālajā ierīcē, varat norādīt vai nu IPsec tuneļa avotu. fiziskais interfeiss (komandā tunnel-source) vai fiziskās saskarnes nosaukums (komandā tunnel-source-interface). Pārliecinieties, vai fiziskais interfeiss ir konfigurēts VPN 0. Lai konfigurētu IPsec tuneļa galamērķi, komandā tunel-destination norādiet attālās ierīces IP adresi. Avota adreses (vai avota saskarnes nosaukuma) un galamērķa adreses kombinācija nosaka vienu IPsec tuneli. Var pastāvēt tikai viens IPsec tunelis, kas izmanto noteiktu avota adresi (vai interfeisa nosaukumu) un galamērķa adreses pāri.

Konfigurējiet IPsec statisko maršrutu

Lai novirzītu trafiku no pakalpojuma VPN uz IPsec tuneli transporta VPN (VPN 0), pakalpojuma VPN (VPN, kas nav VPN 0 vai VPN 512) ir jākonfigurē IPsec specifisks statisks maršruts:

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 interfeiss
  • ipsecnumber [ipsecnumber2]

VPN ID ir jebkura pakalpojuma VPN ID (VPN 1–65530, izņemot 512). prefikss/garums ir IP adrese vai prefikss decimāldaļās ar četrdaļīgu punktētu apzīmējumu un IPsec specifiskā statiskā maršruta prefiksa garums. Saskarne ir IPsec tuneļa saskarne VPN 0. Varat konfigurēt vienu vai divas IPsec tuneļa saskarnes. Ja konfigurējat divus, pirmais ir primārais IPsec tunelis, bet otrais ir dublējums. Izmantojot divas saskarnes, visas paketes tiek nosūtītas tikai uz primāro tuneli. Ja šis tunelis neizdodas, visas paketes tiek nosūtītas uz sekundāro tuneli. Ja primārais tunelis atgriežas, visa satiksme tiek pārvietota atpakaļ uz primāro IPsec tuneli.

Iespējot IKE versiju 1
Veidojot IPsec tuneli vEdge maršrutētājā, tuneļa saskarnē pēc noklusējuma ir iespējota IKE versija 1. IKEv1 pēc noklusējuma ir iespējoti arī šādi rekvizīti:

  • Autentifikācija un šifrēšana — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēgām-jaukta ziņojumu autentifikācijas koda algoritmu integritātes nodrošināšanai
  • Difija-Helmena grupas numurs — 16
  • Atslēgas atkārtotas ievadīšanas laika intervāls - 4 stundas
  • SA izveides režīms — galvenais

Pēc noklusējuma IKEv1 izmanto IKE galveno režīmu, lai izveidotu IKE SA. Šajā režīmā tiek apmainītas sešas sarunu paketes, lai izveidotu SA. Lai apmainītos tikai ar trim sarunu paketēm, iespējojiet agresīvo režīmu:

Piezīme
Ja iespējams, ir jāizvairās no IKE agresīvā režīma ar iepriekš koplietotām atslēgām. Pretējā gadījumā ir jāizvēlas spēcīga iepriekš koplietota atslēga.

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike
  • vEdge(config-ike)# režīms ir agresīvs

Pēc noklusējuma IKEv1 izmanto Diffie-Hellman grupu 16 IKE atslēgu apmaiņā. Šī grupa IKE atslēgu apmaiņas laikā izmanto 4096 bitu vairāk modulāro eksponenciālo (MODP) grupu. Varat mainīt grupas numuru uz 2 (1024 bitu MODP), 14 (2048 bitu MODP) vai 15 (3072 bitu MODP):

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike
  • vEdge(config-ike)# grupas numurs

Pēc noklusējuma IKE atslēgu apmaiņa integritātes nodrošināšanai izmanto AES-256 uzlabotās šifrēšanas standarta CBC šifrēšanu ar HMAC-SHA1 atslēgām-jaucējkoda ziņojumu autentifikācijas koda algoritmu. Jūs varat mainīt autentifikāciju:

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike
  • vEdge(config-ike)# šifra komplekts

Autentifikācijas komplekts var būt viens no šiem:

  • aes128-cbc-sha1 — AES-128 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei
  • aes128-cbc-sha2 — AES-128 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA256 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei
  • aes256-cbc-sha1 — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēgām-jaukta ziņojuma autentifikācijas koda algoritmu integritātes nodrošināšanai; tas ir noklusējuma.
  • aes256-cbc-sha2 — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA256 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei

Pēc noklusējuma IKE atslēgas tiek atsvaidzinātas ik pēc 1 stundas (3600 sekundēm). Varat mainīt atslēgas atjaunošanas intervālu uz vērtību no 30 sekundēm līdz 14 dienām (1209600 1 sekundēm). Ieteicams, lai atkārtotas atslēgas intervāls būtu vismaz XNUMX stunda.

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs, piemēram
  • vEdge(config-ike)# atkārtotas taustiņu sekundes

Lai piespiestu ģenerēt jaunas atslēgas IKE sesijai, izdodiet pieprasījumu ipsec ike-rekey komandu.

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike

Izmantojot IKE, varat arī konfigurēt iepriekš koplietotās atslēgas (PSK) autentifikāciju:

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike
  • vEdge(config-ike)# autentifikācijas tipa iepriekš koplietotās atslēgas iepriekš koplietotās slepenās paroles parole ir parole, kas jāizmanto kopā ar iepriekš kopīgoto atslēgu. Tā var būt ASCII vai heksadecimāla virkne, kuras garums ir no 1 līdz 127 rakstzīmēm.

Ja attālajam IKE vienādrangam ir nepieciešams vietējais vai attālais ID, varat konfigurēt šo identifikatoru:

  • vEdge(config)# vpn vpn-id interfeisa ipsec numurs ike autentifikācijas veids
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifikators var būt IP adrese vai jebkura teksta virkne, kuras garums ir no 1 līdz 63 rakstzīmēm. Pēc noklusējuma vietējais ID ir tuneļa avota IP adrese, un attālais ID ir tuneļa galamērķa IP adrese.

Iespējot IKE versiju 2
Konfigurējot IPsec tuneli, lai izmantotu IKE 2. versiju, IKEv2 pēc noklusējuma ir iespējoti arī šādi rekvizīti:

  • Autentifikācija un šifrēšana — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēgām-jaukta ziņojumu autentifikācijas koda algoritmu integritātes nodrošināšanai
  • Difija-Helmena grupas numurs — 16
  • Atslēgas atkārtotas ievadīšanas laika intervāls - 4 stundas

Pēc noklusējuma IKEv2 izmanto Diffie-Hellman grupu 16 IKE atslēgu apmaiņā. Šī grupa IKE atslēgu apmaiņas laikā izmanto 4096 bitu vairāk modulāro eksponenciālo (MODP) grupu. Varat mainīt grupas numuru uz 2 (1024 bitu MODP), 14 (2048 bitu MODP) vai 15 (3072 bitu MODP):

  • vEdge(config)# vpn vpn-id interfeisa ipsecnumber ike
  • vEdge(config-ike)# grupas numurs

Pēc noklusējuma IKE atslēgu apmaiņa integritātes nodrošināšanai izmanto AES-256 uzlabotās šifrēšanas standarta CBC šifrēšanu ar HMAC-SHA1 atslēgām-jaucējkoda ziņojumu autentifikācijas koda algoritmu. Jūs varat mainīt autentifikāciju:

  • vEdge(config)# vpn vpn-id interfeisa ipsecnumber ike
  • vEdge(config-ike)# šifra komplekts

Autentifikācijas komplekts var būt viens no šiem:

  • aes128-cbc-sha1 — AES-128 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei
  • aes128-cbc-sha2 — AES-128 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA256 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei
  • aes256-cbc-sha1 — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA1 atslēgām-jaukta ziņojuma autentifikācijas koda algoritmu integritātes nodrošināšanai; tas ir noklusējuma.
  • aes256-cbc-sha2 — AES-256 uzlabotā šifrēšanas standarta CBC šifrēšana ar HMAC-SHA256 atslēga-jash ziņojuma autentifikācijas koda algoritmu integritātei

Pēc noklusējuma IKE atslēgas tiek atsvaidzinātas ik pēc 4 stundām (14,400 30 sekundēm). Varat mainīt atkārtotas atslēgas ievadīšanas intervālu uz vērtību no 14 sekundēm līdz 1209600 dienām (XNUMX sekundes):

  • vEdge(config)# vpn vpn-id interfeisa ipsecnumber ike
  • vEdge(config-ike)# atkārtotas taustiņu sekundes

Lai piespiestu ģenerēt jaunas atslēgas IKE sesijai, izdodiet pieprasījumu ipsec ike-rekey komandu. Izmantojot IKE, varat arī konfigurēt iepriekš koplietotās atslēgas (PSK) autentifikāciju:

  • vEdge(config)# vpn vpn-id interfeisa ipsecnumber ike
  • vEdge(config-ike)# autentifikācijas tipa iepriekš koplietotās atslēgas iepriekš koplietotās slepenās paroles parole ir parole, kas jāizmanto kopā ar iepriekš kopīgoto atslēgu. Tā var būt ASCII vai heksadecimālā virkne, vai arī tā var būt AES šifrēta atslēga. Ja attālajam IKE vienādrangam ir nepieciešams vietējais vai attālais ID, varat konfigurēt šo identifikatoru:
  • vEdge(config)# vpn vpn-id interfeiss ipsecnumber ike autentifikācijas veids
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# remote-id id

Identifikators var būt IP adrese vai jebkura teksta virkne, kuras garums ir no 1 līdz 64 rakstzīmēm. Pēc noklusējuma vietējais ID ir tuneļa avota IP adrese, un attālais ID ir tuneļa galamērķa IP adrese.

Konfigurējiet IPsec tuneļa parametrus

4. tabula. Līdzekļu vēsture

Funkcija Vārds Izlaiduma informācija Apraksts
Papildu kriptogrāfija Cisco SD-WAN laidiens 20.1.1 Šī funkcija papildina atbalstu
Algoritmiskais atbalsts IPSec   HMAC_SHA256, HMAC_SHA384 un
Tuneļi   HMAC_SHA512 algoritmi priekš
    pastiprināta drošība.

Pēc noklusējuma IPsec tunelī, kas nodrošina IKE trafiku, tiek izmantoti šādi parametri:

  • Autentifikācija un šifrēšana — AES-256 algoritms GCM (Galois/Counter režīms)
  • Atslēgvārdu atkārtošanas intervāls - 4 stundas
  • Atkārtošanas logs — 32 paketes

Jūs varat mainīt šifrēšanu IPsec tunelī uz AES-256 šifru CBC (šifra bloku ķēdes režīmā, izmantojot HMAC, izmantojot SHA-1 vai SHA-2 atslēgvārdu jaukšanas ziņojumu autentifikāciju, vai uz nulli, izmantojot HMAC, izmantojot SHA-1 vai SHA-2 vai SHA-XNUMX atslēgvārdu jaukšanas ziņojumu autentifikācija, lai nešifrētu IPsec tuneli, ko izmanto IKE atslēgu apmaiņas trafikam:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-1null-256-256 | aes256-null-sha384 | aes256-null-sha512)

Pēc noklusējuma IKE atslēgas tiek atsvaidzinātas ik pēc 4 stundām (14,400 30 sekundēm). Varat mainīt atkārtotas atslēgas ievadīšanas intervālu uz vērtību no 14 sekundēm līdz 1209600 dienām (XNUMX sekundes):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# atkārtotas taustiņu sekundes

Lai piespiestu ģenerēt jaunas IPsec tuneļa atslēgas, izdodiet pieprasījumu ipsec ipsec-rekey komandu. Pēc noklusējuma IPsec tuneļos ir iespējota perfekta pārsūtīšanas slepenība (PFS), lai nodrošinātu, ka iepriekšējās sesijas netiek ietekmētas, ja turpmākās atslēgas tiek apdraudētas. PFS piespiež jaunu Difija-Helmana atslēgu apmaiņu, pēc noklusējuma izmantojot 4096 bitu Difija-Helmana galveno moduļu grupu. Varat mainīt PFS iestatījumu:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfekts-forward-secrecy pfs-setting

pfs-setting var būt viens no šiem:

  • grupa-2 — izmantojiet 1024 bitu Difija-Helmana primāro moduļu grupu.
  • grupa-14 — izmantojiet 2048 bitu Difija-Helmana primāro moduļu grupu.
  • grupa-15 — izmantojiet 3072 bitu Difija-Helmana primāro moduļu grupu.
  • grupa-16 — izmantojiet 4096 bitu Difija-Helmana primāro moduļu grupu. Šī ir noklusējuma vērtība.
  • nav — atspējot PFS.

Pēc noklusējuma IPsec atskaņošanas logs IPsec tunelī ir 512 baiti. Varat iestatīt atkārtošanas loga lielumu uz 64, 128, 256, 512, 1024, 2048 vai 4096 paketēm:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# atkārtošanas loga numurs

Modificēt IKE mirušo līdzinieku noteikšanu

IKE izmanto nederīgu partneru noteikšanas mehānismu, lai noteiktu, vai savienojums ar IKE vienādrangu ir funkcionāls un sasniedzams. Lai ieviestu šo mehānismu, IKE savam līdziniekam nosūta Hello paketi, un partneris, atbildot uz to, nosūta apstiprinājumu. Pēc noklusējuma IKE nosūta Hello paketes ik pēc 10 sekundēm, un pēc trim neapstiprinātām paketēm IKE paziņo, ka kaimiņš ir miris, un nojauc tuneli līdz vienaudžiem. Pēc tam IKE periodiski nosūta vienaudžiem Hello paketi un atjauno tuneli, kad līdzinieks atkal atgriežas tiešsaistē. Varat mainīt dzīvīguma noteikšanas intervālu uz vērtību no 0 līdz 65535, kā arī varat mainīt atkārtojumu skaitu uz vērtību no 0 līdz 255.

Piezīme

Transporta VPN dzīvīguma noteikšanas intervāls tiek pārveidots sekundēs, izmantojot šādu formulu: Intervāls atkārtotas pārraides mēģinājuma numuram N = intervāls * 1.8N-1, piemēram,ampJa intervāls ir iestatīts uz 10 un mēģina vēlreiz uz 5, noteikšanas intervāls palielinās šādi:

  • 1. mēģinājums: 10 * 1.81-1 = 10 sekundes
  • Mēģinājums 2: 10 * 1.82-1 = 18 sekundes
  • Mēģinājums 3: 10 * 1.83-1 = 32.4 sekundes
  • Mēģinājums 4: 10 * 1.84-1 = 58.32 sekundes
  • Mēģinājums 5: 10 * 1.85-1 = 104.976 sekundes

vEdge(config-interface-ipsecnumber)# mirušā vienādranga noteikšanas intervāla atkārtoto mēģinājumu numurs

Konfigurējiet citus interfeisa rekvizītus

IPsec tuneļa saskarnēm varat konfigurēt tikai šādus papildu saskarnes rekvizītus:

  • vEdge(config-interface-ipsec)# mtu baiti
  • vEdge(config-interface-ipsec)# tcp-mss-adjust baiti

Atspējojiet vājos SSH šifrēšanas algoritmus programmā Cisco SD-WAN Manager

5. tabula: funkciju vēstures tabula

Funkcija Vārds Izlaiduma informācija Funkcija Apraksts
Atspējojiet vājos SSH šifrēšanas algoritmus programmā Cisco SD-WAN Manager Cisco vManage laidiens 20.9.1 Šī funkcija ļauj atspējot vājākus SSH algoritmus programmā Cisco SD-WAN Manager, kas var neatbilst noteiktiem datu drošības standartiem.

Informācija par vāju SSH šifrēšanas algoritmu atspējošanu programmā Cisco SD-WAN Manager
Cisco SD-WAN Manager nodrošina SSH klientu saziņai ar tīkla komponentiem, tostarp kontrolieriem un malas ierīcēm. SSH klients nodrošina šifrētu savienojumu drošai datu pārsūtīšanai, pamatojoties uz dažādiem šifrēšanas algoritmiem. Daudzām organizācijām ir nepieciešama spēcīgāka šifrēšana, nekā nodrošina SHA-1, AES-128 un AES-192. Izmantojot Cisco vManage Release 20.9.1, varat atspējot tālāk norādītos vājākos šifrēšanas algoritmus, lai SSH klients neizmantotu šos algoritmus:

  • SHA-1
  • AES-128
  • AES-192

Pirms šo šifrēšanas algoritmu atspējošanas pārliecinieties, vai tīklā esošās Cisco vEdge ierīces, ja tādas ir, izmanto programmatūras laidienu, kas jaunāks par Cisco SD-WAN laidienu 18.4.6.

Priekšrocības, atspējojot vājus SSH šifrēšanas algoritmus programmā Cisco SD-WAN Manager
Vājāku SSH šifrēšanas algoritmu atspējošana uzlabo SSH sakaru drošību un nodrošina, ka organizācijas, kas izmanto Cisco Catalyst SD-WAN, atbilst stingriem drošības noteikumiem.

Atspējojiet vājos SSH šifrēšanas algoritmus vietnē Cisco SD-WAN Manager, izmantojot CLI

  1. Cisco SD-WAN Manager izvēlnē izvēlieties Rīki > SSH terminālis.
  2. Izvēlieties Cisco SD-WAN Manager ierīci, kurā vēlaties atspējot vājākus SSH algoritmus.
  3. Ievadiet lietotājvārdu un paroli, lai pieteiktos ierīcē.
  4. Ieejiet SSH servera režīmā.
    • vmanage(config)# sistēma
    • vmanage(config-system)# ssh-server
  5. Lai atspējotu SSH šifrēšanas algoritmu, veiciet kādu no šīm darbībām:
    • Atspējot SHA-1:
  6. pārvaldīt(config-ssh-server)# nav kex-algo sha1
  7. pārvaldīt(config-ssh-server)# commit
    Tiek parādīts šāds brīdinājuma ziņojums: Tika ģenerēti šādi brīdinājumi: 'sistēmas ssh-server kex-algo sha1': BRĪDINĀJUMS. Lūdzu, nodrošiniet, lai visas malas palaistu koda versiju > 18.4.6, kas darbojas labāk nekā SHA1 ar vManage. Pretējā gadījumā šīs malas var kļūt bezsaistē. Vai turpināt? [jā, nē] jā
    • Pārliecinieties, vai visās tīklā esošajās Cisco vEdge ierīcēs darbojas Cisco SD-WAN 18.4.6 vai jaunāka versija, un ievadiet jā.
    • Atspējot AES-128 un AES-192:
    • vmanage(config-ssh-server)# bez šifra aes-128-192
    • vmanage(config-ssh-server)# commit
      Tiek parādīts šāds brīdinājuma ziņojums:
      Tika ģenerēti šādi brīdinājumi:
      "Sistēmas ssh-servera šifrs aes-128-192": BRĪDINĀJUMS. Lūdzu, nodrošiniet, lai visas malas palaistu koda versiju > 18.4.6, kas darbojas labāk nekā AES-128-192 ar vManage. Pretējā gadījumā šīs malas var kļūt bezsaistē. Vai turpināt? [jā, nē] jā
    • Pārliecinieties, vai visās tīklā esošajās Cisco vEdge ierīcēs darbojas Cisco SD-WAN 18.4.6 vai jaunāka versija, un ievadiet jā.

Pārbaudiet, vai Cisco SD-WAN pārvaldniekā ir atspējoti vāji SSH šifrēšanas algoritmi, izmantojot CLI

  1. Cisco SD-WAN Manager izvēlnē izvēlieties Rīki > SSH terminālis.
  2. Atlasiet Cisco SD-WAN Manager ierīci, kuru vēlaties pārbaudīt.
  3. Ievadiet lietotājvārdu un paroli, lai pieteiktos ierīcē.
  4. Palaidiet šādu komandu: show running-config system ssh-server
  5. Apstipriniet, ka izvade parāda vienu vai vairākas komandas, kas atspējo vājākus šifrēšanas algoritmus:
    • bez šifra aes-128-192
    • nav kex-algo sha1

Dokumenti / Resursi

CISCO SD-WAN Konfigurējiet drošības parametrus [pdfLietotāja rokasgrāmata
SD-WAN Konfigurēt drošības parametrus, SD-WAN, konfigurēt drošības parametrus, drošības parametrus

Atsauces

Atstājiet komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti *